Verkkosivustot & muu digi|Artikkelit|

Sivuston evästeet ja käyttäjän seuranta, pitääkö kysyä lupa?

Evästeistä kertovat pop-upit ovat tätä nykyä vakiovarustus sivustoilla. Osa kysyy käyttäjältä suostumuksen, osa näyttää vain ilmoituksen, ja osa ei häiritse käyttäjiä ponnahdusikkunoilla laisinkaan. Mutta mikä on oikea tapa? Tämä on aiheuttanut monelle päänvaivaa, kun yhteneväistä lain tulkintaa ei ole tuntunut löytyvän, ja myöhemmin säädökset saattavat vielä muuttuakin.

21.4.20201 Blogitekstiä on korjattu vastaamaan uusinta tietoa Suomessa annetuista tietosuojaa koskevista ratkaisuista. Lähde: Oikeus.fi - Helsingin hallinto-oikeus antoi kaksi tietosuojaa koskevaa ratkaisua

 

Moni sivusto on noudattanut Liikenne- ja viestintävirasto Traficomin suositusta, jonka mukaan evästeiden tallentamiseen ei tarvita käyttäjän suostumusta popup-ikkunalla. Riittäisi, että evästeistä kerrotaan sivustolla, ja että käyttäjä on sallinut evästeiden käytön oman selaimensa asetuksissa. Uusimpien päätösten mukaan tämä ei ole riittävä toimintamalli.

EU:n yleisen tietosuoja-asetuksen mukaisesti käyttäjällä tulisi olla mahdollisuus kieltää evästeiden käyttäminen silloin, kun ne eivät ole sivustolle välttämättömiä. Lainsäädännön mukaan käyttäjän suostumuksen pitäisi olla mahdollisimman helposti annettavissa ja poistettavissa. Apulaistietosuojavaltuutettu on 14.5.2020 antanut eräälle yritykselle määräyksen muuttaa suostumuksen keräämistapaa verkkosivustolla, sillä selaimen asetusten ei katsottu riittävän suostumukseksi. Myös Helsingin hallinto-oikeus on antanut vastaavan päätöksen koskien Traficomin hallinnoimia sivustoja.

Milloin evästeisiin täytyy pyytää lupa?

EU:n sähköisen viestinnän tietosuojadirektiivin mukaan evästeiden käyttämiselle ei tarvita käyttäjän suostumusta, jos evästeet ovat välttämättömiä sivuston toiminnalle.

Sivustoilla ja verkkokaupoissa käytetään usein evästeitä, jotka mahdollistavat esimerkiksi ostoskorin käytön ja sisäänkirjautuneena pysymisen. Nämä tekniset evästeet ovat sallittuja ilman käyttäjän suostumusta, sillä ilman niitä sivusto ja sen tarpeelliset toiminnot eivät toimisi oikein.

Käytännössä kaikki muut evästeet vaativat käyttäjältä luvan. Esimerkiksi analytiikkatyökalujen käyttämät seurantaevästeet ja mainonnan kohdentamiseen käytettävät markkinointievästeet ovat GDPR:n mukaan asioita, joille vaaditaan käyttäjän suostumus.

Miten suostumus sitten pyydetään?

Aiemmin suostumuksen pyytämiseen oli kaksi eri tulkintaa:

1. Liikenne- ja viestintävirasto Traficomin mukaan käyttäjän itse asettama asetus selaimessa riitti luvaksi käyttää evästeitä

"Suostumuksen voi jatkossakin antaa esimerkiksi selaimen ja sovelluksen asetuksissa tai ponnahdusikkunalla, kunhan suostumusta ei anneta valmiiksi rastitetun ruudun kautta. "
https://www.traficom.fi/fi/ajankohtaista/evasteisiin-voidaan-jatkossakin-antaa-suostumus-selainasetusten-kautta

(lainattu 17.11.2020)

2. Tietosuojavaltuutetun mukaan evästeiden käyttöön tarvitaan selkeämpi ja aktiivinen suostumus käyttäjältä

"Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää."
https://tietosuoja.fi/-/deputy-data-protection-ombudsman-orders-company-to-change-the-way-it-requests-consent-for-the-use-of-cookies

(lainattu 17.11.2020)

Nykytiedon valossa oikea tapa on jälkimmäiseksi esitetty, eli Tietosuojavaltuutetun vaatima selkeä ja aktiivinen suostumus käyttäjältä. Toisaalta mikään laki ei silti edellytä käyttämään banneria tai ponnahdusikkunaa suostumuksen pyytämiseen. Mutta se tuntuu toistaiseksi olevan ainoa pätevä keino saada tieto käyttäjän valinnasta evästeiden suhteen.

Tietosuojavaltuutetun tulkinnan mukaan käyttäjälle tulisi tarjota mahdollisuus joko hyväksyä tai kieltää evästeet, eli pelkkä ”Ok” nappi ei riitä. Jos on käytössä valintaruutu, ruksi ei saa olla valmiina ruudussa osoittamassa hyväksyntää. Käyttäjän pitäisi myös pystyä muuttamaan valintaansa jälkikäteen helposti. Evästeiden kieltäminen ei saisi aiheuttaa haittaa sivuston käyttäjälle.

Niin mitä nyt sitten pitää tehdä?

Verkkosivustojen tietosuojakäytäntöihin on liittynyt, ja liittyy edelleen epäselvyyksiä sekä monenlaisia eri lähestymistapoja. Tällä hetkellä parasta on ottaa varman päälle eli pyytää käyttäjältä suostumus evästeiden tallentamiseen. Tämä voidaan toteuttaa esimerkiksi lisäosan avulla, rakentamalla itse ponnahdusikkuna ja evästeiden eston mahdollisuus, tai käyttämällä valmista kolmannen osapuolen palvelua (esim. Cookiebot tai OneTrust). Toteutustavasta riippumatta on tärkeää, että sivuston kävijälle annetaan mahdollisuus joko hyväksyä kaikki evästeet, tai hyväksyä ainoastaan välttämättömät evästeet. Osa työkaluista mahdollistaa monipuolisemman valintojen asettamisen, mikä ei ole pakollinen ominaisuus.

Tärkeää on myös, että sivustolta löytyy tiedot käytetyistä evästeistä, niiden voimassaoloajasta, sekä tieto jos kolmansilla osapuolilla on pääsy näihin evästeisiin.

Muutoksia voi olla luvassa

Valmisteilla on uusi ePrivacy-asetus, jonka on tarkoitus täydentää GDPR:ää sähköisen viestinnän tietosuojan osalta. Se tulee todennäköisesti koskemaan myös sähköistä suoramarkkinointia, sekä evästeiden asettamista ja hyödyntämistä, joten evästekäytännöt voivat muuttua tulevaisuudessa. Asetuksen piti tulla voimaan jo vuonna 2019, mutta on viivästynyt reippaasti. Sen lopullisesta sisällöstä tai julkaisuajankohdasta ei vielä ole varmaa tietoa.

Myös meillä WTF:llä tarkkaillaan tilanteen kehittymistä. Ylläpitämiämme sivustoja seurataan tämän osalta ja asiakkaisiin ollaan yhteydessä, jos sivustoille tulee tehdä lain vaatimia muutoksia.

Lisätietoa termeistä

Mikä on eväste?

Eväste (engl. cookie) on pieni ja kevyt käyttäjän laitteelle tallentuva tekstitiedosto. Kyseessä ei siis ole ohjelma, tai mikään muukaan, mikä voisi aiheuttaa haittaa käyttäjän laitteelle.

Evästettä ei voi suoraan yhdistää yksittäiseen henkilöön. Evästeen avulla verkkosivusto pysyy esimerkiksi perillä siitä, onko käyttäjä laittanut tuotteita ostoskoriin, onko käyttäjä kirjautuneena sisään, tai minkä kielen käyttäjä on valinnut käytettäväksi. Tällaiset tekniset evästeet ovat hyödyllisiä ja usein myös välttämättömiä verkkopalvelun käytettävyydelle. Yleensä ne ovat istunto- tai sessiokohtaisia evästeitä, eli ne poistuvat käyttäjän laitteelta, kun selain suljetaan.

On olemassa myös pysyviä evästeitä, jotka poistuvat vasta tietyn ajan kuluessa, tai jos käyttäjä itse tyhjentää evästeet selaimen asetuksissa.

Vain evästeen lähettänyt palvelin voi lukea evästettä.

Mitä ovat seuranta-, mainonta- ja kohdentamisteknologiat?

Käyttäjän seuranta

Verkkosivuston käyttäjiä voidaan seurata ja analysoida erilaisten analytiikkaohjelmistojen avulla. Yksi suosituimmista on Google Analytics. Yleensä tarkoituksena on mitata mainontaa tai kerätä yleistä käyttäjä- ja käyttätymisdataa sivustolta, jotta sivustoa voidaan kehittää paremmaksi. Joillain seurantateknologioilla on mahdollista tunnistaa myös liidejä, ja sivustolla vierailleita yrityksiä. Seuranta tapahtuu usein evästeisiin tallennettavien seurantatunnisteiden avulla.

Mainonta ja kohdentaminen

Kolmannen osapuolen evästeiden ja seurantatunnisteiden avulla kerättyä käyttäjädataa voidaan hyödyntää mainonnan kohdentamiseen. Kohdentamisteknologioilla erilaiset mainosverkostot yhdistelevät käyttäjistä kerättyä dataa eri sivustoilta, ja muodostavat niistä profiileja. Anonyymit profiilit kertovat esimerkiksi mistä käyttäjä on kiinnostunut, ja minkälaista mainontaa hänelle kannattaa kohdentaa.

Esimerkkinä Google Ads ja Facebook Pixel ovat työkaluja mainonnan seurantaan ja kohdentamiseen.

Lähteitä


Lue myös nämä