Evästeistä kertovat pop-upit ovat tätä nykyä vakiovarustus sivustoilla. Osa kysyy käyttäjältä suostumuksen, osa näyttää vain ilmoituksen, ja osa ei häiritse käyttäjiä ponnahdusikkunoilla laisinkaan. Mutta mikä on oikea tapa? Vuoden 2020 jälkeen asiaan on alkanut tulla selkeitä linjauksia.
Sivuston evästeet ja käyttäjän seuranta, pitääkö kysyä lupa?
19.5.2025 Koko blogitekstiä päivitetty kuvaamaan paremmin nykytilannetta, ja erottamaan vanhat suositukset uusista.
21.4.2021 Tekstiä päivitetty vastaamaan uusinta tietoa Suomessa annetuista tietosuojaa koskevista ratkaisuista. Lähde: Oikeus.fi - Helsingin hallinto-oikeus antoi kaksi tietosuojaa koskevaa ratkaisua
Evästehämmennyksen historiaa
Vielä vuonna 2020 monet sivustot noudattivat Liikenne- ja viestintävirasto Traficomin suositusta, jonka mukaan evästeiden käyttöön ei tarvittu käyttäjän nimenomaista suostumusta, mikäli evästeet sallittiin selaimen asetuksissa. Tiedon esittäminen sivustolla katsottiin riittäväksi.
Tämän rinnalla oli kuitenkin toinen tulkinta: tietosuojavaltuutetun linjauksen mukaan selaimen asetukset eivät riittäneet, vaan evästeiden käytölle vaadittiin aktiivinen ja yksiselitteinen suostumus käyttäjältä.
Kaksi eri viranomaislinjaa (tilanne 2020)
1. Liikenne- ja viestintävirasto Traficom:
"Suostumuksen voi jatkossakin antaa esimerkiksi selaimen ja sovelluksen asetuksissa tai ponnahdusikkunalla... "
https://www.traficom.fi/fi/ajankohtaista/evasteisiin-voidaan-jatkossakin-antaa-suostumus-selainasetusten-kautta(lainattu 17.11.2020)
2. Tietosuojavaltuutettu:
"Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää."
https://tietosuoja.fi/-/deputy-data-protection-ombudsman-orders-company-to-change-the-way-it-requests-consent-for-the-use-of-cookies(lainattu 17.11.2020)
Hetken aikaa oli epäselvää, kumman viranomaisen suositusta noudattaa.
Nykyään on selvää, että suostumuksen on oltava tietosuojavaltuutetun linjauksen mukainen: aktiivinen, selkeä ja yksiselitteinen.
Apulaistietosuojavaltuutettu antoi 14.5.2020 vieläpä eräälle yritykselle määräyksen muuttaa suostumuksen keräämistapaa verkkosivustolla, sillä selaimen asetusten ei katsottu riittävän suostumukseksi. Myös Helsingin hallinto-oikeus on antanut vastaavan päätöksen koskien Traficomin hallinnoimia sivustoja.
Miten toimia nyt?
Ja näinhän se on - ne joidenkin mielestä joskus jopa ärsyttävät evästesuostumuspyynnöt ovat nykyään monessa tapauksessa pakollisia.
Verkkosivuston evästesuostumus voidaan toteuttaa useilla tavoilla:
- käyttämällä julkaisujärjestelmän lisäosaa
- rakentamalla toiminnallisuus itse
- hyödyntämällä valmista kolmannen osapuolen palvelua, kuten UserCentricsin Cookiebot tai CookieYes.
Toteutustavasta riippumatta on tärkeää, että sivuston kävijälle annetaan mahdollisuus joko hyväksyä kaikki evästeet, tai hyväksyä vain välttämättömät evästeet. Osa työkaluista mahdollistaa myös monipuolisemman valintojen asettamisen.
Tärkeää on myös, että sivustolta löytyy tiedot käytetyistä evästeistä, niiden voimassaoloajasta, sekä tieto jos kolmansilla osapuolilla on pääsy näihin evästeisiin.
Mihin evästeisiin täytyy pyytää lupa?
EU:n sähköisen viestinnän tietosuojadirektiivin mukaan evästeiden käyttämiselle ei tarvita käyttäjän suostumusta, jos evästeet ovat välttämättömiä sivuston toiminnalle. Tällaisia teknisiä evästeitä käytetään esimerkiksi ostoskorin säilyttämiseen, sisäänkirjautumisen hallintaan, tai kielivalinnan muistamiseen.
Sen sijaan kaikki muut evästeet edellyttävät käyttäjän nimenomaista suostumusta. Tämä koskee erityisesti:
-
analytiikkaevästeitä (esim. Google Analytics),
-
markkinointievästeitä (esim. Meta Pixel, Google Ads),
-
sekä muita seurantaevästeitä, joita käytetään käyttäytymisen profilointiin tai kolmansien osapuolten palveluissa.
Kirjoitimme myöhemmin kattavamman blogikirjoituksen evästeiden käytöstä ja suostumuksen pyytämisestä. Voit lukea sen täällä: Sivuston evästeet, mikä on muuttunut?
Lisätietoa termeistä
Mikä on eväste?
Eväste (engl. cookie) on pieni ja kevyt käyttäjän laitteelle tallentuva tekstitiedosto. Kyseessä ei siis ole ohjelma, tai mikään muukaan, mikä voisi aiheuttaa haittaa käyttäjän laitteelle.
Evästettä ei voi suoraan yhdistää yksittäiseen henkilöön. Evästeen avulla verkkosivusto pysyy esimerkiksi perillä siitä, onko käyttäjä laittanut tuotteita ostoskoriin, onko käyttäjä kirjautuneena sisään, tai minkä kielen käyttäjä on valinnut käytettäväksi. Tällaiset tekniset evästeet ovat hyödyllisiä ja usein myös välttämättömiä verkkopalvelun käytettävyydelle. Yleensä ne ovat istunto- tai sessiokohtaisia evästeitä, eli ne poistuvat käyttäjän laitteelta, kun selain suljetaan.
On olemassa myös pysyviä evästeitä, jotka poistuvat vasta tietyn ajan kuluessa, tai jos käyttäjä itse tyhjentää evästeet selaimen asetuksissa.
Vain evästeen lähettänyt palvelin voi lukea evästettä.
Mitä ovat seuranta-, mainonta- ja kohdentamisteknologiat?
Käyttäjän seuranta
Verkkosivuston käyttäjiä voidaan seurata ja analysoida erilaisten analytiikkaohjelmistojen avulla. Yksi suosituimmista on Google Analytics. Yleensä tarkoituksena on mitata mainontaa tai kerätä yleistä käyttäjä- ja käyttätymisdataa sivustolta, jotta sivustoa voidaan kehittää paremmaksi. Joillain seurantateknologioilla on mahdollista tunnistaa myös liidejä, ja sivustolla vierailleita yrityksiä. Seuranta tapahtuu usein evästeisiin tallennettavien seurantatunnisteiden avulla.
Mainonta ja kohdentaminen
Kolmannen osapuolen evästeiden ja seurantatunnisteiden avulla kerättyä käyttäjädataa voidaan hyödyntää mainonnan kohdentamiseen. Kohdentamisteknologioilla erilaiset mainosverkostot yhdistelevät käyttäjistä kerättyä dataa eri sivustoilta, ja muodostavat niistä profiileja. Anonyymit profiilit kertovat esimerkiksi mistä käyttäjä on kiinnostunut, ja minkälaista mainontaa hänelle kannattaa kohdentaa.
Esimerkkinä Google Ads ja Facebook Pixel ovat työkaluja mainonnan seurantaan ja kohdentamiseen.
Lähteitä
- Traficom: Luottamuksellinen viestintä
- Tietosuojavaltuutetun toimisto: Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön
- Ylen uutinen: Suomi ei olekaan EU-tietosuojan mallioppilas – Tutkijoiden mukaan Suomi toimii laittomasti nettiseurannan valvonnassa
- Vierityspalkki.fi / Perttu Tolvanen: Älä kysy lupaa evästeisiin – kysy lupa mainosverkostojen trackkereihin
- Ylen artikkeli: Digitreenit: Mitä nettisivujen evästeet oikein tekevät? Onko ne pakko hyväksyä?