Evästeilmoitukset ärsyttävät mutta eivät enää ole vain ilmoitusasia 1

Evästeilmoitukset ärsyttävät mutta eivät enää ole vain ilmoitusasia

Evästeilmoitukset ovat niitä todella ärsyttäviä ilmoituksia, jotka ilmestyvät ruudulle siirryttyäsi jollekin verkkosivustolle. Joskus niitä pomppaa koko ruudun kokoisesti ja toisinaan taas ne ovat sivistyneitä pieniä mainintoja ruudun alalaidassa. Niissä yleensä kerrotaan, että sivusto käyttää evästeitä. Jahas, kiitos tiedosta. Ja sitten voit painaa Ok ja ilmoitus katoaa palatakseen taas seuraavalla vierailulla.

Onko pakko käyttää evästeilmoituksia ylipäätään, on puhututtanut EU:n tietosuoja-asetuksen ja GDPR:n ohella, ja monenlaisia mielipiteitä ja perusteluja olemme saaneet lukea. Mieluiten olemme lukeneet Traficomin ohjeita, joissa on monien tulkinnan mukaan kerrottu, että erillistä evästebanneria ei ole pakko sivuilleen laittaa ja että evästeasetuksista kertominen riittää. 

Apulaistietosuojavaltuutetun päätös linjasi asiaa

Tietosuojavaltuutetun toimisto antoi toukokuun puolivälissä tiedotteen, joka oli otsikoitu Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön. Tiedote sisälsi kaiken kapulakielen keskellä olennaisia muutoksia evästeistä ilmoittamiseen ja niistä kieltäytymisen mahdollisuuteen. 

Tämä päätös liittyy tapaukseen, jossa hakija on kannellut tietosuojavaltuutetun toimistoon koska hakijan mielestä rekisterinpitäjän verkkosivuilla evästeiden kieltämisestä on tehty erittäin hankalaa. Rekisterinpitäjä on kertonut vastineessaan, että he ovat noudattaneet Traficomin ohjetta, ja he ovat evästebannerinsa avulla informoineet “käyttäjiä evästeiden käytöstä ja mahdollisuudesta vaikuttaa niihin selainasetusten avulla tietosuojaselosteessaan.” 

No tämäpä ei nyt enää sitten riitä.

Sain tähän kirjoitukseen haastatella Turre Legalin, Suomen digitaalisimman lakiaisiaintoimiston lakimies Tero Jyrhämää ja keskustelimme tämän uuden päätöksen vaikutuksista evästeiden käytön kieltämiseen, hyväksymiseen ja hyväksyntien hallinnoimiseen. 

Ja mitäs ne evästeet ovatkaan?

Evästeet ovat dataa, joka tallentuu selaimen muistiin. Kun vierailet verkkosivulla, selain huomaa sen ja tallentaa verkkosivulla tarjolla olevat evästeet selaimeesi. Verkkosivu myös huomaa, jos selaimen muistissa on jo sivulta aiemmin tallentuneita evästeitä. Evästeet poistuvat selaimesi muistista kun poistat ne itse tai kun ne vanhenevat, tai kun istunto päättyy.  Google määrittelee istunnon kutakuinkin näin: “Istunto on joukko käyttäjien interaktioita, jotka tapahtuvat verkkosivustollasi tietyn ajan kuluessa.”

Osa evästeistä eli cookiesta eli kekseistä on sellaisia, että ne tallentuvat vain sen istunnon ajaksi, kun sivuilla käyt. Ne saattavat olla ns. välttämättömiä evästeitä eli sivun teknisen toimimisen kannalta välttämättömiä. 

Esimerkkinä välttämättömästä evästeestä on käyntisi verkkokaupassa. Kun vierailet verkkokaupassa ja napsit tuotteita ostoskoriisi, tuotteet tallentuvat sinne ostoskoriin evästeen avulla. Koska eväste tallentaa ostoskorissa jo olevat tuotteet, on sinun mahdollista ylipäätään ostaa tuotteita ja käydä sivustolla usean tuotteen kohdalla menettämättä tietoa ostoskorissa jo olevasta tuotteesta. Koska tieto ostoskorin sisällöstä pysyy tallessa koko ostotapahtuman ajan, sujuu ostostapahtuma ylipäätään niin kuin sen pitääkin. Tällainen on ns. sivuston toiminnan kannalta välttämätön eväste eikä niiden tallentumista pidä kieltää tai saat ihmetellä, miten se ostoskori tyhjenee joka kerran kun siirryt uudelle sivulle. 

Eväste auttaa myös silloin, kun monikielisessä sivustossa klikkaat lipun kuvaa (tai muuta vastaavaa valintaa) ja valitset, millä kielellä haluat sivustoa käyttää. Eväste muistaa valintasi ja sehän on vain hyvä asia. Jos joka kerran joudut valitsemaan saman, niin johan alkaisi harmittaa. Tämä on ns. personointia eli tämä on juuri sinun henkilökohtainen valintasi. Sivuston toiminnan kannalta tämä ei kuitenkaan ole välttämätön eväste, joten jos kiellät sellaisen tallentumisen, saat napsutella kielivalintaa joka kerran. 

Seurantaevästeet

Seurantaevästeet antavat mahdollisuuden seurata, mitä käyttäjät tekevät verkkosivustolla. Ahdistavia tunteita herättävästä nimestään huolimatta tämä tarkoittaa kutakuinkin sitä, että sivuston ylläpitäjä seuraa vaikkapa Google Analyticsin avulla, paljonko sivustolla käydään, mitkä sivut ovat suosituimmat, mistä sivuille tullaan (somesta, uutiskirjeestä, Googlen hakutuloksista, jne) ja miten pitkään sivuilla viihdytään. 

Nämä kaikki tiedot auttavat sivujen ylläpitäjää tai omistajaa kehittämään sivustoaan. Ja ei, nämä eivät ole niitä “sivuston toiminnan kannalta välttämättömiä evästeitä”, vaikka miten olisi välttämätöntä tietää, että mitä ne kävijät siellä puuhaavat, tilastomielessä, sisällön kehittämisen kannalta jne. Tämä on silti seurantaa ja tähän tarvitaan lupa. Tästä lupa-asiasta kerron lisää kyllä.

Kolmannen osapuolen evästeet

Nämä kolmannen osapuolen evästeet aiheuttavat joissakin käyttäjissä närää. Kolmansia osapuolia ovat mm. somekanavat ja verkon mainospalvelut. Jos olet verkkokaupassa ihaillut kenkiä, saatat seuraavaksi nähdä nämä kengät kaikissa somekanavissasi ja monen julkaisijan sivustoilla, joissa mainostilaa vain on tarjolla. 

Tätä tietoa voidaan käyttää käyttäjien profilointiin eli voidaan mainostaa vaikka sivuilla juuri käyneille tai jättää mainostamatta tuotteen jo ostaneille (aika fiksua mutta toisinaan kovin vähän käytettyä päätellen siitä, miten usein näen mainoksia tuotteista, joihin jo olen langennut). 

No ne evästeilmoitukset – miten olemme nyt toimineet?

Tähän asti on vaikuttanut siltä, että on joko riittänyt, että kerrotaan, että käytämme evästeitä tai kerrotaan, että evästeiden tallentuminen selaimen välimuistiin voidaan estää selaimen asetuksista. Fiksuimmat kertovat näistä vielä kattavasti tietosuojaselosteessaan.

Jep, evästeistä olisi syytä kertoa samalla kun kerrotaan henkilötietojen tallentamisesta. Miksi henkilötietoja kerätään, mihin niitä käytetään jne. 

Mutta mikä muuttui 15.5.2020 evästeistä ilmoittamiseen liittyen?

Tietosuojavaltuutetun toimisto siis antoi tiedotteen 15.5. otsikolla: Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön

Tähän asti yritykset ovat useimmiten vedonneet Traficomin eli entisen Viestintäviraston tulkintaan, joka on todennut kutakuinkin, että evästeiden tallentamisen suostumukseksi riittää, että evästeiden käyttö on sallittu esimerkiksi selaimen asetuksissa.

Turre Legalin lakimies Tero Jyrhämä toteaa, että nyt Traficomilla ja tietosuojavaltuutetulla on kaksi kilpailevaa kantaa:

”Mutta näen, että juridisessa mielessä tietosuojavaltuutettu on näissä asioissa korkeampi taho. Evästesuostumusta koskevat pykälät tulevat tietosuoja-asetuksesta ja Suomessa tietosuoja-asetusta tulkitsee tietosuojavaltuutettu.”

Ja tästä seuraa, että nykyisin monen käyttämän “Käytämme evästeitä.” -toteamusbannerin kuittaaminen pelkällä OK:lla ei ole enää riittävää vaan käyttäjälle pitää tarjota aito valinnan mahdollisuus evästeiden sallimiseen tai niiden tallentamisen kieltämiseen. 

Näiden – muiden kuin sivuston teknisen toiminnan kannalta välttämättömien – evästeiden tallentumisen käyttäjän on nyt voitava kieltää. Enää ei siis riitä, että käyttäjälle kerrotaan, että sellaisia käytetään ja että voit selaimen asetuksista erikseen niiden käytön kieltää. Eli evästeilmoituksen käyttäminen ei enää riitä.

Odotettavissa on hiukan pidemmällä aikataululla tarkempia sääntöjä ja ohjeita, mutta kanta on nyt selkeämpi: lupa on pyydettävä ja vasta luvan saamisen jälkeen voidaan evästeet ottaa käyttöön. Tätä lupaa pitäisi myös voida hallinnoida yhtä helposti kuin luvan antaminen tapahtuu eli poistamalla ruksi hyväksynnältä. 

Sekin tarkoittaa sitä, että jos käyttäjä haluaa evätä evästeiltä oikeuden tallentua, käyttäjää ei pidä ohjata sinne selaimen asetuksiin (joihin aika harva kai ylipäätään jaksaa siirtyä). 

Keskustelin lakimies Tero Jyrhämän kanssa tästä apulaistietosuojavaltuutetun päätöksestä ja hän totesi, että käsittelyn kohteena ollut yritys sai huomautuksen sekä korjauskehotuksen. Asia oli ollut käsittelyssä jo syksystä 2019. Jonossa on nyt muitakin yrityksiä, joista tietosuojavaltuutetulle on tehty tutkintapyyntö, joten asia varmasti tulee saamaan selvyyttä. Mitään sanktioita ei vielä ole määrätty. 

No nytpä se tarkoittaakin sitä, että evästeiden tallentamiseen täytyy pyytää nimenomaan lupa. Ja tätäkään lupaa ei sovi pyytää niin, että tarjoat valmiiksi ruksitun ruudun, kerrot, että “jatkamalla sivustomme käyttöä hyväksyt evästeiden tallentumisen” tai kertomalla, että “voit selaimesi asetuksista kieltää evästeiden tallentamisen”.

Evästeiden tallentamisen luvan pyytäminen – ei siis enää vain ilmoitusasia

Ennen kuin päädyit lukemaan tätä artikkelia täällä Oppilan sivuilla, jouduit antamaan hyväksyntäsi evästeiden tallentamiselle. Tai kielsit sen. Kun tämä päätös tuli, asensin seuraavana aamuna ennen aamiaista uuden lisäosan Oppilan WordPress-sivuille ja lähdin tutkimaan asiaan pidemmälle.

Hankin Moove Agencyn GDPR Cookie Compliance -lisäosan ja asensin sen. Itse asiassa ensin asensin samasta lisäosasta maksuttoman version (joka löytyy ihan WordPressin lisäosakirjastosta), mutta koska halusin seurata myös tilastoja hyväksynnöistä (päätin heti, että kirjoitan tästä vielä blogiin) hankin aika nopeasti maksullisen version.

Kun tulet Oppilan sivuille, joudut sivun alalaidassa ottamaan kantaa evästeiden tallentamiseen ja jos ja kun annat luvan, asentuvat Google Tag Managerin kautta mm. Google Analytics ja Facebook-pikseli. Mutta ne asentuvat siis vasta sen jälkeen, kun olet sen sallinut.

Miten lupia annetaan?

Tämä on mielenkiintoista! Olemme ilmeisesti tottuneet mekaanisesti vain klipsuttelemaan OK:ta ja Acceptia kaikkiin evästeilmoituksiin, sillä 99,68% bannerissa olevaan hyväksyntään kantaa ottaneista kävijöistä on hyväksynyt evästeet tätä kirjoittaessani. Asetukset on klikannut näkyvilleen vain ihan muutama kävijä, jotka todennäköisesti ovat kollegoitani, joille olen tästä lisäosasta kertonut.

Mutta mitä ihmettä – haihtuiko sivuiltani kolmannes kävijöistä?

Asennettuani evästebannerin sivun alalaitaan melko huomaamattomasti (ks. kuvakaappaus tässä sivulla hiukan myöhemmin) tutkin Google Analyticsin tilastoja viikon kuluttua. 

Evästebannerin vaikutus Google Analytics -tilastoihin

Ensin totesin tuon bannerilisäosan tilastoista huojentavan tiedon, että käytännössä kaikki olivat hyväksyneet evästeiden tallentamisen, mutta sitten tajusin Google Analyticisin datasta, että samasta päivästä lukien kävijätiedoista katosi kolmannes. Kyllä, noin 30%. Ja ei, en usko, että kävijöitä katosi oikeasti kolmannes tai että sivustoni sisältö olisi yhtäkkiä käynyt tylsäksi (kävijämäärät ovat olleet varsin tasaisia viime aikoina.)

Oppilan evästebanneri

Siinä asiaa pohtiessani ymmärsin että sivuja pystyi kyllä mainiosti käyttämään eli lukemaan blogia ynnämuuta ilman, että tarvitsi reagoida mitenkään sivun alalaidan sivistyneeseen mainintaan. Ei se oikeastaan vaatinut ottamaan kantaa, jos sieti sen siellä alalaidassa.

Oppilan evästeilmoitus mobiilissa

Mobiilissa tuo sivistynyt banneri on niin iso, että siihen on pakko ottaa kantaa, mutta tietokoneen selaimella eli siis isommalla ruudulla siihen ei välttämättä edes tule kiinnitettyä huomiota. Eikä siinä tapauksessa Google Analytics tiedä tuon taivaallista sivuilla vierailijasta eikä vierailijaan tartu mikään pikseli.

Niin, tuo lisäosa toimii siis silloin aivan niin kuin pitääkin, mutta sivun pitäjää se harmittaa. 

Tästä seuraa se, että minun lienee pakko ottaa käyttöön ns. Cookie Wall eli koko ruudulle lävähtävä evästeilmoitus, jos haluan että jokainen kävijä klikkaa kantansa eli isompi osa kirjautuu tilastoihini. 

Tätä kirjoittaessani en sitä vielä ole aktivoinut, mutta kun sinä tätä tekstiäni luet, saatat jo olla keksiseinäni läpi kulkenut. 

Hyväksynnän hallinnoiminen eli poistaminen

Tähän apulaistietosuojavaltuutetun päätökseen liittyy myös se lisävaatimus, että jo kertaalleen annettu hyväksyntä pitää saada poistaa yhtä helposti kuin se on annettukin. Eli jos tulet katumapäälle hyväksyttyäsi evästeen sinun täytyy voida ihan yhtä helposti poistaa hyväksyntäruksisi.

Kun juttelin Turre Legalin lakimies Tero Jyrhämän kanssa, klikkasin siinä samalla evästelisäosani asetuksista päälle ns. leijuvan painikkeen. Se aktivoitui saman tien ja on tämän näköinen

Evästeilmoitukset ärsyttävät mutta eivät enää ole vain ilmoitusasia 2

ja leijuu tämänkin sivun vasemmassa alakulmassa ja klikkaamalla sitä pääset hallinnoimaan hyväksyntiäsi. Tero Jyrhämän mukaan tällaisen hallinnointipainikkeen käyttäminen täyttää optimaalisesti tuon vaatimuksen. 

Evästeilmoitukset ärsyttävät mutta eivät enää ole vain ilmoitusasia 3

Tämä sama leijuva ratas näkyy myös mobiilissa ja kun viet kursorin rattaan päälle, pääset hallinnoimaan asetuksia.

Mikä siis nyt vaikuttaa olevan tärkeää?

Odotamme tietysti, että säännöt täsmentyvät, mutta tuon tietosuojavaltuutetun päätöksen perusteella käyttäjällä pitää olla oikea ja aito ja vaivaton valinnan mahdollisuus suostumuksen antamiseen tai sen hylkäämiseen – sekä hyväksynnän hallinnoimiseen.  Evästeistä ilmoittaminen ei enää riitä.

Tuota hyväksyntää ei voi antaa hiljaisella suostumuksella eikä valmiilla ruksilla. 

Saanko sakot, jos en vielä tee mitään?

Tuskinpa, eipä tuo päätöksen kohteena ollut rekisterinpitäjäkään saanut muuta kuin huomautuksen ja korjauskehotuksen. Asia tulee varmasti täsmentymään, mutta jos haluat varmistua siitä, että et kuulu niihin rekisterinpitäjiin (siis tahoihin, jotka ylläpitävät sivustoa) jotka keräävät evästeiden avulla dataa käyttäjistään kysymättä siihen lupaa, niin tee jotain asialle.

Tämä minun käyttämäni lisäosa on vain yksi monesta, joita voit WordPress-sivustolle asentaa. Yksi riittää, tietysti. Maksuton toimii hyvin, mutta näin koulutustarkoituksiin halusin maksullisen version kaikki ominaisuudet, kuten nuo tilastot. 

Jos kaikki lopettavat sivujeni käytön, koska minulla on ruma banneri?

Noh, enpä usko. Alamme jo turtua evästeilmoituksiin ja jos olet käyttänyt kansainvälisiä sivustoja, etenkin amerikkalaisia, olet jo varmasti tottunut napsuttelemaan hyväksynnät sen kummemmin asiaa pohtimatta. 

Itse asiassa Yhdysvalloissa Kalifornian osavaltiossa astui vuoden 2020 alussa voimaan aika lailla yhtä tiukka asetus kuin meidän eurooppalaisten GDPR eli California Consumer Privacy Act (CCPA) ja senkin johdosta kansainväliset sivustot ovat ottaneet lusikan kauniiseen käteen. CCPA ei ilmeisesti vaadi hyväksymään evästeitä, mutta se vaatii, että ne voidaan kieltää tehokkaasti. Aika lailla sama asia noin sivuston kehittäjän näkökulmasta.

Onko tämä nyt täysi totuus asiasta?

Tämä ei ole juridinen neuvo sinulle eikä Oppila Oy ota juridista vastuuta evästebanneristasi eikä tietosuojaselosteestasi. Suosittelen lämpimästi tutustumaan tässä jutussa mainittuun Apulaistietosuojavaltuutetun päätökseen ja sen perusteluihin sekä kyseisestä päätöksestä kertovaan tiedotteeseen. Päätöksestä on tämän artikkelin julkaisuhetkellä reilut kolme viikkoa ja olen jo huomannut, että moni yritys on ottanut lusikan kauniiseen käteen ja antaa nyt kävijöilleen mahdollisuuden helpompaan hyväksyntään evästeasioissa. 

Tuon päätöksen teki apulaistietosuojavaltuutettu Anu Talus tietosuojavaltuutetun toimistosta. 

Tätä artikkelia varten haastattelin Suomen digitaalisimman lakiasiaintoimiston Turre Legalin lakimiestä Tero Jyrhämää.  Turre Legal on teknologia- ja immateriaalioikeuteen keskittynyt lakiasiaintoimisto. Lisätietoa heidän palveluistaan löydät täältä: www.turre.com

Taina Norha - Oppila Oy:n kouluttaja

Taina Norha

Löydät myös Tainan ja puolisonsa Kirjallisia-kirjablogin sekä sen Instagram-tilin @kirjallisia 

Similar Posts