Hyppää sisältöön
Roosa Säävälä
Roosa Säävälä, syyskuu 8, 2020

Evästekäytännöt muuttuvat jälleen

Olet ehkä lukenut, että evästeiden keräämiseen ja niistä ilmoittamiseen on tullut jälleen tiukennuksia. Tämä tarkoittaa käytännössä sitä, että sivuston käyttäjillä on oltava selkeä mahdollisuus valita, mitä evästeitä heidän vierailustaan kerätään sekä mahdollisuus ottaa evästeet kokonaan pois käytöstä. EU:n asettaman tuomion mukaan evästeisiin annettu suostumus ei ole pätevä, jos se annetaan verkkosivuille sijoitetulla valmiiksi rastitetulla ruudulla. 

Mitäs ne evästeet oikeastaan olivatkaan?

Evästeet (cookies) ovat pieniä datatiedostoja, jotka selain tallentaa käyttäjän päätelaitteelle. Evästeet jaetaan pysyviin (stored cookie) sekä istuntokohtaisiin evästeisiin (session cookie). Pysyvät evästeet säilyvät laitteella määritetyn ajan, jonka jälkeen ne poistuvat joko automaattisesti, tai kun ne poistetaan selaimesta manuaalisesti. Istuntokohtaiset evästeet säilyvät laitteella vain tietyssä verkkopalvelussa vietetyn ajan ja poistuvat, kun selain suljetaan. Evästeillä kerättävää tietoa voi olla esimerkiksi käyttäjän IP-osoite, selain, laitetyyppi ja maa. 

Evästeet ovat hyödyllisiä niin käyttäjän, kuin verkkopalvelun tarjoajankin kannalta. Niiden avulla voidaan seurata palvelun käyttöä, parantaa sen käyttökokemusta ja näin kehittää palvelua eteenpäin. Yksinkertainen esimerkki evästeiden toiminnasta on kieliasetukset: kun käyttäjä valitsee sivustolla kerran oikean kielen, ei hänen evästeiden ansioista tarvitse valita kieltä uudestaan seuraavan kerran sivustolla vieraillessaan. Evästeet auttavat myös verkkopalveluiden mahdollisten ongelmien selvittämisessä ja ratkaisemisessa. Niiden avulla voidaan myös kohdentaa käyttäjälle kohdennettua, mahdollisimman kiinnostavaa sisältöä ja näin lisätä koko verkkopalvelun kiinnostavuutta kävijöiden silmissä. Kun evästeiden avulla analysoidaan käyttäjien kiinnostuksen kohteita, voi kerättyä dataa käyttää palvelun tekemisessä entistä käyttäjäystävällisemmäksi. 

Evästeiden käyttö edellyttää käyttäjän suostumusta. Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Käyttäjällä on oltava mahdollisuus kieltää evästeiden tallentaminen, ja tämä tulee toteuttaa käyttäjän kannalta mahdollisimman vaivattomasti. 

Eu:n tuomioistuimen päätös 1.10.2019

Euroopan unionin tuomioistuin on antanut 1.10.2019 tuomion evästekäytännöistä. Tuomiosta johtuen virasto on tarkentanut evästeohjeistustaan suostumuksen antamiselle sekä käyttäjän  evästeiden toiminta-ajasta ja kolmannen osapuolen mahdollisuudesta käyttää evästeitä. Voit lukea aiheesta lisää täältä

Kyberturvallisuuskeskus kertoo näin: Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla. Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Suostumuksen voi pyytää käyttäen valitsemaansa teknologiaa (esim. selaimen/sovelluksen asetukset tai ponnahdusikkuna), kunhan suostumusta ei pyydetä valmiiksi rastitetun ruudun kautta. Evästekäytännöt on myös mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Suomen vanha kanta oli siis selkeästi se, että erillistä evästeiden hyväksymistä ei vaadita. Myös tarkennetun ohjeistuksen mukaan evästeiden käytön hyväksyminen oli mahdollista selainasetusten kautta. Tietosuojavaltuutettu on nyt kuitenkin kumonnut tämän viestintäviraston ja kyberturvallisuuskeskuksen vanhan kannan.

Uusi evästeasetus tulee vaikuttamaan muun muassa sivuston analytiikkatuloksiin, sillä mikäli käyttäjät valitsevat seurantatyökalut pois päältä, ei heidän vierailuistaan voida lähettää tietoja analytiikan raportointijärjestelmään. 

Kuinka me otamme uuden asetuksen huomioon?

Evästekäytännön korjaamiseksi ei ole varsinaista määräaikaa eikä tietosuojavaltuutettu ole vielä reagoinut vahvasti asetuksen vastaisiin evästekäytäntöihin, mutta me Evermadella olemme jo työstäneet ratkaisuja, jotka täyttävät uudet asetukset. Käytössämme on kaksi erilaista työkalua evästeiden ilmoitukseen sivustolla (OneTrust ja Cookie Law Info -WordPress -lisäosa), joista käyttäjä pystyy helposti valitsemaan mitä seurantatietoja vierailusta saadaan kerätä. 

Analytiikkatyömme alkaa aina verkkopalvelun nykytilanteen kartoituksella ja ongelmakohtien määrittelyllä. Meille on tärkeää, että dataa kerätään luotettavasti, henkilötietosuojalakien mukaisesti ja lisäksi käyttäjälle ymmärrettävällä tavalla. Tämän varmistaa oikein toteutettu ja testattu mittaus, jonka rakenteellisena perustana toimii perusteellinen seurantasuunnitelma. Pysymme jatkuvasti digitrendien aallonharjalla, ja tähän kuuluvat olennaisesti myös tietosuoja-asetusten muutokset. Seuraamme aktiivisesti uutisointia evästekäytännöistä. 

Eri seurantatyökaluista ja niiden käytöstä on kerrottava vierailijoille selkeästi ja sivustolla tulisi tietysti olla ajantasainen kuvaus tietosuojasta. Autamme mielellämme sivuston evästeilmoituksen (bannerin), seurantamuutosten sekä yksityisyydensuojaselosteeseen liittyvien kohtien kanssa. Suosittelemme myös käymään yksityisyydensuojaselosteen läpi lakiasiantuntijan kanssa, jotta se varmasti täyttää nykyiset asetetut vaatimukset. 

Kysyttävää evästekäytännöistä? Ota yhteyttä, niin autamme!