GDPR, evästeet ja ennakkotapaus

Cookies, eli suomalaisittain evästeet, ovat olleet tapetilla viime aikoina. GDPR astui voimaan jo pari vuotta sitten ja sen jälkeen evästebannereista on oltu montaa mieltä. Riittääkö, että evästebannerissa kerrotaan ainoastaan evästeiden hyväksymisestä? Vai pitäisikö evästekäytänteet eritellä käyttäjälle tarkemmin jo bannerissa, eikä esimerkiksi lisätietosivulla?

Mitä evästeet ovat ja miksi niitä tarvitaan?  

Aloitetaan siitä, että mitä evästeet ovat. Eväste = cookie on pieni tekstitiedosto, joka tallentuu selaimesta käyttäjän laitteelle. Evästeillä käyttäjän tiedot eivät häviä sivulta, vaikka sieltä poistuttaisiin. Evästeillä voidaan saada käyttäjästä esimerkiksi seuraavia tietoja: IP-osoite, käydyt sivut tai mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle. Evästeet itsessään eivät kuitenkaan kerää sellaista henkilötietoa, jonka perusteella kävijä voitaisiin tunnistaa verkossa.  

Kun Yleinen tietosuoja-asetus (GDPR) julkaistiin ensimmäisen kerran, viimeistään silloin evästeiden keräystiedon esittäminen sivukävijälle tuli ajankohtaiseksi. Kävijän ajatus saattoi olla ja voi olla edelleen, että: ”Apua, evästeet kyttäävät mitä teen verkossa”. Todellisuudessa evästeet toimivat verkkosivustojen aputoimintona helpottaen navigaatiota, ja ovat välttämätön osa nykyaikaisten verkkosivustojen rakennetta.   

Hyvä esimerkki asiasta on verkkopankki. Siellä asioidessa eväste tunnistaa, milloin olet kirjautuneena ja toimii aikakatkaisijana, kun et ole aktiivinen sivustolla tietyn aikavälin sisällä. Toisena esimerkkinä evästeiden käytöstä on verkkokauppojen ostoskorit. Laittaessasi koriin tuotteita, eväste muistaa korin sisällön silloinkin, kun vaihdat sivulta toiselle verkkokaupan sisällä. Tässä mainitut ovat yleensä evästeitä, joita kävijä ei voi valita pois päältä sivuston normaalin toiminnallisuuden takaamiseksi.  

Tämän lisäksi on kolmannen osapuolen evästeitä, joilla tutkitaan sivustolla liikkumisen analytiikkaa käyttäjäkokemuksen parantamiseksi sekä tietysti markkinointievästeet, joiden avulla voidaan kohdentaa mainontaa. Nämä ovat niitä evästeitä, joita käytetään tarjoamaan kullekin verkon käyttäjälle mahdollisimman tarkasti juuri heitä kiinnostavaa sisältöä.  

Laissa sanotaan

Pohdittaessa oikeaa eväskäytäntöä on hyvä tarkistaa mitä laissa sanotaan asiasta.  

”Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.   

Edellä 1 momentissa säädetty ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.  

Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.”   

EU:ssa on tällä hetkellä valmisteilla uusi sähköisen viestinnän tietosuoja-asetus, joka korvaa annetun lain evästeitä koskevan sääntelyn. Lainsäädäntömenettely EU:ssa on vielä kesken, joten asetuksen lopullisesta sisällöstä ole täyttä varmuutta.  

Ennakkotapaus pisti yritykset pohtimaan  

Toukokuussa esille tuli ennakkotapaus, jossa puututtiin yrityksen verkkosivujen evästekäytäntöön. Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön. Yritys pistettiin muuttamaan toimintatapaansa evästeiden suhteen. Kieltäytymistä ei ollut tehty sivustolla yhtä helpoksi, kun suostumuksen antamista. Ennakkotapaus on pistänyt verkkosivujen ylläpitäjät pohtimaan miten asiaan pitäisi reagoida. Pitäisikö sivustolle ottaa mahdollisimman nopeasti käyttöön sellainen evästebanneri, jossa kävijä pystyy säätelemään aikasempaakin tarkemmin evästeisiin liittyviä asioita heti sivustolle tullessaan?  

Evästebannerista laajasti löytyvät tiedot luovat kävijälle kuvaa sivuston läpinäkyvyydestä ja myös ehkä tietynlaista turvaa. Jos kohdennettua mainontaa ei halua vastaanottaa, olisi bannerista mahdollista sulkea se pois sivukohtaisesti.  

Evästebannereiden muutoksia on hyvä pohtia jo ennen kuin uusi asetus tulee voimaan. Yrityksen on tärkeää olla kartalla siitä, millaista tietoa nettisivukävijöistä kerätään ja mihin tietoa käytetään. Tämä mahdollistaa tiedon jakamisen myös kävijöille itselleen. GDPR:n mukaiset toimenpiteet eivät välttämättä ole edelleenkään kaikille selkeitä, koska esimerkiksi juuri evästekäytäntöhin liittyvissä asioissa on ollut hieman tulkinnanvaraisuutta.   

Ota meihin yhteyttä niin tarkastetaan yhdessä, että ovathan sivustosi evästeasiat kunnossa.  

Katri Pirhonen