GDPR ja evästesäännöt

Miten hyväksyntä evästeisiin pitäisi hankkia?

GDPR:n astuttua voimaan muutama vuosi sitten olemme kaikki tottuneet klikkailemaan milloin mihinkin suostumuksemme henkilötietojemme käsittelyyn. Vaikka GDPR tulkitsee osan evästeistä henkilötiedoiksi, niiden keräämiseen ei ole tähän mennessä tarvinnut erikseen suostua, sillä selaimen asetusten on katsottu olevan riittävä suostumus. Näin on aiemmin linjannut Traficom, eli entinen viestintävirasto. Tiedotusvastuu evästeiden käytöstä yrityksillä on ollut ja on yhä edelleen, kuten jokaisella sivustolla vastaantulevat “Käytämme evästeitä! Jatkamalla käyttöä hyväksyt tämän” – ponnahdusikkunat ja bannerit alati muistuttavat.

15.5.2020 uutisoitiin kuitenkin apulaistietosuojavaltuutetun päätöksestä, jossa yritys määrättiin muuttamaan tapoja, joilla se pyytää hyväksyntää evästeiden käyttöön. Tällä yrityksellä oli käytössään meille kaikille tuttu evästebanneri, jossa ilmoitettiin evästeistä ja annettiin mahdollisuus tutustua evästeisiin tarkemmin tietosuojaselosteessa. Tietosuojaselosteessa todettiin, että selaimensa asetuksia muuttamalla käyttäjä voi kieltää evästeiden käytön. Päätöksessä todettiin, ettei bannerin kautta annettua hyväksyntää voitu pitää vapaaehtoisena suostumuksena, sillä kieltäytyminen evästeistä oli huomattavasti vaikeampaa kuin niiden hyväksyminen.

Tässä kohti voisi olla hyvä palautella mieleen, mitä ne evästeet oikeasti edes ovat. 

Evästeet ovat tekstinpätkiä, jotka tallentuvat selaimeesi vieraillessasi verkkosivulla. On olemassa sivuston toiminnan kannalta välttämättömiä evästeitä, joiden käyttämiseen ei milloinkaan ole tarvinnut kysyä lupaa, ja joita ei ehkä kannata selainasetuksistaan foliohattu tiukalla kieltää, sekä näitä ei-välttämättömiä evästeitä.

Hyvä esimerkki välttämättömästä evästeestä on verkkokaupan ostoskori. Ostoskoriisi siirtämät tuotteet tallentuvat omaan selaimeesi hyppäävän evästeen avulla, mikä on aidosti välttämätöntä verkko-ostosten onnistumisen kannalta.

Ei-välttämättömiä evästeitä ovat mm. Personointiin ja seurantaan liittyvät evästeet. Vaikka seuranta sanana aiheuttaakin herkästi hikikarpaloita niskaan, ei seuranta-evästeissä ole kyse henkilökohtaisten tietojen kalastelusta. Seuranta-evästeillä verkkosivun ylläpitäjä voi esimerkiksi katsoa mitkä hänen blogeistaan ovat suosituimpia, ja kauanko tietyllä sivulla keskimäärin kulutetaan aikaa. 

Markkinointitarkoituksiin käytettävät evästeet ovat kolmansien osapuolten evästeitä, jotka personoivat internetin mainospaikoilla näkyvät mainokset selaimen käyttäjän mieltymysten perusteella. Nämä itselläni aiheuttavat närää vain lahjaostosten aikaan, kun salamyhkäisesti koitan poikaystävälle hankkia kelloa, ja kaikki someni lävähtävät täyteen mainoksia miesten kelloista…

Oli miten oli, kaikkiin näihin ei-välttämättömiin evästeisiin tarvitaan lupa. Tärkeää on, että evästeiden kieltäminen on yhtä helppoa kuin hyväksyminenkin, kuten apulaistietosuojavaltuutetun päätöksestäkin tulee ilmi. Myös aiemmin annettu hyväksyntä täytyy voida kumota helposti. Käytännössä tämä uusi päätös tarkoittaa sitä, ettei evästeiden kieltäminen selaimen asetusten kautta enää kelpaa kieltäytymisen toteuttamiseen. Verkkosivuille täytyy siis asentaa lisäosia, jotka asentavat evästeet vasta erikseen saadun hyväksynnän jälkeen. Vierailijalle on myös annettava helppo mahdollisuus muuttaa aiemmin tekemiään valintoja.

Mitä tämä tarkoittaa verkkosivujen analytiikan ja markkinoinnin kohdentamisen kannalta?

Koska evästeet eivät enää saa latautua vierailijan selaimeen suoraan, jää osa vierailuista analytiikan ulkopuolelle. Verkkosivuvierailijat voivat yksinkertaisesti olla huomioimatta evästeilmoitusta mitenkään ja surffailla jättämättä jälkiä analytiikkaan. Evästeistä kieltäytyminen kyllä antaisi dataa vierailijoiden määrästä, mutta saadakseen kaikki reagoimaan ilmoitukseensa verkkosivun ylläpitäjän pitäisi tehdä niin valtava ponnahdusikkuna, ettei sivuston selaaminen ilman tahdonilmausta evästeiden suhteen onnistu. Kuulostaako kivalta? Ei minustakaan.

Plot-twist!

Jos pysyit tässä EU-direktiivien ja sovellusten sopassa mukana tähän asti, nyt kannattaa viimeistään ottaa tukeva asento. EU:lla on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus. Komissio ehdottaa, että “suostumus evästeiden tallentamiseksi käyttäjän päätelaitteelle voitaisiin ilmaista käyttämällä asianmukaisia verkkoselaimen tai muun sovelluksen asetuksia.” Tämä asetus on kuitenkin vielä valmisteilla, ja lopullisesta sisällöstä ei ole varmuutta. Komission suunnitelmien mukaan toteutuessaan asetus palauttaisi verkkosivujen ylläpitäjät koko asiassa lähtöruutuun.

Saanko sakot, jos en aivan ymmärrä missä näissä asioissa mennään?

Tuskinpa. Keväinen apulaistietosuojavaltuutetun päätöskin oli huomautus, jossa vaadittiin toimenpiteistä, mutta ei määrätty sanktioita. Huomaathan kuitenkin, ettei tämä postaus ole juridinen neuvo, ja hereillä asian kanssa kannattaa olla. Ennemmin kuin viittaamaan kintaalla koko asialle, kehotamme seuraamaan uusia päätöksiä ja uuden asetuksen valmistumista, sekä ennemmin toimimaan GDPR-asioissa varman päälle kuin päätymään tietosuojavaltuutetun käsittelyyn.

Jätä kommentti