GDPR:n astuttua voimaan pari vuotta sitten, evästebannereiden tarpeellisuutta on tulkittu monella eri tavoin. Vaikka GDPR määrittää ainakin tietyntyyppiset evästeet henkilötiedoksi, Suomessa Traficomin Kyberturvallisuuskeskuksen kanta on ollut se, että selaimen asetukset ovat riittävä suostumus evästeiden asettamiselle.
Toukokuussa 2020 julkisuuteen tuli kuitenkin tapaus, jossa apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön.
Evästebannerit ovat pitkään tiedottaneet evästeiden käytöstä, mutta niistä kieltäytymiseen ei annettu mahdollisuutta kuin hyvin pienellä osalla suomalaisista verkkosivuista. Ennakkotapaus pakottaa yritykset miettimään suhtautumistaan evästeiden käyttöön uudelleen.
Mitä sinun täytyy ottaa huomioon evästeiden suhteen?
1) Tiedotusvastuu
Laki sähköisen viestinnän palveluista sanoo:
”Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.
Edellä 1 momentissa säädetty ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.
Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.”
Verkkosivuille saapuvalle on siis annettava tiedoksi kaikki käytössä olevat evästeet, niiden käyttötarkoitus sekä voimassaoloaika.
Käyttötarkoitukset voidaan jakaa neljään kategoriaan:
- välttämättömät (sivusto ei toimi muuten)
- mieltymykset (toiminnallisuuteen vaikuttavat, esim. kirjautumisen tila, kielivalinnat ym.)
- tilastot (verkkosivujen käyttöä mittaavat, anonymisoidut evästeet, kuten analytiikka- ja konversio-optimointiin liittyvät)
- markkinointi (evästeet, joiden avulla mainontaa mukautetaan kävijän mukaiseksi, esim. uudelleenmarkkinointi)
Tämä tiedoksianto on tehtävä ennen kuin yksikään ei-pakolliseksi määritelty eväste asetetaan. Kun tieto on välitetty, vierailijalta on saatava “vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen” tahdonilmaisu eri tyyppisten evästeiden käytölle.
Kyberturvallisuuskeskuksen kanta on tosiaan se, että selaimen evästeitä koskevat asetukset riittävät täyttämään tällaisen suostumuksen kriteerit. Tähän nojaten suurin osa suomalaisista verkkosivuista onkin tyytynyt tiedottamaan evästeiden käytöstä geneerisillä bannereilla.
Apulaistietosuojavaltuutetun päätös sekä “kymmenet vastaavat tapaukset, jotka tullaan ratkaisemaan nyt annetun päätöksen mukaisesti” pakottaa verkkosivujen omistajat vaihtamaan bannereiden toimintalogiikkaa.
Tästä eteenpäin evästeistä on tehtävä tarkka listaus, annettava mahdollisuus kieltäytyä evästeistä ja kunnioittaa tätä valintaa. Lisäksi kävijälle on annettava mahdollisuus muuttaa suostumustaan myöhemmin. Kuinka tämä voidaan toteuttaa?
2) Toteutustavat
- Sinun on tehtävä verkkosivujen evästeistä listaus ja luokiteltava ne käyttötarkoituksen mukaan.
- Tämän jälkeen verkkosivuille on toteutettava logiikka, jonka mukaan eri evästeet asetetaan kunnioittaen kävijän valintaa.
- Tätä varten on olemassa ns. suostumuksenhallintajärjestelmiä, kuten CookieBot.
Nämä järjestelmät ylläpitävät listaa sivustolla käytettävistä evästeistä ja blokkaavat kaikki evästeitä asettavat seurantakoodit siihen asti, että suostumus on saatu. Tähän liittyy myös tiedonkeruuongelma: mitään tietoja ei voida kerätä ennen kuin suostumus on saatu, mutta kävijän tulotavan tunnistamiseksi seurantakoodien on käytännössä lauettava heti ensimmäisellä sivulla.
Tämän vuoksi GDPR:ää noudattavat evästebannerit peittävät kaiken alleen heti ensimmäisellä sivulla: suostumus tai kieltäytyminen on saatava heti, muuten positiivinenkin reaktio evästeisiin aiheuttaa aukkoja verkkosivujen analytiikkaan ja mainoskampanjoiden mittaukseen.
Me olemme CookieBot-järjestelmän jälleenmyyjä ja kumppani. Huolehdimme puolestasi, että verkkosivustosi asettamat evästeet asetetaan vasta kävijän suostumuksen jälkeen, mutta niin, että vaikutus markkinoinnin mittaamiseen on minimaalinen.
CookieBotin asentaminen maksaa kertainvestointina 1 690 € + alv. Tämän jälkeen maksat CookieBot-lisenssimaksua, jonka suuruus vaihtelee 10–40 €/kk välillä sivustosi koosta riippuen.
Ota yhteyttä, niin kerromme lisää ja autamme sinua laittamaan evästekäytänteesi GDPR:n edellyttämälle tasolle!