Yksityisyydensuoja ja kolmansien osapuolien evästeet ovat olleet tapetilla jo useamman vuoden ajan GDPR:n voimaanastumisen myötä. Käyttäjät ovat olleet huolissaan siitä, että heidän verkkokäyttäytymistään seurataan heidän tietämättään. Sivustojen evästebannerit ovatkin yleistyneet GDPR:n voimaantulon myötä, mutta niiden toteutuksessa on näkynyt monenkirjavia ratkaisuja, ainakin tähän asti.

Traficomin Kyberturvallisuuskeskus julkisti 13.9.2021 uuden ohjeistuksen koskien evästeiden tallentamista käyttäjän laitteelle ja näiden laitteella olevien tietojen käyttöä. Uusien ohjeiden myötä sekä loppukäyttäjille että palveluntarjoajille on saatavilla selkeät toimintaohjeet evästekäytäntöihin liittyen.

Uusi ohjeistus koskee kaikkia verkossa toimivia yrityksiä, jotka keräävät ja käsittelevät henkilötietoja verkko- ja sähköisissä palveluissaan. Henkilötietojen käsittelyssä on noudatettava aina tietosuojalainsäädännön mukaisia tietosuojaperiaatteita. Tässä blogissa käyn läpi, mitä Traficomin uudet evästekäytännesuositukset tarkoittavat palveluntarjoajien näkökulmasta ja kuinka yrityksesi voi reagoida näihin ohjeistuksiin ja suosituksiin toimiakseen lain edellyttämällä tavalla.

Traficomin Kyberturvallisuuskeskuksen päivitetty evästeohjeistus palveluntarjoajille

Evästeiden käyttöön ja hallintaan liittyen Helsingin hallinto-oikeuden keväällä antamien ratkaisujen perusteella esimerkiksi pelkät selainasetukset eivät enää jatkossa ole riittävä suostumuksen osoitus evästeiden hyväksymiseksi.

Hallinto-oikeuden ratkaisut selvensivät käytänteitä, joilla evästeiden käyttöön liittyvän suostumuksen voi antaa.

Mikä on erityisen huomionarvoista, Traficomille on hallinto-oikeuden uuden linjauksen myötä siirtynyt tietosuojavaltuutetulta käsiteltäväksi lähes sata evästeitä ja niiden käyttöä koskevaa valitusta. Nyt on siis viimeistään aika tarkistaa, että evästekäytänteet ja niistä viestiminen ovat yrityksessäsi ajan tasalla!

Traficom painottaa sivustollaan, että heidän tarkoituksena ei ole velvoittaa tiettyjen tekniikoiden käyttöön, vaan opastaa palveluntarjoajia toimimaan lain edellyttämällä tavalla evästeiden, evästeitä koskevan suostumuksen ja evästeistä informoimisen osalta.

Traficomin sivuilla voit tutustua aiheeseen syvemmin varta vasten laaditun oppaan avulla, mutta tarjoan tässä blogissa tärkeimmät pointit, jotka uuden evästeohjeistuksen myötä on syytä jokaisen yrityksen huomioida verkkosivustoillaan ja sähköisen viestinnän palveluissaan.

Ota huomioon nämä alla olevat asiat, kun arvioit ovatko evästekäytänteesi ajan tasalla

Selvitä mitä evästeitä tai niihin verrattavia tekniikoita sivustollasi tai palvelussasi on käytössä tai on tarkoitus käyttää

Evästeethän ovat pieniä tekstitiedostoja, joita tallennetaan päätelaitteisiin verkkosivustoja käytettäessä. Ilman evästeiden käyttöä verkkosivustojen tai palvelujen ei olisi mahdollista muistaa mitään kävijöistä ja heidän palveluissa tekemistään valinnoista.

Monet evästeet ovat myös välttämättömiä sivuston toiminnan kannalta. Tämän perustiedon lisäksi on myös hyvä olla tietoinen, että on olemassa muita ”evästeiden kaltaisia tekniikoita”, joihin sovelletaan samaa sääntelyä ja Traficomin antamaa ohjeistusta.

Tällaisia tekniikoita ovat mm. HTML5:n sisäänrakennettu varastointimekanismi, verkkokutsuihin pohjautuvat seurantatekniikat (esim. erilaiset tagit ja seurantapikselit) sekä sormenjälkitekniikat, joilla voidaan kerätä erinäisiä laitetunnisteita, kuten mainostunnisteita (esimerkiksi Android laitteiden Advertising ID tai Apple laitteiden Identifier for advertisers IDFA).

Luokittele sivustolla tai palvelussa käytössä olevat evästeet välttämättömiin ja ei-välttämättömiin

Pelkän tietyn evästeen tyypin tai nimen perusteella ei voida sanoa, onko eväste lain tarkoittamalla tavalla välttämätön vai ei, sillä yhdellä evästeellä voidaan toteuttaa useita eri toiminnallisuuksia ja sillä voi olla useita eri käyttötarkoituksia. Siksi evästeiden avulla kerättävien ja käsiteltävien tietojen käyttötarkoituksella on ratkaiseva merkitys evästeen välttämättömyyden arvioinnissa.

Välttämättömiksi voidaan katsoa ainoastaan sellaiset evästeet ja muut tiedot, joiden ainoana tarkoituksena on joko toteuttaa viestin välittämistä viestintäverkoissa tai jotka ovat välttämättömiä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on pyytänyt.

Välttämättömillä evästeillä mahdollistetaan sivujen käyttämisen kannalta välttämättömiä toiminnallisuuksia, kuten kirjautuminen sivuston suojattuihin osiin, ostoskorin sisällön muistaminen verkkokaupoissa, lomakkeiden täyttö ja tietoturvan parantaminen.

Eri evästetyyppejä ovat esimerkiksi todentamiseen, käyttäjän mieltymyksiin tai syötteisiin liittyvät evästeet sekä kohdennettuun markkinointiin, analytiikkaan, sosiaalisen median alustoihin ja tietoturvaan liittyvät evästeet. Traficom tarjoaa omissa ohjeistuksissaan kattavaa opastusta suostumuksen pyytämisen tarpeellisuuden arviointiin eri evästetyyppien osalta.

Pyydä käyttäjien suostumusta ei-välttämättömien evästeiden käyttöön ja tarjoa käyttäjille mahdollisuus muuttaa tekemiään evästevalintoja

Suostumuksen antamisessa (tai mahdollisuudessa sen antamatta jättämisessä) on tähän asti näkynyt varmasti eniten hajontaa eri evästeiden käyttötarkoituksen erittelyn (tai pikemminkin erittelyn puutteen) ohella.

Pelkkä ilmoitus ”Tämä sivusto käyttää evästeitä” ei riitä

Monet yritykset hoitavat evästeistä ja niiden käyttötarkoituksista informoinnin yhä edelleen pelkästään tiedotustyylisesti (”Tämä sivusto käyttää evästeitä”) ja ilmoitusbannerin voi kuitata pelkästään klikkaamalla ”Ok” tai ”Hyväksyn”, mutta samalla tulee hyväksyneeksi tietämättään kaikki mahdolliset evästeet. Sivustoa pääsee myös monesti selaamaan taustalla, vaikka käyttäjä ei tätä ilmoitusbanneria huomioisi mitenkään. Edellä mainittuihin asioihin on nyt tullut selkeä ratkaisu, kuinka palveluntarjoajien kannattaa toimia vastaisuudessa.

Suostumuksen pyytämisen toteutustapaan ei tullut erillistä suositusta, mutta kuten todettua; tietynlaiset selainasetukset eivät ole riittävä toiminto suostumuksen osoittamiseksi. Yleisin suostumuksen pyytämisen toteutustapa on ollut nk. evästebanneri.

 

Suomen Digimarkkinoinnin käyttämä evästeilmoitus-banneri

 

Ainoastaan aiemmin mainitut välttämättömät evästeet eivät edellytä käyttäjän suostumusta. Muutoin palveluntarjoajana sinun tulee huolehtia siitä, että käyttäjän suostumusta pyydetään ja evästeisiin liittyvät tiedot annetaan asianmukaisesti ja oikea-aikaisesti käyttäjän avatessa palvelun tai saapuessa internetsivustolle.

Tämä koskee myös kolmansien osapuolien asettamia evästeitä, eli jos teet esimerkiksi Facebook-mainontaa tai käytät sähköpostimarkkinoinnin ohjelmistoja, tulee sinun ilmoittaa käytössä olevista evästekategorioista ja pyytää käyttäjiltä suostumus niiden keräämiseen.

Lisäksi tulisi huolehtia, ettei välttämättömien evästeiden lisäksi muita evästeitä aseteta käyttäjän laitteeseen ennen kuin hän tehnyt evästeiden käyttöä koskevat valinnat. Suostumuksen on oltava aktiivinen tahdonilmaisu, joten suostumusta ei voida antaa valmiiksi rastitetuilla ruuduilla (suostumuksen osoittava toiminto on oletusarvoisesti päällä) tai jättämällä jokin toimi toteuttamatta.

Käyttäjän pitää pystyä sekä hyväksymään että kieltämään evästeet yhtä helposti

Suostumuksen peruuttamisen tai jo annettujen asetusten muuttamisen tulee onnistua käyttäjän kannalta mahdollisimman yksinkertaisella tavalla. Kun suostumus hankitaan sähköisesti vain yhdellä hiiren klikkauksella tai näytön pyyhkäisyllä, käyttäjien on myös voitava peruuttaa suostumus tai kieltäytyä suostumuksesta yhtä helposti. Verkkosivujen tai -palvelun omistajana sinun on mahdollistettava suostumuksen peruuttaminen maksutta, etkä saa keinotekoisesti alentaa palvelun tasoa.

Verkkosivujen tai -palvelun omistajana sinun tulee siis varmistaa, että suostumuksen peruuttamiseen tai evästevalintojen muokkaamiseen annetaan erillinen ohjeistus jo suostumusta pyydettäessä.

Tarjoa palvelun käyttäjille tietoa palvelussa käytössä olevista evästeistä ja niiden käyttötarkoituksista ymmärrettävällä tavalla

Sinun on informoitava käyttäjiä ymmärrettävästi evästeistä (ja muusta tietojen käytöstä tai tallentamisesta, joka edellyttää käyttäjän suostumusta) siinä yhteydessä, kun käyttäjä tekee valintoja suostumuksen antamiseksi, antamatta jättämiseksi tai suostumuksen peruuttamiseksi. Mikäli käyttäjä jatkaa palveluun evästevalintoja tekemättä, tulee sivustosi toimia oletuksena vain välttämättömiin evästeisiin perustuen.

Palvelun tai sivuston käyttöä ei voida kokonaan estää, vaikka käyttäjä ei esimerkiksi markkinointievästeitä hyväksyisi tai sulkee evästeilmoituksen kokonaan siihen reagoimatta.

Sinun on suositeltavaa nformoida evästeistä ja muihin näistä rinnastuvista tekniikoista sekä niiden avulla saatavien tietojen käytöstä myös silloin, kun ne eivät lain mukaan edellytä suostumusta.

Evästebannerissa tai muussa suostumuksen pyytämiseen käytettävässä toteutustavassa kannattaa vähintään eritellä:

  • Käytössä olevat evästeet ja niiden tyyppi (esimerkiksi välttämättömät, toiminnalliset, personointi, mainonta, sosiaaliseen mediaan liittyvät, analytiikka, muut)
  • Kunkin evästeen käyttötarkoitus: mitä tietoja evästeellä kerätään ja mihin tarkoitukseen
  • Kunkin evästeen voimassaoloaika sekä
  • Tieto siitä, jaetaanko evästeiden kautta tallentuvia tietoja kolmansille osapuolille, keitä nämä osapuolet ovat ja mitä tietoja siirretään

Entäs sitten? Miten sinun tulee toimia?

Kertauksena: yleinen tietosuoja-asetus (GDPR) on henkilötietojen käsittelyä sääntelevä laki, joka velvoittaa yrityksiä käsittelemään henkilötietoja tietosuojaperiaatteiden mukaan. Traficomin Kyberturvallisuuskeskus tarkensi lain tulkintaa hiljattain ja nyt on saatavilla selkeä ohjeistus nk. best practices -toimenpiteistä koskien verkkosivustojen ja sähköisen viestinnän palvelujen evästeilmoituksia. Nämä ohjeistukset ja suositukset koskevat jokaista yritystä, jolla on oma verkkosivusto ja/tai sähköisen viestinnän palvelu (eli lähestulkoon kaikkia yrityksiä Suomessa). Jos jätät noudattamatta uusia ohjeistuksia koskien henkilötietojen käsittelyn lain tulkintaa, voi siitä pahimmassa tapauksessa aiheutua seuraamuksia, kuten sakkoja. Sinun olisikin nyt tärkeintä arvioida, ovatko nykyiset evästekäytänteesi ajan tasalla näiden uusien tulkintojen valossa.

Jos haluat oppia lisää B2B-markkinoinnin mittaamisesta, lue miten myynti ja markkinointi saadaan mittaamisen avulla lähemmäs toisiaan!

Laitetaanko sivustonne evästekäytänteet ja niistä viestiminen ajan tasalle?

Meneekö ohjeet sekaisin tai tuntuuko toimeenpano hankalalta – anna meidän auttaa! Olemme CookieBot-järjestelmän jälleenmyyjä ja kumppani. Huolehdimme puolestasi, että verkkosivustosi käyttämät evästeet asetetaan ja viestitään Traficomin Kyrberturvallisuuskeskuksen suositusten ja ohjeistusten, ja samalla myös lain edellyttämällä tavalla! Käytämme täysin räätälöitävissä olevaa evästebanneria, jolla ilmoituksesta saa brändinne näköisen ja myös tarvittaessa sen kuuloisen (tone of voice).

Millä tolalla verkkosivustosi tai sähköisen viestinnän palvelusi evästeasiat ovat? Jos tätä lukiessasi havaitsit niissä kehittämisen varaa, niin otathan yhteyttä!

Kyllä, haluan laittaa evästeasiani ajan tasalle!