GDPR ja evästeet nettisivuilla – Traficomilta uusi opas
Liikenne- ja viestintävirasto Traficom julkaisi 1.9.2021 oppaan evästeiden ja muiden käyttäjien päätelaitteille tallennettavien tietojen käytöstä verkkosivuilla. Ohjeistus tuo tarkennuksia pari vuotta sitten voimaan tulleeseen EU:n GDPR-asetuksen noudattamiseen.
Oppaassa ei velvoiteta tiettyjen tekniikoiden käyttöön, vaan opastetaan palveluntarjoajia toimimaan lain edellyttämällä tavalla evästeiden tallentamisen, käytön, niistä informoimisen ja tarvittavien suostumusten osalta.
Opas ei ole juridisesti velvoittava, mutta poikkeamalla ohjeistuksesta, palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta
Traficom
Ketä Traficomin ohjeistus koskee?
Ohjeistus koskee niitä suomalaisia verkkosivustoja, joissa käytetään evästeitä (tai niihin rinnastettavia tekniikoita), käytännössä siis lähes kaikkia verkkosivustoja. Jos sivustolla on esim. Google Analytics -tilastointi tai YouTube-videoita, sivustolla käytetään evästeitä.
Traficomin oppaassa evästeet jaetaan kahteen eri kategoriaan:
- välttämättömät evästeet
- ei-välttämättömät evästeet
Välttämättömiin evästeisiin ei tarvitse pyytää käyttäjän lupaa, kun taas ei-välttämätömiin lupa on pyydettävä. Se, kumpaan kategoriaan eväste kuuluu, ei riipu evästetyypistä tai -nimestä, vaan siitä mihin tarkoitukseen evästeen avulla kerättäviä tietoja käytetään. Käyttötarkoituksen välttämättömyys pitää arvioida aina kyseisen palvelun/verkkosivuston näkökulmasta.
Mitkä evästeet ovat välttämättömiä eli mihin evästeisiin ei tarvita lupaa?
Traficomin mukaan välttämättömien evästeiden:
ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa
käyttö on välttämätöntä palveluntarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjät on nimenomaisesti pyytänyt
Esimerkkejä välttämättömistä evästeistä
- Kirjautumiseen liittyvät evästeet (istuntokohtaiset ja pysyvät)
- Istuntokohtaisilla kirjautumisevästeillä mahdollistetaan käyttäjän pääsy sivuston suojattuihin osiin ja ylläpidetään käyttäjän kirjautumista sivuston käytön ajan => Kuuluvat välttämättömien evästeiden piirin, koska kirjautuminen on käyttäjän valitsema toimenpide, eikä tietoja tallenneta pitkäaikaisesti
- Pysyvien kirjautumisevästeiden avulla sivustojen on mahdollista ylläpitää kirjautumista, vaikka käyttäjä sulkisi selainikkunan
=> voidaan pitää välttämättöminä, jos käyttäjälle annetaan mahdollisuus itse valita muistetaanko kirjautuminen seuraavalla käyttökerralla
- Käyttäjän mieltymyksiin liittyvät evästeet eli ns. personointievästeet
Näihin evästeisiin voidaan tallentaa esimerkiksi käyttäjän tekemä kielivalinta, sivustolla käytettävän tekstin koko, montako hakutulosta näytetään per sivu jne. Jos evästeet palvelevat sivuston käytettävyyttä ja ovat käyttäjän odotusten mukaisia, niitä voidaan pitää välttämättöminä - Käyttäjän syötteisiin liittyvät evästeet
Evästeet, joita käytetään esim. ostoskorin tai käyttäjän täyttämän lomakkeen sisällön muistamiseen. Koska nämä evästeet on tallennettu käyttäjän oman toiminnan seurauksena, voidaan katsoa että ne ovat käyttäjän pyytämiä. Ilman evästeitä ostoskori / lomake ei välttämättä toimi, joten evästeet voidaan katsoa välttämättömiksi palvelun kannalta. - Tietoturvaan liittyvät evästeet
Evästeet, joilla seurataan palveluun kohdistuvia väärinkäytöksiä tai näiden yrityksiä. Esimerkiksi pitämällä kirjaa peräkkäisten epäonnistuneiden kirjautumisten määrästä tai käyttämällä kuvavarmenteita (ns. Captcha) tavoitteena estää robotteja käyttämästä lomakkeita. Tällaisten menetelmien käyttämät evästeet voidaan ajatella turvallisen käytön kannalta välttämättömiksi. - Saavutettavuuteen liittyvät evästeet
Evästeet jotka mahdollistavat esim. kuvailutulkkauksen tai äänitekstityksen käytön. Nämä evästeet voidaan katsoa välttämättömiksi, jos niiden ainoana tarkoituksena on parantaa sivuston saavutettavuutta
Esimerkkejä ei-välttämättömistä evästeistä
- Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
Evästeet, joiden avulla on mahdollista luoda käyttäjän toiminnasta/kiinnostuksen kohteista profiili ja sen perusteella näyttää kohdennettua mainontaa, ei voida pitää välttämättömänä. Käyttöön tulisi pyytää suostumus. - Sosiaalisen mediaan liittyvät evästeet
evästeet joiden avulla ollaan yhteydessä some-alustoihin sivustolle upotettujen laajennuksien kautta. Jos käyttäjä ei käytä kyseisiä toimintoja tai ei ole kyseisen some-alustan jäsen, evästeitä ei voi pitää välttämätöminä ja niiden käyttöön tulee pyytää lupa. - Analytiikkaevästeet
Mikäli analytiikkaevästeet katsotaan verkkosivuston kannalta ehdottoman välttämättömiksi, se tulee pystyä perustelemaan selkeästi. Tällön myös yksityisyyden suojaamisesta tulee huolehtia varmistamalla ettei analytiikkatietoja jaeta kolmansille osapuolille, eikä tiedoista voi tunnistaa yksittäistä kävijää. - Päätelaitteesta hankittavat tarkemmat tiedot
Kun käyttäjä avaa päätelaitteellaan nettisivuston, palvelin saa päätelaitteesta aina joitakin tietoja kuten IP-osoitteen. Palvelin voi pyytää tässä yhteydessä päätelaitteelta myös enemmän tietoja. Mikäli tietojen keräämisen tarkoitus on päätelaitteen/käyttäjän tarkempi profilointi, tulee siihen pyytää käyttäjän suostumus. - Chat-palvelun evästeet
Chat-palveluun liittyviä evästeitä ei saa tallentaa käyttäjän päätelaitteelle ennen kuin käyttäjä erikseen pyytää palvelua eli avaa chat-ikkunan. Jos evästeet asetetaan vasta chat-ikkunan avaamisen jälkeen, eikä chat-palvelu toimi teknisesti ilman evästeitä, ei suostumusta tarvitse erikseen pyytää. - Sivustolle upotettujen 3. osapuolen palveluihin liittyvät evästeet
Upotettujen sisältöjen näyttäminen voi vaatia 3. osapuolen omien evästeiden tallentamista käyttäjän koneelle (esim. Youtube-videot, Facebook-feedit), jolloin käyttäjän tietoja siirtyy sivuston ulkopuolelle. Nämä evästeet eivät kuulu välttämättömien evästeiden piiriin ja niiden käyttöön tulee pyytää suostumus. - Laitteen tarkat sijaintitiedot
Käyttäjän maantieteellisen sijainnin voi määrittää hyvin summittaisesti sen IP-osoitteen perusteella, mistä laitteen liikenne näyttää tulevan. GPS- paikannuksella on sen sijaan mahdollista määrittää laitteen sijainti muutaman metrin tarkkuudella. Jos tarkkoja sijaintitietoja tallennetaan/luetaan evästeiden avulla, siihen tulee pyytää suostumus.
Miten lupa evästeiden käyttöön tulee pyytää?
Traficomin uudessa oppaassa annetaan selkeät ohjeet siitä, miten käyttäjän suostumus tulee antaa ja miten se voidaan peruuttaa
Suostumuksen pyytäminen
- suostumus pitää pyytää heti käyttäjän saapuessa nettisivustolle
- suostumus pitää antaa aktiivisesti eli sitä ei voi antaa esim. valmiiksi rastitetuilla ruuduilla tai jättämällä jonkin toimen tekemättä
- jos käyttäjä jatkaa sivuston käyttöä ilman aktiivista evästevalintaa, tulee sivuston toimia oletuksena vain välttämättömiin evästeisiin perustuen
- ei-välttämättömiä evästeitä ei saa tallentaa ennen käyttäjän antamaa suostumusta
- suostumuksella/kieltäytymisellä pitää pystyä kontrolloimaan kaikkia palvelussa käytössä olevia ei-välttämättömiä evästeitä (myös kolmansien osapuolien asettamia evästeitä)
- suostumuksen pyytämisellä ei saa kohtuuttomasti häiritä / estää käyttäjän pääsyä sivustolle
- jos verkkosivustolla käytettävien evästeiden toimintaan tehdään muutoksia, suostumus tulee pyytää uudelleen
- käyttäjän suostumusta voidaan pyytää esimerkiksi bannerilla tai ns. Pop-up-ikkunalla. Pop-up-ikkunat on voitu estää selaimen asetuksissa, joten banneri on suositeltavampi
- evästebannerissa ei saa olla valmiiksi valittuja valintaruutuja/liukukytkimiä ei-välttämättömien evästeiden osalta
Evästeiden kieltäminen tai peruutus
- evästeistä kieltäytymisen tulee olla yhtä helppoa kuin suostumuksen antamisen
- käyttäjän aiemmin antama suostumus tulee voida peruuttaa milloin tahansa
- suostumuksen peruuttamisen tulee onnistua yhtä helposti kuin suostumuksen antamisen
- jos suostumus peruutetaan, laitteelle aiemmin tallennetut tiedot tulee poistaa
Käyttäjän informointi ja suostumuksen osoittaminen
- evästeistä ja tallennettavien tietojen käytöstä tulee informoida käyttäjää kattavasti ja ymmärrettävästi: käytössä olevat evästeet ja niiden tyyppi (välttämättömät / toiminnalliset / personointi / mainonta / some / analytiikka), käyttötarkoitus, voimassaoloaika, tietoja käsittelevät tahot
- tieto käyttäjän tekemästä evästevalinnasta voidaan tallentaa evästeeseen, jottei sitä tarvitse kysyä jatkuvasti uudestaan
- käyttäjän antama suostumus pitää pystyä jälkikäteen osoittamaan. Saadusta suostumuksesta tulee tallentaa aika, miten suostumus pyydettiin, mitä tietoja käyttäjälle annettiin sekä tunnistetiedot suostumuksen antajan laitteesta
Miten uudet ohjeistukset vaikuttavat?
Useilla nettisivustoilla pitää ottaa käyttöön evästebanneri tai muokata jo olemassa olevaa banneria uuden ohjeistuksen mukaisesti.
Koska evästeiden kieltäminen tulee olemaan entistä helpompaa, yhä suurempi osa kävijöistä käyttää sivuja pelkillä välttämättömillä evästeillä. Tämä siis tarkoittaa että osa sivuston sisällöstä näkyy vain osalle käyttäjistä esim. 3. osapuolen palvelusta upotetut lomakkeet, käyttäjäarviot, videot tai some-feedit. Lisäksi Google Analytics -tilastoihin tallentuu jatkossa vähemmän tietoa. Muutoksen jälkeen kerääntynyttä tilastoa ei voikaan suoraan verrata muutosta edeltäneeseen tilastoon.
Mitä muutoksia verkkosivuilla voisi tehdä?
Nettisivustolle upotetut kolmannen osapuolen palvelut kannattaa käydä läpi ja selvittää niiden vaatimat evästeet. Voi miettiä, ovatko kaikki palvelut enää oleellisia yrityksen tai kävijän kannalta? Voisiko jotain upotuksia jättää kokonaan pois? Löytyisikö joku toinen tapa toteuttaa sama sisältö/toiminto ilman evästeitä?
Google Analytics palvelulle on olemassa vaihtoehtoja. Näistä esimerkkinä yksityisyysasiat hyvin huomioonottava Matomo-tilastostosovellus, jossa kaikki tilastotieto on mahdollista kerätä vain omalle verkkosivustolle, eikä sitä tarvitse jakaa kolmansien osapuolten käyttöön. Matomo on ominaisuuksiltaan suppeampi kuin Google Analytics, mutta se on mahdollista saada toimimaan kokonaan ilman evästeitä ja täysin anonyymisti, jolloin käyttäjän suostumusta ei tarvitse erikseen kysyä.
Youtube-videoiden upotuskoodi voidaan korvata esimerkiksi videon ruutukaappauksella ja tekstillä “Sisältö ladataan 3. osapuolen palvelusta (“youtube.com”). Avaamalla videon, hyväksyt Youtuben käyttöehdot” ja linkillä videoon. Tällöin mitään evästeitä ei aseteta käyttäjän koneelle ilman suostumusta.
Some-feedit upotetaan nettisivuille tyypillisesti 3. osapuolen javascript-koodilla. Tätä kautta ulkopuoliset palvelut pääsevät asettamaan käyttäjien päätelaitteille omia evästeitään. Käytännössä siis feedin upotus täytyy estää kokonaan, jos käyttäjä ei hyväksy evästeitä. On olemassa kuitenkin muitakin teknisiä keinoja ladata some-sisältöä ilman 3. osapuolen javascriptejä. Tällä tavoin sisältö on mahdollista näyttää kaikille, kokonaan ilman evästeitä.
Traficomin uusi ohjeistus selkeyttää aiemmin hieman sekavaa, tulkinnanvaraista ja ristiriitaista käytäntöä evästeiden osalta. Yksittäisen käyttäjän kannalta asiat muuttuvat entistä parempaan suuntaan ja tietojen keräys & käyttö läpinäkyvämmäksi. Kuitenkin sivuston ulkopuolelta ladattavien palveluiden ja sisällön hyödyntämiseen, kuten tilastointiin ja mainontaan, sillä tulee todennäköisesti olemaan tuntuvat seuraukset.
lähteet:
[1] Traficom: Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö – Opas palveluntarjoajille