Traficom antoi 13.9.2021 uudet evästeohjeistukset palveluntarjoajille. Muutos oli merkittävä, mutta odotettu. Voit lukea täältä tarkemmin siitä, miten tähän tilanteeseen on päädytty. Tässä kirjoituksessa paneudutaan ohjeistuksen sisältöön.
Ohjeistuksen tarkoitus
Traficomin opas ei ole juridinen asiakirja ja se tulee muuttumaan ajansaatossa. Oppaan tarkoitus on ohjeistaa palveluntarjoajia noudattamaan EU:n tietosuoja-asetusta ja Suomen lakia. Noudattamalla ohjeistusta noudatat lähes varmasti lakia, mutta jos et kaikilta osin noudata ohjeita, se ei automaattisesti tarkoita, että rikot tietosuoja-asetusta tai lakia. On kuitenkin huomioitava, että GDPR:n voimaan tulon jälkeen ei ole ollut juurikaan oikeuden päätöksiä evästekäytäntöihin liittyen, joten edes Traficom ei pysty sanomaan 100 %:n varmasti, mikä on oikein ja mikä väärin.
Oikeutettu etu
Kuten kirjoitin, GDPR:n voimaantulon jälkeen oli lainoppineiden kesken epäselvyyksiä siitä, voidaanko markkinoinnin evästetietoja kerätä ”oikeutetun edun” perusteella. Traficomin uudessa ohjeistuksessa kerrotaan yksiselitteisesti, että markkinoinnin evästeet eivät ole oikeutettu etu. Käytännössä tämä tarkoittaa sitä, että evästedatan keräämiselle on oltava muu peruste ja lähes kaikissa tapauksissa se tarkoittaa käyttäjän suostumusta.
Välttämättömät evästeet
Välttämättömien evästeiden käyttämiseen ei edelleenkään tarvita suostumusta. Välttämättömäksi evästeeksi luetaan ”ainoastaan sellaiset evästeet ja muut tiedot, joiden ainoana tarkoituksena on joko toteuttaa viestin välittämistä viestintäverkoissa tai jotka ovat välttämättömiä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.”[1].
Yksinkertaistettuna välttämätön eväste tulee olla välttämätön nimenomaan käyttäjän näkökulmasta. Eli vaikka palveluntarjoajalle olisi välttämätöntä kerätä analytiikkatietoja palvelun laadun varmistamiseksi, niin käyttäjän näkökulmasta tämä ei ole useinkaan välttämätöntä, eikä siksi sallittua ilman suostumusta.
On myös huomioitava, että yksi ja sama eväste voi olla samalla sekä välttämätön että esimerkiksi markkinoinnin eväste. Mikäli näin on, niin suostumus on saatava.
Erityyppiset evästeet
Traficomin oppaassa kerrotaan, minkä tyyppiset evästeet ovat välttämättömiä ja mitkä eivät. Monessa tapauksessa asia ei kuitenkaan ole yksiselitteinen, vaan vastaus riippuu siitä, miten eväste toimii. Luokittelin kuitenkin yleisimmät evästetyypit kolmeen ryhmään: Evästeet, joihin tarvitaan suostumus käytännössä aina, evästeet, joihin suostumus tarvitaan useimmissa tapauksissa ja evästeet, joihin pääsääntöisesti ei tarvita suostumusta.
Evästeet, joihin tarvitaan suostumus käytännössä aina
- Sosiaalisen median alustoihin liittyvät evästeet
- Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
- Monialustaisiin sisältöihin liittyvät evästeet
- Laitteen sijaintitiedot
Evästeet, joihin suostumus tarvitaan useimmissa tapauksissa
- Reaaliaikaisen kommunikaation mahdollistavat evästeet (esimerkiksi chat-palvelut)
- Päätelaitteesta aktiivisella skannauksella hankittavat tarkemmat tiedot
- Analytiikkaevästeet
- Käyttäjän mieltymyksiin liittyvät evästeet
- Todentamiseen eli autentikointiin liittyvät evästeet
Evästeet, joihin pääsääntöisesti ei tarvita suostumusta
- Käyttäjän syötteisiin liittyvät evästeet
- Tietoturvaan liittyvät evästeet
- Saavutettavuuteen liittyvät evästeet
- Sisällön näyttämiseen liittyvät evästeet
Suostumus
Uuden ohjeistuksen mukaan on siis kysyttävä suostumus aina, kun kerätään muita kuin välttämättömiä evästetietoja.
Suostumuksen antaminen
Ehkä suurin muutos Traficomin uusissa ohjeissa vanhaan verrattuna on se, että aiemmin Traficom katsoi, että selaimen asetuksissa annettu suostumus on riittävä. Näin ei kuitenkaan enää ole, vaan jokaisen sivuston on kysyttävä suostumus erikseen. Käytännössä tämä tarkoittaa ponnahdusikkunaa eli evästebanneria, jolla suostumus kysytään. Näitä kutsutaan myös suostumustyökaluiksi (consent tool).
Suostumus on saatava aktiivisella toiminnalla, eikä sivusto saa kerätä evästedataa ennen kuin suostumus on annettu. Käyttäjällä tulee olla myös mahdollisuus kieltäytyä evästeistä, eikä se saa merkittävästi hankaloittaa sivuston toimintaa. Et siis voi estää joitakin ominaisuuksia vain sillä verukkeella, ettei käyttäjä ole hyväksynyt evästeitä.
Kuvassa on medialuotsi.fi-sivun suostumustyökalu työssään. Suostumustyökalussa on välttämättömiä evästeitä lukuun ottamatta kaikki valinnat ei-asennossa (opt-in), eli jos et tee mitään, niin sinua ei seurata. Jos taas klikkaat ”valitse kaikki”, voimme osoittaa sinulle mm. markkinointia evästedatan avulla. Meidän käyttämässä versiossa on myös mahdollista valita yksityiskohtaisesti, mille evästeille annat luvan. Lisäksi voit hylätä kaikki yhdellä napin painalluksella. Tulkintani mukaan tämä on oikeaoppinen tapa kerätä suostumus tällä hetkellä. Toki jos menemme ihan pilkun mukaan, niin tuo ”hyväksy kaikki” painike ei ole täysin ohjeiden mukainen. Ohjeiden mukaan suostumuksen peruuttaminen pitää olla yhtä helppoa, kuin suostumuksen antaminen. Tällä hetkellä sivuillamme suostumuksen voi antaa yhdellä klikkauksella, kun taas suostumuksen peruuttaminen edellyttää kaksi klikkausta. Seurataan, mihin verkkomaailma asettuu tämän seikan osalta.
Suostumuksen peruuttaminen
Yleisen tietosuoja-asetuksen mukaan suostumus pitää voida peruuttaa. Tämä tarkoittaa sitä, että sivustolta on löydyttävä kohta, jossa voi vaihtaa suostumuksensa tilan.
Olemme itse toteuttaneet tämän siten, että olemme luoneet evästeselostesivun https://medialuotsi.fi/evasteseloste.
Sivulla on yleistä tietoa evästeistä ja sinne on asennettu Cookiebotin koodi, johon tulee automaattisesti tietoa siitä, mitä evästeitä sivulta löytyy. Cookiebot skannaa sivuston kerran kuukaudessa ja tuo automaattisesti uudet evästetiedot kyseiselle sivulle. Evästetiedot-sivulla on mahdollista myös muuttaa tai peruuttaa suostumusta.
Ovatko evästeasetuksesi kunnossa?
Ovatko evästeasetuksesi kunnossa?
Jos vastauksesi kysymykseen on ei, meillä on sinulle helppo ratkaisu: evästeiden hallintatyökalu Cookiebot valmiiksi asennettuna. Cookiebot maksaa vain alk. 12 €/kk https://www.cookiebot.com/en/pricing. Meidän kauttamme tilattuna Cookiebot laskuttaa kuukausikustannukset suoraan sinulta, eli kuukausimaksusi on sama, tilaat sitten palvelun meiltä tai suoraan Cookiebotilta.
Cookiebotin oletusbanneri on melko tökerö ja se ohjaa käyttäjää olemaan jättämättä suostumusta. Siksi tarjoamme asennuspakettia kertakustanteella 490 € + alv. Olemme tehneet toteutuksen sinulle helpoksi – riittää kun annat asiantuntijoillemme tunnukset verkkosivustosi tai verkkokauppasi hallintaan. Teemme sinulle evästeselostesivun ja muokkaamme evästebannerin suomeksi ja sivustosi ulkoasuun sopivaksi. Sivustosi on siten kertaheitolla uusien evästekäytäntöjen mukainen.
[1] https://www.traficom.fi/fi/saadokset/evasteohjeistus-palveluntarjoajille