EU uudistaa verkkosivujen evästevaatimuksia – ”Digital Omnibus” -esitys herättää kysymyksiä
Timo Salminen
•
4
EU-komissio julkaisi 19.11. digitaalisen uudistuspaketin, jonka keskeiseksi tavoitteeksi se kertoo yritysten toiminnan helpottamisen. Komissio lupaa, että nyt julkaistun paketin myötä hallinnollinen ja compliance-työ vähenevät ja yrityksillä on enemmän aikaa keskittyä innovaatioihin ja liiketoiminnan kasvattamiseen.
Tässä kirjoituksessa keskityn paketin osiin, jotka vaikuttavat evästeiden käyttöön verkkosivuilla. Se on puhututtanut suomalaisissa yrityksissä sitten vuoden 2021, jolloin alan kotimainen viranomainen Traficom julkaisi EU-säännöksiin perustuen aiempaa tiukemman ja nykyisin voimassaolevan evästeohjeistuksen.
Digital Omnibus tuo muutoksia AI-, tietoturva- ja datasääntelyyn – verkkosivujen evästevaatimukset osa kokonaisuutta
Massiivisen uudistuspaketin osana on Digital Omnibus -nimellä kulkeva ”digitaalialan koontiasetus”, jonka on tarkoitus tuoda mukanaan seuraavia yksinkertaistamiseen ja säästöihin tähtääviä uudistuksia:
- Tekoälyä hyödyntävien innovaatioiden helpottaminen
- Tietoturvaongelmien raportoinnin yksinkertaistaminen
- GDPR-tietosuojavaatimusten selkiyttäminen
- Evästevaatimusten modernisointi
- Datan hyödyntämistä koskevien säännösten yhtenäistäminen
Digitaalisten uudistuspaketin muut osat linjaavat EU:n uutta datastrategiaa ja esittelevät eurooppalaisen yrityslompakon, jolla yritykset voivat viestiä sekä hallita sopimuksia ja asiakirjoja digitaalisesti.
Uudistuspaketti lupaa evästevaatimusten modernisointia, mutta kysymyksiä herää useita
EU-komissio on jo useamman vuoden lupaillut, että se väljentää ja yksinkertaistaa verkkopalveluiden evästeitä koskevia säännöksiä, jotka ovat kuuluneet maailman tiukimpiin. Keskeisenä perusteena on se, että EU-alueella toimivat verkkosivustot ovat täynnä evästekyselyitä, joista kävijät eivät pidä. Taudilla on nimikin: cookie banner fatigue.
Suomalaisissa verkkopalveluissa kyselyt ovat olleet välttämättömiä, jos EU:n GDPR-tietosuoja-asetukseen pohjaavia kotimaisia viranomaisvaatimuksia on halunnut noudattaa.
Pitkään odotetut muutokset ovat nyt osana Digital Omnibus -pakettia. Tätä kirjoitettaessa ne kuitenkin herättävät enemmän kysymyksiä kuin tarjoavat vastauksia. Alla oleva yhteenveto on koottu EU-komission FAQ-sivulta ja muista uudistusta esittelevistä dokumenteista.
Näin uudistus linjaa verkkosivujen evästeistä
| Evästelinjaus | Havainnot ja kysymykset |
| Kävijä voi yhdellä klikkauksella hyväksyä tai hylätä evästeet | → Tämä on Suomessa ollut vaatimuksena jo pitkään. → Vaatimusta eivät kaikki noudata – olemme blogissamme mm. analysoineet Iltalehden evästekäytöntöä. → Muuttuuko vaatimus nyt? |
| Evästekyselyitä näkyy harvemmin kuin ennen | → Verkkosivujen pitää muistaa kävijän evästevalinnat 6 kuukauden ajan. → Näin on toimittu aiemminkin → Muuttuuko jokin? |
| ”Kävijän tulee voida hallita evästeasetuksia keskitetysti, ”esimerkiksi” selaimen asetuksista, joita verkkosivujen on osattava kunnioittaa. | → Komissio ennustaa tämän yksinkertaistavan ”rajusti” verkkopalveluiden käyttökokemusta. → Tämä voi olla se merkittävin muutos – mutta konkretia on tätä kirjoitettaessa hämärän peitossa. → Kävijä voi nytkin estää sivustoja asettamasta lupaa vaativia evästeitä selaimen asetuksista. → Tarkoittaako tämä, että verkkosivujen pitäisi havainnoida kävijän selainasetuksia ja toimia niiden mukaan? → Muuttuuko jokin? |
| Verkkosivuilla ei tarvita evästekyselyä, jos evästeiden käyttö on ”harmitonta”, esimerkiksi jos lasketaan verkkosivujen kävijämäärää tai yleisöjen kokoa. | → Mikä on harmitonta? → Onko Google Analyticsin käyttö harmitonta? Sillä lasketaan kävijöitä, mutta samalla data on polttoainetta Googlen mainonnalle. → Millä tarkkuudella komissio aikoo määrittää toiminnot ja ominaisuudet, jotka ovat harmittomia? → Jos verkkosivuilla on vain harmittomia ominaisuuksia, evästekysely voidaan oletettavasti jättää pois. |
| Entistä tiukempi valvonta ja merkittävät sakot – jopa 4 % yrityksen globaalista liikevaihdosta | → Vääränlainen evästeiden käyttö on Suomessa jo ollut osaperusteena mittaville sakoille (mm. Yliopiston Apteekki). → Tuoko uudistus konkreettisia muutoksia? |
Evästeruutujen poistumisen sijaan uhkaa niitä koskevien vaatimusten monimutkaistuminen
Uusia evästelinjauksia lukiessa jää epäselväksi, mikä niiden tuoma hyöty on yrityksille. Vaikuttaa tässä vaiheessa siltä, että yritysten ja järjestöjen pitää jatkossakin hankkia verkkosivuilleen evästehyväksyntäpalvelu ja sille asetetaan uusia vaatimuksia.
Tätä kirjoittaessa toivomme pikaisia tarkennuksia nyt julkaistuihin linjauksiin. Mitä tarkoittaa konkreettisesti se, että kävijä voi hallita evästeasetuksia keskitysti selaimen kautta? Ja mitä tarkoittaa ”harmiton” evästeiden käyttö? Jos näihin molempiin saadaan selkeitä ja järkeviä vastauksia, uudistuksen vaikutukset voivat kääntyä plusmerkkisiksi verkkosivujen omistajien näkökulmasta.
Luvassa tarkennuksia ja kuukausia kestävä palautekierros
Julkaisemassaan Data Union Strategy -paperissa EU-komissio antaa ymmärtää tarkentavansa verkkopalveluiden evästeitä ja vastaavia teknologioita koskevia säännösmuutoksia loppuvuoden aikana. Odotamme innolla näitä tarkennuksia.
Koko digitaalisesta uudistuspaketista haetaan avointa palautetta Digital Fitness Check -nimeä kantavalla kampanjalla, joka jatkuu 11.3.2026 saakka.
Uudistuksen läpimeno ei ole varmaa – odotellessa on noudatettava nykysäännöksiä
Komission ehdotus vaatii EU-parlamentin ja jäsenmaiden enemmistön hyväksynnän. Aiemmin parlamentti on vetänyt tiukkaa linjaa suhteessa yksityisyydensuojaan ja epäilemättä se näkyy myös tällä kertaa. Uudistuksen eteneminen lainvoimaiseksi vie todennäköisesti vähintään kuukausia siitä, kun palautekierros maaliskuussa päättyy.
Ehdotuksen ollessa käsittelyssä viranomaiset Suomessa ja muualla Euroopassa noudattavat voimassaolevaa lainsäädäntöä. Siihen pohjautuen Suomessakin on jaettu mittavia sakkoja, joiden vaikuttimena on ollut verkkopalvelun evästeiden käsittely säännösten vastaisesti. Yrityksillä ei toistaiseksi ole varaa ottaa omatoimisia askeleita kohti kevyemmän sääntelyn aikaa.
Hyvänä tavoitteena on tehostaa eurooppalaisten yritysten liiketoimintaa
Komissio kertoo nyt käsillä olevan uudistuksen tähtäävän siihen, että EU:n taloudesta tulee kilpailukykyisempi ja vauraampi yksinkertaistamalla, alentamalla kustannuksia ja tehostamalla liiketoimintaa.
Nyt julkaistun aineiston perusteella on vaikea nähdä, että yritysten toiminta olisi menossa uudistuksessa tavoiteltuun suuntaan ainakaan verkkopalveluiden kehittämisen osalta. Myöskään komission tapa tulla ulos asian kanssa ei henkinyt selkeyttä tai ketteryyttä. Uudistuksen tavoitteet ovat kuitenkin erinomaiset ja haluamme uskoa, että kun tarkennuksia saadaan, evästeosuuskin alkaa vaikuttaa mielekkäämmältä.
Verkkopalveluiden evästeitä ja yksityisyydensuojaa koskeva osuus on totta kai vain pieni pala suuresta digiuudistuksesta. Mutta sillä on olennainen merkitys verkkopalveluita omistaville yrityksille.
Jos haluat keskustella uudistuksen mahdollisista vaikutuksista verkkopalveluunne, lähetä sähköpostia allekirjoittaneelle tai ota yhteyttä Karhu Helsingin yhteyshenkilöösi.
Seuraamme uudistuksen etenemistä tiiviisti – uutiskirjeemme pitää sinut ajan tasalla
Tilaa uutiskirjeemme alla näkyvällä lomakkeella. Pysyt kärryillä digitaalisia palveluita koskevan sääntelyn kehityksestä ja muista käänteistä, joista verkkosivuston tai verkkokaupan omistajan on syytä olla tietoinen. Uutiskirjeemme tuo sähköpostiisi Karhulla on asiaa -blogin kirjoitukset kerran kuukaudessa.
