Evästekäytännöt ovat muuttumassa. Apulaistietosuojavaltuutettu antoi 14.5.2020 päätöksen siitä, miten yritysten tulee pyytää suostumusta evästeiden eli cookieiden tallentamiseen. Päätös on merkittävä, sillä sen myötä yritykset eivät voi pyytää suostumusta evästeiden käyttöön olettamalla, että sivuston käyttäjä käy tekemässä tarvittavat muutokset selainasetuksissa tai ohjaamalla käyttäjän valintaa "jatkamalla sivun käyttöä hyväksyt evästeet" -ilmoituksella. Apulaistietosuojavaltuutetun mukaan evästeiden hyväksymisen ja niistä kieltäytymisen täytyy olla yhtä helppoa.

Mitä evästeet ovat?

Evästeet ovat pieniä tekstitiedostoja, joita verkkoselain tallentaa käyttäjän koneelle verkkosivuilla vieraillessa. Evästeitä on kolmea päälajia:

  • Toiminnan kannalta välttämättömät evästeet, joita ilman verkkosivusto ei voi toimia kunnolla (esim. verkkokaupan toiminnallisuutta ylläpitävät).
  • Sivuston suorituskykyä ja käyttökokemusta parantavat evästeet, joiden avulla kerätään tietoa verkkosivujen käytöstä. Verkkosivut voidaan optimoida riippuen siitä, miten kävijät käyttävät palveluja ja liikkuvat sivustolla, esimerkiksi millä sivuilla vieraillaan eniten.
  • Markkinointiin liittyvät evästeet, jotka on suunniteltu tarjoamaan kohdennettua mainontaa kolmansien osapuolten medioissa.

Eväste voidaan tallentaa käyttäjän laitteelle pysyvästi tai se voidaan poistaa palvelun käytön jälkeen.

Euroopan unionin tuomioistuimen kanta evästeisiin

Euroopan unionin tuomioistuin antoi 1.10.2019 tuomion evästekäytännöistä. Evästeistä, käyttötietojen tallentamisesta ja niiden käytöstä on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi on ilmoitettava tiedot evästeen toiminta-ajasta ja annettava tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä. Palvelun käyttäjältä on pyydettävä suostumus tietojen tallentamiseen ja käyttöön.

Traficomin linjaus

Suomessa Liikenne- ja viestintävirasto Traficom on noudattanut Euroopan unionin tuomioistuimen ratkaisua. Traficomin tulkinnan mukaan EU-tuomioistuimen ratkaisu jättää palvelun tarjoajan harkintaan suostumukseen käytettävän tekniikan eli on tässä mielessä teknologianeutraali. Linjaus tarkoittaa sitä, että evästeistä voi kieltäytyä selaimen asetuksilla eikä ponnahdusikkuna ole välttämätön.

Euroopan unionin tuleva ePrivacy Regulation

Euroopan unionin ePrivacy Regulation ei ole vielä valmis, mutta sen puitteissa on tarkoitus muun muassa selkiyttää ja yhtenäistää evästekäytäntöjä. Joka sivustolla toistuvat evästeiden hyväksymistä koskevat pyynnöt kuormittavat käyttäjiä ja heikentävät verkkosivujen käytön mukavuutta, minkä vuoksi Euroopan unioni on kallistumassa siihen, että välttämättömistä ja kävijätilastoa ylläpitävistä evästeistä ei tarvitsisi pyytää suostumusta. Traficom on ollut pitkälti samoilla linjoilla.

Apulaistietosuojavaltuutetun mukaan evästeiden hyväksymisen ja niistä kieltäytymisen täytyy olla yhtä helppoa.

Evästekäytäntöihin verkkosivuilla tulossa muutoksia

Apulaistietosuojavaltuutetun päätös evästeiden käytöstä

Taannoin tietosuojavaltuutetun toimistoon kannellut henkilö koki, ettei hänellä ollut käytännössä mahdollisuutta kieltää evästeiden käyttöä. Kyseessä oli erityisesti mainonnan kohdentaminen eli markkinointievästeet.

Aiemmin mainitussa päätöksessään 14.5.2020 apulaistietosuojavaltuutettu katsoi, ettei tapa kerätä suostumusta ollut EU:n yleisen tietosuoja-asetuksen mukainen. Päätöksen mukaan yritykset eivät voi pyytää suostumusta evästeiden käyttöön selainasetusten kautta tai "jatkamalla sivun käyttöä hyväksyt evästeet" -ilmoituksella.

Syynä on se, ettei evästeiden tallentamisen kieltämistä ja suostumuksen peruuttamista myöhemmässä vaiheessa ollut tehty yhtä helpoksi kuin suostumuksen antamista. Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen selainasetuksissa, apulaistietosuojavaltuutettu ei pitänyt riittävänä.

Traficom ei ole muuttanut ohjeistustaan apulaistietosuojavaltuutetun ratkaisun johdosta.

Keskustelu evästeistä kiihtyy

Apulaistietosuojavaltuutetun kanta muutti keskustelua evästekäytännöistä Suomessa. Päätöksen jälkeen tietosuojavaltuutetun toimistossa oli vireillä kymmeniä vastaavia tapauksia, ja ne ratkaistaan annetun päätöksen linjan mukaisesti. Tämän seurauksena yhä useampi yritys on valinnut tiukemman linjan ja pelkän ilmoituksen sijaan ottanut käyttöön ponnahdusikkunan, jossa käyttäjä voi valita, mitä evästeitä ei halua tallennettavan laitteelleen. Toiminnan kannalta välttämättömät evästeet ovat listalla mukana, mutta käyttäjällä ei ole mahdollisuutta kytkeä niitä pois. Ponnahdusikkuna ilmestyy ruudulle näkyvästi, kun käyttäjä vierailee sivustolla ensimmäisen kerran.

Käytäntö on selkeä ja takaa sen, että evästeistä kieltäytyminen on yhtä helppoa kuin niiden hyväksyminen. Suosittelemmekin asiakkaitamme ottamaan käyttöön ponnahdusikkunan, jossa käyttäjälle annetaan mahdollisuus hyväksyä kaikki evästeet tai muokata valintoja. Sivuille voidaan lisätä myös Evästeasetukset-painike, jonka avulla tehtyjä valintoja on mahdollisuus muokata milloin tahansa.

Toimintasuosituksemme

Mitä yrityksen sitten kannattaisi tehdä? Käyttäjän laajoilla oikeuksilla hallita evästeitä voi pahimmillaan olla kielteisiä vaikutuksia yrityksen näkyvyyteen. Monen yrityksen myynti on riippuvaista kohdennetusta mainonnasta verkossa. Markkinointievästeiden kieltäminen kaventaa tätä mahdollisuutta.

Kävijätilastoja käytetään laajasti verkkosivuston ja parhaimmillaan koko yrityksen liiketoiminnan kehittämisen tukena. Verkkosivuanalytiikka auttaa sivuston optimoinnissa ja sisällön terävöittämisessä. Analytiikka kärsii, jos liian moni käyttäjä kieltää datan keruuta mahdollistavien evästeiden tallentamisen ja käytön.

Toisaalta asiaa voi ajatella yritysvastuun ja tietoturvan näkökulmasta. Evästeiden käyttöä koskeva läpinäkyvä ja käyttäjäystävällinen viestintä antaa yrityksestä positiivisen kuvan. Tulevaisuudessa tilanne voi olla toinen, mutta tällä hetkellä on kohtuutonta vaatia, että jokainen käyttäjä osaisi muokata selaimensa asetuksia, jos haluaa eroon tietynlaisista evästeistä. Tekemällä asian käyttäjälle helpoksi, viestit siitä, että välität ja haluat auttaa verkkosivustosi käyttäjää.

Keskustelu evästekäytäntöjen ympärillä elää. Voi olla, että EU:n tuleva linjaus mahdollistaa kevyempiäkin ratkaisuja, mutta tällä hetkellä läpinäkyvyys on valttia, erityisesti jos sivustolle asetetaan markkinointievästeitä. Käyttäjälle pitää antaa aito mahdollisuus valita, mitkä evästeet hän haluaa sallia.