Liikenne- ja viestintävirasto Traficom on julkaissut uuden oppaan evästeiden käytöstä verkkosivuilla. Tämä kirjoitus julkaistiin alunperin 13.8.2021, kun Traficomin oppaasta oli käytettävissä alustava versio, jota kutsuttiin ohjeistukseksi. Kirjoituksen sisältö on päivitetty 13.9.2021, kun oppaan lopullinen versio tuli voimaan.

Tässä kirjoituksessa kerromme, millaisia vaikutuksia oppaan linjauksilla on. Traficomin mukaan opas ei ole juridisesti velvoittava, mutta siitä poikkeamalla palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta. Kyse on siis painavasta dokumentista.

Traficomin evästeohje määrittää

  • miten verkkosivustoilla saa käyttää evästeitä
  • millä sivustoilla ja miten evästeiden käyttöön pitää pyytää lupa.

Opasta on odotettu pitkään, koska evästeitä koskevat kotimaiset viranomaislinjaukset ovat olleet osittain ristiriitaisia keväästä 2020 saakka.

Oppaan keskeinen sisältö oli kesällä 2021 lausuntokierroksella ja sitä muokattiin ja tarkennettiin lausuntokierroksen jälkeen.

Mihin sivustoihin Traficomin evästeohje vaikuttaa?

Traficom on asiassa toimivaltainen viranomainen, joten ohjeistusta on noudatettava kaikilla suomalaisilla verkkosivustoilla, niin kaupallisilla kuin ei-kaupallisilla. Käytännössä kaikki verkkosivustot niin Suomessa kuin muuallakin maailmassa käyttävät evästeitä, joten asia on relevantti kaikilla sivustoilla.

Traficomin julkaisema ohjeistus koskee käytännössä kaikkia suomalaisia verkkosivuja

Voimaan astuessaan ohjeistuksen merkittävin vaikutus on tässä: evästeiden käyttöön on jatkossa pyydettävä lupa käytännössä kaikilla sivustoilla. Lupakyselyt ovat yleistyneet rajusti suomalaisilla verkkosivustoilla jo apulaistietosuojavaltuutetun toukokuussa 2020 tekemän linjauksen jälkeen, mutta Traficomin ohjeistuksen myötä kävijät kohtaavat kyselyitä vielä reilusti aiempaa useammin.

Millaisiin evästeisiin on pyydettävä lupa?

Kävijän on jatkossa annettava aktiivisesti lupa useisiin sellaisiin evästeisiin, joita verkkosivuilla on perinteisesti käytetty ilman lupakyselyitä. Evästeiden välttämättömyys tulee arvioida nimenomaan ao. palvelun näkökulmasta eli se on suhteellista. Traficomin opas kuitenkin antaa monien evästeiden suhteen selkeitä ja yksiselitteisiä ohjeistuksia.

Ei-välttämättömät evästeet – näihin on pyydettävä lupa

  • Analytiikkaevästeet (esim. Google Analytics) paitsi jos analytiikka on erityisen välttämätöntä, tieto ei välity kolmannelle osapuolelle (kuten se Analyticsissä välittyy) eikä yksittäistä kävijää voida tunnistaa
  • Mainonnan ja markkinoinnin kohdentamiseen liittyvät evästeet
  • Sosiaalisen median ominaisuuksiin liittyvät evästeet mikäli kävijä ei käytä ominaisuuksia tai ole kirjautunut ao. some-palveluun
  • Päätelaitteesta hankittavaa tarkempaa tietoa (esim. muuta kuin IP-osoite) keräävät evästeet, mikäli niillä tähdätään laitteen tai kävijän profilointiin
  • Chat-palveluun liittyvät evästeet, jos ne asetetaan ilman että kävijä avaa chatia
  • Laitteen tarkan sijainnin tallentavat evästeet
  • Käyttäjän mieltymyksiin ja personointiin liittyvät evästeet, jos kävijä ei ymmärrä palvelun olevan personoituva tai odota sitä
  • Pysyväisluonteiset evästeet, jos ne eivät selkeästi palvele kävijää ja ole palvelua jota kävijä pyytää
  • Sivulle muista palveluista upotettuihin sisältöihin liittyvät evästeet

Välttämättömät evästeet – näihin ei tarvitse pyytää lupaa

  • Käyttäjän syötteisiin liittyvät evästeet, esim. ostoskorin tai lomakkeen sisällön muistaminen – myös pysyväisluonteisesti
  • Tietoturvaan liittyvät evästeet
  • Saavutettavuutta edistävät evästeet
  • Evästeasetukset tallentavat evästeet
  • Käyttäjän mieltymyksiin ja personointiin liittyvät evästeet, jos ne palvelevat kävijää ja jos kävijä odottaa palvelun olevan personoituva
  • Sisäänkirjautumiseen liittyvät istuntokohtaiset evästeet ja pysyväisluonteiset sisäänkirjautumisevästeet, jos ne palvelevat kävijöitä ja jos se on palvelua mitä kävijä pyytää, etenkin jos kävijä voi itse tehdä muistamisvalinnan
  • Sellaiset analytiikkaevästeet, jotka ovat erityisen välttämättömiä, tieto ei välity kolmannelle osapuolelle eikä yksittäistä kävijää voida tunnistaa

Miten evästelupa pitää pyytää?

Traficomin opas määrää tarkasti, miten lupa evästeiden käyttöön tulee pyytää. Ennakoimme ohjeistuksen tällä osiolla olevan merkittäviä vaikutuksia, koska ei-välttämättömistä evästeistä kieltäytymisestä halutaan tehdä helppoa.

Kun kävijältä pyydetään lupa, seuraavat asiat tulee ottaa huomioon:

  • ei-välttämättömät evästeet saadaan ottaa käyttöön vasta, kun kävijä on aktiivisesti antanut luvan
  • kävijälle tulee kertoa kattavasti, mihin evästeitä käytetään
  • lupakysely ei saa estää sivuston käyttöä – puhelinnäkymässä evästeruutu kuitenkin väistämättä käytännössä estää sivuston käytön
  • sekä hyväksymis- että kieltämisnapin on oltava näkyvissä, mutta niiden visuaalisuuteen ei oteta kantaa
  • suostumus tulee voida peruuttaa milloin tahansa helposti
  • sivuston omistajan tulee tallentaa luvan antamista koskevat tiedot.

Toteutuessaan yllä mainitut vaatimukset muokkaavat alan käytäntöjä. Aiemmin suomalaisten verkkosivustojen evästekyselyissä on ollut yleistä, että sivustoa on voinut käyttää vasta lupakyselyyn vastattuaan. Lukuisat sivustot ovat myös asettaneet evästeet kokonaan lupaa kysymättä.

Uuden evästeohjeistuksen myötä kehitystarpeita nousee esiin lähes kaikilla sivustoilla.

Mikä muuttuu uuden evästeohjeistuksen seurauksena?

Traficomin uuden evästeoppaan kaikkia vaikutuksia ei ole vielä mahdollista ennakoida. Oletamme kuitenkin, että oppaalla on merkittäviä vaikutuksia sivustojen ominaisuuksiin, joita yritykset ovat tottuneet hyödyntämään vuosien ajan.

Ainakin seuraavia muutoksia on odotettavissa:

  • käytännössä kaikilla sivustoilla on otettava käyttöön evästehyväksyntäpalvelu
  • evästehyväksyntäruutu ei saa estää sivuston käyttöä ja ruudussa on tarjottava nappi evästeistä kieltäytymiseen
  • merkittävä osa kävijöistä käyttää sivustoja jatkossa pelkillä välttämättömillä evästeillä
  • Google Analytics -kävijätilastoihin tallentuu jatkossa arviomme mukaan 30-80 % vähemmän kävijöitä kuin ilman evästehyväksyntäpalvelua – tilastot ennen ja jälkeen uudenlaisen evästehyväksynnän käyttöönoton eivät ole vertailukelpoisia
  • sivustojen omistajien on syytä harkita yksityisyyttä tarkasti kunnioittavaa kävijäseurantaa, joka voi olla ainoa tapa seurata kaikkia kävijöitä tai ainakin valtaosaa heistä – Google Analyticsin kiistaton valta-asema kävijäseurannassa voi olla uhattuna
  • useat verkkosivujen arkipäiväiset toiminnot eivät enää palvele, kuten ennen – siitä lisää seuraavassa
  • useat verkkosivujen toiminnot toimivat jatkossa vain osalla kävijöistä tai niitä pitää muuttaa.

Lukuisat suomalaisilla verkkosivustoilla laajasti käytetyt toiminnallisuudet hyödyntävät evästeitä, joille Traficomin ohjeistuksen alustavan version perusteella on pyydettävä kävijän lupa. Kuten aiemmin mainitsin, arviolta 30–80 % kävijöistä ei jatkossa anna evästelupaa, joten useat toiminnallisuudet joko lakkaavat toimimasta merkittävällä osalla kävijöistä, niitä on muokattava teknisesti tai ne on korvattava kokonaan uudenlaisilla ratkaisuilla.

Uuden evästeohjeistuksen myötä mm. nämä toiminnallisuudet pyörisivät todennäköisesti vain, jos evästelupa on annettu:

  • kävijöiden seuranta ja mittaaminen (poislukien palvelimella tapahtuva tai yksityisyyttä tiukasti kunnioittava ja palvelun kehittämisen kannalta välttämätön mittaaminen)
  • YouTube-videot
  • Google Maps -kartat
  • sosiaalisen median upotukset
  • muista järjestelmistä upotetut lomakkeet ja sisällöt, mikäli niihin liittyy evästeitä (mm. useiden sivustojen liidilomakkeet, esimerkiksi HubSpotista)
  • personointi ja sisäänkirjautumisen muistaminen vierailukerrasta toiseen.

Erityisen painavia vaikutuksia on odotettavissa nimenomaan Googlen tarjoamiin palveluihin, joita sivustojen omistajat ovat tottuneet hyödyntämään maksutta. Maksuttomuuden vastapainona Google yhdistää palveluihinsa monipuolista seurantaa, joka perustuu evästeisiin. Tätä evästeseurantaa Traficom on nyt suitsimassa kovalla kädellä.

Kehitystarpeita nousee esiin lähes kaikilla sivustoilla

Traficomin uusi ohjeistus tuo kehitystarpeita lukuisille verkkosivustoille. Evästehyväksyntätoiminto ja sen asetukset ovat vain osa kokonaisuutta – monella sivustolla tulee arvioitavaksi myös monien jo vakiintuneiden ominaisuuksien muokkaaminen tai uudistaminen. Tätä arviointia on nyt syytä lähteä viemään eteenpäin.

Herättävätkö uudet evästelinjaukset kysymyksiä? Olemme mielellämme avuksi. Lähetä allekirjoittaneelle sähköpostia tai ole meihin yhteydessä muilla tavoin.

Lähetä meille viesti

Form first
Form second
Checkboxes

Kun tilaat uutiskirjeemme, saat sen sähköpostiisi 4-6 viikon välein. Jos toivot yhteydenottoa, voimme olla sinuun yhteydessä puhelimitse tai sähköpostitse.
Lomakkeen lähettämällä hyväksyt tietosuojaselosteemme.

Tilaa blogimme sähköpostiisi tai kysy lisää