Evästeet verkkosivuilla ja GDPR – miten evästeitä hallitaan oikein
Tämän blogikirjoituksen kirjoittaja on automaatioasiantuntija Erno Mikkilä.
Vaikka evästeet ovat olleet osa verkkosivuja jo 90-luvun puolivälistä lähtien, niin vasta viime vuosina niihin on alettu kiinnittämään enemmän huomiota. Huomio ei tosin ole syntynyt täysin tyhjästä, vaan se juontaa juurensa vuonna 2018 voimaan tulleeseen EU:n yleiseen tietosuoja-asetukseen (GDPR).
Samalla nettisivujen evästekyselyt ovat yleistyneet vauhdilla eikä niiltä voi enää välttyä verkkoa selatessa. Asia myös elää jatkuvasti ja tätä tekstiä kirjoittaessani Liikenne- ja viestintävirasto Traficom on juuri julkaissut aiempaa tiukemmat evästeohjeistukset palveluntarjoajille. Mistä oikein on kyse, miten toimia oikein ja miksi lupaa ylipäätään kysytään?
Mitkä ihmeen evästeet?
Oletko joskus ihmetellyt, miten esimerkiksi verkkokaupan ostokset pysyvät ostoskorissa pitkänkin shoppailutuokion jälkeen tai miten pysyt kirjautuneena verkkosivuilla? Vastaus ihmetykseen: evästeiden avulla.
Evästeet ovat dataa sisältäviä tekstitiedostoja, joita verkkosivut tallentavat kävijän laitteelle, ja joita vastavuoroisesti verkkosivusto pyytää laitteelta kävijän vieraillessa sivustolla uudelleen. Lähtökohtaisesti evästeet sisältävät hyödyllistä ja sivujen toiminnallisuuksien kannalta tärkeää tietoa, kuten käyttäjän ostoskorin sisällön tai kirjautumistiedon. Ilman evästeitä tuotteet eivät pysyisi käyttäjän ostoskorissa seuraavaa tuotetta selatessa ja käyttäjä ei pysyisi kirjautuneena sisään.
Evästeissä ei kuitenkaan teknisessä mielessä ole rajoituksia siihen, mitä dataa käyttäjästä voidaan kerätä talteen. Asian voisi jopa ajatella niin, että mielikuvitus tulee usein nopeammin vastaan kuin evästeiden tekniset rajoitukset. Tästä johtuen evästeitä hyödynnetään muun maussa verkkosivujen analytiikassa ja mainonnan kohdentamisessa – pelottavankin yksityiskohtaisesti.
Vaikka yksittäinen eväste ei sinänsä pysty yksilöimään käyttäjää luonnolliseksi henkilöksi, niin mainontapalveluja tarjoavat yritykset pystyvät evästeitä yhdistelemällä muodostamaan hyvinkin tarkkoja henkilöprofiileja. Mainostajat voivat sitten ostaa käyttöoikeuden tähän dataan ja kohdentaa mainoksia juuri oikeaan profiiliin sopiville henkilöille eli mainostaa kohdennetusti. Tässä piileekin evästetekniikan suurin heikkous tai vahvuus – riippuen täysin, miltä puolelta asiaa katsoo.
Ensimmäisen ja kolmannen osapuolen evästeet
Lähtökohtaisesti yksittäisen verkkosivun evästetiedostoihin ja niiden tietoihin pääsee käsiksi vain kyseinen verkkosivu. Tällaisia evästeitä kutsutaan ensimmäisen osapuolen evästeiksi. Nämä evästeet ovat usein kyseisen verkkosivuston toiminnallisuuteen liittyviä ja tyypillisesti myös pakollisia siltä kannalta, että verkkosivut toimivat niiden tarkoitetulla tavalla.
Verkkosivun ylläpitäjä on kuitenkin saattanut asettaa sivulle esimerkiksi mainontapalveluja tarjoavan yrityksen (eli kolmannen osapuolen) JavaScript-koodia. Tämä koodi ottaa yhteyden kyseistä palvelua tarjoavan yrityksen palvelimeen, joka asettaa omat evästeensä käyttäjän laitteelle. Esimerkiksi tällaisia evästeitä kutsutaan kolmannen osapuolen evästeiksi.
Olet varmasti huomannutkin tämän käytännössä jo useasti verkkoa selatessasi. Selailet verkkokaupasta esimerkiksi golfmailoja ja hetken päästä golfmailoista tulee mainoksia muillakin verkkosivuilla, jotka eivät välttämättä liity golfiin mitenkään. Tässä esimerkissä vierailusi golfaiheisessa verkkokaupassa on otettu talteen evästeisiin ja sen avulla on pystytty päättelemään, että olet kiinnostunut golfista.
Tämä on tosin hyvin pelkistetty esimerkki siitä, minkälaista tietoa evästeet pystyvät käytännössä tallentamaan. Todellisuudessa verkossa surffailevasta on kerätty ihan mieletön määrä dataa, jonka perusteella pystytään päättelemään paljon muutakin kuin pelkästään sivut, joilla käyttäjä on vieraillut.
Kolmansien osapuolien evästeet ovat todennäköisesti tulevaisuudessa historiaa, sillä käyttäjien yksityisyys verkossa halutaan turvata. Esimerkiksi Google pyrkii lopettamaan kolmansien osapuolien evästeiden käytön vuoden 2023 loppuun mennessä. Alun perin tämän piti tapahtua jo vuoden 2022 lopussa, mutta mainostajien vastarinnan myötä Google taipui siirtämään ajankohtaa myöhemmäksi. Tällä hetkellä ei vielä tarkalleen tiedetä, mikä tulee korvaamaan kolmansien osapuolien evästeet, joten mainostajat ovat asiasta varpaillaan.
Evästetyypit
Evästeet kategorisoidaan evästekyselyissä myös niiden tarkoituksen mukaan, jotta käyttäjä voi valita, mitkä evästeet hän haluaa hyväksyä. Evästekyselyt eivät tosin yleensä anna käyttäjälle mahdollisuutta ottaa pois välttämättömiä evästeitä, vaikka tämä teoriassa olisikin mahdollista selaimen asetuksista.
Evästeet voidaan yleensä jakaa karkeasti neljään eri kategoriaan, joita sivuston ylläpitäjä hallinnoi käyttämästään evästeasetustyökalusta. Näitä kategorioita ovat:
1. Välttämättömät evästeet
Nämä ovat evästeitä, joita verkkosivu tarvitsee sivuston perustoimintoja varten, kuten ostoskoritoiminnallisuuden käyttöön. Ilman näitä evästeitä verkkosivu ei toimi oikein.
2. Toiminnalliset evästeet
Nämä ovat evästeitä, joita verkkosivu käyttää muistaakseen käyttäjän aiemmin tehtyjä valintoja, kuten kielen tai alueen.
3. Analytiikkaevästeet
Nämä ovat evästeitä, joita verkkosivu käyttää keräämään tietoja siitä, miten verkkosivua käytetään. Nämä ovat usein kolmannen osapuolen evästeitä (esimerkiksi Google Analytics).
4. Markkinointievästeet
Nämä ovat evästeitä, joita verkkosivu käyttää mainonnan kohdentamiseen eri verkkosivuilla tai sosiaalisen median kanavilla. Nämä ovat usein kolmannen osapuolen evästeitä (esimerkiksi Facebook Pixel).
Traficomin uudessa evästeohjeistuksessa mainitaan, että suostumuksen pyytämiseen käytettävässä menettelyssä on vähintään syytä eritellä:
- Käytössä olevat evästeet ja niiden kaltaiset tekniikat ja niiden tyyppi
- Kunkin evästeen käyttötarkoitus, eli mitä tietoja evästeellä kerätään ja mihin tarkoitukseen
- Kunkin evästeen voimassaoloaika
- Tieto siitä, jaetaanko evästeiden kautta tallentuvia tietoja kolmansille osapuolille, keitä nämä tahot ovat ja mitä tietoja siirretään.
Näiden lisäksi evästetyökalun banneri/pop-up voi sisältää yksityiskohtaisempiakin tietoja tai esimerkiksi linkin tarkempiin tietoihin palvelun evästeistä tai yksityisyyskäytännöistä.
Käyttäjän aktiivinen suostumus evästeisiin
Suomessa evästeiden käyttöön vaikuttaa sähköisen viestinnän palvelulain pykälä 205 sekä sähköisen viestinnän tietosuojadirektiivi. Tietosuojadirektiivin lisäksi evästeitä käyttävän on huomioitava EU:n yleinen tietosuoja-asetus eli GDPR.
Vielä viime vuosina useat evästeitä käyttävät verkkosivut ovat noudattaneet vanhaa Liikenne- ja viestintävirasto Traficomin evästeohjeistusta, jonka mukaan käyttäjä antaisi suostumuksen evästeiden käytölle selaimen asetuksista. Tämä ei kuitenkaan enää ole voimassa, sillä Helsingin hallinto-oikeus antoi 8.4.2021 kaksi ratkaisua (H1515/2021 ja H1516/2021) muiden kuin välttämättömien evästeiden tallentamiseen annettavan suostumuksen edellytyksistä. Päätöksissään hallinto-oikeus katsoo, että sähköisen viestinnän palveluista annetun lain 205 §:ssä tarkoitettua evästeiden käytölle vaadittavaa suostumusta on tulkittava samoin kuin yleisessä tietosuoja-asetuksessa tarkoitettua suostumusta. Hallinto-oikeuden päätöksen mukaan sellaista verkkosivuston evästekäytäntöä, jossa suostumus saadaan verkkosivuston käyttäjän selaimen asetuksilla ei voida pitää yleisen tietosuoja-asetuksen edellyttämällä tavalla verkkosivuston käyttäjän yksilöitynä ja tietoisena suostumuksen ilmaisuna.
Sama voidaan päätellä myös apulaistietosuojavaltuutetun 14.5.2020 antaman päätöksen perusteella. Käytännössä tämä tarkoittaa sitä, että selainasetuksiin vetoamisen sijaan käyttäjältä tulee saada evästeisiin aktiivinen suostumus. Aktiiviseksi suostumukseksi lasketaan ”mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”.
On tärkeää myös huomioida, että suostumus evästeisiin tulee saada aina, kun käyttäjän laitteelle tallennetaan tai sieltä luetaan jotain. Poikkeuksena evästeet, jotka ovat verkkosivujen käytön kannalta välttämättömiä evästeitä, kuten verkkokaupan ostoskoriin liittyvät evästeet tai evästekyselyn asettama tieto siitä, mitkä asetukset käyttäjä on valinnut. Virallisesti välttämättömän eväste on määritelty sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:ssä näin:
”Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.
Edellä 1 momentissa säädetty ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.
Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.”
Myynninmaailma hoitaa evästeiden tekniset asiat kuntoon
Myynninmaailma on suositun Cookiebot-evästehallintatyökalun virallinen jälleenmyyjä ja törmäsitkin kyseiseen työkaluun tullessasi ensimmäistä kertaa Myynninmaailman verkkosivuille. Cookiebot on tällä hetkellä käytössä yli 430 000 verkkosivustolla ja tukee yli 40 eri kieltä.
Cookiebot täyttää myös yleisen tietosuoja-asetuksen (GDPR) ja sähköisen viestinnän palveluista annetun lain (917/2014) 205§:ssä mainitut ehdot. Samalla Cookiebot pystyy myös automaattisesti tunnistamaan käyttäjän sijainnin ja GDPR:n lisäksi pystytään tarvittaessa ottamaan huomioon myös Kalifornian CCPA, Brasilian LGPD, sekä Etelä-Afrikan POPIA-asetukset.
Työkalu myös skannaa verkkosivun kuukausittain, jotta kaikki uudetkin evästeet saadaan hallittua ilman raskasta manuaalista työtä. Skannaamalla verkkosivun kaikki evästeet voidaan varmistaa täysi läpinäkyvyys ja GDPR:n sekä sähköisen viestinnän palvelulain noudattaminen evästeiden osalta.
Cookiebotin hinnoittelu
Cookiebot on hinnoittelussaan reilu, sillä se on maksuton pienemmille verkkosivuille. Vaikka muutamia hyödyllisiä ominaisuuksia ei saadakaan käyttöön maksuttomassa versiossa, on maksuton versio silti täysin asianmukainen ja GDPR-hyväksytty tapa hallita evästeitä.
Olet saattanut törmätä myös muihin maksuttomiin ratkaisuihin, mutta usein nämä ovat vain näennäisiä ratkaisuja, joissa riippumatta käyttäjän valinnasta evästeskriptit silti aktivoituvat taustalla. Samalla evästeiden hallinta on näissä ratkaisuissa usein myös raskasta manuaalista työtä, joka vaatii jokaisen evästeen manuaalista lisäämistä työkaluun. Cookiebot hoitaa kaiken tämän automaattisesti yleisimpien evästeiden kohdalla.
Cookiebotin ilmaisversio on riittävä, jos verkkosivuilla on nyt ja tulevaisuudessa alle 100 alasivua ja tarvetta seuraaville lisäominaisuuksille ei ole:
- Evästebannerin/popupin tyylimuutokset (värit, logo ja muut tyyliasetukset)
- Voi kuitenkin valita kahdesta valmiista tyylivaihtoehdosta.
- Kieliversiot
- Ilmaisversio on rajattu yhteen oletuskieleen (esimerkiksi suomi).
- GEO-targetointi
- Evästeskannauksen raportointi sähköpostiin
- Statistiikka
- Kuinka moni on klikannut ”hyväksy”, ”hylkää”, jne.
- Massahyväksyntä, jos useita eri verkkosivuja
- Testaus sisäisellä palvelimella
Jos verkkosivuilla on yli 100 alasivua, niin tarvitaan Cookiebotin maksullinen lisenssi. Cookiebotin lisenssihinnasto määrittyy verkkosivun alasivujen määrän mukaan, mutta jokaisella lisenssillä saa yllä olevat ominaisuudet käyttöön. Lisenssit ovat myös domainkohtaisia, joten jos tarkoitus on saada työkalu käyttöön useammalla eri verkkosivulla, on jokaiselle otettava oma lisenssinsä. Tämä koskee myös alidomaineja.
- Alle 500 alasivua
- 12 € / kk
- Alle 5 000 alasivua
- 28 € / kk
- Yli 5 000 alasivua
- 49 € / kk
Huom! Myynninmaailma ei ota juridista vastuuta verkkosivuillanne olevista evästeistä/tietosuojaselosteesta. Pystymme ainoastaan vaikuttamaan tekniseen toteutukseen tekemällä evästekyselyn teknisesti toimivaksi ja läpinäkyväksi.
Kirjoittaja: Erno Mikkilä, automaatioasiantuntija