Olet kenties huomannut evästekyselyiden ponnahtelevan aikaisempaa useammin vieraillessasi eri sivustoilla. Tämä on hyvä juttu yksityisyyden turvaamisen kannalta, mutta samalla se on uusi haaste evästeisiin pohjautuvan markkinoinnin ja verkkosivujen analytiikan osalta.
Missä tapauksissa pitää pyytää lupa?
Traficom julkaisi 1.9.2021 Evästeohjeistuksen palveluntarjoajille (pdf), jonka mukaan ei-välttämättömien evästeiden käyttöön pitää kysyä lupa. Pyydä siis lupa, jos käytät sivuillasi muun muassa seuraavia ei-välttämättömiä evästeitä asentavia palveluja:
- Google Analytics tai muu evästeitä asettava tilastointi-/analytiikkapalvelu 1
- kohdennettu mainonta ja markkinointi
- sosiaalisen median alustoihin ja upotuksiin liittyvät evästeet, kuten
- Facebook-pikseli
- sosiaalisen median syötteet ja upotukset
- YouTube-videoiden upotukset
- chat-palvelut
- ulkoiset lomakkeet (esim. Hubspot, LeadPages, GetResponse)
- käyttäjän sijainnin tallennus
1 Jos analytiikkaevästeet koetaan välttämättömiksi, pitää esittää selkeät perusteet sekä huolehtia käyttäjän yksityisyyden suojaamisesta varmistamalla, ettei analytiikan avulla kerättyjä tietoja jaeta kolmansille osapuolille tai että niistä ole tunnistettavissa yksittäistä kävijää.
Tarkistathan täydellisen listan, poikkeukset ja muut lisätiedot Traficomin ohjeistuksesta.
Miten tiedän mitä evästeitä sivuillani on käytössä?
Käytä ilmaisia evästeiden testauspalveluja
Useat palveluntarjoajat tarjoavat ilmaisia testejä, joilla voit selvittää mitä evästeitä sivuiltasi löytyy ja oletko noudattanut evästekäytäntöä oikein pyytämällä suostumusta muihin kuin välttämättömiin evästeisiin. Testejä tarjoavat yritykset myyvät myös palveluja evästesuostumuskyselyn aktivointiin ja ovat helppo tapa ratkaista evästeasiat kuntoon.
Voit kokeilla esimerkiksi seuraavia evästetestejä:
- Cookiebot Cookie Checker – Pyytää sähköpostiosoitteen, jonne toimittaa testin tulokset.
- CookieYes Website Cookie Scanner – Tunnistaa montako evästettä sivusto asettaa ja jaottelee ne välttämättömiin, tehokkuus, tilastointiin, mainontaan, toiminnallisiin ja muihin. Tarkemman raportin raportin saa tilattua sähköpostiin.
- Cookie Pro Cookie Compliance – Pyytää sähköpostiosoitteen raportin toimittamista varten.
- Usercentrics Data Privacy Audit – Tietosuojan tarkistus, sisältäen evästeet. Pyytää sähköpostiosoitteen ja maan.
Tutki itse selaimen tiedoista
Jos olet kokeneempi sivuntekijä, pystyt tutkimaan evästetietoja esim. Firefox- ja Chrome-selaimesta painamalla F12-painiketta. Valitse Firefoxista välilehti Storage → Cookies tai Chromesta Application → Cookies-osion alta sivustosi, niin näet asetetut evästeet.
Evästeiden nimi ei suoraan kerro mistä palvelusta on kyse, joten saatat joutua tekemään salapoliisityötä. Helpompaa on hyödyntää palveluntarjoajia, jotka osaavat luokitella evästeet välttämättömiin sekä analytiikka-, markkinointi- ja muihin käyttökategorioihin.
Kaikkia evästeitä eivät palveluntarjoajatkaan pysty aina tunnistamaan, jolloin ne jaotellaan ”Luokittelemattomat”-kategoriaan. Tällöin sinun ja sivunrakentajasi olisi hyvä selvittää millaisesta evästettä edellyttävästä palvelusta on kyse, ja siirrettävä se sopivaan kategoriaan.
Esimerkkejä evästeistä
Google Analytics -palvelun evästeet tunnistaa nimistä _ga, _gid sekä _gat_gtag_UA_-alkuisesta evästeestä ja _fbp on Facebook Pixelin asentama eväste.
Mutta minulle sanottiin, että suostumusta ei tarvita…?
Ennen vuotta 2021 oli epäselvyyksiä tulkinnassa
Onko sinulle kerrottu, että evästeistä ei tarvitse kysyä lupaa? Se on voinut hyvin pitää paikkaansa aikaisemmin, sillä Suomessa on ollut ristiriitaa miten tulkita EU:n tietosuojadirektiiviä ja yleistä tietosuoja-asetusta.
Sähköisen viestinnän tietosuojadirektiivin vaatimus evästeiden suostumuksesta on Suomessa voimassa sähköisen viestinnän palveluista annetussa laissa, jota valvoo Liikenne- ja viestintävirasto Traficom.
EU:n yleisen tietosuoja-asetuksen (GDPR) evästesuostumusta koskevat säännökset eivät sisällä kansallista liikkumavaraa eli niitä sovelletaan sellaisenaan EU-maissa. Tietosuoja-asetusta valvoo Suomessa tietosuojavaltuutetun toimisto.
Näiden kahden toimijan linjaus yhdistyi syyskuussa 2021, kun Traficom julkaisi tietosuojavaltuutetun toimiston kanssa laaditun evästeohjeistuksen.
Miten nyt kannattaa toimia?
Suosittelemme, että testaat sivustosi evästeet ja hankit sopivan palveluntarjoajan, joka mahdollistaa evästesuostumuskyselyn ja listaa myös evästeiden tiedot. Asenna valitsemasi palveluntarjoajan koodi sivustollesi tai ohjaa se eteenpäin sivuston rakentajalle/ylläpitäjälle. Myös Vida voi auttaa koodin asentamisessa mm. WordPress-sivustoille.
Lain noudattamisen lisäksi on hyvä muistaa käyttäjäystävällisyys. Muista, että evästeistä kieltäytymisen ja suostumuksen peruuttamisen on oltava yhtä helppoa kuin evästeiden hyväksyminen. Varmista, että evästevalintoja pystyy muuttamaan jälkikäteen helposti, ja että sivusto toimii normaalisti, vaikka evästeistä kieltäytyisi.
Vältä vääränlaisia teknisiä toteutuksia, jolloin evästeet aktivoituvat käyttöön ennen kuin kävijällä on mahdollisuus kieltäytyä niistä. Evästeiden kieltäminen ei saa aiheuttaa haittaa käyttäjälle, mikä on usein haasteellista mobiililaitteissa, joissa suostumuskysely vie paljon ruututilaa. Muista myös, että jos evästesuostumuskyselyssäsi on käytössä valintaruutu, rasti ei saa olla valmiina ruudussa osoittamassa hyväksyntää.
Ethän ilmaise evästeiden käyttöä näillä tavoilla:
Pitääkö tehdä evästekäytäntö-sivu?
Sinun pitää kertoa tiedot sivustolla käytetyistä evästeistä, niiden voimassaoloajat ja tiedot mikäli kolmansilla osapuolilla on pääsy näihin evästeisiin. Jotkut palveluntarjoajat sisällyttävät tiedot evästebanneriin, josta voi klikata esille tarkempia tietoja evästeistä.
Traficomin ohjeistuksen mukaan on vähintään syytä eritellä:
- käytössä olevat evästeet ja niiden kaltaiset tekniikat ja niiden tyyppi (esim. välttämättömät, toiminnalliset, personointi, mainonta, sosiaaliseen mediaan liittyvät, analytiikka, muut)
- kunkin evästeen käyttötarkoitus eli mitä tietoja evästeellä kerätään ja mihin tarkoitukseen
- kunkin evästeen voimassaoloaika
- tieto mikäli evästeiden kautta tallentuvia tietoja jaetaan kolmansille osapuolille (keitä nämä tahot ovat ja mitä tietoja siirretään).
Evästetiedot muodostuvat automaattisesti esimerkiksi Cookiebot-palvelun koodin avulla. Suosittelemme kuitenkin tarkistamaan kaikki tekstisisällöt, sillä palveluntarjoajien suomennokset voivat tarvita korjausta.
Voit luoda oman erillisen evästeistä kertovan sivun (Evästekäytäntö/Cookie policy) tai asettaa evästeet osaksi tietosuojaselostetta.
Työkaluja evästesuostumuskyselyiden toteutukseen
Evästesuostumuskyselyä ei tarvitse itse rakentaa tyhjästä tai tilata koodaajalta, vaan saatavilla on monia palveluntarjoajia ja WordPress-lisäosia. Niiden hinnat vaihtelevat 0–45 €/kk per domain riippuen mm. sivuston laajuudesta, monikielisyydestä sekä evästeiden skannaustiheydestä.
- Cookiebot (= Vidan hyväksi havaitsema palvelu)
- CookieYes
- Cookiefirst
- CookieInformation
- OneTrust Cookie Consent
- Usercentrics
- GDPR Cookie Compliance (CCPA ready) / WordPress-lisäosa
Mitä tapahtuu, jos evästevaatimuksia ei noudata?
Liikenne- ja viestintävirasto Traficom ohjeistaa sivuillaan, että sivun kävijän kannattaa ensisijaisesti olla yhteydessä sivuston ylläpitäjään ja huomauttaa asiasta. Jos vastausta ja korjausta asiaan ei tule, niin kävijä voi tehdä valituksen Traficomille. Mikäli päätöksessä todetaan, että palveluntarjoaja on toiminut evästeasioissa lainvastaisesti, niin Traficom voi huomauttaa ja velvoittaa korjaamaan asian.
Evästeiden tulevaisuus
Euroopan komissiolla on valmisteilla uusi ePrivacy-asetus. Sen tarkoitus on täydentää tietosuoja-asetusta sähköisen viestinnän tietosuojan osalta. Asetus koskee todennäköisesti myös sähköistä suoramarkkinointia sekä evästeiden asettamista ja hyödyntämistä. Karhu Helsinki Oy:n Atte Mäkinen arvelee e-Privacya koskevassa blogikirjoituksessaan, että tuoreiden Traficomin evästetulkintojen myötä kovin suuria muutoksia ei olisi luvassa.
Seuraamme mitä tulevaisuus tuo tullessaan mm. Vierityspalkin asiantuntevista evästekirjoituksista. sekä WordPress-/WooCommerce-aiheisesta Facebook-ryhmästä WPWoofi. Laita linkit seurantaan ja liity mukaan ryhmään, jos haluat pysyä ajan tasalla evästeistä ja tietosuojaan liittyvistä asioista!
Tykkäsitkö sisällöstä? Voit jakaa sivun eteenpäin:
Facebook Twitter LinkedInTietoa kirjoittajasta
Heidi Valtonen (FM, medianomi AMK) on Vida Design Oy:n yrittäjä, joka innostuu uusien asioiden oppimisesta. Halu tehdä asioita oikein on saanut Heidin uppoutumaan niin verkkosivujen evästeiden kuin saavutettavuusvaatimusten maailmaan. Lue lisää Heidistä.