Kirjoitus on laadittu 20.10.2021 vallinneen tilanteen valossa. Evästekyselyitä koskevat ohjeet muuttuvat rivakasti, ja kirjoitus voi sisältää vanhentunutta tietoa.
EU:n yleinen tietosuoja-asetus, joka on tullut paremmin tunnetuksi lyhennyksestään GDPR, sai jo ennen voimaantuloaan valtavasti huomiota ympäri Suomen. Tähän huomioon vaikuttivat monet asiat. Euroopan Unionista ei ole aiemmin juuri tullut suoraan velvoittavaa lainsäädäntöä, ja erityisesti mediaseksikäs jättisakkojen uhka sai lehdistön kiinnostumaan aiheesta.
Koska asetuksesta ei ollut oikeuskäytäntöä, sen tulkinta on ollut hyvin villiä. Myös Suomen tietosuojaviranomainen on muuttanut tulkintaansa useaan otteeseen erityisesti evästekäytäntöjä koskien, ja tämä on aiheuttanut verkkosivustojen kehittäjille ja ylläpitäjille päänvaivaa.
Viitekehys evästeiden ja tietosuoja-asetuksen ympärillä on siinä, että evästeiden avulla muodostetaan henkilörekisteri, vaikkakin usein vain teknisiä tietoja sisältävä. Nämä tiedot yhtä kaikki mahdollistavat käyttäjän yksilöinnin, ja siksi kyse on henkilörekisteristä.
Viimeisin Traficomin antama evästeohjeistus on annettu 13.9.2021, ja tätä kirjoittaessa suurin osa suomalaisista evästekyselyistä on tuon ohjeistuksen valossa tehty väärin. Ohjeistus on tietysti viranomaisen laintulkintaa, eikä sinällään velvoittava, mutta yleensä ei mennä kovin pahasti metsään, jos viranomaisohjeita noudatetaan.
Käyn tässä kirjoituksessa läpi muutamat, aivan yleisimmät ja keskeisimmät virheet.
Välttämättömät evästeet
Ensin muutama perusasia: välttämättömien evästeiden käyttöön ei tarvitse kysyä lupaa. Välttämättömiä ovat evästeet, joita ilman sivustolla ei voi tehdä sitä, mitä sillä on tarkoitus tehdä. Mitä nämä evästeet ovat, riippuu tietysti sivustosta. Verkkokauppa tarvitsee ostoskori-evästeet, chat-sivusto tarvitsee chat-evästeet. Mutta tuotekatalogi ei chat-evästeitä tarvitse.
Tarkoitus on tietysti käyttäjälähtöistä. Käyttäjän on tarkoitus tehdä ostoksia. Se, että sivuston ylläpitäjän on tarkoitus kerätä markkinointietoja, ei täytä tätä vaadetta. Välttämättömyyden arviointi on aina tapauskohtaista ja siinä kannattaa kuulla oman yhteistyökumppanin näkymystä, sillä heillä on usein vakiintunut tulkintansa, jota soveltavat asiakkailleen laajasti.
Omana mielipiteenäni esitän, että välttämättömistä evästeistä ei myöskään saisi kysyä suostumusta.
Perustelen;
Evästekyselyissä usein ilmiselvän tarkoituksellisesti hämärretään rajaa siitä, mikä on välttämätöntä ja mikä ei. Käyttäjältä saatetaan kysyä lupaa evästeiden käyttöön sen takia, että käyttäjää voidaan palvella ja hoitaa hyvin.
Tosiasiassa käyttäjä tulee samalla hyväksyneeksi markkinointiin, analytiikkaan ja vaikka mihin muuhun asiaan liittyvät evästeet, jotka eivät liity millään tavalla siihen, mistä käyttäjälle puhuttiin.
On huomioitavaa, että oma näkemykseni on ristiriidassa Traficomin ohjeistuksen kanssa, joka suosittelee informoimaan evästeistä silloinkin, kun niihin ei vaadita suostumusta. Itse näkisin, että välttämättömien evästeiden ja muiden evästeiden rajanvedon pitäisi olla käyttäjälle mahdollisimman selkeää.
Neutraliteetti
Miltei kaikki verkkosivut kompastuvat neutraliteettivaatimuksen kanssa. Evästeiden hyväksymistä ei saa tehdä helpommaksi kuin hylkäämistä. Ei millään tavalla.
Hyväksymiselle ei saa käyttää vihreää väriä, jos hylkäämiselle käytetään punaista. Hyväksymispainike ei saa olla hylkäämispainiketta suurempi. Hylkäämistä ei saa piilottaa valikoiden taakse, eikä millään muullakaan tavalla sitä vaikeuttaa jne.
Todella usein evästeilmoituksista tulee mieleen totalitaarisen valtion kansanäänestys, jossa väärä vastaus on pienellä alakulmassa, ettei sitä vain kukaan valitsisi.
Mahdollisuus suostumuksen perumiseen
Jos sivusto onnistuukin neutraliteettivaatimuksen täyttämisessä, se hyvin usein kompastuu perumisvaateen kanssa. Käyttäjän pitää nimittäin pystyä peruuttamaan antamansa suostumus yhtä helposti, kuin se annettiin.
Käytännössä tämä tarkoittaa jonkinlaisen kelluvan valikon tai painikkeen jättämistä sivustolle, jotta suostumus voidaan peruuttaa.
Oma tarinansa on se, että tekevätkö perumispainikkeet oikeasti mitään. Niiden nimittäin tulee oikeasti myös poistaa asetetut evästeet, yhtä lailla kun suostumuspainikkeet eivät saa asettaa evästeitä ennen niiden hyväksyntää.
On hyvin yleistä, että evästekyselyt eivät oikeasti tee yhtään mitään. Evästeet asetetaan, painoi käyttäjä mitä tahansa.
Tässä ei ole kyse niinkään välinpitämättömyydestä tai huijaamisesta. Kyse on siitä, että verkkokehityksessä ei ole aiemmin ollut tarvetta toteuttaa minkäänlaista keskitettyä evästeiden hallintaa, vaan evästeitä on aseteltu käyttäjälle sitä mukaa kun niitä on tarvittu. Nämä kaikki vanhat logiikat täytyy etsiä ja koodata uudelleen.
Osoittamisvelvoite
Ja kaiken tämän kyselyn päälle rekisterinpitäjän tulee vielä jotenkin kyetä osoittamaan ja yksilöimään käyttäjältä saatu hyväksyntä, ja säilyttää tätä asiaa koskevia tietoja vain tarkoituksenmukaisen ajan.
Jos nyt kaikki muu onnistuisikin, niin viimeistään tässä vaiheessa mennään metsään.
Lopputulos
Kustannuksia ja työtä on edessä – siitä ei valitettavasti pääse mihinkään. Hopeareunus on sentään siinä, että asian voi hoitaa hyvin nopealla miniprojektilla kun tietää, mitä tekee.
Verkkosivustoja pitävien organisaatioiden on jokaisen omalla kohdallaan pohdittava, miten uuteen ohjeistukseen suhtautuvat ja mitä se tarkoittaa heidän toimintansa kannalta. Yhteisön tietosuojavastaava on avainpeluri, jonka tulisi toimia asiassa unilukkarina, ja vähintäänkin vahvana osallistujana asiaa pohdittaessa.
Ensimmäinen asia on tietysti selvittää, mitä evästeitä sivusto ylipäätänsä asettaa. Monessa tapauksessa tulee yllätyksenä, että esimerkiksi YouTube-upotukset asettavat tietyllä tavalla toteutettuna YouTuben evästeitä käyttäjälle. Paljon muitakin yllätyksiä on odotettavissa.
Useimmissa tapauksissa pohdintaan tulevat ennen muuta markkinointiin ja analytiikkaan liittyvät evästeet. Näitä evästeitä ei millään ilveellä voi tulkita välttämättömiksi, ja niiden asettamiseen tarvitaan käyttäjän suostumus.
On pohdittava:
- Saadaanko analytiikkaevästeillä oikeasti sellaista tietoa, joka on käyttäjien kiusaamisen väärti.
- Tuottavatko markkinointievästeet sellaista lisäarvoa, että se on käyttäjien kiusaamisen väärti.
- Koska suuri osa käyttäjistä hylkää evästeet joka tapauksessa, vääristyvätkö kohdan 1 ja 2 hyödyt.
Analytiikan voi ratkaista jossain määrin myös palvelimen tietoja jalostamalla. Tietysti tieto ei ole aivan yhtä viimeisteltyä, mutta käyttökelpoista se joka tapauksessa on.
Itse ajattelen evästeiden kyselyn käyttäjien tarpeettomana kiusaamisena, johon tulisi ryhtyä vain jos evästeistä saatava hyöty ylittää käyttäjäkokemuksen heikentymisestä syntyvän haitan. Asiaa voi toki katsoa myös toisin: eräässä tapauksessa organisaatio halusi toteuttaa sivustolleen evästekyselyn, vaikka sivustolla ei käytettykään evästeitä. He katsoivat, että ammattitaitoisesti ja oikein tehty evästekysely antaa organisaatiosta ammattitaitoisen kuvan, vaikka evästeitä ei (vielä) taustalla olisikaan.
Ei tuokaan tulkinta väärä ole.
Lisää lukemista:
Perttu Tolvanen / Vierityspalkki – 8.7.2021 – Traficom taipui – valmistelee evästeohjeistuksen päivitystä
Perttu Tolvanen / Vierityspalkki – 27.7.2021 – Traficom pyytää lausuntoja uuden evästeohjeistuksen luonnoksesta
Perttu Tolvanen / Vierityspalkki – 17.8.2021 – Evästebannerin tekninen toteutus on usein haastavaa
