Pitääkö evästekäytännöistä tiedottaa ponnahdusikkunan avulla?

Lyhyt vastaus: EI PIDÄ.

Ponnahdusikkunat ovat ärsyttäviä

Tämä ponnahdusikkuna-asia on tullut esille monessa GDPR-aihetta sivuavassa koulutuksessa. Jollakin saattaa jopa olla käsitys, että GDPR tarkoittaa ponnahdusikkunaa, jossa lukee:

Tämä sivusto käyttää evästeitä palveluiden toimittamisessa, mainosten personoinnissa ja liikenteen analysoinnissa. Sivuston käyttötiedot lähetetään sinne ja tänne. Käyttämällä sivustoa hyväksyt evästeiden käytön.” Lisätietoa ja Selvä -painikkeet.

Ja parhaimmillaan tämä samainen teksti pomppaa esiin jokaisella saman sivuston yksittäisellä sivulla. On todella rasittavaa sulkea niitä jatkuvasti. Joten jos mahdollista, toteuta evästeilmoitus jollakin muulla tavalla! 

Suositeltava tapa tiedottaa evästeistä

Voit luoda erillisen sivun, jossa kerrot evästekäytännöistä. Laita linkki vaikka sivujesi alareunaan, niin kävijä löytää sen sieltä, mikäli se häntä kiinnostaa.

Evästekäytännöistä ilmoittaminen on pakollista, mikäli sivustolla käytetään evästeitä. Ja yleensä käytetään.

Mutta GDPR edellyttää että evästekäytännöistä tiedotetaan ponnahdusikkunan kautta?

Väärin. Ei edellytä. Viestintäviraston sivulla lukee näin:

Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Viestintävirasto

Täytyykö evästeiden käytöstä tiedottaa ponnahdusikkunassa?

Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. (Viestintävirasto 2018)

Lisätietoa aiheesta Viestintäviraston sivuilla.

 

Mitä ne evästeet muuten ovat?

Evästeet (englanniksi cookies) ovat tietoja, jotka tallentuvat automaattisesti kävijän koneelle, kun hän vierailee sivustolla.

Evästeet eivät ole vaarallisia eikä niiden kautta voi kerätä koneeltasi mitään henkilökohtaista tietoa – ainoastaan tietyn sivun käyttöön liittyvää tietoa. Tämän tiedon perusteella sivuston ylläpitäjä ei esimerkiksi pysty näkemään, kuka sivuilla on käynyt.

Jos seuraat sivujesi käyttöä Google Analyticsin kautta, sekin asentaa kävijän selaimeen evästeen. Sen ansiosta pystyt näkemään kävijätiedoista esimerkiksi moniko kävijä on käynyt sivuillasi aiemmin ja moniko on ensimmäistä kertaa siellä, kuinka kauan kävijä viipyy sivuilla ja mitä sivuja hän selaa.

Jos sivustolla käytetään seurantaa, jonka keräämät tiedot päätyvät kolmansille osapuolille, lupa tulee kuitenkin pyytää. Yleinen esimerkki on esim. uudelleenmarkkinointi siten, että kun kävijä on käynyt nettisivuillasi tai verkkokaupassasi, hän näkee sen jälkeen sinun mainoksiasi vaikkapa Googlen Display-verkostossa tai Facebookissa. Tällaiset markkinoinnin kohdentamiseen liittyvät toiminnot edellyttävät myös evästeiden käyttöä.

Jos sinulla ei ole Analyticsin mainontaominaisuuksia käytössä, et tee esimerkiksi Google Ads -mainontaa, display-mainontaa tai käytä Facebook-pikseliä, niin silloin todennäköisesti et käytä sellaista seurantaa, joka edellyttää luvan pyytämistä. Paitsi että 15.5.2020 julkaistun tiedotteen mukaan pitäisikin olla lupa vaikka käyttää pelkästään Analyticsiä – mutta suostumusta ei tässä tarvita evästeiden käyttöön, vaan kävijäseurantaan – tästä kevään aikana tiedotetusta asiasta lisää parin kappaleen päässä lisäyksessä*.

Mutta jos käytät sellaista seurantaa, joka edellyttää aktiivista luvan kysymistä käyttäjältä, ei pelkkä ponnahdusikkuna riitä, vaan toteutus täytyy tehdä niin, että jos kävijä ei tosiaan hyväksy esim. mainonnan kohdennusevästeitä, niin näitä kohdennusevästeitä ei sitten myöskään asenneta.  Jos kävijä ei anna lupaa, seuranta ei myöskään saa mennä päälle. Eli tällöin ei riitä se perinteinen ”Käytämme evästeitä, hyväksytkö” ja klikkaa sitten OK tai ei, niin sama seuranta menee päälle. Eli se kaikista yleisin tapa.

Esimerkiksi omilla nettisivuillani ei ole pop-uppia enkä kysy lupaa evästeiden käyttöön, koska en tarvitse seurantaa, jota voisin hyödyntää markkinoinnissa. En tee esimerkiksi bannerimainontaa eikä käytössä ole Facebook-pikseliä. Analyticsin mainontaominaisuudet ovat poissa käytöstä. Sivuillani ei ole mainosverkoston mainoksia, jotka näkyisivät sillä perusteella, millä nettisivuistoilla kävijät ovat vierailleet. Tosin sivuillani on upotettuja YouTube-videoita, joka puolestaan asentaa omat evästeensä, mikäli kyseisiä videoita katsotaan. Tästä olen maininnut omassa tietosuojaselosteessani.

*Lisäys 18.5.2020

(Tästä eteenpäin olevat kappaleet on lisätty siis 18.5.2020.)

Kaksi vuotta tämän artikkelin julkaisun jälkeen lähes kaikille nettisivujensa päivittäjälle on edelleen epäselvää, milloin kävijältä täytyy pyytää lupa evästeiden käyttöön. Suomessa asiaa on tulkittu eri tavalla kuin Euroopassa, jossa on jaeltu isoja sakkojakin.

EU-tuomioistoimen 1.10.2019 tekemän päätöksen jälkeen Viestintäviraston/Kyberturvallisuuskeskuksen sivuille on tullut lisätietoa siitä, milloin eväisteiden käyttöön on kysyttävä lupa. Sivujen toiminnan kannalta välttämättömien evästeiden käyttöön ei tarvitse kysyä käyttäjän suostumusta, mutta kaikkeen muuhun pitää. Vielä 2017/2018 evästesääntöjä haluttiin yksinkertaistaa ja keventää ja Euroopan komission lehdistötiedotteessakin mainittiin mm. että ”suostumusta ei myöskään enää edellytetä, jos kyseessä ovat kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet”.  Myös ePrivacy-asetuksessa mainittiin, että ”suostumus voidaan ilmaista käyttämällä internetiin pääsyn mahdollistavan ohjelmistosovelluksen asianmukaisia teknisiä asetuksia”. Apulaistietosuojavaltuutettu ohjeistaa kuitenkin nyt toisin, kun Euroopan tietosuojaneuvosto päivitti ohjeensa suostumukseen liittyen toukokuun alussa.

Kyberturvallisuuskeskuksen sivuilla lukee nyt myös näin:

EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus, joka korvaa valmistuttuaan sähköisen viestinnän tietosuojadirektiivin ja sähköisen viestinnän palveluista annetun lain evästeitä koskevan sääntelyn. Komission asetusehdotuksen mukaan suostumus evästeiden tallentamiseksi käyttäjän päätelaitteelle voitaisiin ilmaista käyttämällä asianmukaisia verkkoselaimen tai muun sovelluksen asetuksia. Lainsäädäntömenettely EU:ssa on vielä kesken, eikä asetuksen lopullisesta sisällöstä ja valmistumisaikataulusta ole vielä varmuutta.

Sitä odotellessa – olisikin siis ihan kiva, jos kävijä voisi selaimen kautta valita esimerkiksi, haluaako vastaanottaa kohdennettua mainontaa vaiko ei. Tokihan nykyäänkin voi selaimensa asetuksista sallia ja estää evästeiden käyttöä sivustokohtaisesti, mutta voisihan se olla helpompaakin.

Joka tapauksessa yritysten tulee olla kartalla siitä, millaista tietoa nettisivukävijöistä kerätään ja miten niitä käsitellään. Joka sivustolla ja joka yrityksessä asiat tehdään eri tavalla, joten tietojen käsittely (missä, miten, kuinka kauan…) ja GDPR:n mukaiset toimenpiteet (esim. tarvitseeko kysyä lupaa kävijältä, täytyykö sittenkin laittaa pop-up jne.) pitää pohtia itse. Tämä ei välttämättä ole helppoa, koska harva yrittäjä tai nettisivujen päivittäjä on perehtynyt näihin asioihin.

*Lisäys 9.6.2020: Oppilan sivuilla erinomainen artikkeli, jossa on hyvin käytännönläheisesti selitetty 15.5.2020 tapahtuneista muutoksista evästekäytännöissä ja niiden ilmoittamisessa. Kannattaa lukea! Linkki: Evästeilmoitukset ärsyttävät mutta eivät ole enää vain ilmoitusasia.

Tarvitsetko apua GDPR-asioiden kanssa?

Haluatko toimia oikein? Kannattaa kysyä apua tietosuojan asiantuntijalta, jonka kanssa asiat on mahdollista käydä läpi yrityskohtaisesti tietosuoja-asetuksen velvoitteiden suorittamiseksi. Jos etsit tietosuoja-asiantuntijaa, tutustu Tikkasec Oy.

Miten pop-up kannattaa toteuttaa?

Jos sivuillasi käytetään sellaista seurantaa, joka edellyttää lupaa sivujen kävijältä, pop-up-toiminnon asentaminen ja luvan kysyminen ei välttämättä ole se vaikein juttu. WordPressiin on olemassa lisäosia, esim. https://wordpress.org/plugins/gdpr-cookie-compliance/ , jonka avulla voit hoitaa lupien kysymisen. Sinun täytyy kuitenkin tietää, mihin kysyt lupaa, ja osata kertoa, mihin ja miten käytät keräämääsi tietoa.

Kiinnostaako GDPR? Lue lisää aiheesta:

GDPR ei ole pop-up-ikkuna

GDPR ja nettisivut

GDPR ja uutiskirjeet

GDPR-ohjeet selkokiellä

GDPR – liian vaikeaa – toisesta korvasta sisään, toisesta ulos

Top 10 postausta GDPR-tietosuoja-asetuksesta (Tiia Konttisen blogissa)

Älä kysy lupaa evästeisiin – kysy lupaa mainosverkostojen trackereihin (linkki lisätty 18.5.2020, Perttu Tolvasen artikkeli Vierityspalkin blogissa)

Evästeilmoitukset ärsyttävät mutta eivät ole enää vain ilmoitusasia (linkki lisätty 9.6.2020, Taina Norhan artikkeli Oppilan blogissa)