Evästeet ja ponnahdusikkunat.

Pitääkö evästekäytännöistä tiedottaa ponnahdusikkunan avulla?

Artikkeli on kirjoitettu vuonna 2018 ja tuolloin lyhyt vastaus oli “EI PIDÄ”. Vuosien varrella tilanne on muuttunut – lue eteenpäin evästekäytäntöjen kehittymisestä ja tämänhetkisestä tilanteesta!

Ponnahdusikkunat ovat ärsyttäviä

Tämä ponnahdusikkuna-asia on tullut esille monessa GDPR-aihetta sivuavassa koulutuksessa. Jollakin saattaa jopa olla käsitys, että GDPR tarkoittaa ponnahdusikkunaa, jossa lukee:

Tämä sivusto käyttää evästeitä palveluiden toimittamisessa, mainosten personoinnissa ja liikenteen analysoinnissa. Sivuston käyttötiedot lähetetään sinne ja tänne. Käyttämällä sivustoa hyväksyt evästeiden käytön.” Lisätietoa ja Selvä -painikkeet.

Ja parhaimmillaan tämä samainen teksti pomppaa esiin jokaisella saman sivuston yksittäisellä sivulla. On todella rasittavaa sulkea niitä jatkuvasti. Joten jos mahdollista, toteuta evästeilmoitus jollakin muulla tavalla! 

Suositeltava tapa tiedottaa evästeistä

Voit luoda erillisen sivun, jossa kerrot evästekäytännöistä. Laita linkki vaikka sivujesi alareunaan, niin kävijä löytää sen sieltä, mikäli se häntä kiinnostaa.

Evästekäytännöistä ilmoittaminen on pakollista, mikäli sivustolla käytetään evästeitä. Ja yleensä käytetään.

Mutta GDPR edellyttää että evästekäytännöistä tiedotetaan ponnahdusikkunan kautta?

Väärin. Ei edellytä. Viestintäviraston sivulla lukee näin:

Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Viestintävirasto

Täytyykö evästeiden käytöstä tiedottaa ponnahdusikkunassa?
Vuonna 2018 Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadittu erillistä ponnahdusikkunaa. (Kuvakaappaus: Viestintävirasto 2018)

Lisätietoa aiheesta Viestintäviraston sivuilla.

Mitä ne evästeet muuten ovat?

Evästeet (englanniksi cookies) ovat tietoja, jotka tallentuvat automaattisesti kävijän koneelle, kun hän vierailee sivustolla.

Evästeet eivät ole vaarallisia eikä niiden kautta voi kerätä koneeltasi mitään henkilökohtaista tietoa – ainoastaan tietyn sivun käyttöön liittyvää tietoa. Tämän tiedon perusteella sivuston ylläpitäjä ei esimerkiksi pysty näkemään, kuka sivuilla on käynyt.

Jos seuraat sivujesi käyttöä Google Analyticsin kautta, sekin asentaa kävijän selaimeen evästeen. Sen ansiosta pystyt näkemään kävijätiedoista esimerkiksi moniko kävijä on käynyt sivuillasi aiemmin ja moniko on ensimmäistä kertaa siellä, kuinka kauan kävijä viipyy sivuilla ja mitä sivuja hän selaa.

Jos sivustolla käytetään seurantaa, jonka keräämät tiedot päätyvät kolmansille osapuolille, lupa tulee kuitenkin pyytää. Yleinen esimerkki on esim. uudelleenmarkkinointi siten, että kun kävijä on käynyt nettisivuillasi tai verkkokaupassasi, hän näkee sen jälkeen sinun mainoksiasi vaikkapa Googlen Display-verkostossa tai Facebookissa. Tällaiset markkinoinnin kohdentamiseen liittyvät toiminnot edellyttävät myös evästeiden käyttöä.

Jos sinulla ei ole Analyticsin mainontaominaisuuksia käytössä, et tee esimerkiksi Google Ads -mainontaa, display-mainontaa tai käytä Facebook-pikseliä, niin silloin todennäköisesti et käytä sellaista seurantaa, joka edellyttää luvan pyytämistä. Paitsi että 15.5.2020 julkaistun tiedotteen mukaan pitäisikin olla lupa vaikka käyttää pelkästään Analyticsiä – mutta suostumusta ei tässä tarvita evästeiden käyttöön, vaan kävijäseurantaan – tästä kevään aikana tiedotetusta asiasta lisää parin kappaleen päässä lisäyksessä*.

Mutta jos käytät sellaista seurantaa, joka edellyttää aktiivista luvan kysymistä käyttäjältä, ei pelkkä ponnahdusikkuna riitä, vaan toteutus täytyy tehdä niin, että jos kävijä ei tosiaan hyväksy esim. mainonnan kohdennusevästeitä, niin näitä kohdennusevästeitä ei sitten myöskään asenneta.  Jos kävijä ei anna lupaa, seuranta ei myöskään saa mennä päälle. Eli tällöin ei riitä se perinteinen “Käytämme evästeitä, hyväksytkö” ja klikkaa sitten OK tai ei, niin sama seuranta menee päälle. Eli se kaikista yleisin tapa.

Esimerkiksi omilla nettisivuillani ei ole pop-uppia enkä kysy lupaa evästeiden käyttöön, koska en tarvitse seurantaa, jota voisin hyödyntää markkinoinnissa. En tee esimerkiksi bannerimainontaa eikä käytössä ole Facebook-pikseliä. Analyticsin mainontaominaisuudet ovat poissa käytöstä. Sivuillani ei ole mainosverkoston mainoksia, jotka näkyisivät sillä perusteella, millä nettisivuistoilla kävijät ovat vierailleet. Tosin sivuillani on upotettuja YouTube-videoita, joka puolestaan asentaa omat evästeensä, mikäli kyseisiä videoita katsotaan. Tästä olen maininnut omassa tietosuojaselosteessani.

*Lisäys 18.5.2020

(Tästä eteenpäin olevat kappaleet on lisätty siis 18.5.2020.)

Kaksi vuotta tämän artikkelin julkaisun jälkeen lähes kaikille nettisivujensa päivittäjälle on edelleen epäselvää, milloin kävijältä täytyy pyytää lupa evästeiden käyttöön. Suomessa asiaa on tulkittu eri tavalla kuin Euroopassa, jossa on jaeltu isoja sakkojakin.

EU-tuomioistoimen 1.10.2019 tekemän päätöksen jälkeen Viestintäviraston/Kyberturvallisuuskeskuksen sivuille on tullut lisätietoa siitä, milloin eväisteiden käyttöön on kysyttävä lupa. Sivujen toiminnan kannalta välttämättömien evästeiden käyttöön ei tarvitse kysyä käyttäjän suostumusta, mutta kaikkeen muuhun pitää. Vielä 2017/2018 evästesääntöjä haluttiin yksinkertaistaa ja keventää ja Euroopan komission lehdistötiedotteessakin mainittiin mm. että “suostumusta ei myöskään enää edellytetä, jos kyseessä ovat kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet”.  Myös ePrivacy-asetuksessa mainittiin, että “suostumus voidaan ilmaista käyttämällä internetiin pääsyn mahdollistavan ohjelmistosovelluksen asianmukaisia teknisiä asetuksia”. Apulaistietosuojavaltuutettu ohjeistaa kuitenkin nyt toisin, kun Euroopan tietosuojaneuvosto päivitti ohjeensa suostumukseen liittyen toukokuun alussa.

Kyberturvallisuuskeskuksen sivuilla lukee nyt myös näin:

EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus, joka korvaa valmistuttuaan sähköisen viestinnän tietosuojadirektiivin ja sähköisen viestinnän palveluista annetun lain evästeitä koskevan sääntelyn. Komission asetusehdotuksen mukaan suostumus evästeiden tallentamiseksi käyttäjän päätelaitteelle voitaisiin ilmaista käyttämällä asianmukaisia verkkoselaimen tai muun sovelluksen asetuksia. Lainsäädäntömenettely EU:ssa on vielä kesken, eikä asetuksen lopullisesta sisällöstä ja valmistumisaikataulusta ole vielä varmuutta.

Sitä odotellessa – olisikin siis ihan kiva, jos kävijä voisi selaimen kautta valita esimerkiksi, haluaako vastaanottaa kohdennettua mainontaa vaiko ei. Tokihan nykyäänkin voi selaimensa asetuksista sallia ja estää evästeiden käyttöä sivustokohtaisesti, mutta voisihan se olla helpompaakin.

Joka tapauksessa yritysten tulee olla kartalla siitä, millaista tietoa nettisivukävijöistä kerätään ja miten niitä käsitellään. Joka sivustolla ja joka yrityksessä asiat tehdään eri tavalla, joten tietojen käsittely (missä, miten, kuinka kauan…) ja GDPR:n mukaiset toimenpiteet (esim. tarvitseeko kysyä lupaa kävijältä, täytyykö sittenkin laittaa pop-up jne.) pitää pohtia itse. Tämä ei välttämättä ole helppoa, koska harva yrittäjä tai nettisivujen päivittäjä on perehtynyt näihin asioihin.

*Lisäys 9.6.2020: Oppilan sivuilla erinomainen artikkeli, jossa on hyvin käytännönläheisesti selitetty 15.5.2020 tapahtuneista muutoksista evästekäytännöissä ja niiden ilmoittamisessa. Kannattaa lukea! Linkki: Evästeilmoitukset ärsyttävät mutta eivät ole enää vain ilmoitusasia.

Monista evästeistä siis on ilmoitettava sivujen käyttäjälle ja tiettyjen evästeiden asentamiseen on saatava käyttäjältä lupa.

Entä vuonna 2021?

*Lisäys 1.8.2021: Lue hyvä kirjoitus aiheeseen liittyen Digitoimisto Duden sivuilta: Keksisota on hävitty – kysy käyttäjän suostumus evästeisiin, jos haluat pelata varman päälle.

Tarvitsetko apua GDPR-asioiden kanssa?

Haluatko toimia oikein? Kannattaa kysyä apua tietosuojan asiantuntijalta, jonka kanssa asiat on mahdollista käydä läpi yrityskohtaisesti tietosuoja-asetuksen velvoitteiden suorittamiseksi. Jos etsit tietosuoja-asiantuntijaa, tutustu Tikkasec Oy.

Miten pop-up kannattaa toteuttaa?

Jos sivuillasi käytetään sellaista seurantaa, joka edellyttää lupaa sivujen kävijältä, pop-up-toiminnon asentaminen ja luvan kysyminen ei välttämättä ole se vaikein juttu. WordPressiin on olemassa lisäosia, esim. https://wordpress.org/plugins/gdpr-cookie-compliance/ , jonka avulla voit hoitaa lupien kysymisen. Sinun täytyy kuitenkin tietää, mihin kysyt lupaa, ja osata kertoa, mihin ja miten käytät keräämääsi tietoa.

Kiinnostaako GDPR? Lue lisää aiheesta:

GDPR ei ole pop-up-ikkuna

GDPR ja nettisivut

GDPR ja uutiskirjeet

GDPR-ohjeet selkokiellä

GDPR – liian vaikeaa – toisesta korvasta sisään, toisesta ulos

Top 10 postausta GDPR-tietosuoja-asetuksesta (Tiia Konttisen blogissa)

Älä kysy lupaa evästeisiin – kysy lupaa mainosverkostojen trackereihin (linkki lisätty 18.5.2020, Perttu Tolvasen artikkeli Vierityspalkin blogissa)

Evästeilmoitukset ärsyttävät mutta eivät ole enää vain ilmoitusasia (linkki lisätty 9.6.2020, Taina Norhan artikkeli Oppilan blogissa)

Näitä vinkkejä saa laittaa jakoon!

4 Kommenttia

  1. Onko tosiaan niin, ettei tarvitse olla ponnahdusikkunaa jatkossakaan? Viestintäviraston sivulla, johon viittaat, lukee “Tässä ohjeistuksessa ei ole vielä huomioitu muuttuvan EU-sääntelyn mahdollisia vaikutuksia evästeiden käyttöön. EU:n yleistä tietosuoja-asetusta (EU) 2016/679 sovelletaan 25.5.2018 alkaen.”

    1. Hei! Hyvä kysymys. Oletuksena sitä ei tarvita – käyttäjä voi itse estää evästeiden käytön selaimessaan (ja hyväksyä vain ne jotka haluaa hyväksyä).

      Uusi ePrivacy-asetus, 8 artiklan 1 kohta: “Suostumus voidaan ilmaista käyttämällä internetiin pääsyn mahdollistavan ohjelmistosovelluksen asianmukaisia teknisiä asetuksia.”

        1. Itse tarkoitin sitä, että yrityksen nettisivuilla tai verkkokaupassa, tai vaikkapa bloggaajan blogissa ei tarvitse olla eväste-pop-uppia. Jos sivuston toiminta edellyttää evästeitä (esim. verkkokaupassa ostoskoritoiminto), evästeistä ei tarvitse ilmoittaa pop-upilla. Jos evästeitä käytetään esim. kävijämäärän laskentaan, evästeilmoitusta ei silloinkaan tarvita.

          Ja tuo artiklan kohta, johon viittasin, tarkoittaa sitä, että jos käyttäjä itse on hyväksynyt evästeiden käytön selaimessaan (eli ei ole estänyt evästeitä selaimensa asetuksissa), niin tämä riittää suostumukseksi – käyttäjä on silloin antanut luvan. Jos käyttäjä ei halua, että hänen selaimeensa tulee evästeitä, hän voi itse estää tämän selaimensa asetuksista.

          Mutta jos käyttäjistä kerätään tarkempaa tietoa, tietoja yhdistellään, käyttäjiä profiloidaan, tai käyttäjiä on jopa mahdollista tunnistaa – silloin käyttäjältä täytyy saada hyväksyntä. Odotankin innokkaana, josko pian vaikkapa Tietosuojavaltuutetun toimistosta halutaan kertoa, missä tapauksissa esim. pop-up-evästeilmoitus tarvitaan. Päivitän tietoa sitten myös omaan blogiini.

          Aiheesta lisää Verkkokauppablogissa: Evästelaatikot jäävät historiaan
          sekä Vierityspalkissa: Älä kysy lupaa evästeisiin

Kommentit on suljettu.