Sivuston omistajan kannalta pelkkä evästeiden tallentaminen sivuston käyttäjän selaimeen ei vielä varsinaisesti saa aikaan mitään. Eväste on vain yksi tapa tallentaa tietoa sivuston saataville. Olennainen hyöty tulee siitä, miten evästeisiin tallennettua tietoa käytetään. Joskus tätä tietoa voidaan käyttää ihan vain sivuston käytön helpottamiseksi, esimerkiksi kävijän tekemän kielivalinnan tai ostoskorin sisällön muistamiseen. Joskus taas halutaan seurata sivuston kävijämäärää ja kohdentaa mainontaa sivustolla käyneille.
Siinä vaiheessa, kun evästeisiin tallennettu ja sieltä käyttöön otettu tieto on jollain lailla henkilöitä yksilöivää, toisin sanoen henkilötietojen käsittelyä, hypätään yleisen tietosuoja-asetuksen, GDPR:n, tontille. Näin tapahtuu jo yksinkertaisen kävijämäärän seurannan kanssa, puhumattakaan mainonnan kohdentamisesta. Ja jotta homma ei menisi liian helpoksi, on muistettava, että GDPR koskee myös muun kuin evästeillä kerätyn henkilötiedon käsittelyä. Myös palvelinpuolella tehtävät, ns. Server-side-tekniikoilla toteutetut kävijäseurannat ovat suostumuksenalaisia siltä osin, kun ne sisältävät henkilötiedoiksi luokiteltavia tietoja.
Kun sivuston omistaja haluaa henkilötiedoksi luokiteltavaa tietoa johonkin käyttää, tarvitaan siihen sivuston käyttäjän etukäteen annettu suostumus. Vaikka evästeiden käyttöä ja henkilötietojen käsittelyä säädelläänkin eri laeilla, on niillä yksi yhteinen tekijä: suostumuksen määritelmä.
Suostumuksen pitää olla aidosti vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Suostumuksen antamatta jättämisen pitää olla yhtä helppoa kuin suostumuksen antaminen. Suostumuksen pyytäminen niin evästeiden käyttöön kuin henkilötietojen käsittelyynkin on käytännössä kätevintä toteuttaa yhdellä ja samalla bannerilla, kunhan se vaan sisältää riittävät tiedot siitä, mihin suostumusta ollaan pyytämässä. Suostumuksesta voit lukea lisää Suomen tietosuojavaltuutetun toimiston sivuilta.
Suostumuksen osalta on tässä kohdin syytä pitää mielessä, että oikeutettuun etuun vetoaminen ei ole ilmainen ”Vapaudu vankilasta” -kortti. Henkilötietojen lähettäminen yhdysvaltalaisille digijäteille tai lukuisille erilaisille mainosverkostoille ei ole sellainen toimi, joka mahtuisi oikeutetun edun sallimaan huomattavan tärkeään ja perusteltuun syyhyn ja joka ei syrjäyttäisi rekisteröidyn (eli sivuston käyttäjän) etuja ja oikeuksia. Lisää oikeutetusta edusta Suomen tietosuojavaltuutetun toimiston sivuilla.
Yksityisyydensuojan varmistaminen sivustolla voi tuntua melkoiselta suolta, mutta on välttämätön osa sivuston ylläpitoa. Ohessa on muutama vinkki, jolla pääset alkuun.
1. Tunnista henkilötietojen käsittely ja evästeiden käyttö
Ihan ensimmäinen askel on tunnistaa minkälaista henkilötietojen käsittelyä ja evästeiden käyttöä sivuston käyttämiseen liittyy. Erilaisten yhteydenottolomakkeiden ja uutiskirjetilausten kautta saatavat tiedot ovat ilmiselviä henkilötietoja, mutta henkilötietoja kertyy muutakin kautta. Esimerkiksi erilaisten analytiikka- ja mainontajärjestelmien käyttämät selainkohtaiset tunnisteet luokitellaan henkilötiedoksi, niin myös yleisesti internet-liikenteessä tarvittavat IP-osoitteet. Jos käytät sivustollasi esimerkiksi Google Analyticsia tai Facebookin mittapikseliä, todennäköisesti käsittelet henkilötietoja useassa käyttötarkoituksessa.
Joskus henkilötietojen keräämistä ja evästeiden käyttöä löytyy yllättävistä paikoista. Kolmannelta osapuolelta hankitussa Chat-palvelussa tai sisällön suosittelupainikkeissa saattaa olla sisäänrakennettuna ihan oma käytön seurantansa, jonka lainmukaisuuden varmistaminen on kuitenkin viime kädessä sivuston omistajan vastuulla. Kaikki nämä tulee tunnistaa, jotta osataan pyytää niiden aiheuttamaan henkilötietojen käsittelyyn ja evästeiden käyttöön suostumus ja osataan tarjota sivuston käyttäjille niistä riittävät tiedot.
2. Kerää sivustolle riittävät tiedot henkilötietojen käsittelystä ja evästeistä
Kun henkilötietojen käsittelyn ja evästeiden käytön laajuus ja käyttötarkoitukset ovat selvillä, on aika koota sivustolle riittävät tiedot sivuston käyttäjien saataville. Kunnollinen tietosuojaseloste ja evästeseloste ovat nykyaikana välttämättömiä sisältöjä millä tahansa sivustolla. Samassa yhteydessä on hyvä tarkistaa, että sivustolla käytettävässä evästebannerissa, vai pitäisikö sanoa henkilötietobannerissa, on oikea sisältö suostumuksen tarpeeseen ja määritelmään nähden.
Riittävälle tiedonannolle ei ole olemassa mitään yksiselitteistä mallia, vaan asiasta saa kertoa jokseenkin omin sanoin. Tietosuojavaltuutetun toimisto tarjoaa jonkin verran ohjeita rekisteröidyn informoimiseksi. Evästeiden osalta ohjeita tarjoaa esimerkiksi tämä Traficomin evästeohjeistus
3. Laita sivuston kaikki toiminnot noudattamaan oikeaa suostumuksen tilaa
Viimeisenä, ja kenties tärkeimpänä vaiheena, on saattaa sivusto itse sekä kaikki sen liitännäisjärjestelmät noudattamaan annettua suostumusta ja erityisesti suostumuksen antamatta jättämistä. Olipa sitten kyseessä analytiikan järjestelmän kävijämittaus, sosiaalisen median mittapikselit ja jakopainikkeet, tai vaikka asiakaspalvelua tukeva chat-lisäosa; jos sen käyttöön liittyy henkilötietojen käsittelyä tai ei-välttämättömiä evästeitä, on käyttäjän valintaa suostumuksen antamisesta tai antamatta jättämisestä kunnioitettava.
Onko evästebannerissa puutteita, tai et ole varma, että meneekö kaikki suositusten mukaisesti? Lue Qurun palveluista, ja ota yhteyttä!