EU:n tietoja-asetuksen eli GDPR:n voimaantulosta on nyt kulunut kaksi vuotta. Pirujen maalailuun ja kauhisteluun perustuvan julkisen GDPR-keskustelun jälkeen moni viettäisi mieluummin viikon jalkapuussa kuin kuulisi enää sanaakaan Privacy Shieldistä tai evästeistä. Älä kuitenkaan luovuta. Nyt nimittäin on juuri se hetki, kun evästeiden hallintaan täytyy oikeasti kiinnittää huomiota, ja tämä koskee ihan jokaista verkkosivustoa.
Evästeet ovat pieniä pätkiä tietoa, joita verkkosivusto (tai tarkemmin sivuston ylläpitäjän palvelin) tallentaa jatkoa varten muistiin käyttäjän tietokoneelle. Osa evästeistä on välttämättömiä palvelun toiminnan kannalta, kuten se, että monisivuisen lomakkeen tiedot tallennetaan sivulatausten välillä ennen niiden lopullista lähettämistä. Toiset evästeet saattavat olla vähemmän tärkeitä, mutta joskus hyödyllisiä: kun näet juuri itsellesi kohdistetun mainoksen, on tieto alun perin tallennettu evästeeseen. Samoin myös Google Analytics -mittaus ja muut selainpohjaiset mittaustyökalut vaativat evästeitä toimiakseen.
GDPR nosti evästeet yleiseen keskusteluun sisältämällä määritelmän, että myös evästeet voivat olla henkilötietoja. Niinpä sivuston käyttäjällä täytyy olla mahdollisuus vaikuttaa siihen, millaisia evästeitä heistä koneelle tallennetaan. Asia on nyt muuttunut erityisen ajankohtaiseksi, sillä apulaistietosuojavaltuutetun ratkaisu suostumuksen pyytämisestä on nyt muuttunut lainvoimaiseksi. Ratkaisu tarjoaa tulkinta-apua siihen, miten evästeitä tulee hallita.
Suomen viranomaisohjeistus ei valitettavasti ole evästehallinnassa tätä kirjoitettaessa täysin yksiselitteinen. Traficomilla on toimivalta ottaa kantaa siihen, mitkä evästeet ovat välttämättömiä palvelun kannalta ja mitkä edellyttävät suostumusta. Suostumuksen määritelmä sen sijaan perustuu tietosuoja-asetukseen, jota taas tulkitsee tietosuojavaltuutettu. Tällä hetkellä ohjeistukset näyttävät siltä, että Traficomin tulkinta riittävästä suostumuksesta olisi erilainen kuin tietosuojavaltuutetun, ja näistä kahdesta tietosuojavaltuutetun näkemys on tiukempi. Traficomin näkemystä on kuitenkin yleisesti pidetty melko sallivana muiden eurooppalaisten virainomaisten tulkintoihin verrattuna, eikä ole täysin poissuljettua, että siihenkin vielä tulisi tiukennuksia.
Jotta evästeiden hallinta saataisiin kerralla kuntoon, suosittelemme noudattamaan tiukempaa tulkintaa. Käytännössä näistä kolmesta asiasta kannattaa pitää huolta:
1. Informaatio
Ensin on varmistettava, että kävijälle on kerrottu sivustolla evästeiden tallennuksesta oikein ja riittävällä tasolla. Tämä kerrotaan sivuston tietosuojaselosteessa (Privacy Policy & Cookie Policy). Se, mikä on oikein ja riittävää, riippuu siitä, millaisia työkaluja sivustolla pyörii ja millaiseen tarpeeseen ne tallentavat evästeitä.
2. Suostumuksen pyytäminen
Suostumus evästeiden tallentamiseen kysytään meille kaikille jo tutuksi tulleella evästebannerilla. Tiedättehän: ”Sivustolla käytetään evästeitä, sallitko?” Nyt lainvoimaiseksi tulleen tuoreen linjauksen mukaan luvan kysymisessä on huomioitava nämä seikat:
- Käyttäjällä on oltava mahdollisuus kieltäytyä evästeistä helposti suoraan sivustolta. ”Jatkamalla sivuston käyttöä hyväksyt evästeet” -tyyppinen teksti ei siis riitä. Nykytulkinnan mukaan kuitenkin vaihtoehdot ”Hyväksyn” ja ”Muokkaa” riittävät bannerissa, erillistä ”En hyväksy mitään evästeitä” -painiketta ei tarvita.
- Käyttäjän on voitava muuttaa aiemmin tehtyä valintaa suoraan sivustolta. Ei siis riitä, että käyttäjä ohjataan tekemään muutoksia selaimen asetuksiin.
- Mitään muita kuin välttämättömiä evästeitä ei saa tallentaa ennen kuin käyttäjä on antanut suostumuksensa niihin. Tästä syystä evästebannerista kannattaa tehdä riittävän näkyvä, jotta käyttäjä huomaa sen, ja ymmärtää ottaa asiaan kantaa.
3. Evästeiden asettaminen suostumuksen mukaisesti
Pelkkä luvan pyytäminen ei riitä. Jotta asialla olisi mitään merkitystä, on luonnollisesti huolehdittava myös siitä, että lopulta evästeitä kerätään täsmälleen kävijän ilmoittamien preferenssien mukaan. Tämä jumppa voi olla joko yksinkertainen tai monimutkainen riippuen siitä, kuinka paljon erilaisia työkaluja sivustolle on asennettu ja montako eri verkkotunnusta firmalla on käytössään. Yhtä kaikki, tämä homma on tehtävä. Onneksi markkinoilla on hyviä consent management -työkaluja, joiden kautta himmelin hallinta on helpompaa. Alkujumpan jälkeen on lisäksi muistettava, että joka kerta, kun sivustolle otetaan uusi työkalu tai markkinointialusta käyttöön, on evästekäytännöt ulotettava myös siihen.
Kuten edellä olevasta kolmen kohdan listasta voi päätellä, evästeiden hallinta vaatii sekä lainopillista että digitaalista osaamista. Ja koska olemme datanörttejä emmekä lakimiehiä, Quru on evästehallinnassa partneroitunut tietosuoja-asioihin erikoistuneen lakitoimisto Iconicsin kanssa. Yhdessä pystymme varmistamaan sen, että verkkosivustosi evästehallinta on GDPR:n mukaisesti laillisella ja turvallisella pohjalla sekä sisällöllisesti että teknisesti.
Lue myös Iconicsin Nettisivujen tietosuoja kuntoon -kirjoitus evästeiden hallinnasta ja ota yhteyttä, niin pistetään evästeasia kerralla kuntoon!