Yleinen tietosuoja-asetus (GDPR) on säädetty parantamaan EU-kansalaisten tietoturvaa ja yksityisyyden suojaa. Tietosuoja-asetuksen vaikutukset ponnahtavat verkkopalveluissa kirjaimellisesti silmille, kun kävijöiltä pyydetään suostumusta evästeiden käyttöön. Evästesuostumukseen vastaaminen on useimmiten ensimmäinen interaktio, jonka kävijä palvelussa tekee. Siksi sen käyttökokemukseen kannattaa kiinnittää erityistä huomiota.

Uudet ohjeistusluonnokset evästeisiin

Liikenne- ja viestintävirasto Traficom on yhteistyössä tietosuojavaltuutetun toimiston kanssa valmistellut palveluntarjoajille ja loppukäyttäjille tarkoitettuja ohjeistuksia evästekäytännöistä.

Palveluntarjoajille suunnatussa ohjeistuksessa kerrotaan yksityiskohtaisesti, miten palveluntarjoajien tulee toteuttaa evästekäytännöt ja mitä käyttäjille tulee kertoa evästeistä ja muista niiden kaltaisista tekniikoista. Olennaisimmat pääkohdat on esitetty lyhyesti alla:

  • Muiden kuin välttämättömien evästeiden tallentamiseen ja tietojen käyttämiseen käyttäjän päätelaitteelta tulee pyytää suostumus. Tällä hetkellä evästebanneri on yleisin tapa suostumuksen pyytämiseen. Aiemmasta tulkinnasta poiketen käyttäjä ei voi verkkoselaimen asetusten kautta antaa pätevää suostumusta evästeiden ja muiden seurantateknologioiden käyttöön.
  • Käyttäjän suostumusta pyydettäessä häntä ei saa ohjata hyväksymään ei-välttämättömien evästeiden käyttöä. Ei-välttämättömien evästeiden käytöstä kieltäytymisen tulee olla yhtä helppoa kuin niiden hyväksymisen. Käyttäjää ei tule ohjailla tekemään valintoja esimerkiksi värivalinnoin tai siten, että kieltäytymistä ilmaiseva toimi on tehty vähemmän näkyväksi kuin suostumusta ilmaiseva toimi.
  • Jo annetun suostumuksen peruuttamisen tai tehtyjen valintojen muuttamisen tulee olla mahdollista ja sen tulee olla käyttäjälle mahdollisimman yksinkertaista.
  • Evästeiden ja muiden seurantatekniikoiden käyttöä ei voi perustella tietosuoja-asetuksen mukaisella rekisterinpitäjän oikeutetulla edulla.


Ohjeistusluonnosten kommentointiaika päättyi 9.8.2021 ja Traficom on luvannut julkaista lopulliset ohjeistukset loppukesästä. Suuria muutoksia lopullisiin versioihin tuskin on tulossa. Ohjeistusluonnosten perusteella suurin osa suomalaisista verkkopalveluista joutuu tekemään vähintäänkin pieniä viilauksia evästetoteutuksiinsa.

Evästesuostumuslaatikon kautta sisään palveluun

Uuden ohjeistusluonnoksen myötä vain harva verkkopalvelu voi jatkossa välttää evästesuostumuslaatikon esittämisen käyttäjälle tämän saapuessa palveluun.

Palvelun toiminnan kannalta välttämättömiin evästeisiin ei tarvitse kysyä suostumusta. Tällöin kuitenkin esimerkiksi palvelun kytkeminen Google Analytics -analytiikkaan on mahdotonta, koska sitä ei pidetä toiminnan kannalta välttämättömänä. Analytiikan hyödyntäminen palvelun kävijämäärien mittaamisessa ja jatkokehityksen tukena on kuitenkin palvelun ylläpitäjien ehdoton etu.

Mobila-evästelaatikko

Esimerkki evästesuostumuksesta johon vastaaminen on pakollista ennen palvelun käyttöä. Hyväksymällä vain pakolliset evästeet käyttäjästä ei kerätä mitään tietoja analytiikkaan, jolloin esimerkiksi analytiikasta nähtävät palvelun käyttäjämäärät eivät vastaa todellisia käyttäjämääriä. Värillä korostettu valintapainike ei ole uuden ohjeistuksen mukainen, mutta korjaukseksi riittää painikkeen ulkoasun yhdenmukaistaminen muiden painikkeiden kanssa.

Kun käyttäjä pakotetaan tekemään evästevalinta, useimmat käyttäjät hyväksyvät kaikki evästeet, jolloin myös analytiikkapalveluiden käyttö on mahdollista.

Käyttäjän antama suostumus tallentuu selaimen evästeisiin ja seuraavalla vierailukerralla evästesuostumusta ei tarpeettomasti näytetä käyttäjälle uudelleen. Ratkaisu on varmasti asetuksen mukainen, eikä käyttäjän antamasta suostumuksesta jää mitään epäselvyyttä.

Monissa verkkopalveluissa on hoidettu evästesuostumuksen pyytäminen mallikkaasti, mutta suostumuksen muuttaminen tai peruminen jälkikäteen on työlästä. Tämä ei ole tietosuoja-asetuksen mukaista, sillä suostumuksen perumisen tulee olla yhtä helppoa kuin sen antaminen.

K-ryhmä-footer

Esimerkiksi K-ryhmän verkkopalvelussa evästeasetuksia ja evästesuostumusta pääsee muokkaamaan footer-osassa olevan linkin kautta. Toteutustapa on vapaa, kunhan suostumuksen peruuttaminen tai muuttaminen onnistuu ja se on käyttäjälle mahdollisimman yksinkertaista.

 

Crasman evästeasetukset (kuva 1)

Crasman.fi -palvelussa eväste-asetuksiin pääsee sivulla leijuvan painikkeen kautta.

 

Crasman evästeasetukset (kuva 2)

Crasman.fi -palvelun evästeasetuksissa evästeet on jaettu muutamaan eri ryhmään käyttötarkoituksen mukaan. Käyttäjä voi oikean yläkulman liukupainikkeella kääntää haluamansa evästeet päälle tai pois.

Mitä seuraavaksi?

Tutustu Traficomin nykyisiin evästeohjeistuksiin. Tarkista oman verkkopalvelusi evästekäytännöt uuteen ohjeistukseen peilaten ja mukauta palvelusi uusien ohjeistusten mukaiseksi.

Olli Maksimainen avatar