Artikkelit, Asiantuntijalta asiantuntijalle

Evästeet haltuun viidessä minuutissa

By Venla Kiminki

Evästeet: pakollinen paha vai mahdollisuus? Tiivistimme viiden minuutin artikkeliin kaiken, mitä sinun pitää tietää Traficomin päivitetystä evästeohjeistuksesta. Lue teksti ja varmista, että verkkopalvelusi evästeet noudattavat viimeisintä lainsäädäntöä.

Neljä sydämenmuotoista piparia ja keksinmuruja

Ihan jokainen meistä törmää päivittäin verkkopalveluissa surffaillessaan evästeisiin. Kun aiemmin evästeiden käytöstä saatettiin vain ilmoittaa sivun yläosaan ilmestyvässä bannerissa, nykyään muihin kuin välttämättömiin evästeisiin vaaditaan käyttäjän suostumus. Muun muassa tämä on seurausta Traficomin uudesta evästeohjeistuksesta, johon tutustumme tarkemmin seuraavaksi.

Evästeet ovat alle 4kb kokoisia merkkijonotiedostoja

Neljä sydämenmuotoista piparia ja keksinmuruja

Jotta kaikki pysyvät kelkassa mukana, kerrataan alkuun mitä evästeet oikeasti ovat.

Evästeet ovat teknisesti ottaen pieniä, maksimissaan neljän kilotavun kokoisia tiedostoja, jotka sisältävät merkkijonoja (string). Nämä tiedostot tallennetaan verkkopalvelussa vierailleen käyttäjän päätelaitteelle. Evästeiden avulla mahdollistetaan verkkopalveluiden välttämättömiä toimintoja, kuten sisäänkirjautuminen ja palvelussa kirjautuneena pysyminen sekä vaikkapa verkkokaupoissa ostoskorissa olevien tuotteiden säilyttäminen. Välttämättömien evästeiden voi ajatella ikään kuin toimittavan tarjoilijan roolia. Tarjoilija kirjaa muistiin tilatun ruoka-annoksen, allergiatiedot ja pöydän numeron. Asiakkaan poistuttua ravintolasta muistilappu lentää roskiin eikä asiakkaan tiedot tallentuneet tarjoilijan pitkäaikaiseen muistiin.

Evästeet tallentuvat käytetyn laitteen tietoihin joko vain kyseisen käynnin ajaksi tai tarvittaessa pidemmäksi aikaa. Kun käyttäjä vierailee tutulla sivustolla uudestaan, pitkäaikaiset evästetiedot lähetetään laitteesta sivuston käsiteltäväksi, joka mahdollistaa esimerkiksi käyttäjän yhdistämisen tämän aiempiin vierailuihin samalla sivustolla. Ravintolavierailija vilauttikin siis maksaessaan kanta-asiakaskorttiansa, jonka käyttöehtojen mukaisesti ruokailukerrasta kerättiin dataa asiakasrekisteriin.

Traficomin ohjeistus kattaa myös evästeiden kaltaiset ja evästeitä tuottavat tekniikat, kuten HTML-varastointimekanismin, joka evästeiden tavoin tallentaa verkkosivuston käyttäjädataa päätelaitteelle, mutta data voi merkkijonojen lisäksi olla tallennettu myös suurempitiedostoisina (jopa 5 megatavua) javascript-alkeistyyppeinä (primitives) tai oliotyyppeinä (objects). Lisäksi evästeisiin rinnastetaan muun muassa seurantapikselit, web beaconit, tagit sekä sormenjälkitekniikat.

Selvyyden vuoksi tässä artikkelissa evästeillä tarkoitetaan kaikkia näitä evästeisiin rinnastettavia tekniikoita.

Ei-välttämättömien evästeiden käyttöön tarvitaan aina suostumus

Evästeitä on siis karkeasti ottaen kahdenlaisia: sekä verkkosivun toiminnan kannalta välttämättömiä että sellaisia, joihin tallennetaan käyttäjästä tietoa esimerkiksi markkinointitarkoituksiin. Välttämättömiä evästeitä varten ei tarvita käyttäjältä erillistä suostumusta evästeiden käyttöön, kun taas kaikkiin muihin evästeisiin suostumus on pakollinen.

Jako välttämättömien ja ei-välttämättömien evästeiden kesken ei myöskään ole niin yksiselitteinen kuin voisi kuvitella. Esimerkiksi pysyvät kirjautumisevästeet voidaan lukea välttämättömäksi vain, jos käyttäjän on selkeästi mahdollista ymmärtää, että kirjautumista ylläpidetään pidempiaikaisesti (“pysy kirjautuneena” -valinta) ja tällä on selkeä funktio sivuston käytettävyyden kannalta: pysyvämpi kirjautumiseväste parantaa käyttäjäkokemusta, kun vaikka Facebookiin ei tarvitse kirjautua joka kerta uudelleen selaimen sulkeuduttua. Traficomin evästeohjeistuksessa palveluntarjoajille on monta hyvää suuntaviivaa välttämättömien ja ei-välttämättömien evästeiden eroista, joihin voi tutustua evästeohjeistuksen kohdassa 3.3.

“Evästeiden ja muiden niihin rinnastettavien tietojen tallentaminen käyttäjien päätelaitteille ja näiden tietojen käyttö edellyttää lähtökohtaisesti käyttäjän peruutettavissa olevaa suostumusta sekä ymmärrettävää ja kattavaa tietoa tallentamisen tai käytön tarkoituksesta”

Traficom

Suostumuksen antaminen on oltava aktiivinen ja vapaaehtoinen päätös

Kun aiemmin ei-välttämättömien evästeiden käytöstä saatettiin vain passiivisesti ilmoittaa käyttäjälle, nykyään niiden käyttöön vaaditaan aina suostumus. Suostumukseksi ei riitä enää “Käyttämällä sivustoamme hyväksyt evästeiden käytön”-tyyppinen ilmoitus, vaan tietojen keruun on oltava kunkin käyttäjän oma, vapaaehtoinen ja aktiivinen päätös – käytännössä siis raksi ruutuun (eikä tässäkään raksi saa olla jo odottamassa ruudussa, vaan valinnan on oltava tyhjä). Käyttäjälle on myös tehtävä selväksi, mitä suostumuksen antaminen käytännössä tarkoittaa.

Tämän tyyppinen ilmoitus ei enää kelpaa, vaan käyttäjältä on nykyään aina pyydettävä ei-välttämättömien evästeiden käyttöön erillinen lupa.

Suostumus evästeiden käyttöön pyydetään useimmiten bannerilla. Uudessa ohjeistuksessa myös bannerin ominaisuuksiin on otettu kantaa. Tärkeimpänä huomiona se, että evästebanneri ja suostumuksen antaminen ei saa estää sivustolle pääsyä. Banneria ei saa siis luoda sivuston sisällön peitteeksi siten, että sivustoa ei pysty selata ilman evästesuostumuksen antamista.

Käyttäjällä ei ole pääsyä sivuston sisältöön ilman evästebanneriin vastaamista. Sen lisäksi banneri voimakkaasti ohjailee käyttäjää suoraan hyväksymään kaikkien evästeiden käytön tällä ja palveluntarjoajan muilla sivustoilla.

Käyttäjä pääsee siis vaikuttamaan mitä tietoja hänestä kerätään vierailunsa aikana vai kerätäänkö muita paitsi välttämättömiä tietoja. Evästeistä kieltäytymisen on oltava myös yhtä helppoa kuin niiden hyväksyminen, eli hyväksymisen ja kieltäytymisen on oltava samanarvoisia vaihtoehtoja. Kieltävää valintaa ei saa piilottaa tai tehdä muuten vähemmän näkyväksi. Käyttäjää ei saa myöskään ohjailla valinnan tekemisessä esimerkiksi värivalinnoin.

väriohjattu evästesuostumus

Tässä evästebannerissa evästeiden hyväksyminen ja kieltäminen ei ole tasa-arvoisia vaihtoehtoja, sillä käyttäjää ohjaillaan hyväksymään evästeet erivärisellä painikkeella.

Evästeiden hyväksymisestä on dokumentoitava käyttäjän päätelaitteen ulkopuolelle suostumuksen ajankohta, pyyntötapa, mitä tietoja suostumusta varten annettiin ja vain tarpeelliset tunnistustiedot suostumuksen yhdistämiseksi kyseiseen laitteeseen.

Muiden kuin ei-välttämättömien evästeiden käytöstä on myös pystyttävä kieltäytymään koska tahansa ja yhtä helposti kuin hyväksyminen on tapahtunut. Kieltäytymällä evästeistä joko verkkopalvelua ensimmäistä kertaa käyttämällä tai perumalla suostumuksensa myöhemmin, käyttäjää ei saa rangaista esimerkiksi alentamalla palvelun laatua keinotekoisesti.

Evästeet on kategorisoitava ja selitettävä auki

Evästeiden kategorisointi ja kategorisesti sallittujen tai kielletyjen evästeiden valinta on nykyään myös sallittava käyttäjälle. Yleinen tapa, jolla verkkosivustoilla voi näihin vaikuttaa, on listaamalla tiedot evästebannerin evästeasetuksissa.

Sen lisäksi, että evästeet on lyhyesti selitetty ja kategorisoitu, niistä on tarjottava laajempaa informaatiota esimerkiksi verkkopalvelun tietosuojakäytännössä.

esimerkki oikeanlaisesta evästebannerista

Tällä sivustolla evästeiden hyväksymisen ja vain välttämättömien evästeiden hyväksymisen voidaan katsoa toteutuvan evästeohjeistuksen mukaisesti. Käyttäjää ei erityisesti ohjailla kumpaankaan valintaan, ja sivustoa voi selailla ilman evästebanneriin vastaamista.

Tällä sivustolla evästeet on eroteltu käyttäjälleen erittäin tarkasti

Napsauttamalla evästetiedot auki evästeet on kategorisoitu oikein ja evästeet on eritelty riittävän yksityiskohtaisesti. Käyttäjän on helppo ymmärtää, mitä evästeitä sivustolla käytetään, mihin tarkoitukseen ja kauanko henkilötietoja säilytetään.

Jokainen verkkopalvelu vastaa itse evästehallinnan toteutuksesta

Sähköisen viestinnän sovellukset sekä verkkosivustot pystyvät keräämään käyttäjistään yksilöllistä dataa, kuten IP-osoitteita. Ne pystyvät myös seuraamaan käyttäjiään verkkopalvelun sisällä sekä -palvelusta toiseen – ja jopa keräämään tietoa aiemmin vierailluista verkkopalveluista ennen ensimmäistäkään käyntiä kyseisessä verkkopalvelussa. Yhdistelemällä eri käyttäjädataa toisiinsa voidaan käyttäjästä luoda hyvinkin tarkka profiili, jonka avulla voidaan esimerkiksi kohdentaa mainontaa. Siksi evästeiden käyttöä koskee myös henkilötietosuojalaki, sähköisen viestinnän palveluita koskeva laki ja soveltuvin osin myös GDPR.

Traficomin ohjeistus ei ota kantaa siihen, miten verkkopalveluissa evästehallinta toteutetaan, vaan ainoastaan siihen, mitä evästehallinnan toteutuksessa on otettava huomioon. Jokainen verkkopalvelun haltija on siis itse vastuussa siitä, että käyttäjädatan kerääminen noudattaa tietosuojalainsäädäntöjä ja evästeohjeistusta.

Evästehallintajärjestelmiä on markkinoilla useita, joiden valinnassa on hyvä ottaa huomioon muun muassa se, mihin maahan kerätty evästerekisteri tallennetaan. Tämä vaikuttaa esimerkiksi siihen, mitä lainsäädäntöjä on noudatettava evästerekisterissä olevan datan säilyttämiseen ja käyttöön liittyen. Evästehallintajärjestelmän tarjoaman evästebannerin saavutettavuuteen ja räätälöitävyyteen sekä evästehallintajärjestelmän muihin ominaisuuksiin kannattaa tutustua huolella. Hyvä evästebanneri on ohjeistuksen mukainen, helppokäyttöinen, saavutettava ja istuu hyvin sivuston ilmeeseen.

Entä voiko ilman evästeitä pärjätä?

Kun evästeiden käyttöön vaaditaan nykyään aina käyttäjän suostumus, on luonnollista, että yhä useampi käyttäjä kieltää evästeiden käytön. Lisäksi evästebannerit yleensä eivät varsinaisesti luo lisäarvoa sivuston yleisilmeelle, mikä osaltaan saattaa herättää mielenkiintoa evästeettömiä vaihtoehtoja kohtaan.

Evästeet ovat elintärkeitä esimerkiksi retargeting-mainonnalle, jossa mainontaa kohdistetaan verkkopalvelussa jo vierailleille käyttäjille sekä saman käyttäjän tunnistamiselle ja useamman käynnin aikana käyttäjän seuraamiselle. Juuri nämä viimeisimmäksi mainitut mahdollistavat esimerkiksi uusien ja palaavien käyttäjien erottelun, tavoitteiden ja ostojen attribuoinnin kampanjalle, vaikka käyttäjä konvertuisikin vasta toisella käynnillä sekä tiettynä ajankohtana ensimmäisen kerran sivustolla vierailleiden seuraamisen joukkona. Myös kuten jo aiemmin mainittua, evästeillä voidaan pyytää lupa IP-osoitteen tallentamiseen, joka sen sijaan mahdollistaa esimerkiksi tarkemman sijaintiraportin.

Verkkosivu-analytiikkaa on kuitenkin mahdollista tehdä myös evästeettömästi ja anonyymisti. Analytiikan tarkkuus toki kärsii verrattuna tilanteeseen, jossa kaikki verkkosivukävijät hyväksyisivät evästeiden käytön. Koska tällaista tilannetta ei enää voi olettaa tapahtuvan, analytiikan tarkkuus kärsii siis joka tapauksessa, kun osa kävijöistä ei enää osu tutkaan. Tosin, kun analytiikkaa tehdään evästeettömästi ja anonyymisti, palveluiden käytöstä saadaan laajemmin perusdataa kuin pyydettäessä hyväksyntää evästeisiin.

Yksi suosiotaan kasvattava evästeettömään analytiikkaan erinomaisesti soveltuva sovellus on Matomo Analytics. Matomon evästeettömässä analytiikassa tavotteiden seurannassa liikenteen lähteenä käytetään viimeisintä käyntiä, usean attribuution raportti (multi attribution) ja joukkoraportti (cohort) eivät ole käytössä ja sijaintiraportin tarkkuus vaihtelee. Lisäksi täyttä tarkkuutta ei voida saada esimerkiksi uniikeista, uusista ja palaavista kävijöistä, päiviä edellisestä käynnistä, käyttäjäkohtaisista käyntimääristä tai päivistä konversioon. Se pystyy evästeettömästi ja anonyymisti kuitenkin tuottamaan tietoa esimerkiksi verkkosivukävijöiden käyttäytymisestä sivustolla, josta voidaan saada arvokasta tietoa ilman tarvetta tunnistaa käyttäjä.

Kun kaikki palvelun liikenne käsitellään anonyymisti ja evästeettä, kaikki käytöstä kerätty tieto on samanarvoista. Tällöin analyysin tekeminen sinällään helpottuu, vaikka aiemmin tietoa pystyttiin toki keräämään runsaammin ilman suostumuksen vaatimista, ja sekä yksittäisiä käyttäjiä että verkkopalvelun käyttäjäryhmää pystyttiin profiloimaan tarkemmin.

Yhteenveto evästeohjeistuksesta

Suomessa sähköisen viestinnän luottamuksellisuutta valvoo Traficom, jonka laatiman evästeohjeistuksen mukaisesti toimimalla verkkopalveluita hallinnoivat tahot voivat paremmin varmistaa evästekäytäntöjensä lainmukaisuuden. Opas siis ohjeistaa evästeiden lainmukaiseen käyttöön, mutta “opas ei ole sellaisenaan juridisesti velvoittava, mutta sisältää valvovan viranomaisen näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä, joista poikkeamalla palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta.”

Traficomin 13.9.2021 voimaan tullut päivitetty evästeohjeistus pohjautuu muun muassa Helsingin hallinto-oikeuden 8.4.2021 antamiin ratkaisuihin, joissa todettiin, että myös evästeiden käyttöön vaadittavaa suostumusta on tulkittava kuten GDPR:ssä tarkoitettua suostumusta.

Toimimalla aina ajankohtaisimman oppaan ohjeistuksen mukaisesti voit varmistaa verkkopalveluidesi henkilötietojen keruun ja käsittelyn vastaavan viimeisintä lainsäädäntöä sekä oikeuselinten näkemystä. Näin toimimalla vältät siis lain rikkomisesta aiheutuvat mahdolliset sanktiot ja takaat henkilötietojen eettisen käsittelyn.

Evästebanneriin ei myöskään kannata suhtautua pakollisena pahana: vaikka suostumus evästeiden keräämiseen on pyydettävä ja ohjeistus sanelee tietyt raamit bannerin ulkonäölle ja sisällölle, sen copy ja ilme on mahdollista luoda persoonallisiksi ja yrityksen brändin mukaiseksi.

Muista evästeistä ainakin nämä seitsemän asiaa:

  1. Ei-välttämättömille evästeille tarvitaan aina suostumus
  2. Suostumuksen antaminen on oltava yhtä helppoa, kuin evästeiden kieltäminen – valintaa ei saa ohjailla edes esimerkiksi eri värisillä painikkeilla
  3. Suostumuksen on oltava vapaaehtoinen, aktiivinen päätös
  4. Evästebanneriin vastaaminen ei saa olla sivuston sisällön selaamisen este
  5. Käyttäjän on voitava peruuttaa suostumus koska tahansa ja peruuttaminen on tehtävä yhtä helpoksi kuin suostumuksen antaminen alun perin
  6. Evästeet on kategorisoitava ja selitettävä
  7. Evästerekisteriin säilytettäville henkilötiedoille on asetettava perusteltavat säilytysajat, jotka on myös dokumentoitava

Jäikö keksinmurusia hampaankoloon?

Mikäli et ole varma onko verkkopalvelusi evästeasiat ajan tasalla tai esimerkiksi evästeettömyys kiinnostaa, ota meihin yhteyttä!

"*" indicates required fields

Consent*