Monien suomalaisten verkkosivujen evästekäytännöt ovat tällä hetkellä vanhentuneen ohjeistuksen mukaisia. Uuden linjauksen perusteella käyttäjien täytyy pystyä kieltäytymään valinnaisista evästeistä aiempaa helpommin.
Liikenne- ja viestintävirasto Traficom päivitti viime syksynä evästeitä (eng. cookies) koskevaa ohjeistustaan paremmin linjaan EU:n ePrivacy-asetuksen kanssa. Uusi ohjeistus on aiempaa tiukempi, ja sen myötä monien suomalaisten verkkosivujen evästekäytännöt tulisi päivittää uusiksi.
Aiempi tulkinta Traficomin linjauksesta oli se, että evästeistä kertominen riittää eikä erillistä suostumusta evästeiden käyttöön tarvitse pyytää käyttäjältä. Viime vuoden toukokuussa kantelun käsittelyn yhteydessä tietosuojavaltuutettu kuitenkin linjasi seuraavalla tavalla: ”Jotta suostumus täyttää yleisen tietosuoja-asetuksen edellytykset, käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot.”
Tietosuojavaltuutetun uusi linjaus aloitti prosessin, jonka myötä myös Traficom päivitti linjaustaan. Uusi linjaus on nyt voimassa, ja verkkopalvelut tulisi päivittää sen mukaiseksi.
Mitkä asiat uudessa evästelinjauksessa muuttuivat käytännössä?
Päivitetyn linjauksen perusteella evästeistä kieltäytymisen täytyy olla yhtä helppoa kuin niiden hyväksymisen. Käytännössä käyttäjälle tulee siis tarjota “hyväksy kaikki evästeet” -painikkeen ohella myös “hyväksyn vain välttämättömät evästeet” -painike.
Lisäksi evästeilmoituksen tulee tarjota käyttäjälle selvästi tieto siitä, mihin evästeitä käytetään. Evästeiden hyväksymättä jättäminen ei myöskään saa estää käyttäjän pääsyä sivustolle.
Uusi linjaus ei ota suoraan kantaa evästeasetuksien hyväksymiseen tai hylkäämiseen käytettävän ilmoituksen visuaalisuuteen, kunhan vaihtoehdot sekä evästeiden hyväksymiselle että niistä kieltäytymiselle ovat selvästi valittavissa. Lisäksi käyttäjän täytyy pystyä peruuttamaan oikeudet evästeisiin jälkikäteen, vaikka suostumus olisikin annettu aiemmin.
Mitä evästeitä verkkopalvelut saavat ja eivät saa käyttää?
Uuden käytännön mukaisesti edes esimerkiksi Googlen analytiikkaa ei saa enää kerätä ilman käyttäjän erillistä suostumusta. Ainoastaan erityisen välttämätöntä analytiikkaa, jota ei välitetä kolmansille osapuolille, on sallittua kerätä.
Luvan vaativat myös muun muassa mainontaan ja markkinointiin, sosiaaliseen mediaan, käyttäjän sijaintiin sekä sivustolle upotettuihin palveluihin liittyvät evästeet. Ei-välttämättömät evästeet saavat aktivoitua vasta sen jälkeen, kun käyttäjä on antanut niiden käytölle erillisen luvan. Käytännössä tämä tarkoittaa, että esimerkiksi Google Maps -pohjaiset upotukset eivät välttämättä toimi sivustolla, jos käyttäjä kieltäytyy evästeistä kokonaan.
Ainoastaan sivuston toiminnan kannalta täysin välttämättömät evästeet, kuten esimerkiksi verkkokaupan ostoskoriin liittyvät evästeet, ovat sallittuja ilman erillistä lupaa. Sallittujen evästeiden listalle mahtuvat myös tietoturvaan, saavutettavuuteen sekä evästeasetuksien tallentamiseen liittyvät evästeet. Lisäksi mikäli käyttäjä tietoisesti haluaa personoida omaa sivustoaan tai kirjautua sivustolle sisään, ovat näihin liittyvät evästeet sallittuja.
Mitä tapahtuu, jos uutta linjausta ei noudata
Koska evästekäytänteiden muuttaminen vaatii resursseja ja työtä, tulee helposti kiusaus jättää muutokset tekemättä. Käytännössä on vielä jokseenkin epäselvää, mitä linjauksen rikkomisesta voi seurata.
Traficomin opas sisältää valvovan viranomaisen näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä. Traficomin uusi opastus ei kuitenkaan ole juridisesti velvoittava, eli pelkästään sen vuoksi verkkosivujen evästekäytäntöjä ei periaatteessa tarvitse muokata. Käytännössä palveluntarjoja kuitenkin kantaa riskin oman palvelunsa evästekäytännön lainvastaisuudesta, jos se ei noudata Traficomin uutta linjausta.
Suomessa uudistetun evästekäytännön noudattamatta jättämisestä ei tiettävästi ole vielä jaettu rangaistuksia, eikä asiaan ole puututtu kovin laajasti. Sen sijaan esimerkiksi Ranskassa Google ja Facebook ovat saaneet miljoonaluokan sakot laittomista evästekäytännöistä.
Käytännössä monien suomalaisten verkkosivujen evästekäytäntö on edelleen vanhan linjauksen mukainen, tai pahimmissa tapauksissa sivustot eivät noudata edes aiempaa evästelinjausta. Jää nähtäväksi, puuttuvatko viranomaiset evästekäytäntöihin tiukemmin tulevaisuudessa.
Uusimpien evästekäytäntöjen noudattaminen on joka tapauksessa turvallisin tie, jota kannattaa seurata. Lisäksi evästekäytäntöjen noudattaminen viestii verkkopalvelun vastuullisuudesta, mikä näyttäytyy käyttäjille positiivisena asiana.
Mikäli evästekäytäntöjen päivittäminen on vielä kesken, kannattaa soittaa Into-Digitalille. Autamme mielellämme verkkopalveluita noudattamaan uusimpia linjauksia Traficomin ohjeistuksen mukaisesti. Ota yhteyttä!
Pekka Suopellonmäki
Pekka on Into-Digitalin Head Developer. Vapaa-ajalla kahden kissan omistaja mielellään pyöräilee, piirtää ja valokuvaa vanhoilla kameroilla.
Ryhdytäänkö töihin?
"*" näyttää pakolliset kentät