Mistä on kyse?

 

GDPR eli General Data Protection Regulation on vuonna 2018 kaikissa EU-maissa voimaan astunut tietosuoja-asetus. Sen julkaisun jälkeen kaikkien henkilötietojen käsittelyn on tullut olla tämän asetuksen mukaista. Asetuksen tarkoituksena on suojata yksilöiden henkilötietoja kehittyneen teknologian nostaessa tarvetta kehittää uudenlaista sääntelyä. Tietosuoja-asetus antaa yksilöille mahdollisuuden hallita henkilötietojaan paremmin ja edellyttää yrityksiä käsittelemään näitä tietoja entistä turvallisemmin. Henkilötiedoilla tarkoitetaan ketä tahansa yksilöä tai hänen ominaisuuksiaan kuvaavia tietoja. Tällä tarkoitetaan esimerkiksi nimeä, puhelinnumeroa tai jostain muusta häneen liitettävissä olevasta tiedosta. (Yrittäjät. 2021)

 

Henkilötietojen käsittelystä ja niiden oikeuttavista seikoista voisi kirjoittaa pitkästi. Tässä tekstissä keskitymme kuitenkin tietosuoja-asetusta evästeiden näkökulmasta ja pureudumme siihen, mitä meidän on niistä tiedettävä, mikäli ylläpidämme evästeitä käyttävää verkkosivua.

 

Eväste

 

On pieni verkkosivun käytön yhteydessä selaimeen asennettava tekstitiedosto. Niiden sisältämien muistijälkien avulla on mahdollista suorittaa esimerkiksi joitain pakollisia sivuston toimintoja. Osaa evästeistä voidaan käyttää markkinointiin tai esimerkiksi datan keräämiseen siitä, kauanko olet vieraillut sivustolla. Voit kuitenkin vaikuttaa siihen hyväksytkö kaikki evästeet, sillä osan evästeistä voi myös hylätä. (Traficom. 2022.)

 

Suostumus evästeisiin

 

Ennen vuotta 2019 Traficomin ohjeistus antoi ymmärtää, että evästeitä käyttäessä riittää sivuston käyttäjien informoiminen siitä, että sivustolla on evästeitä. Evästeiden asentamisen laitteelle voi estää selaimen asetuksista. Jos käyttäjä ei ollut käyttänyt tätä ominaisuutta ja evästeistä oli informoitu, voitiin ymmärtää kaiken olevan kunnossa.

 

Kuitenkin vuonna 2020 tietosuojavaltuutettu teki päätöksen, jossa ei hyväksytty riittäväksi toimenpiteeksi evästebanneria, jossa oli kerrottu sivuston käyttävän evästeitä ja käyttäjän hyväksyvän sen jatkamalla sivuston käyttöä. Bannerissa oli valmiiksi rastitettu ”ok” painike sekä ”lisätietoja” -painike. Lisätieto painikkeen takaa löytyi yrityksen tietosuojaseloste. Tietosuojaselosteessa listattiin yhtiön kumppaneita, joiden evästeitä sivustolla on ja ohjeistettiin niiden peruuttamiseksi vierailu jokaisen sivustolle erikseen. Kolmansien osapuolien evästeitä ei kuitenkaan ollut mahdollista kieltää etukäteen. (Finlex. 2020.)

 

Suostumuksen antamisen tulee olla aito valinta, jossa sivuston käyttäjällä on mahdollisuus itse päättää, hyväksyykö hän evästeet. Valinta ei saa tapahtua tavalla, jossa sivuston käyttäjä kokee olevansa siihen pakotettu tai sillä olevan negatiivisia seuraamuksia. Evästeiden hyväksymisen, niistä kieltäytymisen tai päätöksen peruuttamisen tulisi olla yhtä helppoja ja nopeasti suoritettavia valintoja. (Finlex. 2020.)

 

Evästeiden käyttö nykyään

 

Sivuston käyttäjälle on kerrottava evästeiden käytön tarkoituksesta. Tämän lisäksi käyttäjältä on saatava suostumus tavalla, jossa on oltava mahdollisuus kieltäytyä evästeistä. Suostumuksen antaminen kaikkiin muihin paitsi palvelulle pakollisiin evästeisiin on oltava yhtä vahva, kuin kaikkiin toisiinkin henkilötietoja käsitteleviin toimiin GDPR:n mukaan. Kyseessä on siis oltava selkeä tiedostettu tahdon ilmaisu. Jos sivustollasi on sellaisia evästeitä, joita ilman sivusto ei toimi, ei niille evästeille tarvitse saada suostumusta. Pop-up banneri ei saa estää sivuston käyttöä tai vaikkapa estää sisällön näkemistä tavalla, jossa ainoa vaihtoehto päästä näkemään sisältö on hyväksyä evästeet. Sivua ja sisältöä on myös päästävä käyttämään ilman evästeiden hyväksymistä. (Innowise. 2020.)

 

Suostumuksen tulee olla vapaaehtoinen, täsmällinen ja yksiselitteinen. Vapaaehtoinen on selitetty jo yllä. Täsmällisellä tarkoitetaan sitä, että käyttäjä voi määrittää minkä luontoisia tietoja saa kerätä. (Cookieinformation. 2021.) Käytännössä tämä tarkoittaa niitä laajempia evästebannereita, joita olet nähnyt. Esimerkin nähdäksesi poista selaimestasi evästetiedot ja klikkaa tästä oikotien sivuille kurkkaamaan, millainen banneri heillä on. Yksiselitteisellä tarkoitetaan jo mainittua selkeätä tahdon ilmaisua.

 

Palvelulle välttämättömät evästeet

 

Palvelulle välttämättömiksi evästeiksi lasketaan esimerkiksi käyttäjän tekemien toimintojen muistaminen. Esimerkiksi verkkokaupassa ostoskoriin lisäämisen muistaminen. Välttämättömien evästeiden on kuitenkin oltava palveluntarjoajan omia, eikä kolmannen osapuolen evästeitä. (Innowise. 2020.)

 

 

Ilmaiset evästebannerit

 

Ilmaiset evästebannerit useimmiten ovat joillain tavoin asetusten vastaisia. Joko, ne eivät kerää talteen käyttäjien antamia suostumuksia, estä evästeitä toimimasta ennen annettua suostumusta, tai anna mahdollisuutta käyttäjälle kieltäytyä edellä mainitulla helpolla tavalla. (Cookieinformation. 2019.)

 

 

Uudet määräykset

 

hallitaksesi evästeiden osalta sinulla tulisi olla verkkosivustollasi:

 

1. banneri, jossa informoidaan evästeistä ja pyydetään suostumus. Evästeitä ei tule asentaa käyttäjän selaimelle ennen suostumuksen antamista. Jos suostumusta ei saada, ei niitä saa asentaa ollenkaan.
2. Sinulla tulisi olla evästekäytännöistä informoiva sivu, niin sanottu evästeseloste. Kerro siinä käyttäjille mitä evästeitä käytetään ja mihin niitä käytetään. Anna sivuston kävijöille myös mahdollisuus muuttaa antamansa suostumus.
3. Säilytä saamasi suostumukset viiden vuoden ajan siltä varalta, että tietosuojaviranomainen haluaa nähdä nämä asiakirjat.

 

 

Kuinka tallentaa suostumus?

 

Suostumuksen GDPR- vaatimukseen voi joko tallentaa itse sivustolleen tai hankkia palveluna ulkopuoliselta taholta. Traficom ohjeistaa suomalaisia verkkosivuja oppaassaan, kuinka suostumus tulee antaa ja miten sen voi peruuttaa. Suostumusbannerin tulee pamahtaa heti uuden käyttäjän tullessa vierailemaan sivustolle ja suostumus tulee antaa aktiivisesti. Siten, ettei rasteja eri pykäliin ole valmiiksi hyväksytty. Jos sivusto toimii ilman aktiivista evästevalintaa, tulee sen käyttää oletuksena vain välttämättömiä evästeitä. Sivustolla vierailevan tulee aina saada täyttää itse suostumukset ei-välttämättömien evästeiden kohdalle ja vain silloin tiedot saa tallentaa. Suostumus- ja kieltäytymispainikkeiden avulla tulee pystyä hallinnoimaan kaikkia palvelussa käytettäviä ei-välttämättömiä evästeitä myös ulkopuoliselta taholta hankitun palvelun kohdalla. Mikäli käytettäviin evästeisiin tehdään jonkinlaisia muutoksia, tulee suostumusta pyytää uudelleen sivuston kävijältä. Evästebannerissa ei saa tässäkään tapauksessa kuitenkaan olla valintaruutuja valmiiksi valittuna. Evästeistä kieltäytyminen täytyy olla yhtä helppoa, kuin niiden hyväksyminen. Myös käytössä olevista evästeistä täytyy viestiä ja kertoa mahdollisimman selkeästi mainitsemalla sivustolla käytettävien evästeiden tyypit ja käyttötarkoitus. Tämä on hyvä huomioida myös kolmannelta osapuolelta tilatun palvelun kohdalla, sillä myös ulkopuolisen tahon tulee toimia vaatimusten mukaisesti. (Traficom, 2021)

 

”Opas ei ole juridisesti velvoittava, mutta poikkeamalla ohjeistuksesta, palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta” -Traficom 2021

 

 

 

 

 

Lähteet:

 

Harto Pönkä. Innowise. Blogikirjoitus. 3.9.2020. https://www.innowise.fi/fi/evasteiden-suostumus-nettisivuilla-uusien-linjausten-mukaan/

 

Cookieinformation, Blogi. 25.1.2022. Seitsemän helppoa vinkkiä evästeohjeiden noudattamiseen. https://cookieinformation.com/fi/resurssit/blog/evasteohjeet-suomessa/

 

Cookieinformation, Blogi. 7.4.2022. Kuinka kirjoittaa bannerin teksti, joka johtaa konversioon. https://cookieinformation.com/fi/resurssit/blog/cookie-bannerin-teksti/

 

Cookieinformation, blogi. 17.8.2021. Onko evästebannerisivaatimustenmukainen? https://cookieinformation.com/fi/resurssit/blog/miten-olla-evastevaatimusten-mukainen/

 

Cookieinformation, blogi. 29.4.2019 Onko lmainen evästebanneri (cookiebanner) aatimustenmukainen? https://cookieinformation.com/fi/resurssit/blog/uskotko-olevasi-gdprn-vaatimusten-mukainen-evastebannerilla/

 

Traficom verkkosivu. 14.10.2022. https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet

 

Yrittäjät tietosuojaseloste, ladattu 14.10.2022. https://www.yrittajat.fi/oppaat/yrittajan-tietosuojaopas/?gclid=CjwKCAjwkaSaBhA4EiwALBgQaB4Z4rEeV-4-yUxwbs2mflS2bZ1jUNo4pzcrf0eBiSqSaZRtnAfOxRoCN9MQAvD_BwE

 

Finlex. 14.5.2020. Evästeisiin annettava suostumus. https://finlex.fi/fi/viranomaiset/tsv/2020/20200561

 

Traficom verkkosivu, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö – Opas palvelunarjoajille. Luettu 5.12.2022

Evästeohjeistus_palveluntarjoajille.pdf (traficom.fi)