Traficom julkaisi 13.9. kauan odotetun evästeohjeistuksen palveluntarjoajille. Vaikka ohjeistus on todella tervetullut, sen alkusanat enteilevät kuitenkin jatko-osaa kirjoitustrilogiallemme myös tulevaisuudessa.
Traficom kirjoittaa ohjeessaan: ”Tätä opasta ja siinä esitettyjä esimerkkejä ei ole myöskään tarkoitettu tyhjentäviksi, ja sitä tullaan päivittämään, kun asiaan liittyvä tekniikka tai oikeuskäytäntö kehittyvät. Tämä opas ei ole sellaisenaan juridisesti velvoittava, mutta sisältää valvovan viranomaisen näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä, joista poikkeamalla palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta.” Tästä virkkeestä voidaan lukea vähintäänkin hyvin vahva suositus noudattaa ohjeen neuvoja.
Tässä kirjoituksessa nostan esille joitakin huomioita Traficomin ohjeistuksesta. Kaksi aiempaa kirjoitustamme aiheesta voit lukea täältä ja täältä.
Mitä ovat evästeet?
Vaikka puhutaan evästeistä (engl. cookies), Traficom rinnastaa evästeisiin myös näihin verrattavat kävijän selaimeen tietoja tallentavat tekniikat ja kaikki säätely koskee myös näitä muita tekniikoita. Näitä ovat esimerkiksi: HTML5 session- ja local storage, erilaiset seurantapikselit ja erilaiset kävijän selaimesta erityisen sormenjäljen (engl. fingerprinting) muodostavat tekniikat. Huomionarvoista Traficomin ohjeessa on maininta, kuinka esimerkiksi IP-osoite ei välttämättä yksinään muodosta henkilötietoa. Sen sijaan, jos se yhdistetään muihin tietoihin, siitä saattaa muodostua henkilötieto. Oleellisinta ohjeistuksessa ylipäätään tuntuu olevan evästeiden käyttötarkoitus – ei niinkään jokin tekninen detalji, jonka avulla voisi jostain porsaanreiästä päästä läpi.
Suostumuksen vaativa vai välttämätön eväste?
Traficom linjaa, että oletusarvoisesti evästeiden tallentaminen kävijän laitteelle vaatii etukäteisen suostumuksen kävijältä. Tähän sääntöön poikkeuksen muodostaa ns. välttämättömät evästeet, jotka saa asettaa kävijän laitteelle ilman erillistä suostumusta. On hyvin luultavaa, että tämä rajanveto aiheuttaa tulevaisuudessa eniten uusia linjanvetoja ja muuttuvia ohjeistuksia. Traficomin ohjeessa lukee tätä kirjoitettaessa näin: ”välttämättömiksi voidaan katsoa ainoastaan sellaiset evästeet ja muut tiedot, joiden ainoana tarkoituksena on joko toteuttaa viestin välittämistä viestintäverkoissa tai jotka ovat välttämättömiä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.”
Traficom antaa onneksi myös esimerkkejä välttämättömistä evästeistä, joihin kuuluu esimerkiksi kuormantasaukseen tai autentikointiin vaadittavat evästeet. Muita esimerkkejä välttämättömistä evästeistä mainitaan ohjeessa esimerkiksi ostoskorin tilan säilyttäminen, ihmisen erottaminen robotista esimerkiksi kuvavarmennusmenetelmän avulla tai erilaiset saavuttavuuteen liittyvät evästeet. Erityisenä esimerkkinä kävijän nimenomaisesti palvelun pyytämisestä ohjeessa mainitaan chat-palvelu verkkosivustolla. Jos verkkosivuston pääasiallinen tarkoitus ei ole olla chat-palvelu, evästeitä saa Traficomin näkemyksen mukaan asettaa vasta, kun kävijä on erikseen halunnut avata chat-ikkunan.
Kolmansien osapuolten palveluista nostettujen sisältöjen eli ns. upotettujen sisältöjen evästeet vaativat Traficomin näkemyksen mukaan suostumuksen. Sama vaatimus koskee myös ns. sosiaalisen median alustojen liitännäisiä, työkaluja ja laajennuksia – varsinkin, jos ne asettavat evästeitä ennen kuin kävijä on niitä erityisesti käyttänyt. Monet some-palveluiden tarjoamat upotukset kyllä asettavat oletusarvoisesti evästeitä, jos ne on liitetty sivustolle eli näitä tulee jatkossa arvioida melko kriittisesti.
Monet some-palveluiden tarjoamat upotukset kyllä asettavat oletusarvoisesti evästeitä, jos ne on liitetty sivustolle eli näitä tulee jatkossa arvioida melko kriittisesti.
Myöskään kohdennettuun mainontaan ja markkinointiin liittyvät evästeet eivät ole välttämättömiä palvelun käytön kannalta, mutta tämän ei pitäisi tulla kenellekään yllätyksenä.
Traficom mainitsee myös, että yhtä ja samaa evästettä voidaan käyttää moneen eri käyttötarkoitukseen. Jos vaikka yksi evästeen käyttötarkoitus voisikin oikeuttaa välttämättömyyteen, toinen käyttötarkoitus voikin vaatia kävijän suostumuksen. Saivartelu ei siis välttämättä kannata evästeasioissa. Yksinkertaisinta on asettua kävijän asemaan ja miettiä, mitkä evästeet ovat kävijän kannalta merkityksellisiä.
Mihin erilaiset mieltymysevästeet sijoittuvat?
Verkkosivustot voivat tallentaa kävijöiden mieltymyksiä koskevia asioita evästeisiin. Tällaisia voivat olla esimerkiksi sivuston kielivalinta tai vaikkapa fonttien ja tekstin koko. Kielivalinnan muistaminen tai ulkoasuvalintojen muistaminen palvelee sivuston käytettävyyttä ja Traficomin mukaan nämä voivatkin mahdollisesti sisällyttää välttämättömiin evästeisiin. Ohjeen mukaan ”tulee huomioida, mitä käyttäjä palvelulta odottaa, eli jos sivuston tai palvelun on lähtökohtaisestikin ymmärrettävissä olevan personoituva, silloin personointievästeet voisivat olla välttämättömiä sen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt.” Tässäkin pääsee helpoimmalla, kun asettaa kävijän edun etusijalle.
Entä analytiikka ja evästeet?
Analytiikkaohjelmistot ja niiden asettamat evästeet on hyvin luultavasti suurin yksittäinen kysymys, kun puhutaan välttämättömistä evästeistä. Traficom sanoo, että analytiikkaevästeitä ei ”kuitenkaan voida yksiselitteisesti katsoa käyttäjän näkökulmasta välttämättömiksi sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt…” Ohjeessa jätetään kuitenkin mahdollisuus katsoa analytiikkaevästeet välttämättömiksi, mutta tällöin vaaditaan esitettäväksi selkeät perustelut ja kävijöiden yksityisyyden suojaamisesta pitää huolehtia erityisen paljon.
Esimerkkeinä huolehtimiskeinoista mainitaan, ettei analytiikan avulla kerättyjä tietoja jaeta kolmansille osapuolille tai ettei niistä pysty tunnistamaan yksittäisiä kävijöitä. Ohjeen pohjalta on hyvin vaikeaa vielä sanoa tässä vaiheessa, saisiko esimerkiksi Google Analyticsin evästeitä tallentaa kävijän koneelle ilman suostumusta. Toivottavasti Traficom vielä tarkentaa ohjeistusta lähitulevaisuudessa tältä osin. Helpoimmalla toki pääsee, jos ei tallenna analytiikkaevästeitä ennen kävijän antamaa suostumusta. Lisäksi kannattaa huomioida, että jos verkkopalvelu toimii muissakin EU-maissa, näissä voi olla tiukemmat vaatimukset asian tiimoilta.
Miten suostumus pitää pyytää?
Traficom asettaa joitakin vaatimuksia suostumuksen keräämiselle. Ei-välttämättömiä evästeitä ei siis saisi asettaa kävijän laitteelle ennen suostumuksen antamista. Evästeistä kieltäytymisen tulee olla yhtä helppoa kuin hyväksyminen. Myös tietosuoja-asetuksesta nostetaan esille suostumukselle asetettavia vaatimuksia: ”Suostumuksen on oltava aktiivinen tahdonilmaisu, joten suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.”
Suostumusta pitää myös voida muuttaa jälkikäteen: ”Suostumuksen peruuttamisen tai jo annettujen asetusten muuttamisen tulee onnistua käyttäjän kannalta mahdollisimman yksinkertaisella tavalla.” Suostumuksen peruuttamisen tulee myös oikeasti toimia ja poistaa tai ylikirjoittaa kävijän laitteelle tallennetut tiedot.
Suostumuksen osoittaminen
Traficomin ohjeen mukaan palveluntarjoajan tulee jälkikäteen pystyä osoittamaan saamansa suostumus evästeiden tallentamiselle ja käytölle. Ohjeessa asetetaan vähimmäisvaatimuksia osoittamiselle:
- ajanhetki, jolloin suostumusta pyydettiin ja se saatiin,
- miten suostumusta pyydettiin,
- mitä tietoja suostumuksen antamista varten annettiin, sekä
- tarpeelliset tunnistetiedot sen osalta, kenen toimesta tai miltä laitteelta suostumus annettiin
Lisäksi pitää huomata, että ”Tietoja ei tule kuitenkaan tallentaa enempää, kuin on välttämätöntä suostumuksen saamisen osoittamiseksi.”
Meidän mielestämme helpoin tapa suostumusten hallinnointiin ja osoittamiseen on käyttää jotakin erillistä palvelua, esimerkiksi suosittelemaamme Cookiebotia.
Kävijöiden informointi
Ohjeessa annetaan myös vaatimuksia liittyen kävijöiden informointiin evästeistä: ”Bannerissa tai muussa suostumuksen pyytämiseen käytettävässä menettelyssä on vähintään syytä eritellä:
- käytössä olevat evästeet ja niiden kaltaiset tekniikat ja niiden tyyppi
- Jaotteluun voi käyttää esimerkiksi seuraavaa: välttämättömät, toiminnalliset, personointi, mainonta, sosiaaliseen mediaan liittyvät, analytiikka, muut kunkin evästeen käyttötarkoitus eli mitä tietoja evästeellä kerätään ja mihin tarkoitukseen.
- kunkin evästeen voimassaoloaika
- tieto siitä, jaetaanko evästeiden kautta tallentuvia tietoja kolmansille osapuolille, keitä nämä tahot ovat ja mitä tietoja siirretään
Nämä seikat puoltavat erillisen evästeiden suostumusten hallintapalvelun käyttämistä verkkosivustolla.
Mitä tämä tarkoittaa käytännössä?
Vaikka ohjeessa ja koko asiassa on vielä paljon uutta ja tulkinnanvaraisuuksia, voin melko suurella varmuudella suositella verkkosivustolla käytettäväksi suostumuksen pyytävää banneria tai ponnahdusikkunaa. Traficomin ohjeen pohjalta voidaan tehdä johtopäätös, että pelkkä ”jatkamalla sivuston käyttöä hyväksyt evästeet” ei enää jatkossa riitä, vaan suostumuksen pitää olla selkeä tahdonilmaisu. On myös hyvin todennäköistä, että valvontaa lisätään entisestään lähiaikoina ja sanktioiltakaan ei voida kokonaan välttyä jatkossa.
Joka tapauksessa varmaa on, että evästesaaga jatkuu vielä tulevaisuudessakin.