Erilaisiin evästeistä ilmoittaviin tai niiden käyttöön lupaa kysyviin ponnahdusikkunoihin ja bannereihin törmää verkossa varmasti, joten moni saattaa pohtia, miten evästeiden lupakysely pitäisi toteuttaa ja milloin sitä tarvitaan.
Käymme tässä kirjoituksessa läpi, mitä ovat evästeet, miksi kotisivut käyttävät niitä , mitä laki sanoo evästeiden käyttämisestä, pitääkö niiden käyttöön pyytää lupa ja miten evästekysely toteutetaan.
Evästeet määritelmä
Evästeet (engl. cookies) ovat verkkopalvelimen käyttäjän laitteelle tallentamaa tietoa, joka tallennetaan käyttäjän laittelle esimerkiksi tietyn sivuston pyynnöstä. Käyttäjän selain lähettää tuon tiedon takaisin kyseiselle palvelimelle jokaisen pyynnön yhteydessä. Selain ei lähetä evästettä mille tahansa palvelimelle, vaan ainoastaan sille, jolta sen alun perin sai.
Käytännössä evästeissä on kyse pienestä tietomäärästä, joka on tyypillisesti tekstiä. Evästeiden avulla kerätään esimerkiksi seuraavanlaisia tietoja: käyttäjän IP-osoite, käytetyt sivut, selaintyyppi ja mistä käyttäjä on tullut kyseiselle sivustolle. Evästeisiin ei sisälly henkilökohtaisia tietoja ja ne ovat sivustojen kävijöille vaarattomia.
Käyttäjä voi vaikuttaa, mitä evästeitä heistä kerätään. Nykyisin jokaisen sivun tulisi kysyä lupa ei välttämättömien evästeiden keräämiseen. Jos näin ei tapahdu, käyttäjä voi kuitenkin helposti tyhjentää joko kaikki evästeet tai yksittäisen evästeen oman selaimensa asetuksista.
Miksi evästeitä kerätään?
Ensimmäisellä vierailukerralla sivuston palvelin pyytää käyttäjän selainta tallentamaan evästeen. Kun käyttäjä seuraavan kerran menee samalle sivulle, selain lähettää evästeen takaisin sille palvelimelle, josta se on sen alun perin saanutkin. Tämä tietenkin edellyttää sitä, ettei käyttäjä ole välissä poistanu evästeitä ja vierailusta ei ole kulunut liian kauaa.
Evästeen avulla palvelin havaitsee, että käyttäjä on vieraillut aikaisemminkin kyseisellä sivustolla. Eväste voi sisältää muun muassa sellaisia tietoja ja valintoja, joita käyttäjä on aiemmin tehnyt. Evästeen ansiosta käyttäjän ei tarvitse tehdä samoja valintoja uudestaan.
Tällainen muistettava valinta voisi olla esimerkiksi käyttökielen valinta. Kun käyttäjä valitsee ensimmäisellä vierailullaan kielekseen suomen, voidaan tieto tallentaa evästeeseen. Jatkossa sivusto olettaa evästeen perusteella, että käyttäjä haluaa sivuston olevan suomeksi, eikä kysy sitä uudelleen. Toisaalta evästeiden avulla voidaan kerätä myös sivuston kehittämisen kannalta arvokasta tietoa analytiikka tarkoituksiin tai kohdentaa mainontaa.
Erilaiset evästeet
Evästeitä on olemassa erilaisia: osa evästeistä säilyy pidempään kuin toiset ja toisaalta evästeiden latauspaikka vaihtelee myös evästeen mukaan.
Istuntokohtaiset evästeet
Istuntokohtaiset evästeet (engl. session cookies) ovat nimensä mukaisesti vain kyseisen istunnon ajan säilyviä, eli kun käyttäjä sulkee selaimen tai palvelun evästeet poistuvat. Näitä käytetään esimerkiksi reaaliaikaisen käyttäjätoiminnan seuraamiseen ja ostoskorin päivitysten tekemiseen.
Pysyvät evästeet
Pysyvät evästeet (engl. persistent cookies) säilyvät puolestaan tiettyyn aikarajaan asti tai kunnes käyttäjä poistaa ne selaimensa tiedoista. Tällaisilla evästeillä voidaan esimerkiksi tunnistaa jo aiemmin sivustolla vieraillut kävijä.
Ensimmäisen osapuolen evästeet
Ensimmäisen osapuolen evästeet (engl. first-party cookies) ovat sellaisia, jotka tallennetaan käyttäjän selaimeen juuri kyseisen sivuston pyynnöstä. Tällaiset evästeet liittyvät tyyppillisesti esimerkiksi sivuston toiminnallisuuksiin ja niiden avulla voidaan muistaa vaikkapa käyttäjän kielivalinta tai kirjautuminen.
Kolmannen osapuolen evästeet
Kolmanne osapuolen evästeet (engl. third-party cookies) ladataan puolestaan joltain toiselta sivustolta tai palvelimelta, eli ne eivät tule sivustolta, jolla käyttäjä juuri vierailee. Tällaisilla evästeillä voidaan esimerkiksi kerätä tietoa kävijästä mainonnan tai analytiikan tarpeisiin.
Pitääkö evästeet hyväksyttää kävijöillä?
Vastaus kysymykseen riippuu siitä, millaisia evästeitä sivusto käyttää. Useilla sivustoilla näkeekin erilaisia bannereita, joilla pyydetään lupa evästeiden käyttöön. Tämä on perustelua, jos sivusto käyttää muitakin kuin välttämömiä evästeitä ja näinhän suurin osa sivustoista tekee.
Mitä laki sanoo evästeistä?
Evästeiden käyttöön Suomessa vaikuttaa kolme eri lainsäädäntöä; laki sähköisen viestinnän palveluista 205 §, sähköisen viestinnän tietosuojadirektiivi ja Euroopan Unionin yleinen tietosuoja-asetus. Liikenne- ja viestintävirasto Traficom on julkaissut kattavan ohjeistuksen palveluntarjoajille evästeiden käytöstä. Kyseinen ohje määrittää, miten evästeitä saa käyttää, millä sivustoilla ja miten evästeiden käyttämiseen pyydetään lupa.
Säädösten mukaan evästeiden tallentaminen käyttäjän laitteelle on sallittua ainoastaan, jos käyttäjä antaa siihen luvan. Poikkeuksena ovat palvelun toiminnan kannalta välttämättömät evästeet. Tällaisia ovat esimerkiksi verkkokaupan toimintaan liittyvät evästeet. Markkinointiin tai analytiikkaan liittyviä evästeitä ei voida nykytiedon mukaan pitää välttämättömänä.
Lisäksi säädösten mukaan käyttäjällä on oltava oikeus muuttaa evästevalintaansa myöhemmin. Käyttäjälle pitää siis tarjota keino perua suostumuksensa myöhemmin ja tällöin myös jo tallennettujen evästeiden pitäisi poistua käyttäjän selaimesta.
Millaisiin evästeisiin on pyydettävä lupa?
Käydään vielä tarkemmin läpi, mitä evästeitä saa käyttää ilman kävijän suostumusta ja mitä ei.
Välttämättömät evästeet
Välttämättömät evästeet ovat nimensä mukaisesti palvelun normaalin toiminnan kannalta välttämättömiä. Tällaisia ovat esimerkiksi evästeasetusten tallentamiseen käytettävä eväste tai verkkokaupan ostoskorin tuotteet muistava eväste.
Ei välttämättömät evästeet
Ei välttämättöminä evästeitä ovat sivuston analytiikkaan ja markkinointiin liittyvät evästeet. Näiden avulla voidaan kehittää sivuston toimintaa tai vaikkapa kohdentaa mainontaa sivustolla jo vierailleille. Nämä evästeet ovat toki tärkeitä esimerkiksi verkkokaupan omistajalle, mutta niitä ei voida silti pitää välttämättöminä, jonka takia niiden käyttämiseen tarvitaan aina suostumus.
Lisäksi on olemassa myös muita evästeitä, joita ei voida pitää palvelun kannalta välttämättömänä. Tällaisia voisivat olla esimerkiksi sivuston chatin toimintaa varten tarvittavat evästeet.
Miten evästeiden hyväksyminen toteutetaan?
Lupa evästeiden käyttämiseen tulee tosiaan pyytää aina, kun käytetään muita kuin välttämättömiä evästeitä. Suurin osa nykyaikaisista kotisivuista käyttää myös muita kuin välttämättömiä evästeitä, joten jonkinlainen lupakysely on toteutettava.
Tässä muutamia keskeisiä kohtia Traficomin ohjeistuksesta koskien evästekyselyn toteuttamista:
- Evästeen saa tallentaa käyttäjän laitteelle vasta, kun kävijä on aktiivisesti anatanut tähän luvan. Käytännössä tämä tarkoittaa esimerkiksi hyväksyn-painikkeen klikkaamista.
- Lupakysely ei saa estää sivuston käyttöä. Valitettavasti kuitenkin mobiilissa evästekysely on usein täysin mahdotonta toteuttaa niin, ettei se peittäisi sivustoa kokonaan.
- Näkyvissä tulee olla napit sekä evästeiden hyväksymiseen että niiden kieltämiseen.
- Suostumus evästeiden käyttöön tulee pystyä perumaan myöhemmin.
- Sivuston omistajan tulee tallentaa luvan antamista koskevat tiedot.
Tyypillisesti evästekysely toteutetaan jonkinlaisen bannerin avulla. Suositusevästebannerin toteuttamiseen käytetyt lisäosat tallentavat myös käyttäjien suostumustiedot automaattisesti ja säilyttävät niitä lain vaatiman ajan.
Kerro evästeistä selkeästi ja kattavasti
Evästeistä, tietojen tallentamisesta sekä niiden käytöstä tulisi kertoa mahdollisimman selkeästi ja kattavasti. Lisäksi on tietenkin kerrottava, jos evästeiden avulla kerättäviä tietoja luovutetaan eteenpäin kolmansille osapuolille. Evästeistä kerrottaessa tulisi myös kertoa, miten evästeille annettu suostumus voidaan perua.
Evästeet ja analytiikka
Vaikuttaako Google Analytics -kävijäseurannan käyttäminen evästeiden hyväksymiseen tai niistä kertomiseen? Google Analytics -kävijäseuranta palvelun käyttöehdot.
Sinun on kaupallisesti kohtuullisin keinoin varmistettava, että Käyttäjälle toimitetaan selkeät ja kattavat tiedot evästeiden tai muiden tietojen tallentamisesta. Käyttäjän laitteelle ja niiden käyttämisestä, ja varmistettava, että Käyttäjä hyväksyy evästeiden tai muiden tietojen tallentamisen ja käyttämisen, kun tallennus tapahtuu Palvelun yhteydessä ja kun laki edellyttää näiden tietojen toimittamista ja hyväksynnän saamista.
Käyttöehtojen mukaan sivuston ylläpitäjän tulee varmistaa, että vierailija hyväksyy evästeiden tallentamisen. Palvelun käytöstä tulee lisäksi kertoa käyttäjälle esimerkiksi sivuston tietosuojaselosteessa tai vastaavassa kohdassa, jossa kerrotaan muutenkin evästeiden käytöstä.
Evästebannerin vaikutus analytiikkaan
Monet yritykset ovat olleet huolissaan siitä, miten paljon evästebannerin käyttöönotto vaikuttaa sivuston analytiikkaan. Toki huoli on jossain mielessä aiheellinen, sillä jos kävijä ei anna lupaa, ei evästeitä asenneta ja kävijä ei myöskään kirjaudu esimerkiksi Google Analyticsin tilastoihin.
Toisaalta tähän voidaan kyllä merkittävästi vaikuttaa sillä, miten evästeilmoitus on käytännössä toteutettu. Hyvin toteutettu evästeilmoitus on selkä ja saa kävijän reagoimaan siihen. Toki osa kieltää analytiikka- ja markkinointievästeiden käytön. Meidän oman arviomme mukaan tämä on noin 20-40% kävijöistä.
Käytännön esimerkkejä evästekyselyn toteuttamisesta
Miten evästeistä kertominen ja luvan kysyminen tulisi sitten käytännössä toteuttaa? Alla muutamia käytännön esimerkkejä toteuttamisesta.
Esimerkki: Traficomin sivut
Liikenne- ja Viestintävirasto Traficomin sivustolla evästekysely on toteutettu sivuston yläreunaan erillisenä bannerina, jossa on vaihtoehtoina hyväksyä tai ei hyväksyä kävijätilastojen keräämiseen käytettävät evästeet. Lisäksi sivustolta löytyy erillinen alasivu, jossa on tarkemmin kuvattu evästeiden käyttöä kyseisellä sivustolla.
Esimerkki: Business Finlandin sivut
Business Finlandin sivuilla evästeilmoitus ilmestyy sivun keskelle. Vaihtoehtoina on joko hyväksyä kaikki evästeet tai hyväksyä vain välttämättömät evästeet. Valintojen yhteydessä kerrotaan myös lyhyesti, mihin evästeistä käytetään ja tarjotaan myös linkki lisätietoihin.
Hoida evästeasiat kuntoon helposti
Termly-palvelulla hoidat evästeasiat kuntoon helposti, nyt saat sen Zonerin kautta edullisesti. Termlyn avulla lisäät sivustollesi evästebannerin, keräät käyttäjien suostumukset ja luot yrityksellesi evästeselosteen vain muutamassa minuutissa.
Huomioithan, että kirjoitusta ei kannata sellaisenaan käyttää omaa toimintaa ohjaavana ohjeistuksena, vaan sen on tarkoitus enemmänkin herätellä pohtimaan evästeilmoitusten tarpeellisuutta ja sitä, milloin niitä tarvitaan sekä miten sen voi toteuttaa lainsäädännön vaatimalla tavalla. Kirjoittaja ei ole koulutukseltaan juristi.
