Mitä ovat evästeet?

Erilaisiin evästeistä ilmoittaviin tai niiden käyttöön lupaa kysyviin ponnahdusikkunoihin ja bannereihin törmää verkossa varmasti. Oletko koskaan miettinyt, tarvitaanko niitä todella?

Käymme tässä kirjoituksessa läpi, mitä ovat evästeet, miksi niitä kerätään ja pitääkö niiden käyttöön pyytää lupa ponnahdusikkunalla tai bannerilla.

Evästeen määritelmä

Eväste (englanniksi cookie) on webpalvelimen käyttäjän laitteelle tallentamaa tietoa, joka tallennetaan käyttäjän vieraileman sivuston palvelimen pyynnöstä. Käyttäjän selain lähettää tuon tiedon takaisin kyseiselle palvelimelle jokaisen pyynnön yhteydessä. Selain ei lähetä evästettä mille tahansa palvelimelle, vaan ainoastaan sille, jolta sen alun perin sai.

Evästeitä on kahdenlaisia: istuntokohtaisia (englanniksi session cookie) ja pysyviä (englanniksi persistent cookie). Istuntokohtaiset evästeet säilyvät vain siihen asti, kunnes käyttäjä lopettaa istunnon kyseisessä palvelussa. Pystyvät evästeet puolestaan säilytetään tiettyyn aikarajaan asti tai kunnes käyttäjä tuhoaa ne.

Evästeet eli englanniksi cookies

Käytännössä evästeissä on kyse pienestä tietomäärästä, joka on tyypillisesti tekstiä. Evästeiden avulla kerätään esimerkiksi seuraavanlaisia tietoja: käyttäjän IP-osoite, käytetyt sivut, selaintyyppi ja mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle. Evästeisiin ei sisälly henkilökohtaisia tietoja ja ne ovat sivustojen kävijöille vaarattomia.

Käyttäjä voi vaikuttaa halutessaan evästeiden käyttöön oman selaimensa asetuksista. Tosin jotkut sivustot eivät välttämättä toimi kunnolla ilman evästeitä. Selaimen asetuksista voi myös poistaa yksittäisiä evästeitä tai tyhjentää halutessaan kaikki evästeet.

Miksi evästeitä kerätään?

Ensimmäisellä vierailukerralla sivuston palvelin pyytää käyttäjän selainta tallentamaan evästeen. Kun käyttäjä seuraavan kerran menee samalle sivulle, selain lähettää evästeen takaisin sille palvelimelle, josta se on sen alun perin saanutkin. Tämä tietenkin edellyttää sitä, ettei käyttäjä ole välissä poistanu evästeitä.

Evästeen avulla palvelin havaitsee, että käyttäjä on vieraillut aikaisemminkin kyseisellä sivustolla. Eväste voi sisältää muun muassa sellaisia tietoja ja valintoja, joita käyttäjä on aiemmin tehnyt. Evästeen ansiosta käyttäjän ei tarvitse tehdä samoja valintoja uudestaan.

Tällainen muistettava valinta voisi olla esimerkiksi käyttökielen valinta. Kun käyttäjä valitsee ensimmäisellä vierailullaan kielekseen suomen, voidaan tieto tallentaa evästeeseen. Jatkossa sivusto olettaa evästeen perusteella, että käyttäjä haluaa sivuston olevan suomeksi, eikä kysy sitä uudelleen.

On myös palveluita, jotka tarvitsevat evästeitä jo ihan toimiakseen oikein. Tällaisia ovat esimerkiksi verkkokaupat, jotka tallentavat asiakkaiden ostoskorin sisällön evästeiden avulla. Ilman evästeitä ei siis pysty tekemään ostoksia useimmissa verkkokaupoissa.

evästeet ovat välttämättömiä verkkokauppojen toiminnalle

Pitääkö evästeet hyväksyttää kävijöillä?

Useilla sivuilla näkee erilaisia ponnahdusikkunoita tai bannereita, jotka kertovat evästeiden käytöstä sivustolla, osa jopa vaatii evästeiden hyväksynnän ennen kuin päästää eteenpäin. Onko tällainen todella tarpeen?

Mitä laki sanoo evästeistä?

Evästeiden käyttöön Suomessa vaikuttaa sekä laki sähköisen viestinnän palveluista 205 § että sähköisen viestinnän tietosuojadirektiivi.

205 §

Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.

Välillä törmää myös virheelliseen tietoon koskien Euroopan Unionin tietosuoja-asetusta eli GDPR:ää. Virheellisen tiedon mukaan GDPR vaatisi evästeiden käytöstä ilmoittamisen bannerilla tai ponnahdusikkunalla, mutta todellisuudessa se ei sisällä lainkaan suoranaista evästeitä koskevaa säätelyä.

On tärkeä kuitenkin huomata, että jos sivustolla kerätään evästeitä tarkempia tietoja kävijöistä tai eväste tietoja pyritään liittämään luonnollisiin henkilöihin, kuten esimerkiksi uutiskirjetilaajiin, voi tilanne olla toinen. GDPR säätelee henkilötietojen sähköistä käsittelyä, GDPR lyhyesti.

Suomessa ei tarvita erillistä hyväksyntää evästeille

Liikenne- ja viestintävirasto Traficomin tulkinnan mukaan käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen asetuksista. Virallisen ohjeistuksen mukaan Suomessa ei tarvitakaan erillistä ponnahdusikkunaa evästeistä informoimiseen tai nappia niiden hyväksymiseen.

Sähköisen viestinnän tietosuojadirektiivin tulkintakäytäntö vaihtelee maittain ja siksi ulkomaisissa palveluissa saatetaankin kysyä evästeistä sivustokohtaisesti. Ulkomaille esimerkiksi verkkokauppansa kautta tuotteita myyvien kannattaakin aina tarkistaa kohdemaan tietosuojaviranomaisen näkemys evästeiden osalta.

Kerro evästeistä selkeästi ja kattavasti

Traficomin mukaan evästekäytännöt tulee kuitenkin mainita verkkosivuilla siten, että käyttäjä saa halutessaan niistä lisätietoja. Evästeistä, tietojen tallentamisesta sekä niiden käytöstä tulisi kertoa mahdollisimman selkeästi ja kattavasti.

evästeet ja lainsäädäntö

Evästeet ja tuleva EU-lainsäädäntö

EU:ssa on tällä hetkellä valmisteilla uusi sähköisen viestinnän tietosuoja-asetus, joka tulee valmistuttuaan korvaamaan sähköisen viestinnän tietosuojadirektiiviin ja sähköisenviestinnän palveluista annetun lain evästeiden osalta. Asetuksen lopullisesta sisällöstä tai valmistumisaikataulusta ei ole vielä täyttä varmuutta.

Evästeet ja Google Analytics -kävijäseuranta

Usein törmätään myös väittämään, että kävijöiltä pitää pyytää lupa evästeiden käyttämiseen, jos käytetään Google Analytics -kävijäseurantapalvelua, palvelun käyttöehdot.

Sinun on kaupallisesti kohtuullisin keinoin varmistettava, että Käyttäjälle toimitetaan selkeät ja kattavat tiedot evästeiden tai muiden tietojen tallentamisesta Käyttäjän laitteelle ja niiden käyttämisestä, ja varmistettava, että Käyttäjä hyväksyy evästeiden tai muiden tietojen tallentamisen ja käyttämisen, kun tallennus tapahtuu Palvelun yhteydessä ja kun laki edellyttää näiden tietojen toimittamista ja hyväksynnän saamista.

Käyttöehtojen mukaan sivuston ylläpitäjän tulee varmistaa, että vierailija hyväksyy evästeiden tallentamisen, mutta erillistä ponnahdusikkunaa ei edellytetä. Käytännössä palvelun käyttöehdoissa siis edellytetään vain olemassa olevien lakien noudattamista. Traficomin mukaan lakia tosiaan tulkitaan niin, että käyttäjä voi antaa suostumuksen evästeiden käyttöön selaimensa asetuksista.

Palvelun käytöstä tulee kuitenkin kertoa käyttäjälle esimerkiksi sivuston tietosuojaselosteessa tai vastaavassa kohdassa, jossa kerrotaan muutenkin evästeiden käytöstä.

Käytännön esimerkkejä evästeilmoituksen toteuttamisesta

Kuten jo yllä todettiin Traficomin tulkinta sähköisen viestinnän tietosuojadirektiivistä on, ettei Suomessa tarvita erillistä ponnahdusikkunaa tai banneria. Tietoa evästekäytännöistä tulee kuitenkin tarjota ja se tulee olla käyttäjälle helposti löydettävissä.

Miten evästeistä kertominen tulisi sitten käytännössä toteuttaa? Alla muutamia käytännön esimerkkejä toteuttamisesta.

Esimerkki: Tietosuojavaltuutetun sivut

Tietosuojavaltuutetun sivulla ei ole lainkaan ponnahdusikkunaa tai banneria, joka kertoisi evästeiden käytöstä tai pyytäisi hyväksymään niiden käytön. Tietoa evästeiden käytöstä löytyy ainoastaan tietosuojakäytäntömme-alasivulta, johon pääsee helposti sivuston kiinteästä alabannerista.

tietosuojavaltuutetun toimiston verkkosivut

Esimerkki: Traficomin sivut

Liikenne- ja viestintävirasto Traficomin omalla sivustolla evästeiden käytöstä ei myöskään tule erillistä ponnahdusikkunaa, vaan tiedot evästeiden käytöstä löytyvät tietoja sivustosta -alasivulta. Alasivulta löytyy tieto myös kävijäanalytiikkatyökalun hyödyntämisestä eli siitäkään ei ole tarpeen informoida erillisellä ponnahdusikkunalla.

Traficomin verkkosivut

Oliko kirjoitus hyödyllinen? Jaa se eteenpäin: