Mitä ovat evästeet?

Kaisa Huttunen

Erilaisiin evästeistä ilmoittaviin tai niiden käyttöön lupaa kysyviin ponnahdusikkunoihin ja bannereihin törmää verkossa varmasti.

Käymme tässä kirjoituksessa läpi, mitä ovat evästeet, miksi nettisivut käyttävät niitä ja pitääkö niiden käyttöön pyytää lupa ponnahdusikkunalla tai bannerilla.

Kirjoitus päivitetty 14.4.2021

Evästeen määritelmä

Eväste (englanniksi cookie) on webpalvelimen käyttäjän laitteelle tallentamaa tietoa, joka tallennetaan käyttäjän vieraileman sivuston palvelimen pyynnöstä. Käyttäjän selain lähettää tuon tiedon takaisin kyseiselle palvelimelle jokaisen pyynnön yhteydessä. Selain ei lähetä evästettä mille tahansa palvelimelle, vaan ainoastaan sille, jolta sen alun perin sai.

Evästeitä on kahdenlaisia: istuntokohtaisia (englanniksi session cookie) ja pysyviä (englanniksi persistent cookie). Istuntokohtaiset evästeet säilyvät vain siihen asti, kunnes käyttäjä lopettaa istunnon kyseisessä palvelussa. Pysyvät evästeet puolestaan säilytetään tiettyyn aikarajaan asti tai kunnes käyttäjä tuhoaa ne.

Evästeet eli englanniksi cookies

Käytännössä evästeissä on kyse pienestä tietomäärästä, joka on tyypillisesti tekstiä. Evästeiden avulla kerätään esimerkiksi seuraavanlaisia tietoja: käyttäjän IP-osoite, käytetyt sivut, selaintyyppi ja mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle. Evästeisiin ei sisälly henkilökohtaisia tietoja ja ne ovat sivustojen kävijöille vaarattomia.

Käyttäjä voi vaikuttaa halutessaan evästeiden käyttöön oman selaimensa asetuksista. Tosin jotkut sivustot eivät välttämättä toimi kunnolla ilman evästeitä. Selaimen asetuksista voi myös poistaa yksittäisiä evästeitä tai tyhjentää halutessaan kaikki evästeet.

Miksi evästeitä kerätään?

Ensimmäisellä vierailukerralla sivuston palvelin pyytää käyttäjän selainta tallentamaan evästeen. Kun käyttäjä seuraavan kerran menee samalle sivulle, selain lähettää evästeen takaisin sille palvelimelle, josta se on sen alun perin saanutkin. Tämä tietenkin edellyttää sitä, ettei käyttäjä ole välissä poistanu evästeitä.

Evästeen avulla palvelin havaitsee, että käyttäjä on vieraillut aikaisemminkin kyseisellä sivustolla. Eväste voi sisältää muun muassa sellaisia tietoja ja valintoja, joita käyttäjä on aiemmin tehnyt. Evästeen ansiosta käyttäjän ei tarvitse tehdä samoja valintoja uudestaan.

Tällainen muistettava valinta voisi olla esimerkiksi käyttökielen valinta. Kun käyttäjä valitsee ensimmäisellä vierailullaan kielekseen suomen, voidaan tieto tallentaa evästeeseen. Jatkossa sivusto olettaa evästeen perusteella, että käyttäjä haluaa sivuston olevan suomeksi, eikä kysy sitä uudelleen.

On myös palveluita, jotka tarvitsevat evästeitä jo ihan toimiakseen oikein. Tällaisia ovat esimerkiksi verkkokaupat, jotka tallentavat asiakkaiden ostoskorin sisällön evästeiden avulla. Ilman evästeitä ei siis pysty tekemään ostoksia useimmissa verkkokaupoissa.

Pitääkö evästeet hyväksyttää kävijöillä?

Useilla sivuilla näkee erilaisia ponnahdusikkunoita tai bannereita, jotka kertovat evästeiden käytöstä sivustolla ja osa jopa vaatii evästeiden hyväksynnän ennen kuin päästää eteenpäin. Onko tällainen tarpeellista vai riittääkö, että käyttäjä on sallinut evästeet selainasetuksista?

Mitä laki sanoo evästeistä?

Evästeiden käyttöön Suomessa vaikuttaa sekä laki sähköisen viestinnän palveluista 205 § että sähköisen viestinnän tietosuojadirektiivi. Lisäksi Euroopan unionin tuomioistuin selvensi lokakuussa 2019 antamassaan Planet49-tuomiossaan, että sähköisen viestinnän tietosuojadirektiivin lisäksi on myös huomioitava EU:n yleinen tietosuoja-asetus (engl. General Data Protection Regulation, GDPR). GDPR säätelee henkilötietojen sähköistä käsittelyä.

Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät sekä kattavat tiedot tallentamisen tai käytön tarkoituksesta. Tämä ei kuitenkaan estä evästeiden käyttöä, jos se on välttämätöntä palvelun tarjoamiseksi.

Erillistä hyväksyntää ei tarvita välttämät­tömille evästeille

Osa sivustoista tarvitsee evästeitä toimiakseen oikein, pitääkö silloinkin pyytää suostumus erillisellä ponnahdusikkunalla.

Liikenne- ja viestintävirasto Traficomin mukaan välttämättömien evästeiden kohdalla suostumusta ei tarvitse pyytää. Saman totesi myös apulaistietosuojavaltuutettu viime keväänä antamassaan päätöksessä.

Evästeiden käytöstä ei tarvitse informoida tai suostumusta pyytää,

jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti

joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Lähde:Kyberturvallisuuskeskus

Evästeilmoitusta tai käyttäjän suostumusta ei siis tarvita, jos kyse on välttämättömistä evästeistä, joita ilman palvelu tai sivusto ei toimi oikein. Tällaisia ovat esimerkiksi evästeet, joiden avulla tallennetaan verkkokauppojen ostoskorin sisältö.

Suostumuksen antaminen muiden evästeiden käyttöön

Suostumus puolestaan tarvitaan sellaisten evästeiden käyttöön, jotka eivät ole palvelun toiminnan kannalta välttämättömiä. Tällaisia ovat esimerkiksi markkinoinnin kohdentamiseen tai palvelun tilastointiin liittyvät evästeet.

Apulaistietosuojavaltuutetun evästeisiin liittyvässä päätöksessä sanotaan näin:

Jotta suostumus täyttää yleisen tietosuoja-asetuksen edellytykset, käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot. Suostumus voidaan antaa monella eri tapaa, kunhan se selkeästi osoittaa, että rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen.

Lähde: Tietosuojavaltuutetun toimisto

Suostumuks en antamisen täytyy olla aktiivinen toimenpide, joka tarkoittaa sitä, että pelkkä ilmoitus evästeiden käytöstä ei riitä. Toisaalta käyttäjällä pitää olla myös yhtäläinen mahdollisuus kieltäytyä evästeiden käytöstä.

Suostumuksen antamisen tapaa ei ole määritelty tarkemmin, eli se voidaan pyytää monella eri tavalla, kunhan voidaan selkeästi osoittaa, että kävijä on hyväksynyt evästeet.

evästeet ja lainsäädäntö

Kerro evästeistä selkeästi ja kattavasti

Evästeistä, tietojen tallentamisesta sekä niiden käytöstä tulisi kertoa mahdollisimman selkeästi ja kattavasti. Lisäksi on tietenkin kerrottava, jos evästeiden avulla kerättäviä tietoja luovutetaan eteenpäin kolmansille osapuolille. Evästeistä kerrottaessa tulisi myös kertoa, miten evästeille annettu suostumus voidaan perua.

Evästeet ja tuleva EU-lainsäädäntö

EU:ssa on tällä hetkellä valmisteilla uusi sähköisen viestinnän tietosuoja-asetus, joka tulee valmistuttuaan korvaamaan sähköisen viestinnän tietosuojadirektiiviin ja sähköisenviestinnän palveluista annetun lain evästeiden osalta. Asetuksen lopullisesta sisällöstä tai valmistumisaikataulusta ei ole vielä täyttä varmuutta.

Evästeet ja Google Analytics -kävijäseuranta

Vaikuttaako Google Analytics -kävijäseurannan käyttäminen evästeiden hyväksymiseen tai niistä kertomiseen? Google Analytics -kävijäseuranta palvelun käyttöehdot.

Sinun on kaupallisesti kohtuullisin keinoin varmistettava, että Käyttäjälle toimitetaan selkeät ja kattavat tiedot evästeiden tai muiden tietojen tallentamisesta. Käyttäjän laitteelle ja niiden käyttämisestä, ja varmistettava, että Käyttäjä hyväksyy evästeiden tai muiden tietojen tallentamisen ja käyttämisen, kun tallennus tapahtuu Palvelun yhteydessä ja kun laki edellyttää näiden tietojen toimittamista ja hyväksynnän saamista.

Käyttöehtojen mukaan sivuston ylläpitäjän tulee varmistaa, että vierailija hyväksyy evästeiden tallentamisen. Palvelun käytöstä tulee lisäksi kertoa käyttäjälle esimerkiksi sivuston tietosuojaselosteessa, tai vastaavassa kohdassa, jossa kerrotaan muutenkin evästeiden käytöstä.

Evästebannerin vaikutus analytiikkaan

Monet yritykset ovat olleet huolissaan siitä, miten paljon evästebannerin käyttöönotto vaikuttaa sivuston analytiikkaan. Toki huoli on jossain mielessä aiheellinen, sillä jos kävijä ei anna lupaa, ei evästeitä asenneta ja kävijä ei myöskään kirjaudu esimerkiksi Google Analyticsin tilastoihin.

Toisaalta tähän voidaan kyllä merkittävästi vaikuttaa sillä, miten evästeilmoitus on käytännössä toteutettu. Hyvin toteutettu evästeilmoitus on selkä ja saa kävijän reagoimaan siihen. Toki osa kieltää markkinointievästeiden käytön, mutta myös selvästi isompi osa hyväksyy evästeiden käytön.

Hyvin toteutetulla evästeilmoituksella ei siis todennäköisesti menetetä merkittävästi kävijöitä tilastoista ja markkinoinnin kohdentaminen noille kävijöille onnistuu jatkossakin.

Käytännön esimerkkejä evästeilmoituksen toteuttamisesta

Miten evästeistä kertominen tulisi sitten käytännössä toteuttaa? Alla muutamia käytännön esimerkkejä toteuttamisesta.

Esimerkki: Tietosuojavaltuutetun sivut

Tietosuojavaltuutetun sivulla ei ole lainkaan ponnahdusikkunaa tai banneria, joka kertoisi evästeiden käytöstä tai pyytäisi hyväksymään niiden käytön. Tietoa evästeiden käytöstä löytyy ainoastaan tietosuojakäytäntömme-alasivulta, johon pääsee helposti sivuston kiinteästä alabannerista. Sivustolla käytetäänkin todennäköisesti vain välttämättömiä evästeitä.

tietosuojavaltuutetun toimiston verkkosivut

Esimerkki: Business Finlandin sivut

Business Finlandin sivuilla evästeilmoitus ilmestyy sivun alalaitaan. Vaihtoehtoina on joko hyväksyä kaikki evästeet tai hyväksyä vain välttämättömät evästeet. Valintojen yhteydessä kerrotaan myös lyhyesti, mihin evästeistä käytetään ja tarjotaan myös linkki lisätietoihin.

Oletettavasti tällainen malli olisi myös apulaistietosuojavaltuutetun hyväksymä, sillä se vaatii käyttäjältä aktiivisen toimenpiteen evästeiden hyväksymiseksi. Banneri on myös hyvin sivuston muuhun tyyliin ja ilmeeseen sopiva.

Business Finland verkkosivujen evästekysely.

Huomioithan, että kirjoitusta ei kannata sellaisenaan käyttää omaa toimintaa ohjaavana ohjeistuksena, vaan sen on tarkoitus enemmänkin herätellä pohtimaan evästeilmoitusten tarpeellisuutta ja sitä, milloin niitä tarvitaan.