Liikenne- ja viestintävirasto Traficom julkaisi 13.9.2021 selkeästi aiempaa tiukemman evästeohjeistuksen, joka vaatii muutoksia suurimmalle osalle sivustoista. Ohjeistus on julkaistu kokonaisuudessaan Traficomin sivustolla ja tämä kirjoitus kertoo tiiviisti tärkeimmät muutokset.
Kirjoituksessa käydään ohjeistuksia läpi verraten niitä pariin kotimaiseen sivustoon siten kun ne olivat tekstin julkaisuhetkellä. Tarkoitus ei ole syyttää tai osoitella sormella, vaan auttaa hahmottamaan esimerkkien kautta. Viittaukset uuteen ohjeistukseen ovat siitä tulkintoja eivätkä siis lainopillisia neuvoja.
Pikakertaus: Mitkä evästeet?
Evästeet (cookies) ovat verkkopalvelujen tapa tallentaa käyttäjästä tietoa käyttäjän omalle laitteelle niin, että käyttäjä voidaan esimerkiksi tunnistaa samaksi käyttäjäksi eri käynneillä sivustolla. Kun käyttäjä selaa sivustoa, lähettää laite evästetiedot sivuston käsiteltäväksi. Evästeitä voi siis syntyä vaikka pelkästään sivustolla vierailusta, tuotteen lisäämisestä ostoskoriin tai lomakkeen lähetyksestä. Verkkopalvelussa evästeitä voivat luoda esimerkiksi seurantapikselit, chatit, sivustolle räätälöidyt ominaisuudet, lisäosat, julkaisujärjestelmä sekä mediaupotukset (kuten YouTube).
Evästeitä hyödynnetään sivustojen kriittisten toimintojen lisäksi esimerkiksi analytiikkaan, kohdennettuun mainontaan ja sisällön personointiin. Tiukentuva tietosuojalainsäädäntö on asettanut rajoitteita tällaisen tiedon keräämiselle lisäämällä käyttäjien oikeuksia ja vastavuoroisesti verkkopalveluiden omistajien velvollisuuksia. Rajoitteet evästeille ovat siis osa tietosuojaa, jota ei voi kiertää tallentamalla henkilötietoa teknisesti jossain muussa muodossa (esimerkiksi Web Storage -tekniikalla).
Pelkkä ilmoitus ei enää riitä
Aiemmin suostumus evästeisiin on voitu antaa passiivisesti eli on mainittu, että käyttämällä sivustoa hyväksyt evästekäytännöt. Usein evästeistä on kerrottu sivun ylä- tai alalaidassa bannerina, joka ilmoittaa, että palvelu käyttää evästeitä. Erillisen linkin takana löytyy lisätietoa. Bannerissa on ”OK”-nappula, jota klikkaamalla evästebanneri menee piiloon, mutta tämä ei käytännössä vaikuta mihinkään. Evästeitä kerätään joka tapauksessa.
Uudet ohjeistukset vaativat käyttäjiltä aktiivista tahdonilmaisua, jota ei voi antaa vaikenemalla, valmiiksi tehdyllä valinnalla tai evästebannerin ohittamalla. Sivuston toiminnan kannalta välttämättömät evästeet saavat toimia ilman suostumusta, mutta muut voivat alkaa keräämään tietoa vasta suostumuksen jälkeen.
Kun käyttäjät voivat helposti kieltää ei-välttämättömien evästeiden käytön, tulee yhä suurempi määrä myös sen tekemään. Tämä tarkoittaa esimerkiksi analytiikkaan ja kohdennettuun markkinointiin vähemmän kohdeyleisöä ja selkeää pudotusta raporteissa.
Kaikki passiiviset evästebannerit menevät uusiksi. Vaatimus käyttäjän aktiivisesta suostumuksesta evästeisiin ei hoidu tällaisen evästebannerin hienosäädöllä, vaan vaatii täysin uudenlaisen ratkaisun.
Evästeet pitää luokitella ja selostaa
Aiemmin evästeselosteet ovat olleet laajuuksiltaan hyvin vaihtelevia. Ilman toimivaa automaatiota listaa käytetyistä palveluista on kerätty käsin, jolloin evästeistä on usein kerrottu vain mitä palveluita on käytössä. Tilannetta on sekoittanut vielä yleinen huoleton suhtautuminen erilaisiin seurantapikseleihin, jolloin organisaatiot eivät välttämättä tiedä mitä palveluita käytetään ja ovatko ne yhä tarpeellisia. Koska evästeitä voi ilmestyä monesta lähteestä, unohtuu käsin ylläpidettävää listausta helposti päivittää.
Uusi ohjeistus tarkentaa evästeselosteen muotoa huomattavasti. Ensinnäkin evästeet pitää jaotella käyttötarkoituksensa mukaan minimissään välttämättömiin ja ei-välttämättömiin, mutta tätä tarkempaa luokittelua suositellaan. Yleisiä muita kategorioita ovat esimerkiksi mieltymykset, tilastointi ja markkinointi.
Kategorioiden alle tulee listata yksittäiset evästeet ja niistä käyttötarkoitus, voimassaoloaika ja mille taholle tietoja siirretään. Listaus on siis evästekohtainen eikä palvelukohtainen. Jos vaikkapa Google Analytics asettaa kaksi evästettä, täytyy nämä listata erikseen.
Ylempänä kerrottu siirtyminen aktiiviseen suostumukseen vaatii käytännössä jonkin evästehallintapalvelun käyttöönottoa. Nämä palvelut sisältävät yleensä toiminnot myös evästeiden automaattiseen skannaamiseen sivustolta sekä niiden automaattisen luokittelun ja kuvauksen. Automaattiskannaukset eivät ole aukottomia ja varsinkin interaktiota vaativat toiminnot (esimerkiksi ostoskorit, lomakkeisiin liittyvät evästeet ja kirjautumisen takana olevat evästeet) voivat vaatia joidenkin evästeiden lisäämistä käsin.
Jos luokittelu on jo tehty, on syytä tarkistaa että evästeet on luokiteltu oikein. Esimerkiksi analytiikka on ohjeistuksessa kirjoitushetkellä määritelty aina suostumusta vaativaksi eikä sitä saa luokitella välttämättömäksi. Evästeiden käyttöä ei voi myöskään perustella oikeutetun edun kautta eikö oikeutettua etua voi liittää evästekäytäntöihin.
Viimeistään uusien ohjeistusten myötä käsin ylläpidettävä listaus ei ole enää käytännöllinen. Automaatioita tarjoavista evästehallintapalveluista tulee arkipäivää.
Evästemekanismi ei saa estää pääsyä
Uusi ohjeistus ottaa kantaa myös suostumuksen antamisen käytettävyyteen. Ohjeistuksen mukaan suostumuksen pyytämisen mekanismi ei saa kohtuuttomasti häiritä ja estää käyttäjän pääsyä palveluun. Jos käyttäjä ei tee valintaa, jatkaa sivusto toimintaansa vain välttämättömillä evästeillä.
Käytännössä tämä tarkoittaa selkeästi ainakin sitä, että verkkopalveluun ei saa evätä pääsyä jos käyttäjä ei esimerkiksi hyväksy markkinointievästeitä. Sivuston täytyy siis toimia jollain tasolla välttämättömäksi määritellyillä evästeillä. Vaikeammin tulkittava kysymys taas on, voiko sivuston selauksen estää kunnes käyttäjä on tehnyt jonkin päätöksen evästeilmoituksessa.
Etenemisen estäviä evästebannerit ovat yleisiä aktiivista suostumusta vaadittaessa. Osittain kyse voi olla saavutettavuudesta eli siitä, että käyttäjä ei vahingossa päädy pois evästeilmoituksesta tai sulje sitä. Mahdollisesti kyse on enemmän suostumusten maksimoinnista. Varmin tapa olla ohjeistusten mukainen on antaa käyttäjän selata sivustoa tekemättä valintaa, mutta toistaiseksi ohjeistus jättää tässä asiassa tulkinnanvaraa.
Kieltävää vaihtoehtoa ei saa piilottaa
Koska aktiivinen suostumus tulee käytännössä varmasti laskemaan sitä määrää käyttäjistä, jotka hyväksyvät esimerkiksi markkinointievästeet, on suostumiseen toistaiseksi ohjailtu ja houkuteltu monilla tavoilla. Useissa evästebannereissa esimerkiksi kieltäytyminen löytyy erillisen klikkauksen alta tai kieltäytyminen tehdään muuttamalla asetuksia eikä yksiselitteisestä nappulasta.
Luonnosvaiheessa ohjeistuksessa määriteltiin tarkasti miltä hyväksyntänappula saa näyttää ohjeistamalla, että ”Käyttäjää ei tule ohjailla tekemään valintoja esimerkiksi värivalinnoin tai siten, että kieltäytymistä ilmaiseva toimi on tehty vähemmän näkyväksi kuin suostumusta ilmaiseva toimi esimerkiksi sijoittamalla se eri sivulle suostumusmekanismissa tai esittämällä valinta pienemmällä kirjainkoolla.”
Tämä muotoilu ei kuitenkaan selvinnyt julkaistuun ohjeistukseen, jossa ei enää oteta kantaa nappulan väriin tai kokoon. Vaikuttaa siis siltä, että ohjeistus sallii hyväksyntään houkuttelun esimerkiksi värillisellä nappulalla kunhan kieltäytyminen on mahdollista tehdä samasta paikasta yhtä helposti.
Viimeistään tämä linjaus tuo muutoksia suureen osaan kotimaisista verkkopalveluista. Evästebannerin siis kuuluu näyttää suostumus ja kieltäytyminen yhtä helppoina valintoina. Ei kieltäytymisvaihtoehdon piilotusta lisätietoihin.
Uuden evästeohjeistuksen myötä kieltäytymisen pitää olla yhtä helppoa kuin hyväksymisen.
Evästevalinnoista syntyy rekisteri
Uuden ohjeistuksen mukaan suostumuksen täytyy tallentua myös käyttäjän oman laitteen ulkopuolelle. Käyttäjän antama suostumus evästeille pitää pystyä osoittamaan jälkikäteen. Käyttäjän pitää myös pystyä perumaan suostumuksensa tai muuttamaan sitä myöhemmin.
Viimeistään nämä vaatimukset tarkoittavat, että evästeiden hallintaan tarvitaan jonkinlainen järjestelmä. Käytännöllisintä on, että evästehallintajärjestelmä yhdistää niin aktiivisen suostumuksen pyytämisen, evästeiden luokittelun kuin suostumusrekisterin ylläpidon. Tätä kokonaisuutta ei käytännöllisesti saa pelkällä koodikirjastolla tai sivuston julkaisujärjestelmään asennettavalla itsenäisellä lisäosalla. Vaatimukset ohjaavat SaaS-tyyppisiin palveluihin (Software as a Service), joissa monimutkaista sovellusta kehittää siihen erikoistunut yritys ja palvelu pyörii sivuston ulkopuolella (yleensä kuukausihintaan).
Kohti uusia evästeohjeistuksia
Evästehallintajärjestelmää ei kannata lähteä rakentamaan itse. Tutkimme saatavilla olevia järjestelmiä ja suosittelemme Cookiebot-palvelua, joka tarjoaa ominaisuuksina muun muassa:
- Aktiivinen hyväksyntä evästeille
- Täysin räätälöitävä evästebanneri (sekä valmiita pohjia)
- Automaattinen ja säännöllinen evästeiden skannaus, luokittelu ja selostus
- Sivustokohtainen rekisterin suostumuksista
- Mahdollisuus monikielisyydelle ja valmiit tekstit esimerkiksi suomeksi, ruotsiksi, englanniksi ja venäjäksi
- Suora tuki WordPress-sivustoille
- Asetusten hallinta ilman jaettua käyttäjätunnusta
Olemme suunnitelleet ja julkaisseet Cookiebotille kaksi avoimen lähdekoodin evästebanneripohjaa Githubiin, jonka avulla voidaan helposti räätälöidä evästebannereita sivuston ilmeeseen niin, että uudet evästeohjeistukset täyttyvät. Evästebanneri on kriittinen osa saavutettavuutta, koska se on yleensä ensimmäinen kohdistettava elementti sivustolla. Tästä syystä halusimme tehdä pohjasta suoraan saavutettavuusvaatimusten mukaisen.
Täydennämme tätä artikkelia sitä mukaa kun evästeohjeistuksen tulkinnat ja käytännöt kehittyvät. Artikkeli kannattaa siis tallentaa kirjanmerkkeihin ja kurkata uudelleen kun evästekäytäntöjen tarkistus tulee ajankohtaiseksi.