Evästeet - uusi ohjeistus Traficomilta

Uusi evästeohjeistus julkaistu 9/2021

Liikenne- ja viestintävirasto Traficom on julkaissut 13.9.2021 oppaan verkkosivujen evästekäytännön linjauksista (Evästeohjeistus palveluntarjoajille). Uudessa oppaassa ohjeistetaan, miten evästeet tulee verkkopalveluissa huomioida, jotta voidaan toimia lain edellyttämällä tavalla ja hyvien käytäntöjen mukaisesti. Tässä artikkelissa kerromme pääkohdat oppaan linjauksista ja siitä, miten evästekäytännöt tulisi tästedes ottaa huomioon.

Taustaa evästeistä ja niiden valvonnasta

Evästeet ovat tietoja, joita selain tallentaa verkkosivuilla vierailusta. Evästeitä on erilaisia ja ne voivat tallentaa vierailusta joko pysyvämpiä tai yhden istunnon aikaisia tietoja. Jäljempänä on eritelty tarkemmin evästeiden eri käyttötarkoituksia.

Suomessa evästeiden käyttöoikeuksiin ja kävijöiden tietojen tallentamiseen vaikuttaa Laki sähköisen viestinnän palveluista (pykälä 205), jonka taustalla on EU:n sähköisen viestinnän tietosuojadirektiivi. Liikenne- ja viestintävirasto Traficomin valvoo sähköisen viestinnän luottamuksellisuutta.

Traficomin uusi opas ja sen merkitys

Traficom on asiassa toimivaltainen viranomainen, joten vaikka opas itsessään ei ole juridisesti velvoittava, se ohjeistaa palveluntarjoajia toimimaan lain edellyttämällä tavalla. Opas kertoo, miten toimia:

  1. evästeiden ja muiden palvelun käyttöä kuvaavien tietojen tallentamisessa ja käytössä sekä
  2. evästeitä koskevan suostumuksen toteutuksessa ja evästeistä tiedottamisessa.

Opas koskee kaikkia tahoja, jotka käyttävät verkkosivuillaan tai muussa sähköisessä viestinnässä kuten mobiilisovelluksissa evästeitä tai vastaavia seurantaa tekeviä tekniikoita (ks. luettelo tekniikoista oppaan sivulla 3). Käytännössä opas koskee siis kaikkia suomalaisia verkkosivuja, niin kaupallisia kuin ei-kaupallisia.

Traficomin ohjeistus koskee käytännössä kaikkia suomalaisia verkkosivuja. Se edellyttää palveluntarjoajia huomioimaan entistä tarkemmin evästeistä ilmoittamisen ja suostumuksen pyytämisen.

Verkkosivukävijän tulee saada helposti tietää, hyväksyä ja hylätä valitsemansa evästeet. Vain harvat evästetyypit voidaan pitää oletuksena päällä.

Mikä muuttuu syksyllä 2021?

Evästeet on huomioitu entistä tarkemmin jo keväästä 2020 lähtien, jolloin apulaistietosuojavaltuutettu teki linjauksen evästekäytännöistä.

Nyt Traficomin ohjeistuksen myötä paine hyvien ja lainmukaisten käytäntöjen noudattamiseen on entistä suurempi ja se koskee kaikkia verkkosivustoja. Opas kertoo selkeät linjaukset sille, mihin täytyy pyytää lupa.

Ohjeistuksen myötä verkkosivukävijän rooli suostumuksen antamisessa on entistä aktiivisempi. Vain harvat evästetyypit voidaan pitää oletuksena päällä, ja kävijän tulee voida yhdellä klikkauksella hylätä kaikki ei-välttämättömät evästeet.

Verkkosivukävijöiden analytiikan seuranta jatkossa

Moni sivusto on tähän asti asettanut evästeet joko kokonaan lupaa kysymättä tai tehnyt evästeiden hylkäämisen hyväksymistä vaikeammaksi.

Uuden ohjeistuksen mukaan evästeistä kieltäytymisen tulisi olla yhtä helppoa kuin evästeiden hyväksynnän. Tämä voi johtaa siihen, että entistä useampi hylkää kaikki ei-välttämättömät evästeet. Tällöin esimerkiksi verkkosivuanalytiikan seuraaminen ei onnistu yhtä helposti kuin ennen.

Google on kuitenkin kehittämässä koneoppimiseen liittyviä keinoja, joilla seurantaa voidaan tehdä myös ilman evästeitä. Yksinkertaisten verkkosivujen kävijäseurantaa voidaan tehdä myös ilman evästeitä, jolloin se on sallittua.

Uuden oppaan linjaukset pähkinänkuoressa

Evästeet, joihin ei tarvitse pyytää lupaa

Uuden ohjeistuksen mukaan lähes kaikkiiin evästeisiin tulee pyytää lupa. Vain tietyt, tarkalleen määriteltyjä toimintoja varten olevat evästeet ovat sellaisia, joihin ei tarvitse pyytää käyttäjältä suostumusta. Tällöinkin tietoja saa tallentaa ja käyttää vain siinä laajuudessa kuin palvelu vaatii.

Näitä niin sanottuja välttämättömiä evästeitä, jotka eivät vaadi suostumusta, ovat ainoastaan sellaiset:

  • joiden ainoana tarkoituksena on mahdollistaa viestin siirto viestintäverkossa, tai
  • jotka ovat välttämättömiä, jotta voidaan tarjota sellaista palvelua, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Käytännössä tällaisia palvelun kannalta välttämättömiä evästeitä ovat esimerkiksi:

  • Verkkokaupan evästeet, jotka mahdollistavat sen, että selain muistaa ostoskorissa olevat tuotteet
  • Evästeet, jotka mahdollistavat sen, että selain muistaa käyttäjän lomakkeeseen syöttämät tiedot
  • Evästeet, jotka liittyvät käyttäjän sisäänkirjautumiseen ja ovat usein istuntokohtaisia. Myös pysyvämmät kirjautumisevästeet, jos kävijälle annetaan mahdollisuus valita tunnistetietojen muistaminen.
  • Tietoturvaan liittyvät evästeet
  • Saavutettavuutta edistävät evästeet
  • Evästeet, jotka tallentavat käyttäjän valitsemat evästeasetukset
  • Käyttäjän mieltymyksiin ja personointiin liittyvät evästeet, jos kävijä odottaa palvelun olevan personoitua
    • esimerkiksi kielivalinnan muistamista voidaan pitää välttämättömänä evästeenä, mutta verkkosivun suosittelemien sisältöjen tarjoamista ei

Evästeet, joihin tulee pyytää lupa

Kaikkiin muihin kuin edellä mainittuihin välttämättömiin evästeisiin tulee pyytää käyttäjältä suostumus. Näitä suostumusta vaativia evästetyyppejä ovat:

  • Käyttäjän mieltymyksiin liittyvät evästeet, jos personointi ei ole oletus palvelun käytölle
    • näillä evästeillä voidaan mm. tarjota kävijälle hänelle suositeltua sisältöä sen mukaan, miten hän on sivuilla liikkunut
  • Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
    • jos evästeillä halutaan kerätä tietoa käyttäjän toiminnasta ja mielenkiinnonkohteista esimerkiksi kohdennettua mainontaa varten, tulee tähän pyytää suostumus
  • Sosiaalisen median alustoihin liittyvät evästeet
    • suostumus täytyy pyytää, jos sosiaalisen median syötteet tai muut integraatiot tallentavat evästeitä kävijän päätelaitteelle, vaikka hän ei ominaisuuksia tai kyseistä some-alustaa käyttäisikään
  • Analytiikkaevästeet eli kävijätietojen (mm. kävijöiden käyttäytymisen) seurantaan liittyvät evästeet
    • analytiikkaevästeet voidaan katsoa välttämättömiksi vain, jos tieto ei välity kolmannelle osapuolelle (kuten Google Analyticsiin), jos sen perusteella ei voida tunnistaa yksittäistä kävijää ja jos voidaan perustella, miksi tietojen tallennus on nimenomaan kävijälle käyttökokemuksen kannalta oleellinen
  • Kävijän päätelaitteeseen liittyvät evästeet, jos niillä pyritään profiloimaan kävijää
    • tiedot kuten kävijän käyttämä selain, laite ja laitemalli
  • Kolmannen osapuolen sisältöihin liittyvät evästeet
    • upotettujen sisältöjen näyttämiseen tai käyttämiseen vaadittavat kolmannen osapuolen evästeet
  • Chat-toiminnan mahdollistavat evästeet, jos ne tallentuvat käyttäjän koneelle ilman että hän itse avaa chatin
  • Sisällön näyttämiseen liittyvät evästeet, jos niitä käytetään mm. seuraamaan sitä, mitä sisältöjä kävijä on katsonut
  • Käyttäjän laitteen tarkan sijainnin määrittävät evästeet (muu kuin julkiseen IP-osoitteeseen liittyvä paikannus)

Miten lupa tulee pyytää ja mitä muuta pitää huomioida?

Suostumus eri evästeiden käyttöön tulee pyytää verkkosivukävijältä hänen avatessaan verkkopalvelun tai saapuessaan sivustolle. Mitään muita kuin välttämättömiä evästeitä ei saisi asettaa käyttäjän päätelaitteeseen ennen kuin hän on tehnyt evästeiden käyttöä koskevat valinnat.

Suostumuksen on oltava “aktiivinen tahdonilmaisu”, eli sitä ei voida pyytää valmiiksi rastitetuilla ruuduilla tai esimerkiksi ilmoittamalla, että “jatkamalla palvelun käyttöä hyväksyt evästeet”. Käyttäjän täytyy itse rastittaa tai vastaavalla tapaa hyväksyä ne evästetyypit, joihin antaa suostumuksensa.

Evästeistä kieltäytymisen tulisi olla myös yhtä helppoa kuin suostumuksen. Käytännössä siis, jos tarjolla on valinta “hyväksy kaikki evästeet” pitäisi olla vastaavasti sen rinnalla valinta “hylkää kaikki ei-välttämättömät evästeet”. Näiden lisäksi tulee voida valita tarkemmin, minkä tyyppiset evästeet hyväksyy ja mitkä ei.

Jos evästevalintoja ei tee ollenkaan, sivustolla tulee silti voida edetä. Tällöin sivuston tulee toimia kävijälle vain välttämättömillä evästeillä. Käytännössä siis mobiilissakin tulisi varmistua siitä, että evästepalkki ei täytä koko ruutua.

Käyttäjällä tulee olla myös mahdollisuus peruuttaa tekemänsä evästevalinnat mahdollisimman yksinkertaisella tavalla, johon annetaan ohjeet mieluiten suostumusta pyydettäessä. Käytännössä evästeasetuksiin pitäisi päästä helposti käsiksi esimerkiksi sivustolla näkyvää ikonia klikkaamalla. Peruutuksen tulee luonnollisesti poistaa tai ylikirjoittaa laitteelle tallennettut evästetiedot.

Evästeistä tiedottaminen

Suostumusta vaativista evästeistä ja tietojen käytöstä tai tallentamisesta tulee ilmoittaa kattavasti ja ymmärrettävästi silloin, kun kävijä tekee valintoja niiden suhteen. Myös välttämättömistä evästeistä on hyvä tiedottaa samaan tapaan. Tarkempi erittely tiedotettavista asioista ja evästeiden jaottelusta löytyy Traficomin oppaan sivulta 11.

Tutustu Traficomin Evästeohjeistus palveluntarjoajille -oppaaseen
Ota meihin yhteyttä, niin autamme sivujenne evästekäytäntöjen määrityksessä