Ääh, tuo niin ärsyttävä evästebanneri… Jos sivustollasi on käytössä toiminto, joka tallentaa tietoja käyttäjän toimista (esim. Googlen analytiikka), täytyy sivustolla olla evästekysely.
Mitä evästeet ovat?
Evästeet ovat selaimeesi tallennettuja pieniä tiedonjyväsiä sinusta ja sinun nettikäyttäytymisestäsi. Esimerkiksi, jos annoit luvan kaikille evästeille tällä sivulla, annoit myös Googlelle luvan tallentaa sinusta tiedon siitä, että olet käynyt Luuptekin kotisivuilla. Tämän saman evästetiedon avulla sinut voidaan ensi kerralla tunnistaa ”vanhaksi kävijäksi” (toki, jos tyhjennät selaimesi välimuistin, tieto sinusta katoaa).
Evästeet voidaan jakaa pakollisiin ja ei-pakollisiin evästeisiin. Pakollisia evästeitä tarvitaan sivuston toiminnan takaamiseen ja jos käytössä on vain sellaisia, niin evästekyselyä ei tarvita. Jos taas käytät sivuillasi esim. Googlen analytiikkaa tai jotain muuta vastaavaa ”träkkeriä”, on kyseessä ei-pakollinen eväste, koska evästeen tallentamaa tietoa ei tarvita sivuston toimintaan.
Suora viittaus esimerkiksi Googlen analytiikkaevästeisiin liittyen:
”Esimerkiksi Google Analytics käyttää evästeitä kerätäkseen tietoa ja raportoidakseen sivustojen käyttötilastoja ilman, että Google saa tietoonsa vierailijoiden henkilöllisyyttä. ”_ga” on Google Analyticsin useimmin käyttämä eväste, joka säilyy kaksi vuotta. Sen avulla palvelu pystyy erottamaan vierailijat toisistaan. _ga-evästettä käyttävät kaikki sivustot, joilla on käytössä Google Analytics, myös Googlen palvelut. Jokainen _ga-eväste on omaisuuskohtainen, eli sitä ei voi käyttää tietyn käyttäjän tai selaimen seuraamiseen verkkosivustoilla, jotka eivät liity omaisuuteen.”
Minkälainen evästekysely on ohjeistuksen mukainen?
Traficom on antanut syyskuussa 2021 evästeohjeistuksen palveluntarjoajille, jonka pääkohtia mielestäni ovat seuraavat:
1. Evästeisiin liittyvät tiedot esitetään asianmukaisesti ja tallennetaan oikea-aikaisesti
Kun käyttäjä saapuu verkkosivulle, näytetään kuvaus evästeiden käytöstä kyseisellä sivulla. Mitään ei-pakollisia evästeitä ei saa tallentaa ennen kuin käyttäjä on antanut oman suostumuksensa.
Tietojen tallennus onkin sitten asia erikseen. Periaatteessa et voi tietää, tekeekö käytetty sivusto juuri sitä, mitä on pyydetty. Vaikka valitsisit vain välttämättömät evästeet, sivusto saattaa silti tallentaa evästeitä piittaamatta valinnoistasi tai evästeitä tallennetaan ennen kuin evästekyselyyn on vastattu. Valitettavasti näin on useilla isoilla suomalaisilla sivustoilla. Myös vierityspalkki.fi on huomannut saman asian.
Asian voi tarkistaa esimerkiksi Chrome-selaimella seuraavasti:
- Avaa haluttu sivu incognito-tilassa
- Avaa valikoista View => Developer => Inspect elements
- Valitse juuri avautuvasta ikkunasta Application
- Valitse Application-näkymästä Storagen alta Cookies
- Valitse Cookies-kohdan alta sivuston osoite
- Tämän jälkeen näet, mitä evästeitä kyseinen sivu sinusta tallentaa
Alla olevalta videolta voi nähdä, että sallitessa kaikki evästeet myös analytiikkaevästeet (_ga-alkuiset) tallentuvat käyttöön. Jos vain välttämättömät evästeet sallitaan, ainoastaan pakollinen CookieConsent-eväste tallentuu.
2. Käyttäjälle annetaan selvät valinnat hyväksyä joko kaikki tai vain välttämättömät evästeet
Evästekyselyssä sivullasi pitäisi olla napit, joilla hyväksytään kaikki evästeet tai vain välttämättömät. Jos vain ilmoitat evästebannerissa, että sivustosi käyttää evästeitä, ei evästeilmoituksesi ole ohjeistuksen mukainen.
Suora lainaus Traficomin ohjeistosta:
”Suostumuksen on täytettävä yleisen tietosuoja-asetuksen 5 mukaiset suostumuksen edellytykset ollakseen pätevä. Yleisen tietosuoja-asetuksen mukaan suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumuksen on oltava aktiivinen tahdonilmaisu, joten suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.
Lisäksi kieltäytymisen tulee olla yhtä helppoa kuin suostumuksen antamisen. Tällä
tarkoitetaan evästeiden tapauksessa sitä, että suostumuksen antamisen ei-välttämättömien evästeiden käyttöön ei tule olla yksinkertaisempaa, kuin niiden käytöstä kieltäytymisen. Esimerkkinä tästä voi olla, että jos suostumusmekanismin ylimmällä tasolla esitetään hyväksy tai salli kaikki -valinta, jolla annetaan lupa kaikkien eivälttämättömien evästeiden käyttöön, niin sen rinnalla tulisi antaa valinta jatka välttämättömillä tai kieltäydy muista kuin välttämättömistä, jolloin suostumuksen antaminen ja kieltäytyminen ovat yhtäläisen helposti tehtävissä.”
3. Käyttäjän on mahdollista muuttaa tehtyjä valintoja
Sivuillasi pitää olla toiminto, jonka kautta jo tehtyjä valintoja voidaan muuttaa. Esimerkiksi luuptek.fi sivustolla voit muuttaa asetuksia alatunnisteen ”Näytä evästeasetukseni” -linkin kautta.
Traficomilta suora lainaus:
”Suostumuksen peruuttamisen tai jo annettujen asetusten muuttamisen tulee onnistua käyttäjän kannalta mahdollisimman yksinkertaisella tavalla. Kun suostumus hankitaan sähköisesti vain yhdellä hiiren klikkauksella, näytön pyyhkäisyllä tai näppäimistön painalluksella, käyttäjien on voitava kieltäytyä suostumuksesta ja peruuttaa suostumus yhtä helposti. Käyttäjän on lisäksi voitava peruuttaa suostumuksensa ilman, että siitä aiheutuu hänelle haittaa.”
4. Käyttäjän on mahdollista nähdä, mitä evästeitä sivustolla käytetään
Evästekyselyssä pitää olla mahdollisuus tarkastella mitä evästeitä käyttäjästä voidaan tallentaa. Tiedot tulisi olla helposti nähtävissä ja kategorisoitu (esim. välttämättömät, mainonta, analytiikka, personointi).
Tiedoista pitäisi löytyä muun muassa seuraavaa:
- evästeen käyttätarkoitus
- evästeen voimassaoloaika
Sivuillani ei ole evästekyselyä, mutta käytämme analytiikka. Onko tämä ok?
Kyllä ja ei. Jos sivustollasi ei ole evästekyselyä ja käytät analytiikkaa, kannat riskin joutumisesta oikeudelliseen vastuuseen, tai saatat saada huomautuksen Traficomilta.
Traficom avaa asiaa sivuillaan näin: ”Tämä opas ei ole sellaisenaan juridisesti velvoittava, mutta sisältää valvovan viranomaisen näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä, joista poikkeamalla palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta.”
Miten Luuptek toteuttaa evästekyselyn?
Käytämme evästekyselyn toteuttamiseen maksullista Cookiebottia. Palvelusta on saatavilla myös maksuton versio, mutta tällöin sivustosi pitää sisältää alle 100 sivua ja evästekyselyikkunaa ei pysty räätälöimään itse. Cookiebotin tarkemmat hinnat löytyvät tästä linkistä.
Cookiebot ei ole rajoitettu pelkästään WordPress-sivustoja varten, vaan se toimii millä tahansa sivustolla. Cookiebotin etusivulla voit testata, onko oma sivustosi ohjeiden mukainen.
Cookebotin avulla pystyy tekemään muun muassa seuraavia asioita:
- skannata sivustolla käytettävät evästeet
- jos sivustoon lisätään uusia ominaisuuksia tai uusia ulkopuolisia scriptejä, osaa Cookiebot ilmoittaa niistä automaattisten skannauksien yhteydessä
- kategorisoida löydetyt evästeet
- räätälöidä evästekyselyn näkymää värien ja asettelun osalta (maksullinen versio)
Tarvitsetko apua evästekyselyn kanssa?
Laitahan siinä tapauksessa viestiä tulemaan!