Älä kysy lupaa evästeisiin

Perttu Tolvanen

Yksi modernien verkkosivustojen typerimmistä ominaisuuksista on ilmoitus evästeiden käyttämisestä, ja käyttäjältä luvan pyytäminen esimerkiksi “Ok”-napin painalluksella. Tämä on aivan tarpeetonta käyttäjien kiusaamista, johon ei ole useimmissa tapauksissa järkeviä perusteita.

Esimerkiksi Viestintävirasto sanoo sivustollaan seuraavaa:

“Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.”

Niin, Suomessa ei viranomainen edellytä käyttäjien ärsyttämistä niillä typerillä kyselyillä. Miksi niitä siis edelleen tehdään?

Noh, mediatalojen ja erilaisten uutissivustojen kohdalla kyse voi olla siitä, että halutaan käyttäjältä selkeä suostumus oman palvelun käyttöehtoihin, koska niissä käyttöehdoissa on todennäköisesti kohtia, joita kaikki käyttäjät eivät välttämättä hyväksyisi, jos jaksaisivat ne lukea.

Mitä enemmän ja monipuolisemmin seuraat ja yhdistelet tietoa, sitä todennäköisemmin sinun pitää pyytää siihen lupa

Etenkin mainosrahoitteisilla sivustoilla saatetaan käyttää paljon erilaisia seurantatageja ym. mittaussysteemejä, joiden keräämä data saattaa olla hyvinkin laajasti käytössä, esimerkiksi koko Sanoma-konsernin sisällä. Tällöin on lakiosaston mielestä tarpeellista pyytää kaikilta käyttäjiltä aktiivista toimintaa vaativa suostumus ennenkuin lähdetään kerryttämään konsernin laajuista datakuutiota kaikkien käyttäjien seurantatiedoista. Usein tähän liittyy myös se, että kerättyä tietoa pyritään yhdistämään tunnistettuihin käyttäjiin, esimerkiksi uutiskirjetilaajiin, ja tällöin ei enää puhuta pelkästä anonyymin käyttödatan keräämisestä.

Jos evästeet liittyvät vain oman palvelusi toimintaan, sinun ei tarvitse pyytää lupaa eikä ilmoittaa asiasta pop-upilla

Tavallisilla sivustoilla, tai tavallisissa verkkokaupoissa, tai missä tahansa sivustolla, jossa ei kerätä tietoja muiden palveluiden käyttöön tai mihinkään muihin käyttötarkoituksiin, ei tuota typerää evästekyselyä tarvitsisi Suomessa tehdä.

Muissa EU-maissa on erilaisia tulkintoja asiasta, mutta Suomessa tämä asia on poikkeuksellisen selkeä. Tietosuojavaltuutetun omalla sivustollakaan ei käytetä ylimääräisiä ilmoituksia, vaan kerrotaan ainoastaan sivun alareunasta löytyvällä sivulla suppeasti mihin evästeitä käytetään.

Silti Suomessa uusillakin sivustoilla tähän ilmiöön törmää. Esimerkiksi vaikka Fida on uudistanut oman sivustonsa hiljattain, niin silti uudellakin sivustolla tuodaan käyttäjälle typerä lappu ensimmäisellä latauksella silmille:

Fidan sivustolla on kuitenkin erittäin hyvä selitesivu, jossa kerrotaan evästeistä. Tällä sivulla todetaan, että Googlen mittauspalveluiden lisäksi sivustolla käytetään myös Facebookin evästeitä. Voikin olla, että juuri tästä syystä Fida on halunnut korostaa käyttäjilleen, että sivustolla vierailusta päätyy tietoja myös Facebookille ja Fida käyttää tietoja mm. mainonnan kohdentamiseen Facebookin omistamissa palveluissa. Lainaus Fidan sivustolta:

“Sivustomme sisältää Googlen evästeiden lisäksi myös sosiaalisten verkostojen, kuten Facebookin evästeitä. Nämä evästeet keräävät tietoja esimerkiksi käyttäjien kiinnostuksen kohteista, joiden avulla voimme kohdentaa viestintäämme sisällöistämme kiinnostuneelle yleisölle.”

Tässä ollaan varmaan raja-alueella. Onko Facebook-tagien käyttäminen sivustolla “ylimääräistä” seurantaa vai normaalia sivuston toiminnan parantamiseen liittyvää aktiviteettia? Onhan Googlekin suuri mainosmyyjä ja Google Analyticsin pitäminen sivustolla katsotaan kuitenkin “perusasiaksi”.

Kuittauksen pyytäminen on myös yksinkertaisesti käyttäjien turhaa kiusaamista

Oli Facebookin mainonnanseurantatageista mitä tahansa mieltä, niin kuittauksen edellyttäminen käyttäjältä on silti käytännössä varsin typerää, koska eihän kuittaus koskaan vaikuta mihinkään. Käyttäjä voi jättää asian kuittaamatta, ja silti palvelu yleensä toimii normaalisti, kaikkine mittaustageineen.

Jos käyttäjä ei hyväksy evästeitä, niin käyttäjän tulee itse selaintasolla estää niiden tallentaminen. Tällaista taas harrastavat lähinnä vannoutuneimmat foliohatut, jotka myös hyvin tietävät, että silloin jotkut palvelut eivät välttämättä toimi optimaalisesti.

Jos lakiosasto pakottaa, millainen on hyvä ilmoitus?

Jos oma lakiosasto kuitenkin pakottaa tuon eväste-pop-upin laittamiseen, niin kannattaisi se sitten ainakin tehdä hyvin. Ensimmäinen asia pitäisi olla se, että käyttäjälle kerrotaan miksi ja mihin evästeitä käytetään. Toinen perusasia pitäisi olla se, että pop-upissa on linkki käyttöehtoihin joissa on lisätietoa siitä mitä mittaus tarkoittaa ja mihin sitä juuri tällä sivustolla käytetään. Fidan Tietoa evästeistä -sivu on esimerkillinen.

Weecosin sivustolla oleva pop-up on esimerkki hieman järkevämmästä pop-upin toteutuksesta:

Myös esimerkiksi Netflixin käyttämä ilmoitus on esimerkki paljon järkevämmästä toteutuksesta.

1/3 uusista sivustoista kiusaa käyttäjiään pop-upeilla

Esimerkkejä etsiessäni kävin tuoreimmat Julkaisut-palstan referenssicaset läpi ja yllätyin ilmiön laajuudesta.

Suurin osa läpikäydystä 45:stä sivustosta ei onneksi kiusaa käyttäjiään typerillä ilmoituksilla tai pop-upeilla evästeihin liittyen. Kokonaiset 15 kappaletta kuitenkin kiusaa. Tämä oli hämmentävää, koska useat kiusaajista olivat todella yksinkertaisia sivustoja, eivät mitään mediasivustoja, eivätkä mitään asiointisivustoja, vaan todella normaaleja verkkosivustoja.

Eivätkö alan toimistot uskalla sanoa asiakkailleen että tällainen on käyttäjien kiusaamista?

Ilmeisesti eivät. Esimerkiksi digitoimisto Aucor on julkaissut pari vuotta sitten ansiokkaan katsauksen asiaan, mutta kyseisessäkin artikkelissa silti kehotetaan ilmoittamaan evästeiden käytöstä pop-up-henkisellä ilmoituksella, jos ei ole aivan varma asiastaan.

Aucorin linjaus on toki turvallinen linjaus lakiteknisesti, mutta käyttäjien kannalta se on ikävä.

Jos mittaat tavallista enemmän ja laajemmin, sinun pitää pyytää siihen lupa

Eväste-pop-upin tarjoaminen pitäisi tapahtua vain poikkeustilanteissa. Jos sivustolla seurataan käyttäjiä poikkeuksellisen perusteellisesti, kuten monet mediatalojen sivustot tekevät, niin asiasta ilmoittaminen on hyvä käytäntö ja voi kotimaisen tietosuojalain perusteella olla suositeltavaa. Myös tuleva GDPR-lainsäädäntö tulee varmasti lisäämään tarpeita kertoa käyttäjille, jos heidän tietojaan aktiivisesti kerätään ja yhdistellään eri käyttötarkoituksiin.

Ylipäätään jos kerää tietoja myös selkeästi muihin tarkoituksiin kuin pelkästään sivuston optimaalisen toiminnan varmistamiseen, niin silloin asiasta pitäisi kertoa aktiivisesti käyttäjille. Luultavasti tätä tulee myös GDPR:n voimaantulo edistämään, koska organisaatioiden tulee aktiivisemmin kertoa mihin tietoja käytetään ja tietojen keräämiseen pitää olla joku järkevä peruste.

Etenkin jatkossa eväste-pop-uppien ilmestyminen pitäisikin tulkita yhä enemmän varoituksena siitä, että käyttäjädataa käytetään myös muihin tarkoituksiin kuin pelkästään verkkosivuston toiminnan mahdollistamiseen.

Jos sivusto käyttää evästeitä ja mittaustyökaluja vain oman toimintansa mahdollistamiseen ja sen kehittämiseen, niin Suomessa ei tavallisilla verkkosivustoilla ja verkkokaupoissa käyttäjiä ärsyttäviä eväste-pop-uppeja pitäisi tarjoilla.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut.

Kommentit

  1. Tuomas Kumpula says:

    Hyvä artikkeli, erityisesti joillakin sivuilla mobiilia on tuskainen lukea kun sekä eväste pop-up että joku toinen mainos pop-up täyttää nätisti koko ruudun niin, että käytännössä poistuminen on ainoa vaihtoehto.

  2. Heikki Tauriainen says:

    Google Analyticsin käyttöehtoja lukemalla tulee vaikutelma että he haluaisivat evästevaroituksen sivulle. Voiko mikään kolmas osapuoli vaatia tuota evästevaroitusta?

Jätä kommentti