Älä kysy lupaa evästeisiin

Perttu Tolvanen

Yksi modernien verkkosivustojen typerimmistä ominaisuuksista on ilmoitus evästeiden käyttämisestä, ja käyttäjältä luvan pyytäminen esimerkiksi “Ok”-napin painalluksella. Tämä on aivan tarpeetonta käyttäjien kiusaamista, johon ei ole useimmissa tapauksissa järkeviä perusteita.

Esimerkiksi Viestintävirasto sanoo sivustollaan seuraavaa:

“Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.”

Niin, Suomessa ei viranomainen edellytä käyttäjien ärsyttämistä niillä typerillä kyselyillä. Miksi niitä siis edelleen tehdään?

Noh, mediatalojen ja erilaisten uutissivustojen kohdalla kyse voi olla siitä, että halutaan käyttäjältä selkeä suostumus oman palvelun käyttöehtoihin, koska niissä käyttöehdoissa on todennäköisesti kohtia, joita kaikki käyttäjät eivät välttämättä hyväksyisi, jos jaksaisivat ne lukea.

Mitä enemmän ja monipuolisemmin seuraat ja yhdistelet tietoa, sitä todennäköisemmin sinun pitää pyytää siihen lupa

Etenkin mainosrahoitteisilla sivustoilla saatetaan käyttää paljon erilaisia seurantatageja ym. mittaussysteemejä, joiden keräämä data saattaa olla hyvinkin laajasti käytössä, esimerkiksi koko Sanoma-konsernin sisällä. Tällöin on lakiosaston mielestä tarpeellista pyytää kaikilta käyttäjiltä aktiivista toimintaa vaativa suostumus ennenkuin lähdetään kerryttämään konsernin laajuista datakuutiota kaikkien käyttäjien seurantatiedoista. Usein tähän liittyy myös se, että kerättyä tietoa pyritään yhdistämään tunnistettuihin käyttäjiin, esimerkiksi uutiskirjetilaajiin, ja tällöin ei enää puhuta pelkästä anonyymin käyttödatan keräämisestä.

Jos evästeet liittyvät vain oman palvelusi toimintaan, sinun ei tarvitse pyytää lupaa eikä ilmoittaa asiasta pop-upilla

Tavallisilla sivustoilla, tai tavallisissa verkkokaupoissa, tai missä tahansa sivustolla, jossa ei kerätä tietoja muiden palveluiden käyttöön tai mihinkään muihin käyttötarkoituksiin, ei tuota typerää evästekyselyä tarvitsisi Suomessa tehdä.

Muissa EU-maissa on erilaisia tulkintoja asiasta, mutta Suomessa tämä asia on poikkeuksellisen selkeä. Tietosuojavaltuutetun omalla sivustollakaan ei käytetä ylimääräisiä ilmoituksia, vaan kerrotaan ainoastaan sivun alareunasta löytyvällä sivulla suppeasti mihin evästeitä käytetään.

Silti Suomessa uusillakin sivustoilla tähän ilmiöön törmää. Esimerkiksi vaikka Fida on uudistanut oman sivustonsa hiljattain, niin silti uudellakin sivustolla tuodaan käyttäjälle typerä lappu ensimmäisellä latauksella silmille:

Fidan sivustolla on kuitenkin erittäin hyvä selitesivu, jossa kerrotaan evästeistä. Tällä sivulla todetaan, että Googlen mittauspalveluiden lisäksi sivustolla käytetään myös Facebookin evästeitä. Voikin olla, että juuri tästä syystä Fida on halunnut korostaa käyttäjilleen, että sivustolla vierailusta päätyy tietoja myös Facebookille ja Fida käyttää tietoja mm. mainonnan kohdentamiseen Facebookin omistamissa palveluissa. Lainaus Fidan sivustolta:

“Sivustomme sisältää Googlen evästeiden lisäksi myös sosiaalisten verkostojen, kuten Facebookin evästeitä. Nämä evästeet keräävät tietoja esimerkiksi käyttäjien kiinnostuksen kohteista, joiden avulla voimme kohdentaa viestintäämme sisällöistämme kiinnostuneelle yleisölle.”

Tässä ollaan varmaan raja-alueella. Onko Facebook-tagien käyttäminen sivustolla “ylimääräistä” seurantaa vai normaalia sivuston toiminnan parantamiseen liittyvää aktiviteettia? Onhan Googlekin suuri mainosmyyjä ja Google Analyticsin pitäminen sivustolla katsotaan kuitenkin “perusasiaksi”.

Kuittauksen pyytäminen on myös yksinkertaisesti käyttäjien turhaa kiusaamista

Oli Facebookin mainonnanseurantatageista mitä tahansa mieltä, niin kuittauksen edellyttäminen käyttäjältä on silti käytännössä varsin typerää, koska eihän kuittaus koskaan vaikuta mihinkään. Käyttäjä voi jättää asian kuittaamatta, ja silti palvelu yleensä toimii normaalisti, kaikkine mittaustageineen.

Jos käyttäjä ei hyväksy evästeitä, niin käyttäjän tulee itse selaintasolla estää niiden tallentaminen. Tällaista taas harrastavat lähinnä vannoutuneimmat foliohatut, jotka myös hyvin tietävät, että silloin jotkut palvelut eivät välttämättä toimi optimaalisesti.

Jos lakiosasto pakottaa, millainen on hyvä ilmoitus?

Jos oma lakiosasto kuitenkin pakottaa tuon eväste-pop-upin laittamiseen, niin kannattaisi se sitten ainakin tehdä hyvin. Ensimmäinen asia pitäisi olla se, että käyttäjälle kerrotaan miksi ja mihin evästeitä käytetään. Toinen perusasia pitäisi olla se, että pop-upissa on linkki käyttöehtoihin joissa on lisätietoa siitä mitä mittaus tarkoittaa ja mihin sitä juuri tällä sivustolla käytetään. Fidan Tietoa evästeistä -sivu on esimerkillinen.

Weecosin sivustolla oleva pop-up on esimerkki hieman järkevämmästä pop-upin toteutuksesta:

Myös esimerkiksi Netflixin käyttämä ilmoitus on esimerkki paljon järkevämmästä toteutuksesta.

1/3 uusista sivustoista kiusaa käyttäjiään pop-upeilla

Esimerkkejä etsiessäni kävin tuoreimmat Julkaisut-palstan referenssicaset läpi ja yllätyin ilmiön laajuudesta.

Suurin osa läpikäydystä 45:stä sivustosta ei onneksi kiusaa käyttäjiään typerillä ilmoituksilla tai pop-upeilla evästeihin liittyen. Kokonaiset 15 kappaletta kuitenkin kiusaa. Tämä oli hämmentävää, koska useat kiusaajista olivat todella yksinkertaisia sivustoja, eivät mitään mediasivustoja, eivätkä mitään asiointisivustoja, vaan todella normaaleja verkkosivustoja.

Eivätkö alan toimistot uskalla sanoa asiakkailleen että tällainen on käyttäjien kiusaamista?

Ilmeisesti eivät. Esimerkiksi digitoimisto Aucor on julkaissut pari vuotta sitten ansiokkaan katsauksen asiaan, mutta kyseisessäkin artikkelissa silti kehotetaan ilmoittamaan evästeiden käytöstä pop-up-henkisellä ilmoituksella, jos ei ole aivan varma asiastaan.

Aucorin linjaus on toki turvallinen linjaus lakiteknisesti, mutta käyttäjien kannalta se on ikävä.

Jos mittaat tavallista enemmän ja laajemmin, sinun pitää pyytää siihen lupa

Eväste-pop-upin tarjoaminen pitäisi tapahtua vain poikkeustilanteissa. Jos sivustolla seurataan käyttäjiä poikkeuksellisen perusteellisesti, kuten monet mediatalojen sivustot tekevät, niin asiasta ilmoittaminen on hyvä käytäntö ja voi kotimaisen tietosuojalain perusteella olla suositeltavaa. Myös tuleva GDPR-lainsäädäntö tulee varmasti lisäämään tarpeita kertoa käyttäjille, jos heidän tietojaan aktiivisesti kerätään ja yhdistellään eri käyttötarkoituksiin.

Ylipäätään jos kerää tietoja myös selkeästi muihin tarkoituksiin kuin pelkästään sivuston optimaalisen toiminnan varmistamiseen, niin silloin asiasta pitäisi kertoa aktiivisesti käyttäjille. Luultavasti tätä tulee myös GDPR:n voimaantulo edistämään, koska organisaatioiden tulee aktiivisemmin kertoa mihin tietoja käytetään ja tietojen keräämiseen pitää olla joku järkevä peruste.

Etenkin jatkossa eväste-pop-uppien ilmestyminen pitäisikin tulkita yhä enemmän varoituksena siitä, että käyttäjädataa käytetään myös muihin tarkoituksiin kuin pelkästään verkkosivuston toiminnan mahdollistamiseen.

Jos sivusto käyttää evästeitä ja mittaustyökaluja vain oman toimintansa mahdollistamiseen ja sen kehittämiseen, niin Suomessa ei tavallisilla verkkosivustoilla ja verkkokaupoissa käyttäjiä ärsyttäviä eväste-pop-uppeja pitäisi tarjoilla.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut.

  1. Tuomas Kumpula says:

    Hyvä artikkeli, erityisesti joillakin sivuilla mobiilia on tuskainen lukea kun sekä eväste pop-up että joku toinen mainos pop-up täyttää nätisti koko ruudun niin, että käytännössä poistuminen on ainoa vaihtoehto.

  2. Heikki Tauriainen says:

    Google Analyticsin käyttöehtoja lukemalla tulee vaikutelma että he haluaisivat evästevaroituksen sivulle. Voiko mikään kolmas osapuoli vaatia tuota evästevaroitusta?

  3. Perttu Tolvanen says:

    Google on tuossa asiassa tällä hetkellä ristiriitainen, koska he vaativat osaltaan aktiivista ilmoitusta käyttäjälle, mutta sitten toisaalla myös vastustavat turhien pop-uppien käyttämistä.

    Käytännössä Google vaatii tuota ainoastaan sen takia, että EU vaatii ilmoittamista. Mutta kun se muoto on käytännössä maakohtainen tulkinta, niin ainakin Suomessa sen pop-upin laittaminen on ihan oma valinta, sanoi Google mitä vaan.

    Tietysti asian voi tulkita niin, että Google vaatii sitä pakollisena, mutta jos näin olisi, niin netistä varmaan löytyisi joku tapaus, jossa Google olisi ottanut esim. Google Analyticsin pois toiminnasta, jos saitilla ei ole sitä pop-up-varoitusta. Ja sellaista ei ole vielä tapahtunut.

    Periaatteessa GDPR:n jälkeen voisi olla mahdollista, että Google tiukentaisi linjaansa, jos esimerkiksi joku iso kuluttajasaitti ei kerro tietojensa keräystavoista mitään, ja käyttää Google Analyticsia (ja kun Google kuitenkin käyttää sitä dataa myös itse, niin periaatteessa Google on velvollinen kertomaan keräämisestä myös asiakkaidensa asiakkaille). En kuitenkaan pidätä tän osalta hengitystäni.

  4. jukka hautakorpi says:

    Google lähetti tuosta muinoin useita sähköposteja joissa oli selkeä viesti että aktiivinen ilmoitus (käyttäjän klikkauksen vaativa) on sivuilla oltava jos analytics (tai muu?) tuote on käytössä.
    Seuraamuksista ei ollut mitään puhetta jos sitä ei ole, mutta onko varaa huomata pitkän ajanjakson jälkeen ettei se analytics ole toiminutkaan ? Jos siis google sen ottaisi pois käytöstä.

  5. Perttu Tolvanen says:

    Minusta tässä olennainen asia on se, että onko joku todistetusti raportoinut että Google on ottanut Google Analyticsin pois käytöstä asiakkaalta? :)

    Meinaan että se on kuitenkin samaa luokkaa oleva väite kuin että jos Lidl ei myisi omenoita asiakkaalle joka on sen mielestä liian huonosti pukeutunut (tjms).

  6. Olli says:

    Jukka Hautakorpi, en ihan ymmärrä tätä: ”onko varaa huomata pitkän ajanjakson jälkeen ettei se analytics ole toiminutkaan ?”

    Sehän riippuu siitä käytätkö aktiivisesti Analyticsiä. Sieltähän näkee ja olisi hyvä seurata päivittäin mitä liikennettä on ja pyrkiä parantamaan aktiivisesti konversiota. Muutoinhan koko työkalu on aika vajaakäytöllä.

  7. Heikki Tauriainen says:

    Huolestuttavampaa onkin se, jos Google alentaa sivuston hakukonelöydettävyyttä niiltä saiteilta joista ei mielestään löydä ehtojensa mukaista evästeilmoitusta. Tätä on vaikeampi todentaa kuin tuo skenaario missä GA lakkaisi toimimasta.

  8. Perttu Tolvanen says:

    Ei ole vanhaa tietoa, vielä on ihan kuranttia kamaa monta päivää :)

    Ja siis tuolta viittaamaltasi sivulta löytyy myös tämä: “Viestintävirasto ei ole toistaiseksi uudelleenarvioinut evästeen tallentamiseen liittyvän suostumuksen käsitteen soveltamisesta Suomessa.” Eli ei ole vielä tietoa siitä miten Viestintävirasto aikoo soveltaa/muuttaa suositustaan GDPR:n jälkeisessä ajassa.

    Itse en usko, että tuo mihinkään muuttuu. Evästeiden tallentaminen sivuston toiminnan edellyttämiseksi ei vaadi käyttäjältä aktiivisen suostumuksen saamista jatkossakaan. Siinä ei ole yksinkertaisesti mitään järkeä, että jokaisen saitin pitäisi aktiivisesti pyytää lupa omaan toimintaansa, jos evästeen ainut tarkoitus on esim. mahdollistaa ostoskorin toiminta verkkokaupassa. Sit jos tätä tietoa käytetään pidempiaikaisesti ja laajemmin, niin se on sit eri asia taas.

    Ja se on sit paljon harmaampi alue, että minkälainen suostumus vaaditaan kolmannen osapuolen trackkereiden käytölle, eli jos oma sivusto “vuotaa” käyttäjän tietoja Googlelle, Facebookille tai jonnekin muualle, niin silloin voi olla syytä varoittaa tästä käyttäjiä ja pyytää heiltä aktiivinen (=pop-up) hyväksyntä tälle toiminnalle. Veikkaan, että kaikki normaalit ylivarovaiset lakiosastot päätyvät tälle kannalle, kuten ovat päätyneet aiemminkin.

    Voihan asiaan tietysti suhtautua toisinkin, esim. Vierityspalkissa on meillä suunnitelmana luopua GA:sta ja some-trackkereista kokonaan, niin eipähän tarvitse kysellä mitään lupia kolmannen osapuolen trackkereiden sallimiseksi. Veikkaan, että osa saiteista voi päätyä samantyyppiseen johtopäätökseen, etenkin jos ei ole mainosmyynnillä rahoitettua toimintaa. Esim. valtionhallinnossa voisin kuvitella, että Google Analytics saattaa hyvinkin lähteä laajemminkin kävelemään saiteilta (kuten on monilta isoilta saiteilta lähtenyt jo, esim. Vero.fi:stä).