Älä kysy lupaa evästeisiin – jatko-osa
Otathan huomioon, että tämä artikkeli on yli 6 vuotta vanha, joten sisältö ja linkit eivät ole välttämättä ihan ajan tasalla. Tuoreena lukemisena samasta kategoriasta: Miltä mediatalojen evästelappujen pitäisi oikeasti näyttää?.
Evästeohjeistus Suomessa -artikkelisarjassa seurataan verkkosivustojen mittaukseen ja mainonnan kohdennusevästeisiin liittyvää evästeohjeistusta ja sen käytännön toteutumista.
Nyt kun GDPR tuli voimaan keväällä, on syytä päivittää alkuvuodesta julkaistua Älä kysy lupaa evästeisiin -artikkelia. Olkoon tämä artikkeli siis jatko-osa tuolle jutulle.
Artikkelin perusväitehän pätee edelleen. Suomessa ei evästeisiin tarvitse pyytää lupaa, jos käyttää evästeitä vain sivuston teknisen toiminnan varmistamiseen. Täten ”evästeluvan” pyytäminen on edelleen tyhmää useimmissa tapauksissa.
Käytännössä suurin osa sivustoista pyytää käyttäjältä lupaa käyttäjien seuraamiseen ja kerättyjen tietojen käsittelyyn ja hyödyntämiseen markkinointitarkoituksissa.
Lisäksi moni taho pyytää aktiivisesti lupaa, jotta voi luovuttaa tai myydä kerättyjä tietoja kolmansille osapuolille.
Luvissa usein puhutaan toki vain evästeistä, mutta tämä on käyttäjien harhaanjohtamista.
Esimerkiksi Google Analyticsin käyttö edellyttää aktiivisen seurantaluvan pyytämistä, koska Google voi yhdistää kerätyt tiedot yksilöityihin käyttäjiin. Esimerkiksi jos sivustolla vieraileva käyttäjä on Gmailin käyttäjä, niin Google pystyy yhdistämään selailuhistorian yksilöityyn käyttäjään. Siksi Google vaatii että käyttäjiä varoitetaan aktiivisesti tällaisen tiedon keräämisestä. Tällä ei ole kuitenkaan mitään tekemistä evästeiden kanssa, joten lupaa pyydettäessä on aivan typerää puhua evästeistä. Lupa pitäisi pyytää yksiselitteisesti siihen asiaan mitä varten aktiivinen lisälupapyyntö tehdään.
Esimerkiksi Elisa pyytää yritystensä asiointipalvelussa erikseen käyttäjältä lupaa yhdistää selailuhistoriatiedot asiakasprofiiliin. Käytännössähän Google tekee Analyticsillaan saman asian, tai ainakin mahdollistaa tämän (toki vain Googlen käyttöön). Palvelun käyttäjältä on syytä pyytää tähän lupa, koska tällaista seurantaa ei voi katsoa palvelun ”perustoimintaan” kuuluvaksi.
Kuvakaappaus Elisan yrityspalvelusta kirjautumisen jälkeen. Elisa pyytää erikseen luvan anonyymiin seurantaan ja seurantaan, joka kerää tietoja yksilöityihin henkilöprofiileihin. Elisakin puhuu harhaanjohtavasti ensimmäisessä kyselyssä evästeistä, mutta sentään kertoo mikä on seurannan tarkoitus. Tuotakin ilmoitusta voi pitää hieman käyttäjien harhaanjohtamisena, koska evästelupa pyydetään samalla kertaa sivuston toimintaan sekä muissa palveluissa tapahtuvaan mainonnan retargerointiin (ja ainoastaan jälkimmäiseen se oikeasti tarvitaan).
Älä puhu evästeistä kun pyydät lupaa
Evästeistä puhuminen on käyttäjien harhaanjohtamista, vaikka teknisesti evästeet ovatkin yksi osa tietojen keräämisen teknistä toteutusta. Yhtä lailla voisi pyytää käyttäjiltä luvan vaikka ”tietokannan käyttämiseen” tai ”Javascriptin käyttämiseen”, ja sitten lisätietolinkin takana selittää oikeasti luvan koskevan käyttäjän seuraamista ja tietojen mahdollista yhdistelyä henkilötietorekistereihin.
Milloin et tarvitse aktiivista lupa-pop-uppia?
Jos käytät evästeitä vain verkkopalvelun toiminnan mahdollistamiseen, eikä sinulla ole analytiikka- ja markkinoinnin automaatio -härveleitä kytkettynä sivustoosi, sinun ei tarvitse pyydellä käyttäjiltä mitään lupia. Käyttäjä hyväksyy evästeiden (ja muiden tarpeellisten internet-jutskien toiminnan) käytön käyttäessään sivustoasi.
Ja edelleen, vaikka keräisit käyttäjistäsi tietoja liiketoimintasi tarkoituksiin jollain tapaa, esimerkiksi yhteydenottolomakkeilla, ei sinun tarvitse pyytää käyttäjiltä pop-upilla lupaa tähän toimintaan silloin kun käyttäjä itse luovuttaa tietonsa sinulle.
Sinulla pitää toki olla tietosuojaseloste, jossa kerrot tietojen käsittelystäsi näissä yhteyksissä, mutta asiakkaitasi ärsyttävää pop-uppia ei tarvita. Esimerkiksi yhteydenottolomakkeen tapauksessa lomakkeen yhteydessä on oltava vähintään linkki tietosuojaselosteeseen, jossa kerrot tietojen käsittelyn periaatteet.
Analytiikkaakin voit käyttää sivustollasi, jos käytät jotain sellaista työkalua joka ei mahdollista käyttäjien yksilöimistä (käytännössä ip-osoitteita ei saa tallentaa). Tällaisia työkaluja löytyy runsaasti. Esimerkiksi Matomo on monilla julkishallinnon sivustoilla käytetty työkalu, mutta moneen julkaisujärjestelmään löytyy kevyempiäkin vaihtoehtoja.
Esimerkiksi tämä blogi ei kiusaa käyttäjiään pop-up-herjoilla, koska mitään seurantatietoja ei välitetä kolmansille osapuolille, eikä evästeitä ja muita työkaluja hyödynnetä muutoin kuin palvelun toiminnan mahdollistamiseksi. Ja ennenkaikkea: Seurantadataa käyttäjistä ei voida yhdistää yksilöityihin käyttäjiin, eli tämän sivuston selailu ei kerrytä minkään internet-jätin tietoprofiileja vierailijoista, eikä myöskään minkään itse hankitun markkinointityökalun tietokantaa.
Esimerkiksi jos laittaisimme uutiskirjetyökalumme MailChimpin seurantatagit sivustolle, niin pop-upilla luvan kysyminen tulisi heti tarpeelliseksi, koska MailChimpin keräämä selailuhistoria tallentuisi yksilöityjen ihmisten tietoihin, ja olisi näin aktiivista henkilötietojen keräämistä.
Blogilla on tietosuojaseloste, mutta ei ärsyttäviä pop-uppeja lisälupien kyselemiseksi.
Milloin todennäköisesti tarvitset aktiivisen pop-up-luvan?
GDPR:n vaatimukset ja aktiivisen luvan pyytäminen käyttäjiltä pop-upilla liittyvät toisiinsa vasta kun sivusto kerää tietoja käyttäjiltä ja hyödyntää niitä tietoja joihinkin muihin tarkoituksiin kuin kyseisen sivuston teknisen toiminnan mahdollistamiseksi.
Esimerkiksi Google Analytics, Hubspot ja Facebookin tagit ovat kaikki ”ylimääräistä seurantaa”, joita tehdään markkinoinnin tarkoituksiin, ja näitä asioita varten tulee käyttäjiltä pyytää aktiivisesti lupa. GDPR:n näkökulmasta nämä edellyttävät käyttäjältä aktiivisen luvan saamista, koska kerätty tieto voidaan yhdistää yksilöityyn käyttäjään. Näin ei toki aina tapahdu, mutta koska se on mahdollista, täytyy lisälupa pyytää.
Mediatalojen kohdalla lisälupia saatetaan myös pyytää siihen että tietoja kerätään muilla sivustoilla tapahtuvan toiminnan mahdollistamiseen. Käytännössä kaikki mediatalot keräävät tietoja mainonnan kohdentamiseen ja voivat välittää tietoja esimerkiksi konserninsa muille osille. Tällöin puhutaan myös käyttötarkoituksista jotka eivät kuulu sivuston toiminnan kannalta ”perusasioihin”, ja siksi näihin pitää pyytää aktiivinen lupa.
Vaikkapa monet verkkokaupat ovat hyviä esimerkkejä sivustoista, jotka kyselevät evästelupia erittäin harhaanjohtavasti. Verkkokauppojenhan ei tarvitse pyytää lupia verkkokaupan perustoimintaan, esimerkiksi ostoskorin toimintaa varten. Verkkokaupat pyytävät yleensä aktiivisesti lupia pop-upilla, koska useimmissa verkkokaupoissa on käytössä paljon erilaisia markkinointi- ja analytiikkatyökaluja, joiden avulla mahdollistetaan monenlaiset mainontaratkaisut ja optimoidaan käyttäjille näytettäviä tarjouksia ja kampanjoita.
Verkkokaupan teknisen toiminnan mahdollistamiseksi (esim. ostoskori, maksuprosessi, jne.) ei tarvitse evästelupaa pyytää.
Oli siis kyse verkkokaupasta, tai mistä tahansa sivustosta, niin pop-upissa ei pitäisi puhua sanaakaan evästeistä.
Esimerkiksi Silmäaseman pop-up on hyvä esimerkki käyttäjien harhaanjohtamisesta. Pop-up puhuu vain evästeistä saitin toiminnan mahdollistamiseksi, mutta oikeasti pop-uppi tulee silmille sen takia, että saitilla on kiinni parikymmentä erilaista seurantasysteemiä, jotka välittävät selailutietoja lukuisille kolmansille osapuolille – esimerkiksi jotta käyttäjille voidaan kohdentaa mainoksia vierailun jälkeen Facebookin omistamissa palveluissa.
Kuvakaappaus Silmäaseman verkkosivustolta. Lupa pyydetään mukamas käyttäjäkokemuksen parantamiseksi, ja siihen että sivusto mukamas saisi luvan asentaa evästeitä. Käytännössä sivusto on asettanut jo valtavan määrän kaikenlaisia evästeitä ennenkuin käyttäjä on tehnyt mitään, ja noista seurantatageista suurin osa kerää tietoja kolmansille osapuolille, eli optimoi kaikkea muuta kuin ko. sivuston sisällä tapahtuvaa käyttökokemusta.
Monet markkinoinnin automaation työkalut ja erilaiset optimointityökalut keräävät tietoja siten, että niistä voidaan tehdä koosteita muihin tarkoituksiin. Tällöin aktiivinen lupa on yleensä pakko pyytää käyttäjiltä, koska tietoja voidaan käyttää käyttötarkoituksiin jotka ovat laajempia kuin yksittäisen sivuston toiminta ja sen kehittäminen. Tämä on se todellinen syy siihen miksi niitä pop-uppeja tulee nykyisin melkein joka sivustolla vastaan. Sivustojen omistajat haluavat seurata jokaista kävijän liikettä niin tarkkaan kuin mahdollista, koska monien sivustojen tehtävä on saada käyttäjä ostamaan jotain, ennemmin tai myöhemmin.
GDPR:n mukaan myös tietojen yhdistäminen muihin rekistereihin edellyttää käyttäjän hyväksyntää, joten esimerkiksi jos sivuston selailudataa voidaan yhdistää yrityksen CRM:ssä olevien henkilöiden tietoihin, niin aktiinen lupa pitää kysyä jokaiselta käyttäjältä. Käytännössä jo uutiskirjeohjelmien sivustolle asennettavat seurantatagit ovat usein sellaisia, joiden käyttö edellyttää aktiivista luvan pyytämistä, koska tällöin uutiskirjeiden tilaajien selailuhistoria tallennetaan rekisteriin josta henkilö voidaan mahdollisesti yksilöidä.
Aika moni asia siis vaatii käytännössä aktiivisen luvan pyytämistä käyttäjän seurantaan, ainakin jos tulkitsee GDPR:ää kohtuullisen tiukasti. Täten niitä ärsyttäviä lupalappuja todennäköisesti tarvitaan jatkossakin, eikä niiden määrä ole vähenemään päin.
Se mitä kuitenkin niiltä toivoisi, olisi eväste-sanasta puhumisen väheneminen. Lupapyynnöissä pitäisi puhua siitä mihin lupa oikeasti pyydetään, eli tietojen keräämiseen käyttäjän selailuhistoriasta ja kaikesta sivustolla tehtävästä toiminnasta, ja sen mahdolliseen yhdistämiseen johonkin toiseen rekisteriin tai jopa yksilöityyn käyttäjätietoon.
Alalla pitäisi puhua evästelupien sijasta esimerkiksi seuranta- ja mainontalupien pyytämisestä, koska siitä on yleensä kysymys. Luvan pyytämisen yhteydessä tulisi kertoa se käyttötarkoitus mihin lisälupaa pyydetään. Aiemmin viitattu Elisan esimerkki on oikeansuuntainen yritys, koska yleismalkaisen käyttökokemuksen sijasta siinä puhutaan rehellisesti mainosten kohdentamisesta.
Yhteenveto: Evästeisiin ei tarvitse pyytää lupaa. Käyttäjien seurantaan ja mainonnan kohdentamiseen pitää pyytää lisälupa, jos tietoja luovutetaan kolmansille osapuolille tai jos käyttäjistä kerätyt tiedot voidaan jotenkin yhdistää yksilöityyn ihmiseen.
Käänteisesti voi sanoa, että esimerkiksi julkishallinnon sivustoilla ei pitäisi lisälupapyyntöjä näkyä. Esimerkiksi Verohallinnon linja on selkeä, vero.fi:n selailudatat eivät kuulu Googlelle, joten Google Analytics ei ole sivustolla kiinni, eikä mitään seuranta- ja mainontalupia tarvitse siten pyydellä.
On myös paljon kaupallisia sivustoja, joissa laaja mittaus on kyseenalaista. Esimerkiksi terveysalan verkkokaupoissa tai terveydenhoidon tarjoajien sivustoilla kerättävä tieto voi yksilöityessään olla hyvinkin kyseenalaista seurantaa. Viitattu Silmäaseman esimerkki ei varmasti ole pahimmasta päästä, mutta herättää kysymyksen, että kuinka moni kaupallinen toimija tällä hetkellä pyytää evästeluvan varjolla käyttäjiltään laajoja lupia monille sivustoille ulottuvaan seurantaan ja mainontaprofiilien ylläpitoon?
Lue lisää: Evästeohjeistus Suomessa – kaikki artikkelit Vierityspalkissa 2018-2024
8 kommenttia on “Älä kysy lupaa evästeisiin – jatko-osa”
Kommentointi on suljettu.
Antero Muranen
Tyhjentävä, yksityiskohtainen kirjoitus Perttu! Kiitos hyvistä esimerkeistä.
Uskoisin, että valtaosa näistä mainitsemistasi esimerkeistä ja yrityksistä ylipäätään puhuvat virheellisesti eväistä puhtaasti koska aihe on todella tekninen ja monelle vaikea ymmärtää. Kyse ei ole siis tahallisesta harhaanjohtamisesta vaan tietämättömyydestä.
Usein minun kokemukseni mukaan nämä asiat eivät ole siellä prioriteettilistan kärkipäässä kun sivustoa kehitetään, ymmärrettävästi. Tässä ehkä korostuukin se toimittajan osaaminen ja tietämys aiheesta, jolloin tilaajan ei tarvitsekaan tietää aiheesta kaikkea. Meillekin siis selkeesti petraamisen paikka tästä viestimisen kohdalla.
Lauri
Selkeitä ohjeita, kiitos.
Ovatko näiden ohjeiden GDPR cookie consent -kaaviot siis virheellisiä?
jeffalytics.com/gdpr-compliance/
Perttu Tolvanen
Viitatussa jutussa ei vaikuttanut nopealla katsauksella olevan muita ongelmia, kuin sen tulkinta Google Analyticsista ja siitä että tarvitseeko GA sen pop-upin.
Google Analyticsissahan pystyy säätämään sitä miten laajasti kerättyä dataa jaetaan Googlen ja Googlen kumppaneiden kanssa, ja analytiikkapiireissähän on sitä tulkintaa, että jos vääntää sieltä kaikki asetukset ”offille”, niin ei tarvitsisi pyytää käyttäjiltä aktiivisesti lupaa seurantaan. (Esim. tuossa jutussa viitataan edelleen tähän juttuun jossa aihetta sivutaan: brianclifton.com/blog/2018/04/16/google-analytics-gdpr-and-consent/)
Kun kukaan Googlen ulkopuolinen taho ei tiedä lopulta sitä, että miten Google käyttää kerättyä dataa, niin tästä varmaan voisi väitellä pitkäänkin, ja siksi en jutussa väitäkään että Google yksilöi sitä kerättyä dataa (sanon vain että Google _voisi_ yksilöidä sen).
Mutta: Google on silti jokaisen saitin näkökulmasta kolmas osapuoli, joka kerää dataa, ei pyydä tarjoamastaan palvelusta lainkaan rahaa, eikä mahdollista kerätyn datan audittia – ja siinä on minusta paljon syitä siihen miksi käyttäjiltä pitää pyytää lupa Googlen seurantavälineiden käyttöön. Saittien omistajat eivät omista sitä dataa mitä Google kerää, eli se ei ole heidän omassa hallinnassaan. Siihen kiteytyy paljon miksi GA:han pitää pyytää lupa. (Ihan sama millaisia keksejä se GA asettaa.)
Täten rinnastan GA:n esimerkiksi markkinoinnin automaatio -työkaluihin ym välineisiin, jotka keräävät dataa ja yhdistelevät sitä eri tavoin eri yhteyksissä, ja tällöin ollaan alueella johon pitää GDPR:n mukaan pyytää käyttäjiltä aktiivisesti suostumus.
Rami Lappalainen
Hyvä että otitte tähän ”evästehelvettiin” kantaa. Myös lakitoimistomme kanta on että evästepopupia ei tarvitse (vielä) olla mutta asia tulee selventää tietosuojaselosteessa.
Mitä tulee ”tietojen yhdistämiseen” erilaisten markkinointiautomaatio-ohjelmistojen kanssa niin yhdistäminenhän niissä tietääkseni tapahtuu vasta sen jälkeen kun kävijä täyttää sähköpostiosoitteensa + muut tietonsa johonkin sivustolla olevaan lomakkeeseen. Näin kävijän kulku napsahtaa kyseisen liidin tietoihin takautuvasti. Ja kun jokainen lomake tulee varustaa pakollisella hyväksynnällä ”olen lukenut tietosuojaselosteen” niin silloin käsittääkseni ei pitäisi olla mitään ongelmaa.
Viime aikoina on tullut törmättyä useisiin isojen firmojen palveluihin joissa kysytään formeilla jopa sotua, siis kaikkia mahdollisia henkilötietoja ja ilman pakollista tietosuojaselosteen checkkausta niin voidaan kyllä puhua ihan kohtuullisesta riskistä liiketoiminnalle.
Meidän suositus on että eväste pop-upia ei tarvita eikä sitä laiteta myöskään käyttäjäkokemuksen takia, mutta jokainen saitti pitää auditoida GDPR:n osalta.
Ohto
Miten pitäisi muotoilla GA pop up? En ole nähnyt moista.
Perttu Tolvanen
Rami: Lakiteknisesti ongelmaton ei välttämättä ole silti käytännössä ongelmaton.
Tuo markkinointiautomaatiosysteemien käyttämä tekniikkahan on verrattavissa siihen, että puhelimesi seuraa sinua kolmen vuoden ajan ja sitten kun päätät yhtenä päivänä tehdä jonkun sopimuksen puhelimesi valmistajan kanssa, niin sopimusehtoihin onkin haudattu oikeus tallentaa tuo kolmen vuoden liikkumishistoriasi profiiliisi ja louhia siitä mitä halutaan. Haluaisitko että puhelimesi ja sen valmistaja toimii näin? (ja esimerkki ei tietysti valitettavasti ole aivan kuvitteellinen, koska Google kerää varsin paljon dataa ja jakaa sitä myös eri yhteyksissä eri osapuolten kanssa)
Tietosuojan perusperiaatteita on se, että kerätään vain tietoa jota tarvitaan, ja jonka tallentamisesta käyttäjä on tietoinen. Ja minusta tuollaisessa tapauksessa se periaate ei aivan täyty. Käytännössä siinä lomakkeella pitäisi vähintään kertoa siitä, että mitä tallennetaan siinä yhteydessä kun käyttäjä antaa sähköpostiosoitteensa.
Rami Lappalainen
Perttu: kyllä, ymmärrän hyvin mitä tarkoitat. Tosi kaksipiippuinen juttu. Lienee tosiaan myös selvää että lokitietoa laitteista vaikka anonyymiä ID:tä vastaan tallennetaan koko ajan tietämättämme. Ehkä se tiedon yhdistäminen on se juttu joka tulisi informoida. En oikein voi nähdä asiaa niinkään että yritys jättäisi tiedot keräämättä, mutta toinen juttu tosiaan on mitä sillä tiedolla sitten tehdään. Hyvää keskustelua, eipä ole yhtä ainoaa totuutta tässäkään.
Perttu Tolvanen
Ja tästä aiheesta tulee vielä jatkojuttuja, koska esim. tuo Google Analytics ei ole ihan noin yksinkertainen asia, koska Googlenkin seurantaa voi itse konfiguroimalla rajoittaa, jolloin se GA tulee paljon lähemmäksi ”perusanalytiikkaa”.
Ja tosiaan, tiedon yhdistäminenhän on juuri se kuuma peruna. Moni seuranta on ihan ok, jos sitä ei voida yhdistää, mutta sitten jos sen pystyykin myöhemmin yhdistämään henkilöön, niin se ei olekaan enää välttämättä ok.
Ja tietosuojalainsäädäntö ei tosiaan katso (pelkästään) sitä että mitä sillä tiedolla tehdään, vaan ylipäätään sitä että onko se tarpeellista keräämistä ja onko se tehty käyttäjän luvan kanssa. Toki kuluttajien raivo ja ylipäätään julkisuuspaine yleensä lähtee vasta kun sitä tietoa on käytetty myös aktiivisesti kyseenalaisella tavalla.
Tässä artikkelissa pääpointti itselläni oli se, että pitäisi puhua suoremmin niistä asioista mistä on kysymys eikä piiloutua eväste-ym. -sanojen taakse. Se on ensimmäinen askel.
Sit se jatkokeskustelu voi hyvin keskittyä tarkemmin siihen, että onko se lupalappu ylipäätään järkevä tai vaadittava asia (koska useimmiten se ok:n painaminen ei esim. vaikuta mihinkään, ja todellisuudessa käyttäjä antaa sen suostumuksen selaimensa kautta, joten voi myös hyvällä syyllä jättää koko lupalapun tekemättä). Sit jää kuitenkin se kysymys, että missä kohtaa käyttäjää pitää varoittaa/tiedottaa ja millä tavalla. Käytännössähän 99% lupalapuista on käyttäjien informoimista nykyisin.