Älä kysy lupaa evästeisiin – jatko-osa

Perttu Tolvanen

Nyt kun GDPR tuli voimaan keväällä, on syytä päivittää alkuvuodesta julkaistua Älä kysy lupaa evästeisiin -artikkelia. Olkoon tämä artikkeli siis jatko-osa tuolle jutulle.

Artikkelin perusväitehän pätee edelleen. Suomessa ei evästeisiin tarvitse pyytää lupaa, jos käyttää evästeitä vain sivuston teknisen toiminnan varmistamiseen. Täten ”evästeluvan” pyytäminen on edelleen tyhmää useimmissa tapauksissa.

Käytännössä suurin osa sivustoista pyytää käyttäjältä lupaa käyttäjien seuraamiseen ja kerättyjen tietojen käsittelyyn ja hyödyntämiseen markkinointitarkoituksissa.

Lisäksi moni taho pyytää aktiivisesti lupaa, jotta voi luovuttaa tai myydä kerättyjä tietoja kolmansille osapuolille.

Luvissa usein puhutaan toki vain evästeistä, mutta tämä on käyttäjien harhaanjohtamista.

Esimerkiksi Google Analyticsin käyttö edellyttää aktiivisen seurantaluvan pyytämistä, koska Google voi yhdistää kerätyt tiedot yksilöityihin käyttäjiin. Esimerkiksi jos sivustolla vieraileva käyttäjä on Gmailin käyttäjä, niin Google pystyy yhdistämään selailuhistorian yksilöityyn käyttäjään. Siksi Google vaatii että käyttäjiä varoitetaan aktiivisesti tällaisen tiedon keräämisestä. Tällä ei ole kuitenkaan mitään tekemistä evästeiden kanssa, joten lupaa pyydettäessä on aivan typerää puhua evästeistä. Lupa pitäisi pyytää yksiselitteisesti siihen asiaan mitä varten aktiivinen lisälupapyyntö tehdään.

Esimerkiksi Elisa pyytää yritystensä asiointipalvelussa erikseen käyttäjältä lupaa yhdistää selailuhistoriatiedot asiakasprofiiliin. Käytännössähän Google tekee Analyticsillaan saman asian, tai ainakin mahdollistaa tämän (toki vain Googlen käyttöön). Palvelun käyttäjältä on syytä pyytää tähän lupa, koska tällaista seurantaa ei voi katsoa palvelun ”perustoimintaan” kuuluvaksi.

Kuvakaappaus Elisan yrityspalvelusta kirjautumisen jälkeen. Elisa pyytää erikseen luvan anonyymiin seurantaan ja seurantaan, joka kerää tietoja yksilöityihin henkilöprofiileihin. Elisakin puhuu harhaanjohtavasti ensimmäisessä kyselyssä evästeistä, mutta sentään kertoo mikä on seurannan tarkoitus. Tuotakin ilmoitusta voi pitää hieman käyttäjien harhaanjohtamisena, koska evästelupa pyydetään samalla kertaa sivuston toimintaan sekä muissa palveluissa tapahtuvaan mainonnan retargerointiin (ja ainoastaan jälkimmäiseen se oikeasti tarvitaan).

Älä puhu evästeistä kun pyydät lupaa

Evästeistä puhuminen on käyttäjien harhaanjohtamista, vaikka teknisesti evästeet ovatkin yksi osa tietojen keräämisen teknistä toteutusta. Yhtä lailla voisi pyytää käyttäjiltä luvan vaikka ”tietokannan käyttämiseen” tai ”Javascriptin käyttämiseen”, ja sitten lisätietolinkin takana selittää oikeasti luvan koskevan käyttäjän seuraamista ja tietojen mahdollista yhdistelyä henkilötietorekistereihin.

Milloin et tarvitse aktiivista lupa-pop-uppia?

Jos käytät evästeitä vain verkkopalvelun toiminnan mahdollistamiseen, eikä sinulla ole analytiikka- ja markkinoinnin automaatio -härveleitä kytkettynä sivustoosi, sinun ei tarvitse pyydellä käyttäjiltä mitään lupia. Käyttäjä hyväksyy evästeiden (ja muiden tarpeellisten internet-jutskien toiminnan) käytön käyttäessään sivustoasi.

Ja edelleen, vaikka keräisit käyttäjistäsi tietoja liiketoimintasi tarkoituksiin jollain tapaa, esimerkiksi yhteydenottolomakkeilla, ei sinun tarvitse pyytää käyttäjiltä pop-upilla lupaa tähän toimintaan silloin kun käyttäjä itse luovuttaa tietonsa sinulle.

Sinulla pitää toki olla tietosuojaseloste, jossa kerrot tietojen käsittelystäsi näissä yhteyksissä, mutta asiakkaitasi ärsyttävää pop-uppia ei tarvita. Esimerkiksi yhteydenottolomakkeen tapauksessa lomakkeen yhteydessä on oltava vähintään linkki tietosuojaselosteeseen, jossa kerrot tietojen käsittelyn periaatteet.

Analytiikkaakin voit käyttää sivustollasi, jos käytät jotain sellaista työkalua joka ei mahdollista käyttäjien yksilöimistä (käytännössä ip-osoitteita ei saa tallentaa). Tällaisia työkaluja löytyy runsaasti. Esimerkiksi Matomo on monilla julkishallinnon sivustoilla käytetty työkalu, mutta moneen julkaisujärjestelmään löytyy kevyempiäkin vaihtoehtoja.

Esimerkiksi tämä blogi ei kiusaa käyttäjiään pop-up-herjoilla, koska mitään seurantatietoja ei välitetä kolmansille osapuolille, eikä evästeitä ja muita työkaluja hyödynnetä muutoin kuin palvelun toiminnan mahdollistamiseksi. Ja ennenkaikkea: Seurantadataa käyttäjistä ei voida yhdistää yksilöityihin käyttäjiin, eli tämän sivuston selailu ei kerrytä minkään internet-jätin tietoprofiileja vierailijoista, eikä myöskään minkään itse hankitun markkinointityökalun tietokantaa.

Esimerkiksi jos laittaisimme uutiskirjetyökalumme MailChimpin seurantatagit sivustolle, niin pop-upilla luvan kysyminen tulisi heti tarpeelliseksi, koska MailChimpin keräämä selailuhistoria tallentuisi yksilöityjen ihmisten tietoihin, ja olisi näin aktiivista henkilötietojen keräämistä.

Blogilla on tietosuojaseloste, mutta ei ärsyttäviä pop-uppeja lisälupien kyselemiseksi.

Milloin todennäköisesti tarvitset aktiivisen pop-up-luvan?

GDPR:n vaatimukset ja aktiivisen luvan pyytäminen käyttäjiltä pop-upilla liittyvät toisiinsa vasta kun sivusto kerää tietoja käyttäjiltä ja hyödyntää niitä tietoja joihinkin muihin tarkoituksiin kuin kyseisen sivuston teknisen toiminnan mahdollistamiseksi.

Esimerkiksi Google Analytics, Hubspot ja Facebookin tagit ovat kaikki ”ylimääräistä seurantaa”, joita tehdään markkinoinnin tarkoituksiin, ja näitä asioita varten tulee käyttäjiltä pyytää aktiivisesti lupa. GDPR:n näkökulmasta nämä edellyttävät käyttäjältä aktiivisen luvan saamista, koska kerätty tieto voidaan yhdistää yksilöityyn käyttäjään. Näin ei toki aina tapahdu, mutta koska se on mahdollista, täytyy lisälupa pyytää.

Mediatalojen kohdalla lisälupia saatetaan myös pyytää siihen että tietoja kerätään muilla sivustoilla tapahtuvan toiminnan mahdollistamiseen. Käytännössä kaikki mediatalot keräävät tietoja mainonnan kohdentamiseen ja voivat välittää tietoja esimerkiksi konserninsa muille osille. Tällöin puhutaan myös käyttötarkoituksista jotka eivät kuulu sivuston toiminnan kannalta ”perusasioihin”, ja siksi näihin pitää pyytää aktiivinen lupa.

Vaikkapa monet verkkokaupat ovat hyviä esimerkkejä sivustoista, jotka kyselevät evästelupia erittäin harhaanjohtavasti. Verkkokauppojenhan ei tarvitse pyytää lupia verkkokaupan perustoimintaan, esimerkiksi ostoskorin toimintaa varten. Verkkokaupat pyytävät yleensä aktiivisesti lupia pop-upilla, koska useimmissa verkkokaupoissa on käytössä paljon erilaisia markkinointi- ja analytiikkatyökaluja, joiden avulla mahdollistetaan monenlaiset mainontaratkaisut ja optimoidaan käyttäjille näytettäviä tarjouksia ja kampanjoita.

Verkkokaupan teknisen toiminnan mahdollistamiseksi (esim. ostoskori, maksuprosessi, jne.) ei tarvitse evästelupaa pyytää.

Oli siis kyse verkkokaupasta, tai mistä tahansa sivustosta, niin pop-upissa ei pitäisi puhua sanaakaan evästeistä.

Esimerkiksi Silmäaseman pop-up on hyvä esimerkki käyttäjien harhaanjohtamisesta. Pop-up puhuu vain evästeistä saitin toiminnan mahdollistamiseksi, mutta oikeasti pop-uppi tulee silmille sen takia, että saitilla on kiinni parikymmentä erilaista seurantasysteemiä, jotka välittävät selailutietoja lukuisille kolmansille osapuolille – esimerkiksi jotta käyttäjille voidaan kohdentaa mainoksia vierailun jälkeen Facebookin omistamissa palveluissa.


Kuvakaappaus Silmäaseman verkkosivustolta. Lupa pyydetään mukamas käyttäjäkokemuksen parantamiseksi, ja siihen että sivusto mukamas saisi luvan asentaa evästeitä. Käytännössä sivusto on asettanut jo valtavan määrän kaikenlaisia evästeitä ennenkuin käyttäjä on tehnyt mitään, ja noista seurantatageista suurin osa kerää tietoja kolmansille osapuolille, eli optimoi kaikkea muuta kuin ko. sivuston sisällä tapahtuvaa käyttökokemusta.

Monet markkinoinnin automaation työkalut ja erilaiset optimointityökalut keräävät tietoja siten, että niistä voidaan tehdä koosteita muihin tarkoituksiin. Tällöin aktiivinen lupa on yleensä pakko pyytää käyttäjiltä, koska tietoja voidaan käyttää käyttötarkoituksiin jotka ovat laajempia kuin yksittäisen sivuston toiminta ja sen kehittäminen. Tämä on se todellinen syy siihen miksi niitä pop-uppeja tulee nykyisin melkein joka sivustolla vastaan. Sivustojen omistajat haluavat seurata jokaista kävijän liikettä niin tarkkaan kuin mahdollista, koska monien sivustojen tehtävä on saada käyttäjä ostamaan jotain, ennemmin tai myöhemmin.

GDPR:n mukaan myös tietojen yhdistäminen muihin rekistereihin edellyttää käyttäjän hyväksyntää, joten esimerkiksi jos sivuston selailudataa voidaan yhdistää yrityksen CRM:ssä olevien henkilöiden tietoihin, niin aktiinen lupa pitää kysyä jokaiselta käyttäjältä. Käytännössä jo uutiskirjeohjelmien sivustolle asennettavat seurantatagit ovat usein sellaisia, joiden käyttö edellyttää aktiivista luvan pyytämistä, koska tällöin uutiskirjeiden tilaajien selailuhistoria tallennetaan rekisteriin josta henkilö voidaan mahdollisesti yksilöidä.

Aika moni asia siis vaatii käytännössä aktiivisen luvan pyytämistä käyttäjän seurantaan, ainakin jos tulkitsee GDPR:ää kohtuullisen tiukasti. Täten niitä ärsyttäviä lupalappuja todennäköisesti tarvitaan jatkossakin, eikä niiden määrä ole vähenemään päin.

Se mitä kuitenkin niiltä toivoisi, olisi eväste-sanasta puhumisen väheneminen. Lupapyynnöissä pitäisi puhua siitä mihin lupa oikeasti pyydetään, eli tietojen keräämiseen käyttäjän selailuhistoriasta ja kaikesta sivustolla tehtävästä toiminnasta, ja sen mahdolliseen yhdistämiseen johonkin toiseen rekisteriin tai jopa yksilöityyn käyttäjätietoon.

Alalla pitäisi puhua evästelupien sijasta esimerkiksi seuranta- ja mainontalupien pyytämisestä, koska siitä on yleensä kysymys. Luvan pyytämisen yhteydessä tulisi kertoa se käyttötarkoitus mihin lisälupaa pyydetään. Aiemmin viitattu Elisan esimerkki on oikeansuuntainen yritys, koska yleismalkaisen käyttökokemuksen sijasta siinä puhutaan rehellisesti mainosten kohdentamisesta.

Yhteenveto: Evästeisiin ei tarvitse pyytää lupaa. Käyttäjien seurantaan ja mainonnan kohdentamiseen pitää pyytää lisälupa, jos tietoja luovutetaan kolmansille osapuolille tai jos käyttäjistä kerätyt tiedot voidaan jotenkin yhdistää yksilöityyn ihmiseen.

Käänteisesti voi sanoa, että esimerkiksi julkishallinnon sivustoilla ei pitäisi lisälupapyyntöjä näkyä. Esimerkiksi Verohallinnon linja on selkeä, vero.fi:n selailudatat eivät kuulu Googlelle, joten Google Analytics ei ole sivustolla kiinni, eikä mitään seuranta- ja mainontalupia tarvitse siten pyydellä.

On myös paljon kaupallisia sivustoja, joissa laaja mittaus on kyseenalaista. Esimerkiksi terveysalan verkkokaupoissa tai terveydenhoidon tarjoajien sivustoilla kerättävä tieto voi yksilöityessään olla hyvinkin kyseenalaista seurantaa. Viitattu Silmäaseman esimerkki ei varmasti ole pahimmasta päästä, mutta herättää kysymyksen, että kuinka moni kaupallinen toimija tällä hetkellä pyytää evästeluvan varjolla käyttäjiltään laajoja lupia monille sivustoille ulottuvaan seurantaan ja mainontaprofiilien ylläpitoon?

Aiemmin aiheesta blogissa kirjoitettua:

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 700 tilaajaa).

Kommentit

  1. Antero Muranen says:

    Tyhjentävä, yksityiskohtainen kirjoitus Perttu! Kiitos hyvistä esimerkeistä.

    Uskoisin, että valtaosa näistä mainitsemistasi esimerkeistä ja yrityksistä ylipäätään puhuvat virheellisesti eväistä puhtaasti koska aihe on todella tekninen ja monelle vaikea ymmärtää. Kyse ei ole siis tahallisesta harhaanjohtamisesta vaan tietämättömyydestä.

    Usein minun kokemukseni mukaan nämä asiat eivät ole siellä prioriteettilistan kärkipäässä kun sivustoa kehitetään, ymmärrettävästi. Tässä ehkä korostuukin se toimittajan osaaminen ja tietämys aiheesta, jolloin tilaajan ei tarvitsekaan tietää aiheesta kaikkea. Meillekin siis selkeesti petraamisen paikka tästä viestimisen kohdalla.

  2. Perttu Tolvanen says:

    Viitatussa jutussa ei vaikuttanut nopealla katsauksella olevan muita ongelmia, kuin sen tulkinta Google Analyticsista ja siitä että tarvitseeko GA sen pop-upin.

    Google Analyticsissahan pystyy säätämään sitä miten laajasti kerättyä dataa jaetaan Googlen ja Googlen kumppaneiden kanssa, ja analytiikkapiireissähän on sitä tulkintaa, että jos vääntää sieltä kaikki asetukset “offille”, niin ei tarvitsisi pyytää käyttäjiltä aktiivisesti lupaa seurantaan. (Esim. tuossa jutussa viitataan edelleen tähän juttuun jossa aihetta sivutaan: https://brianclifton.com/blog/2018/04/16/google-analytics-gdpr-and-consent/)

    Kun kukaan Googlen ulkopuolinen taho ei tiedä lopulta sitä, että miten Google käyttää kerättyä dataa, niin tästä varmaan voisi väitellä pitkäänkin, ja siksi en jutussa väitäkään että Google yksilöi sitä kerättyä dataa (sanon vain että Google _voisi_ yksilöidä sen).

    Mutta: Google on silti jokaisen saitin näkökulmasta kolmas osapuoli, joka kerää dataa, ei pyydä tarjoamastaan palvelusta lainkaan rahaa, eikä mahdollista kerätyn datan audittia – ja siinä on minusta paljon syitä siihen miksi käyttäjiltä pitää pyytää lupa Googlen seurantavälineiden käyttöön. Saittien omistajat eivät omista sitä dataa mitä Google kerää, eli se ei ole heidän omassa hallinnassaan. Siihen kiteytyy paljon miksi GA:han pitää pyytää lupa. (Ihan sama millaisia keksejä se GA asettaa.)

    Täten rinnastan GA:n esimerkiksi markkinoinnin automaatio -työkaluihin ym välineisiin, jotka keräävät dataa ja yhdistelevät sitä eri tavoin eri yhteyksissä, ja tällöin ollaan alueella johon pitää GDPR:n mukaan pyytää käyttäjiltä aktiivisesti suostumus.

Jätä kommentti