Älä kysy lupaa evästeisiin – kysy lupa mainosverkostojen trackkereihin

Perttu Tolvanen

Nettisivuille myös Suomessa GDPR:n myötä levinneet typerät pop-upit ovat ainakin näppituntuman perusteella hieman vähentyneet alkuinnostuksen jälkeen. Ainakin julkishallinto ja useat ei-kaupalliset sivustot ovat pitäneet linjansa ja jättäneet lupa-pop-upit kaupallisille toimijoille. Tätä asiaa aiemmin käsitelleet jutut tässä blogissa (juttu 1, juttu 2, juttu 3) ovatkin edelleen pääosin kuranttia tavaraa.

Suomessa tilanne eväste-pop-uppien suhteen ei ole viime aikoina olennaisesti muuttunut, vaikka Traficom tarkensikin suositustaan marraskuussa. Suomessa ei lupaa “tavallisiin” evästeisiin edelleenkään tarvitse pyytää, mutta evästeistä ja niiden tehtävistä on kerrottava selkeästi käyttäjille. Tämän varsin selkeän säännön toteutumisessa on kuitenkin edelleen vaikeuksia, ja Traficomin tulkintaakin voi pitää hieman ristiriitaisena verrattuna viimeisimpiin EU-tuomioistuimen linjauksiin.

Mikä on muuttunut GDPR:n tulon jälkeen?

GDPR:n tuomat muutokset nettisivujen seurantatyökaluihin ja mainosverkostojen toimintaan eivät ainakaan vielä ole olleet kovin dramaattisia. Useimmat mediatalojen sivustot seuraavat edelleen käyttäjiä yhtä laajasti kuin aiemmin, Facebookin ja Googlen seurantatagit ovat kiinni useimmissa kaupallisissa sivustoissa, eikä käyttäjien kannalta ole kovin paljon helpompaa ymmärtää mihin he suostuvat kun klikkaavat ”ok”. Useimmat sivustot eivät myöskään anna käytännössä käyttäjille vaihtoehtoja kieltäytyä seurannasta.

Näihin epäselviin kysymys-pop-uppeihin ja lupapyyntökäytänteihin ovat myös tutkijat kiinnittäneet huomiota. Konkreettisia muutoksia ei ole vielä kovin paljon näkynyt, vaikka viime marraskuussa EU:n tuomioistuin ohjeisti asiasta tarkemmin, painottaen että sivuston kannalta ei-olennaisia seurantatrackkereita ei saa aktivoida ilman selkeätä käyttäjän hyväksyntää.

Käytännössä keskustelussa on kysymys erilaisten mainosverkostojen trackkereista, kuten Googlen ja Facebookin ja muiden mainosverkostotoimijoiden trackkereista, joiden avulla käyttäjien toimintaa voidaan seurata sivustojen yli, ja näin muodostaa monipuolisia käyttäjäprofiileja ja kohdentaa mainontaa käyttäjille perustuen heidän selailuhistoriaansa.

Traficomin tulkinta uudesta EU-tuomiosta ei selkeytä asioita

Traficomin päivitetty evästeohjeistus toteaa aivan sivun lopussa seuraavaa:

“Euroopan unionin tuomioistuin antoi 1.10.2019 päätöksen evästeistä (asia C-673/17). Tuomion mukaan evästeisiin annettu suostumus ei ole pätevä, jos se annetaan verkkosivuille sijoitetulla valmiiksi rastitetulla ruudulla. Lisäksi tuomion mukaan palveluntarjoajan on ilmoitettava käyttäjälle evästeiden toiminta-aika ja tieto siitä, saavatko kolmannet mahdollisuuden käyttää evästeitä.”

Traficomin nykyinen tulkinta on itse asiassa melko ristiriitainen tuon viimeisimmän EU-tuomion kanssa, koska Traficom edelleen pitää kiinni päätöksestään, että selaimen asetuksissa annettu lupa riittää Suomessa. Jos kerran kolmannen osapuolen trackkereille ei voi saada lupaa ennakkoon ruksitulla valinnalla, niin miten Traficomin suositus voi perustua selaimen evästelupavalintoihin (jotka nimenomaan ovat esivalittuja valintoja)?

Noh, perusongelma Traficomin suosituksessa on tietysti se, että siinä vältellään aktiivisesti ottamasta mitään kantaa kolmannen osapuolen trackkereihin ja erilaisiin mainosverkostoihin. Todennäköisesti Traficomilla odotellaan EU:n seuraavaa isompaa päivitystä aiheeseen (ePrivacy yms) tai toivotaan asian menevän kokonaan ohitse selainten tiukentaessa mainosverkostojen toiminnan mahdollisuuksia (kuten onkin tapahtumassa).

Linjaus onkin selkeä kun puhutaan sivustoista, joilla ei ole tarvetta laittaa kolmannen osapuolen seurantatrackkereita sivustoilleen. Esimerkiksi julkishallinnon sivustoilla ei yleensä käytetä mitään Facebookin tai Googlen työkaluja, joten ohjeistuksen perusteella mitään evästelupalappuja ei tarvitse käyttää.

Traficomin epäselvää linjausta voi myös ymmärtää siitä näkökulmasta, että moni pop-uppi perustuu käytännössä siihen, että nämä mainosverkostojen omistajat (Google, Facebook, jne.) vaativat trackkereita käyttäviltä sivustoilta luvan aktiivista pyytämistä, jotta nämä mainosverkostot eivät myöhemmin joutuisi vaikeuksiin EU:n kanssa, kun yhdistelevät kerättyä dataa muihin datavarastoihinsa. Paikallisen viranomaisen on siis helppo ottaa löysempi kanta kuin mikä on EU-tasoinen linja, kun useimmat pelurit ovat käytännössä monikansallisia yhtiöitä, jotka seuraavat ensisijaisesti EU-tasoista tulkintaa.

Lisäksi selaintasolla on ollut jo pidempään liikehdintää siihen suuntaan, että kolmansien osapuolien trackkereiden toimintaa rajoitetaan selaintasolla. Viimeisin ilmoitus tuli Googlelta tammikuussa, jonka mukaan parin seuraavan vuoden aikana kolmansien osapuolien trackkerit ovat vaikeuksissa joka tapauksessa.

Traficomikin antaa vihjeitä siihen suuntaan, että joskus lupia pitää pyytää

Traficom ottaa itse asiassa aiheeseen kantaa epäsuorasti uusimmassa päivityksessä, kun toteaa että kaikille evästeille ei suostumusta tarvita.

“Kaikkiin evästeisiin suostumusta ei tarvitse pyytää. Evästeille, jotka ovat palvelun tarjoajalle välttämättömiä pyydetyn palvelun toteuttamiseksi, ei tarvitse edelleenkään pyytää suostumusta. Esimerkiksi evästeet mahdollistavat verkkokaupassa ostosten valitsemisen ostokoriin ja sähköisiin palveluihin kuten verkkopankkiin kirjautumisen.”

Rivien välistä voi siis tulkita, että ehkä Traficominkin mielestä joihinkin evästeisiin tarvitsee pyytää lupa Suomessa?

Niin, todellisuudessa aika moniin trackkereihin tarvitsee pyytää lupa, Suomessakin.

Uusin EU-tuomio korostaa selkeätä viestintää käyttäjille kolmansien osapuolien trackkereista

Jos EU-tasoista keskustelua aiheesta seuraa yhtään, niin on aivan selvää, että kaikkiin mainosverkostoihin ja kolmannen osapuolen trackkereihin pitää pyytää lupa käyttäjältä, ja tätä lupaa ei saa sotkea luvan pyytämiseen sivuston “perusevästeiden” toimintaan. Käyttäjää siis ei saa hämätä vaatimalla lupaa sivuston perusjuttujen toimintaan, ja sitten asentamalla tämän ok-painalluksen perusteella selain täyteen kolmannen osapuolen seurantatrackkereita.

Ja silti näin tapahtuu Suomessakin jatkuvasti.

Viime marraskuinen EU-tuomio korostaa sitä, että tällaisesta toiminnasta voi jatkossa seurata myös rangaistuksia. Viimeisin tuomio myös korostaa informointivelvoitetta, jolla tarkoitetaan käytännössä sitä että aktiivisen hyväksynnän yhteydessä on kerrottava mikäli näiden trackkereiden kautta käyttäjän tietoja voi päätyä myös kolmansien osapuolien haltuun.

Käytännössä:

  1. sivuston perustoiminnan kannalta epäolennaisia evästeitä (kuten mainosverkostot) ei saa asentaa oletuksena käyttäjälle (ja ruksit eivät saa olla oletuksena päällä kun lupaa kysytään)
  2. kun käyttäjältä kysytään lupa näihin “lisäevästeisiin” on käyttäjälle kerrottava hyväksynnän yhteydessä mikäli valinnan seurauksena tietoja välitetään kolmansille osapuolille (lupaa ei siis saa pyytää siten että väittää tarvitsevansa luvan sivuston perustoimintoihin, kuten ostoskorin toimintaan)

Tämä on siis viimeisin linjaus EU-tasolla, ja tähän suuntaan on moni verkkokauppa esimerkiksi jo mennyt.

Verkkokauppa.comin toteutus on esimerkillinen

Esimerkiksi kotimainen verkkokauppa.com pyytää lupaa pelkästään markkinoinnin kohdentamiseen liittyviin evästeisiin. Lupalappu tulee esiin pienellä viiveellä sivustolle saavuttaessa.

Lupapyyntö on kohdistettu pelkästään “lisäseurantaan”:

“Käytämme evästeitä käyttökokemuksen parantamiseen, analytiikkaan ja personoidun sisällön tuottamiseen. Suostumuksellasi käytämme evästeitä myös markkinoinnin kohdentamiseen.”

Kun käyttäjä valitsee “Lisätietoa evästeistä”, saa hän myös valintavaihtoehdon “Jatka hyväksymättä”.

Tämä on malli, johon viimeisin EU-tuomioistuimen päätös nyt ohjaa verkkopalveluita. Verkkokauppa.comia voi käyttää ilman kolmansien osapuolien mainosverkostojen seurantatrackkereiden hyväksymistä, eikä lupalapussa saa yhdistää perusevästelupaa (jota ei tarvita) ja lupaa näille kolmannen osapuolen trackkereille.

Verkkokauppa.comin toteutus ei ole ehkä aivan kirjaimellisesti juuri se mihin suuntaan viimeisin EU-päätös käskee menemään, mutta Verkkokauppa.comin toteutus on käyttäjien kannalta hyvin selkeä, koska lupapyyntö keskittyy vain “lisäevästeisiin” jotka eivät ole verkkokaupan perustoiminnan kannalta olennaisia. Käyttäjä voi tehdä ostoksia ja käyttää sivustoa ilman lisäevästeiden hyväksyntää. Pop-upin viive voisi olla isompikin, koska verkkokaupan toiminnan kannalta hyväksyntä ei ole pakollinen asia, ja lisäevästeet ladataan vasta kun käyttäjä hyväksyy niiden käytön.

Moni verkkokauppa hämää käyttäjiään täysin EU-linjausten vastaisesti

Tämä vaatii muutoksia esimerkiksi monen verkkokaupan toimintaan, koska nykyisin erittäin moni sivusto niputtaa kaikki luvat yhteen, eikä tällainen toiminta enää jatkossa ole luvallista. Esimerkiksi Gigantin tyylinen evästelappu lienee juuri esimerkki siitä miksi EU-tasolla on päädytty tarkentamaan ohjeistusta. Gigantti käytännössä uhkailee käyttäjää sillä, että jos käyttäjä ei hyväksy kaikkia evästeitä, ei sivustolta enää voisi ostaa tuotteita:

“Gigantti.fi käyttää evästeitä pystyäkseen parantamaan sivuston laatua ja tekemään siitä entistä käyttäjäystävällisemmän. Voit halutessasi estää evästeet verkkoselaimen asetusvalikossa – tässä tapauksessa et voi kuitenkaan hyödyntää sivujamme täysin tai vahvistaa tilausta. Voit jatkaa sivuston käyttöä normaalisti, mikäli hyväksyt evästeiden käytön. Lue lisää evästeiden käytöstä täältä.”

Gigantin esimerkki on kuvaava esimerkki siitä miten väärin lupa-pop-uppeja tällä hetkellä laajalti käytetään. Käyttäjälle kerrotaan tarinaa sivuston perustoimintojen kannalta tarpeellisista evästeistä, vaikka käytännössä kyse on siitä, että halutaan saada maksimaalinen mainosverkostojen seuranta aktivoitua. Gigantti myös asentaa kaikki trackkerit käyttäjälle samantien sivustolle saavuttaessa, eli lupalapun kuittaamisella ei ole teknisesti mitään merkitystä. Tämäkin on rikkomus nykyistä linjausta vastaan.

Älä kysy lupaa evästeisiin, kysy lupa mainosverkostoihin ja muihin kolmannen osapuolen trackkereihin

Nykyisin evästelappuohjeistuksen voikin muotoilla entistä tarkemmin, koska viimeisin EU-tuomio korostaa käyttäjältä vaadittavaa aktiivista toimintaa ja tarvetta kertoa kolmansista osapuolista luvan antamisen yhteydessä.

Jos sivustolla siis käytetään mitä tahansa kolmannen osapuolen seurantaa, jossa tietoja päätyy kolmansien osapuolien haltuun ja niitä käytetään joihinkin muihin tarkoituksiin kuin kyseisen sivuston perustoimintojen mahdollistamiseen, on käyttäjiltä pyydettävä lupa tähän toimintaan, ja luvan pyytämisen yhteydessä on kerrottava, että käyttäjien dataa päätyy kolmansien osapuolien haltuun, eikä näitä trackkereita saa aktivoida ennenkuin käyttäjä on tehnyt aktiivisen hyväksynnän.

Käytännössä useimmille sivustoille tämä tarkoittaa sitä, että jos haluaa käyttää Googlen tai Facebookin seurantatageja sivustolla, on kysyttävä ja saatava käyttäjiltä lupa tähän toimintaan, ja luvan pyytämisen yhteydessä on kerrottava mistä on kysymys. Verkkokauppa.comin toteutusta voi pitää esimerkillisenä referenssitoteutuksena.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 800 tilaajaa).

Aiemmin samasta aihepiiristä kirjoitettua:

  1. Jukka says:

    Hyvä päivitys tärkeään aiheeseen. Olen pitkälti samaa mieltä: ennakkopäätöstä tunnutaan odottavan isommista EU-maista. Näitä toki lienee myös tulossa.

    Jos evästeistä mennään hieman pidemmälle, huomattavasti ongelmallisempana näkisin asiakastietojen viemisen sinne “hellscape” -puolelle (a.k.a. Facebook). Yksityisellä sektorilla rationaliteetti on tietenkin yksinkertainen (M&M), mutta julkisella puolella tämä asia ei kerta kaikkiaan käy omaan järkeeni. Syyllisiähän on monia — aina Kelasta ministeriöihin.

  2. Perttu Tolvanen says:

    Hei Jukka, tuosta julkishallinnon FB- ja Google-trackkereiden käytöstä on itse asiassa tulossa jatkojuttu, ehkä jo tällä viikolla. Et ole ainut joka on esittänyt kysymyksen, että minkä takia meillä on isoja julkishallinnon toimijoita, joilla on Googlen ja Facebookin trackkereita omilla sivuillaan.

  3. Jukka says:

    Hienoa, että jatkojuttu on tulossa; tiedossa myös on, että siellä suunnalla ollaan ainakin osittain kuulolla.

    Jos mahdollista, jutussa olisi hienoa sivuta myös tätä mainitsemaani asiakastietojen viemistä Facebookille ja kumppaneille, mikä ei sinällään välttämättä liity trackereihin ja evästeisiin. Osa virkamiehistä (mm. Kela) tosiaan eksplisiittisesti ilmoittaa tekevänsä tätä viemistä — ilmeisesti ilman mitään käsitystä siitä, minkälaisia vaikutuksia sillä saattaa olla heidän “asiakailleen”.

    Petraamisen paikka koko julkisella sektorilla. Ei se digitalisaatio voi näin edetä.

  4. Perttu Tolvanen says:

    Tarkennatko, että mitä tarkoitat tuolla asiakastietojen viemisellä Facebookille ja kumppaneille?

    Mun näkökulmasta on ainakin kaksi eri ilmiötä:
    a) Facebookin ja Googlen trackkereita on julkishallinnon sivustoilla (usein “vahingossa” kun on laitettu like-nappuloita yms juttuja ihan peruskoodeilla, jolloin seurantatrackkerit tulee mukana, osin toki ihan tarkoituksella kun halutaan parempaa analytiikkaa ja retargetointia joillekin kampanjoille)
    b) Facebookin ja Googlen kirjautumisen käyttämistä johonkin kevyempiin asiointipalveluihin, joka voi olla asiakkaiden kannalta ihan kätevääkin, mutta silti siinä vuotaa aika paljon metatietoa näille korporaatioille siitä mitä yksilö tekee internetissä.

    Kummassakin tapauksessa näille korporaatioille vuotaa sellaista metatietoa, jonka perusteella voi tehdä aika luotettaviakin päätelmiä kyseisen henkilön perhetilanteesta tai omasta tilanteesta. Esim. pelkästään joku Kelan tai THL:n sivuston selailuhistoria voi riittää aika tarkkaan elämäntilanneanalyysiin.