Apulaistietosuojavaltuutettu puuttui evästelupalappuihin

Perttu Tolvanen

Viime viikolla apulaistietosuojavaltuutettu ilmoitti puuttuneensa yksittäisen yrityksen tapaan, jolla yritys pyysi käyttäjän suostumusta evästeiden käyttöön verkkosivustollaan.

Tiedotteessa on kysymys siitä, että Suomessa vihdoin puututaan myös viranomaisten toimesta täysin sekavaan eväste-pop-up-käytänteiden maailmaan.

Tiedotteen lopussa myös todetaan, että tämä on vasta ensimmäinen päätös. Tietosuojavaltuutetun toimistossa on vireillä kymmeniä vastaavia tapauksia, jotka tullaan ratkaisemaan nyt annetun päätöksen mukaisesti.

>> Lue tiedote: Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön (15.5.2020)

Kyseinen päätös ei jätä kovin paljon tilaa parran päristelylle, vaikka sitä päätös epäilemättä aiheuttaa tässä maassa todella paljon. Tiedote viittaa hyvin yksiselitteisesti Euroopan tuomioistuimen lokakuussa 2019 antamaan tuomioon, jonka mukaan vain verkkopalvelun toiminnan kannalta välttämättömät evästeet voidaan asentaa automaattisesti palveluun saavuttaessa. Lisäksi todetaan vielä erikseen, että käyttäjän suostumus pitää hankkia esimerkiksi kaikkiin markkinoinnin kohdentamiseen liittyviin evästeisiin.

Enää ei siis voi vedota esimerkiksi siihen, että käyttäjällä on selaimen asetuksien avulla mahdollisuus kieltäytyä evästeistä. Tähän päätös ottaa hyvin selkeästi kantaa.

“Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää. Apulaistietosuojavaltuutettu katsoi, ettei tietosuoja-asetuksen mukaista suostumusta voida antaa siten, että käyttäjä jättää tekemättä muutoksia selainasetuksiinsa.”

Ansiokkaasti myös kuvataan sitä miten suostumus pitää antaa, ja kuinka suostumuksen ja kieltäytymisen pitää olla esitettynä tasa-arvoisina vaihtoehtoina.

“Jotta suostumus täyttää yleisen tietosuoja-asetuksen edellytykset, käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot. Suostumus voidaan antaa monella eri tapaa, kunhan se selkeästi osoittaa, että rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Pätevää suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Kieltäytymisen ja suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.”

Käytännössähän tämä tarkoittaa sitä, että suurinpiirtein 99% prosenttia tämän maan eväste-pop-upeista menee uusiksi tämän päätöksen seurauksena.

Tätä voi myös pitää vain ja ainoastaan hyvänä asiana, koska 99% niistä on ollutkin varsin asiattomia ja naurettavia.

Ehkä nyt vihdoin ne pop-upit laitetaan toimimaan Suomessakin siten, että niistä hyväksynnistä ja hylkäyksistä oikeasti tapahtuu jotain. Se olisi jo mullistavaa.

Käyttäjältä tuskin vaaditaan aiempaa enemmän valintoja

Monelle verkkokaupalle tämä lienee kova isku, ainakin kauppiaiden itsensä mielestä, mutta todellisuudessa tässä on kysymys melko pienestä asiasta. Suurin osa käyttäjistä kun tulee jatkossakin painamaan “Hyväksyn”-nappia ajattelematta sen enempää asioita.

Uusi linjaushan ei edellytä sitä, että käyttäjän pitäisi jotenkin ruksia erikseen päälle markkinointievästeet. Ruksailuun liittyvät linjaukset liittyvät tilanteiseen, joissa käyttäjiä on yritetty saada hyväksymään markkinointievästeet samassa yhteydessä, kun annetaan hyväksyntää välttämättömille evästeille.

Asentamalla välttämättömät evästeet automaattisesti ja kysymällä lupalapussa vain lupaa lisäseurantoihin, voi päästä hyvinkin selkeään lupalappuun.

Esimerkiksi Business Finlandin lupalappu on hyvä esimerkki selkeästä lupalapusta, joka lienee täysin hyväksytty malli, tai ainakin varsin lähellä, EU:n hyväksymää mallia. Todennäköisesti suurin osa käyttäjistä valitsee tuon “Hyväksy kaikki” -valinnan ilman sen suurempia tunnontuskia.

Todennäköisesti suurin osa käyttäjistä painaisi hyväksyntänappia vaikka siinä lukisi jotain täsmällisempääkin, esimerkiksi “Hyväksy kaikki (ml. markkinointievästeet)”. Nykyisen ohjeistuksen mukaan tuo toinen nappi ehkä myös pitäisi kirjoittaa esimerkiksi muotoon “Jatka hyväksymättä”, koska välttämättömiin evästeisiin ei tarvitse lupaa pyytää. Dialogin selkeyden kannalta toki voi olla tuo Business Finlandin nykytoteutuskin aivan hyvä.

Business Finlandin toteutus on esimerkillinen myös siksi, että sivusto aidosti kunnioittaa käyttäjän valintoja. Lisäseurannat asennetaan käyttäjälle vasta kun käyttäjä painaa tuota “Hyväksy kaikki” -nappulaa.

On korkea aika laittaa tämä asia kuntoon myös Suomessa

Esimerkiksi moni EU-tasoinen verkkokauppa on jo uuteen todellisuuteen sopeutunut aikaa sitten. Suomi tulee tässä jälkijunassa, joten toivottavasti muutokset myös toteutetaan nopeasti.

Aiemminkin osaavat käyttäjät ovat voineet estää laajemman seurannan esimerkiksi verkkokaupoissa vieraillessaan. Nyt tästä mahdollisuudesta pitää vain tehdä myös tavallisen käyttäjän ulottuvilla oleva asia.

Tämä ei ole myöskään mikään hätäinen päätös, vaan vuosien prosessin tulos. Uusin tulkinta perustuu EU:n nyt toukokuussa antamiin selventäviin ohjeisiin, joiden mukaan apulaistietosuojavaltuutettu on nyt lähtenyt tekemään näitä linjauksia. Täten vaikka yrityksillä on oikeus valittaa näistä päätöksistä hallinto-oikeuteen, olisi EU-tasoisestikin varmaan yllättävää, jos hallinto-oikeus näitä päätöksiä lähtisi muuttamaan.

Esimerkiksi verkkokauppojen ja monien muiden markkinointiin paljon panostavien sivustojen on nyt vihdoin syytä alkaa miettimään entistä enemmän sitä miten käyttäjät saisi rekisteröitymään omaan palveluun, tai tilaamaan uutiskirjeen, tai jotenkin muuten vapaaehtoisesti suostumaan yrityksen markkinoinnin kohteeksi.

Ilman kuluttajan suostumusta tehtävän seurannan ja markkinoinnin kohdentamisen aika näyttäisi olevan vihdoin Suomessakin ohitse.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 800 tilaajaa).

Aiemmin samasta aihepiiristä kirjoitettua:

Kommentit

  1. Jukka says:

    Yksi korjaus: asiasta kyllä löytyy ihan akateemistakin tutkimusta; mikäli käyttäjille annetaan todellinen vaihtoehto, suurin osa itse asiassa vastaa “ei” (siis toisin kuin tässä jutussa väitetään). Toinen asia on tietysti se, että mikäli seurantaa (ts. vrt. Zuckerbergin ja kumppanien evästeet, pikselit, JavaScrptit, fontit, yms.) ei ole käytössä, ei myöskään pop-uppeja tarvita. Tämä vaihtoehto lienee se oikea julkishallinnon osalta, missä seurannalle ei ole suurimmassa osassa tapauksia minkäänlaista tosiasiallista tarvetta.

  2. Perttu Tolvanen says:

    Kiitos Jukka kommentista.

    Kiinnostavaa, että asiaa on jossain tutkittukin jo. En kuitenkaan ihan niele tuota väitettä, koska esimerkiksi Suomessa tämä pop-up-sekamelska on ollut jo niin pitkään käynnissä, että suurin osa käyttäjistä on todennäköisesti täysin väsynyt niihin, ja tottunut toimimaan siten, että klikkaa sitä nappulaa mikä vahvimpana esitetään (ja jolla pääsee todennäköisimmin siitä typerästä laatikosta eroon).

    Ei minulla tietenkään tästä mitään todellista dataa ole, mutta oletan että sinun viittaamasi akateeminen tutkimus lienee myös tehty jossain muualla kuin Suomessa?

    Tämä on kuitenkin asia, johon liittyy aika paljon kansallisia erityispiirteitä, ihan siitä lähtien että mikä on keskimääräinen kansalaisten luottamus yrityksiä ja julkishallintoa kohtaan ja kuinka paljon esimerkiksi tietosuoja-asiat ovat julkisuudessa esillä. Uskon hyvin, että esimerkiksi Saksassa moni todella valitsisi sen “Hylkään”, mutta epäilen Suomen ilmapiirin ja kulttuurin näitä asioita kohtaan olevan aika erilainen. Ihan lähtien siitä, että eihän tästä Facebookin ja Googlen harrastamasta seurannasta omien palveluidensa ulkopuolella ole varmaan yksikään valtamedia kirjoittanut Suomessa vielä koskaan (verrattuna vaikka Saksaan, jossa aihetta on käsitelty pitkään ja paljon – tai joku UK, jossa esim. The Guardian kirjoittanut tästä paljonkin, vaikka nyt ei siellä luetuimpia lehtiä olekaan).

    Minun tulkinnan mukaan tuo nykyinen linjaus ei myöskään pakota esittämään niitä nappuloita täysin tasa-arvoisesti, eli Business Finlandin malli jossa se “Hyväksyn” -nappula tehdään visuaalisesti paljon houkuttelevammaksi, on jatkossakin sallittu. Ja tällöin väitän, että suurin osa vaan klikkaa sitä “Hyväksyn”-vaihtoehtoa sen enempää ajattelematta.

  3. Juha Salmela says:

    Mielestäni nykyinen eväste-pop-up-käytäntö on aivan idioottimainen.

    Järkevämpi ratkaisu olisi hoitaa kysely evästeiden hyväksymisesta esimerkiksi selainpohjaisesti.

    Noh eipä se ole mitään uutta, ettei byrokraatikot saati konsultit tajua mitään käytännön asioista tai tehokkuudesta. Useimmiten näyttää siltä, että poliittisten päätöksien tarkoitus on vain heittää kapuloita rattaisiin.

  4. Perttu Tolvanen says:

    Kiitos kommentista, Juha. Olen sikäli hieman eri mieltä, että tässä on kyse hyvästä asiasta, eli kansalaisten tietosuojasta huolehtimisesta ja yritysten seurantatyökalujen käytön rajoittamisesta.

    EU on tässä ollut jo pitkään etulinjassa, ja verrattuna esimerkiksi USA:n tilanteeseen, ei EU:ssa ole nähty vastaavia ylilyöntejä. Meidän hyvää tilannetta voi todennäköisesti pitää hyvin pitkälti tämän lainsäädännön ansiona. USA:ssahan kun ei ole mitään tähän verrattavaa lainsäädäntöä, niin siellä on esimerkiksi ihan ok, että televisiosi kuuntelee sinua ja lähettää mainostajille koostepaketteja nauhoitteista. Lisäksi tekoäly tietysti profiloi sinua myös sen perusteella mitä telkan ääressä olet jutellut.

    Esimerkki on toki rajumpi kuin mitä FB:n ja Googlen seurantatrackkerit tekevät saiteilla, mutta ihan saman asian pidemmälle viedystä muodosta on kysymys.

    Siitä olen kyllä samaa mieltä, että saittikohtainen kysely aiheesta on täysin typerää, ja olisi järkevämpää tehdä asia selaintasolla. En osaa sanoa, että miksi tällaista ei ole toteutettu, mutta luulen sen johtuvan siitä, että esimerkiksi GDPR:ssä on kyse niin paljon isommasta asiasta.

    GDPR:n näkökulmasta tämä sivustojen harrastama jäljittimien asentelu ilman lupaa, on aika pieni sivuhaara kokonaisuutena.

    Tärkeämpäähän GDPR:ssä on se, että sitten kun oikeasti kerätään niitä henkilötietoja (esim. verkkokaupan tilausten yhteydessä), niin näitä käsitellään asianmukaisesti ja käytetään vain niihin tarkoituksiin mihin ne on annettu. Esimerkiksi USA:ssahan verkkokaupat ja erilaiset tahot myyvät kuluttajien antamia osoite- ja preferenssitietoja jatkuvasti eteenpäin, koska kuluttajien on ollut pakko hyväksyä sellaiset ehdot, jos ovat halunneet käyttää ko. verkkokauppaa.

    Luulen myös, että siinä selainasiassa on aika iso kynnys, koska ne selaimet eivät varsinaisesti ole tämän asian osapuolia, vaan ainoastaan välikappaleita, ja yleensä lainsäädännön näkökulmasta on haastava asettaa pakottavia vaatimuksia toimijoille, jotka eivät ole asian osapuolia varsinaisesti. Selaimen kautta asioiden pakottaminen ei myöskään ratkaise niitä ongelmia, joita syntyy kun tietoja on luovutettu vapaaehtoisesti ja niitä sen jälkeen käytetään väärin tai luovutetaan eteenpäin.

    Selaimet toki voisivat tarjota asiaan ratkaisuja vapaaehtoisesti, kuten vaikka Firefox ja Safari ovatkin tehneet, mutta isointa markkinaosuutta pitävä Chrome ei ole lähtenyt tähän. Asiaan saattaa vaikuttaa se, että Chromen omistaa Google, jonka trackkereiden rajoittamisesta tässä juuri on kyse :)

    Itse ajattelen, että tämä asia olisi jo ratkennut todennäköisesti selaintasolla, jos Google ei omistaisi Chromea.

  5. Antti Hukkanen says:

    Käytäntö on monta kertaa hieman haastavampaa kuin teoria. Tarkastaessani hyvänä esimerkkinä esitetyn Business Finlandin sivuston, kyseinen sivusto asetti minulle seuraavat ei-pakolliset evästeet ennen kuin olen antanut mitään hyväksyntää näiden asettamiselle:
    – _ga (Analytics Client ID)
    – _gid (Analytics user journey)
    – _lfa (Leadfeeder visitor cookie)
    – ai_session (Microsoft Application Insights)
    – ai_user (Microsoft Application Insights)

    Kaiketi Business Finland ei siis ole vielä päivittänyt evästekäytäntöjään päätösten mukaiseksi, joskin käyttöliittymältään tuo on varmasti täysin pätevä toimintamalli. Tämä on sinänsä ihan ymmärrettävää, kun tuo apulaistietosuojavaltuutetun päätös tuli vasta hiljattain.

    Toisaalta, suurin osa verkkosivuston omistajista varmasti haluaa saada tietoja siitä, kuinka paljon sivuilla vierailee kävijöitä ja minkälaiset sivut heitä kiinnostava. Tämä on mielestäni todella raskauttavaa, että tätä tietoa varten pitää nyt tästä lähin “häiritä” käyttäjiä entistä enemmän.

    Itse epäilen, että näiden päätösten jälkeen yhä useampi verkkosivusto ei suinkaan seuraa tuota Business Finlandin esimerkkiä, vaan nämä erittäin häiritsevät popupit tulevat lisääntymään ennen kuin sisältöön pääsee käsiksi.

    Mietin asiaa niin, että kuinka moni markkinoija olisi valmis tilaamaan sanomalehdeltä mainoskampanjan tietämättä, kuinka moni ihminen kyseisen mainoksen näkee? Sama asia on monien yritysten osalta verkkosisällöissä, joita käytetään markkinointitarkoitukseen. Joka ikinen yritys haluaa tietää, kuinka monta ihmistä tietty verkkosisältö tavoittaa. Miksi sen sisällön tuottamiseen muuten käytettäisiin aikaa ja rahaa?

    Olen Juhan kanssa samaa mieltä siitä, että käytäntö on käyttäjien kannalta idioottimainen. Paljon järkevämpää olisi, että nämä päätökset tehtäisiin selaintasolla, kuten Perttu mainitsikin että mm. Firefoxissa ja Safarissa voi jo nykyään tehdä.

    Tämän päätöksen jälkeen internet on ns. “normaaleille” ihmisille taas askeleen vaikeampi käyttää. Tietosuojastaan valveutuneille käyttäjille tällä päätöksellä puolestaan tuskin on mitään merkitystä, koska he ovat tähänkin asti osanneet pääsääntöisesti välttää asiattomia evästeitä.

  6. Perttu Tolvanen says:

    Hyvä bongaus, Antti :)

    Google Analytics lienee edelleen monien organisaatioiden listoilla niitä “välttämättömiä” vaikka kyseinen päätös ei voi olla pelkästään saitin omistavan organisaation itsensä tekemä. Google edellyttää luvan pyytämistä aktiivisella toimenpiteellä, joten jos haluaa käyttää GA:ta, niin pitää pyytää lupa pop-upilla. Tässäkin asiassa siis syyttävä sormi menee Googlen suuntaan ensisijaisesti.

    Luulen, että BF:ssäkin vasta mietitään, että mitä tuo viimeisin linjaus tarkoittaa omalle saitille. Suoraan sanoen oli aikamoinen työ löytää edes kohtuullisen hyvä esimerkki tästä asiasta. Edellisessä jutussa käytetty verkkokauppa.comikin on nykyisen linjan mukaan “laiton”, koska ei esitä eri vaihtoehtoja tasa-arvoisesti.

    Sinänsä web-analytiikkaan tämä päätös ei mielestäni vaikuta, vaikka Google Analyticsin kohdalla asia onkin toisin. Esimerkiksi Matomon käyttäminen oman sivuston mittaamiseen ei edellytä pop-uppia, enkä usko tämän asian muuttuvan näiden tarkennuksien myötä. Ehkä “ilmaisesta” analytiikasta pitää nyt vain luopua, ja saittien omistajien täytyy virittää joku oikeasti omassa hallinnassa oleva analytiikkatyökalu, jos haluavat dataa saitin käytöstä.

    Useimpiin suosittuihin julkaisujärjestelmiinkin löytyy ties minkälaista web-analytiikkalisäosaa, jolla saa kyllä ihan riittävät tiedot oman saitin käytöstä ja datat on varmasti omassa hallinnassa.

  7. Jukka says:

    @Juha: olen samaa mieltä, että tottakai tämä olisi teoriassa järkevämpää toteuttaa client-puolella. Mutta mahdollista se ei ole käytännössä ollut vuosikymmeneen. Joskus muinoin, kun DNT yms. olivat vakavasti asialistalla, mahdollisuuksia olisi kenties ollut.

    Mutta kuten @Perttu myös implisiittisesti viittaa jälkimmäisessä vastauksessaan, client-puoli on nykyään pitkälti monopoli (a.k.a. WebKit). Myös OSS on pitkälti lumetta Web-kentässä; edes Geckoon ei ole pitkään aikaan saanut muutosehdotuksia läpi, vaikka koodia olisikin ollut tarjota. Mutta kenties kaikkein surullisinta asiassa on se, että myös W3C ja kumppanit ovat pitkälti Googlen vakan alla. Ei ihme, että pioneerit Berners-Leestä lähtien ovat todenneet Webin menneen pilalle. Tässä mielessä GDPR tuo edes jonkinlaisen kipinän toivosta.

    Ja toisaalta: kyllä server-puolen kehittäjilläkin on peiliin katsomisen paikka. Jos otetaan edelleen julkishallinto esimerkiksi, en ole koskaan ymmärtänyt, miksi asiakkaiden pakotetaan lataamaan tavaraa ympäri Internetiä. Huomautan, että kyseessä on yksityisyyden ohella tietoturva. Ja samalla toivon, ettei kyse ole ammattitaidottomuudesta, laiskuudesta tai muusta vastaavasta…

  8. Antti Hukkanen says:

    Ihan totta Perttu, että vaihtoehtoisia työkalujakin löytyy, mutta se tosiaan hankaloittaa asiaa ja ns. “totuttuja käytäntöjä”. Analytiikkatyökalujen käyttäjien siis pitäisi nyt ikään kuin vaihtaa yhtäkkiä Windowsista Linuxiin. Nuo CMS:ien omat seurantatyökalut ovat monesti hyvin paljon suppeampia, vaikkakin tarjoavat perustiedot, ja en usko niiden riittävän kovinkaan monille.

    Tähän liittyen tuli myös vastaan Tivin artikkeli, jossa Traficom kommentoi osaltaan tätä päätöstä (artikkeli maksumuurin takana):
    https://www.tivi.fi/uutiset/gdpr-aiheuttaa-harmaita-hiuksia-suomalaisille-yrityksille-kaksi-viranomaista-kaksi-tulkintaa/fbf224ad-0cf4-4758-a5c3-0d6060a0f9a8

    Traficom ei näytä juurikaan muuttaneen linjaansa tämän päätöksen myötä:

    “Annetun ratkaisunkin myötä katsomme, että evästeisiin voidaan antaa ja peruuttaa suostumukset esimerkiksi mainituin bannerein tai selainasetuksin, kunhan ehdot pätevästä suostumuksesta täyttyvät ja rekisteröidyn suostumuksen peruutus on tasapainoinen toimenpide sen antamiseen nähden”, Traficomin johtava asiantuntija Heidi Kivekäs kommentoi Tiville.

    Tämä jättää siis edelleen kuitenkin tulkinnan varaa tähän päätökseen. Googlekaan ei aktiivista hyväksyntää varsinaisesti vaadi, ellei laki sitä vaadi. Ja Traficomin tulkinnan mukaan voisi itsekin tulkita, että ei se sitä vaadi, kunhan hyväksynnän peruuttaminen on tehty helpoksi. Eli siis hyväksyntä selaimen asetuksista ja hyväksynnän peruuttaminen sivustokohtaisesti.

  9. Taneli Salonen says:

    Mihin muuten tuo perustuu, että Google Analyticsia varten pitäisi saada aktiivinen lupa, mutta Matomoa varten ei? En ole itse ainakaan törmännyt tuohon, että Google itse edellyttäisi luvan hankkimista, joten olisi kiinnostavaa, jos tästä olisi jotain linkkiä tms. Esim. Googlen mainostunnisteiden osalta tästä on maininta silloin, jos niiden hyödyntämisen haluaa kytkeä päälle. Yleisesti Google on kuitenkin ollut käsittääkseni sillä linjalla, että GDPR:n kunnioittaminen on yrityksen omalla vastuulla.

    Jostain noista EU-tuomioistuimen päätökseen liittyvistä jutuista luin, että GA oli tosiaan mainittu erikseen, mutta jos GA:n käyttäminen lähtökohtaisesti jo edellyttää suostumusta, niin silloin ymmärtääkseni myös esim. Matomon pitäisi edellyttää sitä.

    BF:n tekstissä sanotaan, että “valinnoistasi riippuen voimme käyttää evästeitä myös sivuston käytön analysointiin”. Tuossa he myös itse vähän lupaavat, ettei GA-seurantaa vielä tehtäisi ennen hyväksyntää.

    Samaa mieltä myös edellisten kommentoijien kanssa, että tämä tiukempi linja vain vaikeuttaa netin käyttöä jatkossa. Yhä useammalle sivustolle tulee noita Sanoman ja Alman tyylisiä käytön estäviä pop uppeja. Eli se on aina uudelle sivustolle mentäessä normi, että pitää ensin klikata joku pop up pois.

  10. Perttu Tolvanen says:

    Aiemmin ainakin se oli Googlelta ihan yksiselitteistä, että he vaativat käyttöehdoissaan sitä, että GA:n käyttäjillä on GDPR:n mukainen pop-uppi, ja siitä on kyllä Googlen omassa blogissakin ollut juttua aikanaan (maailma oli toki silloinkin täynnä saitteja, jotka eivät tästä välittäneet).

    Tämä on toki aivan eri asia, kuin se, että EU vaatii luvan pyytämistä, ja sitä kautta asia on minustakin mennyt jo eteenpäin selvästi, ja tosiaan Google Analyticsia on ihan käytetty esimerkkinäkin.

    Matomon voi asentaa on-premise-ratkaisuna omalle serverille, ja sen asettamat keksit ovat oletuksena 1st party keksejä, joten se on minusta aika erilainen setuppi kuin tyypillinen Google Analytics -asennus, ja täten ainakin itse ymmärrän sitä tulkintaa, että tällaisen omalla palvelimella olevan web-analytiikkatyökalun voi luokitella välttämättömäksi työkaluksi palvelun tarjoamisen kannalta.

    Eihän GDPR:n ideana ole kuitenkaan estää logittamista tai ylipäätään estää evästeiden käyttämistä, vaan kyse on siitä mihin sitä kerättyä dataa käytetään ja miten sitä hallinnoidaan – ja siitä näkökulmasta katsoen Matomo ja GA on aika eri asioita.

  11. Perttu Tolvanen says:

    Omasta mielestäni tuo Traficomin linjaus on ihan naurettava, etenkin jos vielä väittävät tässä kohtaa, että se linjaus on heidän mielestään järkevä tulkinta. Jos tuota apulaistietosuojavaltuutetun tiedotetta lukee, niin siitä voi mun mielestä ihan suoraan lukea sen, että ovat erittäin eri mieltä Traficomin tulkinnasta. Esimerkiksi ko. tiedotteessa on tällainen kappale:

    “Sähköisen viestinnän tietosuojadirektiivin vaatimus suostumuksesta on saatettu Suomessa voimaan säätämällä asiasta sähköisen viestinnän palveluista annetussa laissa, jota valvoo Liikenne- ja viestintävirasto Traficom. Yleisen tietosuoja-asetuksen suostumusta koskevat säännökset eivät sisällä kansallista liikkumavaraa, eli niitä sovelletaan sellaisenaan EU-maissa. Tietosuoja-asetusta valvoo Suomessa tietosuojavaltuutettu.”

    Minun tulkinnan mukaan tuossa annetaan ymmärtää, että Traficomi voi linjata ihan mitä vain, jos EU-tasoisesti on todettu, että kansallista liikkumavaraa ei tässä asiassa ole. Täten Traficomin löysempi tulkinta ei voi olla se mitä noudatetaan Suomessa.

  12. Antti Hukkanen says:

    “Yleisen tietosuoja-asetuksen suostumusta koskevat säännökset eivät sisällä kansallista liikkumavaraa, eli niitä sovelletaan sellaisenaan EU-maissa.”

    Säännökset eivät sisällä kansallista liikkumavaraa, mutta säännösten tulkinta sisältää paljonkin liikkumavaraa, kuten tästäkin keskustelusta voidaan nähdä. Jos säännökset olisivat pomminvarmasti yksitulkintaisia, mekään emme kävisi tätä keskustelua täällä, eikä viranomaisten tarvitsisi keskenään pallotella kenen tulkinta on oikea.

    Nykyisin voimassa oleva EPD sanoo, että evästeistä pitää kertoa selkeästi ja tarjota käyttäjälle mahdollisuus kieltää evästeiden asettaminen. Yleisten suomalaisten käytäntöjen mukaan on kieltämiseen katsottu olevan riittävää, että käyttäjä voi selaimestaan kieltää evästeiden asettamisen.

    GDPR, joka aktiivisen hyväksynnän sananmukaisestikin vaatii ennen tietojen tallennusta, taasen ei siinä tapauksessa koske analytiikkaa, jos käyttäjätietoja ei voida kohdistaa yksittäiseen käyttäjään. Näin on esim. Google Analyticsin kanssa, jos tiedot anonymisoidaan ja tietojen ristiinlinkkaus on otettu pois käytöstä.

    Sähköisen viestinnän tietosuoja-asetus (EPR) tulee hyvin todennäköisesti muuttamaan tätä sekä näitä nykyisiä käytäntöjä, kunhan se valmistuu ja astuu voimaan (mihin on kylläkin vielä matkaa). Se tulee korvaamaan tuon nykyisen EPD:n, joka tätä tulkinnanvaraa nykyisin jättää.

    Jos yleisesti hyväksytty tulkinta muuttuu näiden päätösten myötä jatkossa niin, että hyväksyntä vaaditaan kaikille evästeille, jotka eivät ole pakollisia, niin analytiikkatyökalujen osalta sillä ei ole väliä, onko työkalu hostattu itse vai hankittu palveluna jostain kolmannelta osapuolelta. Jos ne asettavat evästeen käyttäjälle, minkä ei voida katsoa olevan pakollinen eväste (koska verkkosivustoa pystyy lähtökohtaisesti käyttämään ilmankin seurantaa), ne vaativat jatkossa käyttäjän hyväksynnän tämän tulkinnan mukaisesti. Vain sellaiset työkalut ovat OK ilman hyväksyntää, jotka eivät aseta minkäänlaisia evästeitä tai tallenna käyttäjästä mitään identifioivia tietoja (kuten IP-osoitetta).

  13. Perttu Tolvanen says:

    Hyvä tarkennus, Antti. Etenkin tuo ip-osoitteen (tai yksilöitävyys yleisemminkin) tallentaminen on tärkeä kohta, ja varmaan siinä meneekin raja analytiikan ja “logittamisen” välillä siten kuten asiat yleisesti ymmärretään. Eli yksilöimätöntä tilastotietoa voi tallentaa, mutta yksilöivän käyttäjädatan tallentamiseen pitää pyytää lupa.

    Periaatteessahan tuon yksilöinnin voi tehdä monella tapaa, esim. nappaamalla ip-osoitteen ja/tai sit ns. fingerprinttaamalla kaikki tekniset arvot mitä vain saadaan irti, jolloin evästettä ei edes tarvitsisi käyttäjän reitin seurantaan. Täten mun mielestä ei kannata liikaa keskittyä myöskään niihin evästeisiin, koska GDPR:n näkökulmasta ei ole väliä sillä miten se yksilöitävyys tehdään.

    Itse toivon, että näiden tarkennusten myötä kuitenkin myös digitoimistopuolella ja asiakkaiden puolella noudatetaan tervettä järkeä tulkinnassa, eikä lähdetä nyt sitten toiseen laitaan, eli pyytämään lupaa joka helvetin härveliin, joka ei tiukan tulkinnan mukaan ole “välttämätön”. Lainsäädännöllisesti on kuitenkin (nyt ja jatkossa) todella vaikea tehdä yksiselitteisiä linjauksia ilman että asioita menee pesuveden mukana. Kritiikin esittäminen on aina helppoa, järkevien ratkaisumallien tarjoaminen on paljon vaikeampaa.

    EU:n tulkintojen isona linjana on kuitenkin koko ajan ollut se, että saataisiin kolmansien osapuolien jäljittimien käyttö kuriin, ja täsmällisemmin kyse on nimenomaan mainontatrackkereista (retargetoinnin mahdollistavat) ja sellaisista seurantatrackkereista joiden idea on myydä sitä dataa eteenpäin. Esim. FB:n ja Googlen trackkereissa on kyse kummastakin asiasta.

    Puhtaat web-analytiikkalelut eivät tässä ole millään muotoa olleet ensisijaisesti tähtäimessä, eikä mun mielestä ole kenenkään edun mukaista tehdä nyt tätä tulkintaa niin tiukasti, että tässä muka ensisijaisesti rajoitettaisiin niidenkin käyttöä. Jos näin tehdään, niin ajaudutaan hyvin herkästi taas siihen tilanteeseen, että jokainen saitti kysyy lupaa, ja sitten siinä samalla osa saiteista huijaa käyttäjiä myös niiden mainontatrackkereiden hyväksyntään.

  14. Rami Lappalainen says:

    Mielenkiintoista miten tämä homma “etenee” yhteiskunnan mekanismeissa. Ihan en aloita hengityksen pidättämistä vielä. AVI:n sivuilta ja Tietosuojavaltuutetun omilta sivuilta.

    Kyllähän toki evästeasiat pitää hoitaa lain puitteissa oikealla tavalla, mutta eiköhän lomailla ensin ja katsellaan elokuussa asioita uudelleen :)

Jätä kommentti