Traficom taipui – valmistelee evästeohjeistuksen päivitystä

Evästeohjeistus Suomessa -artikkelisarjassa seurataan verkkosivustojen mittaukseen ja mainonnan kohdennusevästeisiin liittyvää evästeohjeistusta ja sen käytännön toteutumista. 

Helsingin hallinto-oikeus totesi huhtikuussa päätöksessään Traficomin evästeohjeistuksen pätemättömäksi. Tätä ei tosin voi pitää mitenkään yllättävänä, koska jo vuosi sitten keväällä apulaistietosuojavaltuutettu käytännössä totesi kyseisen linjauksen olevan EU-linjausten vastainen. Silti esimerkiksi moni verkkokauppa on perustellut vanhentuneita evästelupakäytänteitään vetoamalla tähän Traficomin vanhaan ohjeeseen. Onneksi tämä vedätys nyt loppuu.

Traficomin oma tiedote tiivistää tilanteen hyvin:

“Annoimme keväällä 2020 kaksi päätöstä suostumuksen antamisesta evästeisiin. Päätöstemme mukaan Suomessa evästeisiin voitaisiin antaa suostumus sekä niin sanottujen evästebannereiden että verkkoselaimen asetusten kautta. Hallinto-oikeuden antamien ratkaisujen perusteella selainasetukset eivät enää riitä suostumukseksi.”

Traficom on luvannut uuden ohjeen kesän aikana, mutta ainakaan vielä tätä kirjoitettaessa uutta ohjeistusta ei ole julkaistu.

Uusimmasta päätöksestä on kirjoittanut Tivissä muun muassa Petteri Järvinen, joka korostaa kolumnissaan sitä, että kyse ei ole ensisijaisesti evästeistä, vaan siitä minkälaista seurantaa evästeillä mahdollistetaan.

”GDPR on syyttä suotta johtanut evästeiden demonisointiin, sillä evästeet eivät kerro mitään henkilöstä. Henkilötietoja niistä tulee vasta muuhun tietoon yhdistettynä.

On luonnollista, että mediasivusto tai verkkokauppa haluaa seurata käyttäjän liikkumista palvelussa ja näyttää mainoksia katsottujen sivujen perusteella. Yksityisyys ei vaarannu, sillä sivusto ei tiedä, kenestä henkilöstä on kyse.

Varsinainen uhka yksityisyydelle ovat amerikkalaiset nettijätit. Ne tietävät meistä kaiken, koska olemme itse kertoneet henkilötietomme heille. Evästeillä ne pystyvät seuraamaan liikkumistamme myös oman palvelunsa ulkopuolella.”

Myös Kenneth Falckin kolumni sivuaa aihetta. Falck toteaa kirjoituksessaan, että isoja muutoksia on tulossa, mutta vielä ei ole kovin selvää, millainen uudesta kohdennetun mainonnan systeemistä muodostuu.

”Juuri nyt eletään murroksen aikakautta. EU on yrittänyt savustaa kolmannen osapuolen evästeet pois pakottamalla verkkopalvelut esittämään käyttäjille ärsyttäviä popup-kyselyitä ennen evästeiden sallimista. Savustaminen ei ole kuitenkaan onnistunut, vaan käyttäjät on pikemminkin totutettu vastaamaan aivottomasti kaikkeen ”kyllä” uudelle sivustolle saapuessaan.

Google vaikuttaa ennakoivan, että kolmannen osapuolen evästeet kielletään jossain vaiheessa kokonaan. Se aikoo poistaa ne vapaaehtoisesti Chrome-selaimesta ja on esittänyt vaihtoehtoiseksi ratkaisuksi floc-tunnistetta (federated learning of cohorts).

Floc on eräänlainen tiiviste käyttäjän selainhistoriasta. Sen on tarkoitus olla anonyymi siinä mielessä, että tuhansilla muillakin käyttäjillä on sama tunniste, mikäli heidän selainhistoriansa on samankaltainen. Mainoksia ei kohdistettaisi enää yksilöille vaan ”kohorteille” tämän tunnisteen perusteella.”

Kuten Falck myös kolumnissaan toteaa, tämä keksien tilalle ehdotettu mainonnan kohdennusjärjestelmä Floc, jota Google valmistelee, on kohdannut varsin paljon vastarintaa. Aiemmin Amazonin on todettu blokkaavan Floc omista palveluistaan, ja nyt viimeisimpänä käänteenä EU on ottanut Flocin kohteeksi uusimmassa oikeusjutussaan Googlea vastaan. Myös WordPress-yhteisössä on keskusteltu Google Flocin blokkaamisesta oletuksena WordPress-alustoilla.

Niinpä ei ole välttämättä sanottua, että Googlen uusi järjestelmä tulee käyttöön aiotussa aikataulussa. Voi hyvinkin olla, että keksit saavat Chromessa jatkoaikaa, jolloin myös evästelupakyselyt on syytä laittaa kuntoon kaikilla sivustoilla.

Ainakin yllä viitattu EU:n uusi oikeusjuttu Googlea vastaan on hyvä esimerkki siitä, että EU tuntuu vain nostavan panoksia taistelussaan eurooppalaisten käyttäjien yksityisyyden puolesta. Täten ei välttämättä kannata olettaa, että tämä evästeasia jää unholaan vain tarpeeksi pitkään odottamalla.

Evästelupa-asioita voi hyvällä syyllä pitää melkoisena sekamelskana, jossa etenkin kotimaiset viranomaiset, erityisesti Traficom, ovat olleet kovin hitaita ja vähäsanaisia. EU-tasolla oikeusistuimet ovat olleet paljon aktiivisempia ja selkeämpiä, mutta Suomessa moni on voinut vedota Traficomin vanhentuneeseen ja outoon linjaukseen. Tämä lienee isoin syy siihen, miksi tässä asiassa on ollut Suomessa ristivetoa.

Nyt Traficomilla on kova kiire tuottaa uusi ohjeistus, joka oletettavasti mukailee vahvasti viime vuoden apulaistietosuojavaltuutetun linjauksia.

Olisi myös toivottavaa, että uudessa ohjeistuksessa puhuttaisiin vähemmän evästeistä ja enemmän siitä mitä evästeillä tehdään. Kuten Järvinenkin toteaa kolumnissaan, evästeet eivät ole sellaisenaan ongelma, vaan ainoastaan tilanteet joissa niiden avulla kerätään tietoa, jolla voidaan yksilöidä käyttäjä. Käyttäjiltä ei tarvitse pyytää lupia kuin niihin käyttötarkoituksiin, joissa mahdollisesti yksilöidään käyttäjiä tai luovutetaan tietoja kyseisen sivuston ulkopuolelle muihin käyttötarkoituksiin.

Esimerkiksi julkishallinnossa on viimeisen vuoden aikana ollut liikkeellä jonkin verran outoja tulkintoja, joiden mukaan vaadittaisiin luvan pyytäminen kaikenlaisiin sivustojen asettamiin evästeisiin. Näinhän ei suinkaan ole, vaan kyse on yleisestä harhaluulosta, jota jotkut kaupalliset tahot ovat jopa edistäneet. Monen digimarkkinointityökalun tai -toimiston näkökulmasta kun on hyödyllistä, jos sivustot pyytävät lupia kaikkiin evästeisiin, eivätkä pelkästään kohdennettuun digitaaliseen mainontaan. Jos lupia pyydettäisiin vain digitaalisen mainonnan tarpeisiin, jättäisi moni käyttäjä luvan antamatta.

Toivoa sopii, että Traficomin tulevan uuden linjauksen jälkeen kotimaiset viranomaisetkin olisivat kohtuullisen yksillä linjoilla näiden asioiden suhteen.

Päivitämme tilannetta, kun Traficom saa uuden ohjeistuksen julkaistua.

Lue lisää: Evästeohjeistus Suomessa – kaikki artikkelit Vierityspalkissa 2018-2024

(Muokkaus 8.7.2021 klo 17.45: Korjattu tekstiin kohdat joissa puhuttiin virheellisesti ”Trafista”, viraston oikea nimi on Traficom.)