Pimeät käytännöt evästekyselyissä Suomessa

Evästeissähän ei itsessään ole mitään vikaa. Ne ovat yhtä lailla internetin perustekniikkaa siinä missä html-sivut tai css-tyylitiedostot. Sivuston toiminnan kannalta tärkeisiin evästeisiin ei myöskään tarvitse kysyä lupia, vaikka hyvin moni sivusto näin väittääkin. Evästelupien ympärillä onkin poikkeuksellisen paljon erilaista hämäystä ja suoranaista valehtelua käyttäjille.

>> Pimeät käytännöt suomalaisten verkkosivustojen evästekyselyissä (Minna Jormalainen, 2024) – pro gradu, Jyväskylän yliopisto

Minna Jormalaisen pro gradu (2024) tiivistää hyvin myös evästeisiin liittyvää teoriaa ja lainsäädäntöä. Evästeisiin liittyvä luokittelu on esimerkiksi ollut koko ajan alue, josta on kiistelty ja jota on myös käytetty käyttäjien hämäämiseen.

”Tarkoitukseltaan evästeet voidaan Kochin (2019) mukaan jakaa neljään eri luokkaan. Ensimmäinen on välttämättömät evästeet, jotka varmistavat, että sivuston ominaisuudet toimivat toivotulla tavalla. Seuraavana ovat toiminnalliset evästeet, jotka mahdollistavat, että sivusto tallentaa tekemäsi valinnat, kuten minkä alueen säätiedotuksen haluat nähdä. Kolmantena ovat tilastolliset evästeet, jotka keräävät tietoa siitä, miten käyttäjät käyttävät sivustoa esim. mitä linkkejä klikattiin ja millä sivuilla vierailit. Neljäntenä ovat markkinointievästeet. Nämä evästeet seuraavat käyttäytymistäsi verkosta ja yhdistävät tietoja eri organisaatioilta ja mainostajilta tarjotakseen kohdennetumpia mainoksia. (Koch, 2019)”

Käytännössähän kiistely on kohdistunut pääosin tilastollisiin evästeisiin. Traficomin linja Suomessa on poikkeava monesta muusta Euroopan maan tulkinnasta. Suomessa lupia tulisi kysyä myös tilastollisiin evästeisiin, vaikka muualla riittää luvan kysyminen markkinointievästeisiin. Tästä tulkinnasta tosin moni on eri mieltäkin, jopa valtion virastoissa on esimerkkejä, joissa on päätetty vain tehdä käytön tilastointi ilman käyttäjien kiusaamista luvalla. Valitettavasti ilmiö ei ole kovin yleinen, ja moni julkishallinnonkin toimija kyselee lupia pelkästään tilastolliseen seurantaan.

Näin voi ainakin sanoa, että Suomessa evästelupien kyseleminen on erittäin yleistä, koska kotimaisen viranomaisen linja on erittäin tiukka. Gradussakin tutkituista 100:sta sivustosta peräti 95 kysyi evästeisiin lupaa jokaiselta käyttäjältä.

Aihepiiriin liittyy myös paljon yksityiskohtia, esimerkiksi tilastoinnin tarkkuus määrittää pitkälti sen, ollaanko selvästi kielletyllä alueella vai pelkästään hieman harmaalla.

Monen markkinointijohtajan mielestä tämä koko keskustelu on myös aivan turhaa niin kauan kuin Traficom ei käytännössä valvo omia linjauksiaan, eikä väärinkäytöksistä anneta merkittäviä sakkoja, jos sattuisi käymään niin huono tuuri, että joku viranomainen oikeasti tarttuisi asiaan.

Moni sivusto on päätynytkin siihen ratkaisuun, että pyrkii noudattamaan sääntöjä mahdollisimman kevyesti, ja hyödyntäen kaikkia mahdollisia hämäystaktiikoita laajojen lupien saamiseksi. Siksi pimeät käytänteet ovat Suomessakin niin tavallisia.

On myös varsin vahvasti tutkittu asia, että jos käyttäjille annetaan tasa-arvoiset valintavaihtoehdot seurantaan ja markkinointiin liittyen, antaa luvat huomattavasti pienempi osa käyttäjistä. Yksi evästelainsäädännön alkuperäisistä ajatuksistahan oli, että jatkossa markkinoijat joutuisivat tekemään enemmän töitä vakuuttaakseen käyttäjät siitä, että lupa kannattaa antaa. Todellisuus on ollut kovin toinen, kun markkinoijat ovat enemmänkin olleet kiinnostuneita käyttäjien huijaamisesta laajojen lupien antamiseen.

Jormalaisen gradussa havainnoitu tilanne on varsin masentava. Suurin osa tutkituista sivustoista on valinnut pimeät taktiikat siihen, että saisi tehtyä tehokkaampaa markkinointia.

Noin 80 prosenttia evästelupia kysyvistä sivustoista käytti joitain pimeitä käytänteitä jotta saisi käyttäjät hyväksymään laajat seuranta- ja markkinointiluvat.

Eriarvoinen valintavaihtoehtojen esittäminen oli selvästi yleisin pimeä taktiikka. Seuraavina tulevat temput olivat käyttäjien valintojen vaikeuttamista esittämällä useita erilaisia valintavaihtoja ja kuvaamalla näitä epäselvästi. Tällä tavalla käyttäjä kokee kognitiivista kuormaa, jos yrittää tehdä muita valintoja kuin hyväksyä kaiken. Esimerkiksi peräti 44 sivustoa edellytti käyttäjää siirtymään eri näkymään, jos halusi valita muuta kuin kaikki. Myös epäselviä valintanappuloita käytettiin laajasti, esimerkiksi ”Tallenna valinnat”, vaikka oikea tapa olisi ollut tarjota yksiselitteinen hylkäämisnappula tai esimerkiksi ”Vain välttämättömät”.

Gradu tosin pohtii myös hyvin sitä, mikä on pimeätä käytäntöä ja mikä ei. Kuten tässäkin blogissa on aiemmin todettu, esimerkiksi kaikkien evästeiden hyväksynnän korostaminen käyttöliittymässä ei ole välttämättä täysin huono ratkaisu käyttäjän kannalta. Voidaan nimittäin argumentoida, että on hyvää suunnittelua ohjata käyttäjää johonkin suuntaan valintatilanteessa. Gradussa puhutaan valintamuotoilusta, mutta varmaan voisi puhua myös vain käyttäjää kunnioittavasta käyttöliittymäsuunnittelusta.

Selvästi pimeälle puolellehan mennään vasta, kun toisesta vaihtoehdosta tehdään selvästi vaikeampi valittava. Esimerkissä oleva Ilmatieteen laitoksen evästekysely voidaan siis ajatella myös asialliseksi tavaksi kysyä valinta. Vaikka toinen on korostettu, on kumpikin valinta yhtä helppo tehdä.

Traficomin näkökulmasta on toki ymmärrettävää, että virallinen sääntö edellyttää täyttä tasa-arvoisuutta, koska olisi varmasti hyvin haastava määritellä, millainen korostaminen on hyväksyttyä ja millainen ei.

Seuraavassa esimerkissä oleva Viking Linen kysely on selvästi pimeällä puolella, koska käyttäjä joutuu siirtymään eri näkymään, jotta voi säätää valintoja.

Gradu ei varsinaisesti käsittele sitä, millainen on hyvä evästekysely, vaan keskittyy lähinnä tilastoimaan pimeitä käytänteitä, joita onkin kohteena olevilla sivuilla runsaasti.

Gradun käsittelyn ulkopuolelta tekee mieli nostaa esiin valintojen runsaus yhdenlaisena pimeänä käytänteenä. Evästekyselyssähän ei ole oikeasti kysymys kovin moniulotteisesta asiasta, mutta moni evästelupalappu tarjoaa käyttäjille todella paljon erilaisia vaihtoehtoja. Tätä voi mielestäni pitää yhdenlaisena pimeänä käytänteenä, koska mitä enemmän valintoja, sitä houkuttelevampaa on mennä suosituksella tai oletusvalinnoilla.

Esimerkiksi Stockmann vyöryttää käyttäjille ison kasan valintanappuloita. Varmasti moni valitsee vihreällä olevan hyväksyntänappulan vain koska vaihtoehtojen vyöry pyörryttää.

On myös aivan naurettavaa kysyä käyttäjien mielipidettä esimerkiksi ”mukautusevästeisiin”. Aihealue on erittäin sekava, ja eri termit viittaavat eri toimijoilla aivan eri asioihin, joten käyttäjien mahdollisuus tehdä tietoisia valintoja tällaisessa käyttöliittymässä on todella pieni. Täten tällainen vaihtoehtojen liiallinen tarjoaminen voisi hyvin myös olla pimeä käytäntö.

Ilmiö on myös varsin yleinen, koska etenkin suositun Cookiebotin ratkaisumalli edustaa aivan käsittämätöntä käyttöliittymämallia, jossa on yhteen pop-uppiin tungettu iso määrä erilaisia nappuloita, linkkejä ja valintakytkimiä.

Jos haluaisi pitää kurssin huonosta käyttöliittymäsuunnittelusta, voisi sen tehdä pelkästään evästelappuja esimerkkeinä käyttäen.

Yhteenvetona voinee lähinnä todeta, että Suomessa tilanne on pimeiden käytänteiden soveltamisessa varsin samalla tasolla kuin muuallakin, eivätkä kotimaiset toimijat kunnioita käyttäjien yksityisyyttä sen paremmin kuin kansainväliset kilpailijat. Gradun mukaan asiallisimmat toimijat edustivat valtiota tai kuntia. Näiden joukossa oli myös sivustoja, jotka eivät kysyneet evästelupia ollenkaan, koska eivät tehneet asioita, joihin olisi pitänyt pyytää lupa.

En tiedä, miten tarkasti Traficomissa tai tietosuojavaltuutetun toimistossa tätä aihepiiriä seurataan, mutta jos seurataan, ei tämä nykyinen tilanne varmaan erityisen hyvältä näytä. Tiukalla linjalla on saatu lähes kaikki sivustot kysymään evästeitä, mutta peräti 80 prosenttia kysyy lupia jollain tavalla harhaanjohtavasti ja annettuja asetuksia selkeästi rikkoen. Näistä myös yli puolet rikkoo linjauksia varsin radikaalisti, tehden markkinointievästeistä kieltäytymisestä tietoisesti hyvin hankalaa.

Olisiko aika joskus valvoa annettuja ohjeistuksia?

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 1000 tilaajaa).