29.05.2020

Pitääkö evästeet ennakkohyväksyttää GDPR:n mukaan?

Asiakkaat ovat olleet meihin paljon yhteydessä GDPR:n mukaisista ehdoista ja vaikka asia on ollut tapetilla jo pitkään, on vasta 14.5.2020 tullut apulaistietosuojavaltuutetulta päätös asiaan.

Tarvitseeko evästeisiin pyytää ennakkohyväksyntä popup-ikkunalla tai muulla vastaavalla?

Lyhyt vastaus on: Kyllä. Vielä ennen 14.5.2020 yleisesti tulkittiin tätä sääntöä TrafiComin ohjeiden mukaan, johon riitti pelkkä tietosuojaselosteen ilmoitus evästeiden käytöstä ja viittaus selaimen asetuksiin.

Tämän uuden päätöksen myötä sivujen täytyy esittää ennen sivuston käyttöä valintaikkuna, jossa ei saa olla ennakkoon raksitettuna evästeiden hyväksyntä. Sivustoille on siis käytännössä lain mukaan enää kaksi vaihtoehtoa, joista molemmat ovat melko yhtä lailla ärsyttäviä:

  • A. Tullessa sivustolle esitetään ikkuna, jossa vaaditaan hyväksymään evästeet ennen sivuston käyttöä. Evästeiden hyväksyntä ei saa lain nykytulkinnan mukaan olla valmiiksi raksitettuna, vaan se vaatii vielä erikseen ruksaamisen ja hyväksymisen.
  • B. Tullessa sivustolle esitetään ikkuna, jossa voi valita hyväksymisen tai sivuston käytön jatkon ilman hyväksymistä. Tällöin sivusto ei saa käyttää ilman hyväksymistä mitään kolmannen osapuolen palveluja*, jotka hyödyntävät evästeitä. Näitä on mm. Google Analytics, asiakaspalveluchatit ja jossain tapauksissa myös Google Maps kartat.

Näistä vaihtoehdoista B on raskaampi toteuttaa, koska se usein vaatii muutoksia sivupohjaan, mutta sallii sivuston käytön, vaikka hyväksyntäpyyntö olisi osittain sisällön päällä.

A-vaihtoehdon voi toteuttaa kevyemmin, koska se yksinkertaisesti estää sivuston käytön ilman hyväksymistä, mutta tällöin sivustoa ei voi edes osittain katsella ilman evästeiden hyväksymistä.

Evästeiden hyväksymispyyntö ei ole siis enää vapaaehtoista tai tulkinnanvaraista. Lisäksi sivustolla täytyy entiseen tyyliin olla riittävä tietoturvaseloste-sivu.

Lähde:

Apulaistietosuojavaltuutetun päätös evästeisiin annettavasta suostumuksesta (14.5.2020)

* Ettei asia olisi liian yksinkertainen, hyväksyntä koskee vain ”ei-välttämättömiä” evästeitä. Toisin sanoen, jos sivustosi käyttää esim. Google Analyticsia kaikki ominaisuudet päällä, tarvitset ennakkohyväksynnän. Mutta ettei asia todellakaan olisi yhtään yksinkertaista, Google Analyticsista voi poistaa kaiken tiedon jakamiseen ja mainontaan liittyvän, jonka jälkeen se voi ehkä olla ”välttämätön” eväste. Mutta koska sakot ovat valtavat ja säännöt ovat tulkinnanvaraisia, on varminta kysyä hyväksyntä, vaikka se ärsyttää kaikkia.

Tarkimmat ovat ehkä huomanneet, ettei Luowa sivulla pyydetä hyväksyntää. Se johtuu siitä, että tämän 14.5.2020 päätöksen jälkeen lopetimme Google Analyticsin käytön, jolloin sivustollamme ei ole muita kuin omat välttämättömät evästeemme.