Mikä on evästebanneri?

Mitkä ovat evästebannerin oikeudelliset vaatimukset? Ja miten saat evästebannerin, joka oikeasti noudattaa nykyistä lainsäädäntöä sotkematta verkkosivustoasi? Tarkastellaanpa perusasioita.

Olisi hyvin epätodennäköistä, ettet olisi koskaan nähnyt evästebanneria. Parin viime vuoden aikana bannerit, joissa kävijöille kerrotaan evästeistä, ovat lisääntyneet valtavasti.

Nämä ponnahdusikkunat ovat seurausta vuoden 2002 sähköisen viestinnän tietosuojadirektiivistä, joka tunnetaan myös nimellä Euroopan evästelaki.

Mutta kysyttäessä, miksi evästebanneria tarvitaan, useimmat ihmiset viittaavat luultavasti GDPR:ään.

Jos siis olet sivustovastaava tai markkinointitiimin jäsen, joka ihmettelee, miksi verkkosivustollasi pitäisi olla evästebanneri, tämä artikkeli vastaa kysymyksiisi.

Mikä on evästebanneri?

Evästebanneri on verkkosivuston ponnahdusikkuna, joka kertoo kävijälle, että käytät evästeitä.

Olet varmasti nähnyt tällaisia bannereita: “Käytämme evästeitä – jos jatkat, hyväksyt ne”.

Evästebanneria ei kuitenkaan pitäisi pitää pelkkänä ilmoituksena evästeistä. Sitä on pidettävä suostumusponnahdusikkunana.

Miksi? Koska kun käytät evästeitä ja erityisesti evästeitä, jotka keräävät käyttäjien henkilötietoja, on olemassa tietosuojaa koskevia lakeja, jotka koskevat toimintaasi.

Useimmat näistä laeista sääntelevät henkilötietojen käsittelyä. Ja suurimman osan ajasta evästeet keräävät juuri tällaisia tietoja. Henkilötietoja. Kävijöistäsi. Käytettäväksi. Markkinointitarkoituksiin.

Mikä on eväste?

Tarkastellaan ensin lyhyesti, mitä evästeet ovat ja miksi ne kuuluvat lainsäädännön piiriin.

Evästeet ovat pieniä tekstitiedostoja, joita verkkosivustosi tallentaa kävijän selaimelle.

Nämä tiedostot sisältävät yleensä tietoa kävijän kieliasetuksista tai ostoskorin sisällöstä, mutta niihin voidaan tallentaa monenlaisia tietoja, mukaan lukien henkilökohtaisia tunnistetietoja.

Evästeet tekevät käytännössä kaksi asiaa: ne voivat parantaa kävijän kokemusta verkkosivustollasi, tai ne voivat seurata käyttäjän käyttäytymistä, jotta voidaan luoda uudelleenkohdistusprofiileja verkkomarkkinointia varten.

Henkilökohtaisiin tietoihin kuuluvat verkkotunnisteet, laitetunnukset, käyttäjätunnukset, IP-osoitteet jne.

Tyypillisesti jotkut käyttämäsi palvelut sijoittavat niitä kävijän tietokoneelle ja puhelimelle.

Ja koska evästeet keräävät käyttäjästäsi tietoja, joita voidaan suoraan tai epäsuorasti käyttää käyttäjän tunnistamiseen, niitä pidetään henkilötietoina ja niihin sovelletaan lakia.

Olemme kirjoittaneet evästeistä lisää täällä.

Linkki: Mitä ovat evästeet yksityiskohtaisesti

Mutta mitä tietosuojasäännökset oikeastaan sanovat evästeistä?

Evästebannerit ja oikeudelliset vaatimukset

Tarvitsenko oikeasti evästebannerin?

Kyllä, jos verkkosivustosi käyttää evästeitä – omia tai kolmansien osapuolten evästeitä – tarvitset evästebannerin.

Vaatimukset perustuvat suurelta osin vuonna 2002 annettuun eurooppalaiseen sähköisen viestinnän tietosuojadirektiiviin (eli “evästelakiin”), mutta myös yleinen tietosuoja-asetus (GDPR) vaikuttaa asiaan.

Kun nykyisiä tietosuojasäännöksiä tarkastellaan tarkemmin, sähköisen viestinnän tietosuojadirektiivi edellyttää, että verkkosivustojen on kerättävä tietoinen suostumus evästeiden ja muiden seurantatekniikoiden käyttöön.

Tämä tarkoittaa, että sinun on vain ilmoitettava käyttäjille evästeistä ennen niiden asettamista.

Yleinen tietosuoja-asetus kuitenkin muutti tätä. Koska useimmat evästeet keräävät kävijöiden henkilötietoja (IP-osoite, sijainti, laitetunniste, käyttäjätunnus jne.) ja käsittelevät näitä tietoja pääasiassa markkinointitarkoituksiin, GDPR ottaa ohjat käsiinsä.

GDPR:ssä ei varsinaisesti puhuta evästeistä, vaan evästeiden ja muiden seurantatekniikoiden (esim. sormenjälkien) käsittelemisestä.

GDPR:n mukaan sinun on kerättävä voimassa oleva suostumus ennen kuin käsittelet henkilötietoja, jotka on kerätty esimerkiksi evästeiden avulla.

Mitä evästebannerissa pitäisi siis olla?

Jotta suostumus olisi pätevä, sen on oltava:

Vapaasti annettu (käyttäjien on voitava kieltäytyä)
Tarkka (suostumus voidaan antaa vain yhteen tarkoitukseen kerrallaan)
Tiedottava (käyttäjien on tiedettävä tarkalleen, mihin he antavat suostumuksensa)
Yksiselitteinen (suostumus on annettu selkeällä ja myönteisellä toimella!)

Voit lukea lisää EU:n evästesäännöksistä täältä:

Linkki: Kolme EU:n evästesäännöstä, jotka sinun on hyvä tietää

EU:n tuomioistuimen evästeitä koskeva päätös

Euroopan unionin tuomioistuin päätti 1. marraskuuta 2019 saksalaista nettilottoa Planet49:a koskevassa asiassa, että kaikilla evästeitä käyttävillä verkkosivustoilla on oltava evästebanneri, jolla hankitaan voimassa oleva suostumus ennen evästeiden asettamista.

Lisäksi evästeitä ei saa valita käyttäjän puolesta ennalta.

Linkki: Euroopan ylin tuomioistuin sanoo, että seurantaevästeisiin tarvitaan aktiivinen suostumus.

Mitä evästebannerissa pitäisi sitten lukea?

Ensinnäkin evästebannerin oikeudelliset vaatimukset ovat melko yksinkertaiset.

Bannerin on annettava käyttäjälle seuraavat tiedot:

Näiden tietojen on oltava saatavilla myös evästekäytännöissäsi.

Lisäksi – mikä tärkeintä – bannerin on annettava käyttäjälle mahdollisuus joko hyväksyä tai hylätä evästeiden käyttö.

Käyttäjän on voitava sanoa: “ei kiitos” evästeille. Tämä on koko suostumuksen tarkoitus.

Kun sinulla on käyttäjän suostumus, sinun on tietenkin varmistettava, että suostumus on tallennettu turvallisesti siltä varalta, että tietosuojaviranomaiset haluavat nähdä sen.

Ja he tekevät tarkistuksia!

Ranskan tietosuojaviranomainen CNIL on hyvin aktiivinen.

Linkki: CNIL valvoo evästesääntöjen noudattamista

Tässä on esimerkki siitä, miltä
vaatimustenmukainen evästebanneri näyttää.
Linkki: Tarkistuslista evästeiden voimassa olevan suostumuksen keräämiseen.

Onko minun kerättävä suostumus ennen evästeiden käyttöä?

Kyllä!

Sähköisen viestinnän tietosuojadirektiivissä (artiklan 5 kohta 3) edellytetään, että käyttäjän päätelaitteeseen tallennettujen tietojen tallentamiseen tai niihin pääsyyn on saatava etukäteen annettu tietoinen suostumus.

Toisin sanoen sinun on kysyttävä käyttäjiltäsi, suostuvatko he evästeisiin (ja muihin seurantatekniikoihin), ennen kuin sivustosi sijoittaa evästeet.

Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta – –.

ePrivacy Directive 2002, revised 2009 pp. 26 article 5(3)

Tämä ei tietenkään estä sinua käyttämästä teknisesti tarpeellisia evästeitä.

Toisin sanoen evästeitä, jotka ovat välttämättömiä verkkosivuston toiminnan kannalta.

Linkki: Mistä tiedän, mitä evästeitä verkkosivustoni käyttää?

Suostumusta koskeva vaatimus on kuitenkin tiukentunut yleisen tietosuoja-asetuksen myötä.

Kun evästeesi keräävät käyttäjien henkilötietoja, sinun on kerättävä voimassa oleva suostumus ennen kuin sivustosi tallentaa evästeitä tai saa pääsyn niihin.

Tämä mainitaan artiklan 6 kohdan 1 alakohdassa a:

Käsittely on laillista vain, jos:

Rekisteröity [käyttäjä] on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.

General Data Protection Regulation 2016, Article 6(1)

Lue lisää evästeiden ennakkosuostumuksesta täältä:

Linkki: Mikä on ennakkosuostumus?

Ketä GDPR koskee?

GDPR:ää sovelletaan kaikkiin, jotka haluavat käsitellä EU:n kansalaisten henkilötietoja riippumatta siitä, tapahtuuko käsittely EU:ssa vai ei.

Toisin sanoen sinulla voi olla verkkosivusto missä päin maailmaa tahansa – Italiassa, Venäjällä, Chilessä, Togossa – mutta jos verkkosivustolla myydään tavaroita tai tarjotaan palveluja EU:n kansalaisille ja tässä toiminnassa myös kerätään ja käsitellään EU:n kansalaisten henkilötietoja, GDPR-säännöksiä sovelletaan.

Mutta mitä kaikki muut kansainväliset säädökset sanovat evästeistä ja evästebannereista?

Tätä asetusta [GDPR] sovelletaan unioniin sijoittautumattoman rekisterinpitäjän tai henkilötietojen käsittelijän suorittamaan unionissa olevien rekisteröityjen henkilötietojen käsittelyyn, jos käsittelytoimet liittyvät seuraaviin: (a) tavaroiden tai palvelujen tarjoaminen kyseisille rekisteröidyille unionissa riippumatta siitä, vaaditaanko rekisteröidyltä maksua tai (b) heidän käyttäytymisensä valvonta siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa. 3.

GDPR Article 3(2) Territorial scope

Muut evästebannereita koskevat tärkeät lainsäädännöt

Evästebannerit ja CCPA
Kalifornian kuluttajansuojalaki (California Consumer Privacy Act, CCPA) on tietosuojalaki, jonka tarkoituksena on lisätä Kalifornian asukkaiden yksityisyydensuojaa ja kuluttajansuojaa.

CCPA säätelee sitä, miten yritykset voivat kerätä, jakaa ja käsitellä Kalifornian asukkaiden henkilötietoja.

Voit lukea lisää täältä:

Linkki: Mikä on CCPA?

Evästebannerit ja PDPA
PDPA (Personal Data Protection Act) on Thaimaan uusi vuoden 2019 henkilötietolaki.

Lainsäädäntö astui voimaan 1. kesäkuuta 2021.

PDPA muistuttaa GDPR:ää, sillä se koskee evästeiden keräämiä ja käyttäjien laitteille (eli tietokoneille, tableteille ja älypuhelimille) tallentamien henkilötietojen käsittelyä.

PDPA:ssa asetetaan säännöt sille, miten verkkosivustojen ja sovellusten omistajat voivat kerätä ja käsitellä käyttäjiensä henkilötietoja esimerkiksi evästeiden avulla.

Voit lukea lisää täältä:

Linkki: PDPA ja evästeet

Evästebannerit ja LGPD LGPD, eli Lei Geral de Protecao de Dados, on Brasilian uusi versio EU:n yleisestä tietosuoja-asetuksesta (GDPR). LGPD:tä sovelletaan kaikkiin yrityksiin, organisaatioihin tai yksityishenkilöihin, jotka käsittelevät ihmisten henkilötietoja Brasiliassa, riippumatta siitä, missä kyseinen yritys, organisaatio tai yksityishenkilö sijaitsee. Tämä koskee myös evästeitä ja evästebannereita. Voit lukea lisää LGPD:stä täältä: Linkki: Mikä on LGPD?

Miten evästebanneri toimii?

Evästebanneri toimii luomalla ponnahdusikkunan, kun käyttäjät saapuvat verkkosivustolle ensimmäistä kertaa.

Se tarjoaa käyttäjälle tietoa sivustosi käyttämistä evästeistä. Nämä tiedot voidaan kerätä automaattisesti ammattimaisella ratkaisulla ja päivittää päivittäin tai viikoittain.

Hyvä banneri varmistaa myös, että voit noudattaa tietosuojasäännöksiä estämällä evästeiden tallentamisen käyttäjän tietokoneelle ennen kuin käyttäjä on antanut suostumuksensa.

Voit käyttää näitä suostumustietoja optimoidaksesi bannerisi lisätäksesi käyttäjien suostumuksia evästeisiin.

Tässä on esimerkki siitä, miltä vaatimustenmukainen evästebanneri näyttää. Linkki: Tarkistuslista evästeiden voimassa olevan suostumuksen keräämistä varten. Miten Cookie Information voi auttaa sinua?

Olemme yksi Euroopan johtavista suostumuksenhallinta-alustoista, joka tarjoaa asiakkaillemme ensiluokkaisia ja vaatimustenmukaisia evästebannereita.

Bannerimme ovat suostumusponnahdusikkunoita, jotka ovat sähköisen viestinnän tietosuojavaatimusten, GDPR-, CCPA-, LGPD- ja PDPA-vaatimusten sekä kaikkien muiden tietosuojasäännösten mukaisia.

Ponnahdusikkunoita voi muokata helposti, joten voit lisätä yrityksesi värit, logon ja olemuksen, kun pyydät suostumusta evästeisiin.

Saat suostumusratkaisun, joka varmistaa vaatimustenmukaisuuden ja lisää käyttäjiesi luottamusta.

Ja nyt kun olemme luotettavia Google-kumppaneita, saat myös Googlen suostumustilan, joten voit saada tietoja myös silloin, kun käyttäjät kieltäytyvät evästeistä.

Linkki: Mikä on Googlen suostumustila?

Evästeiden hyväksymisprosentti meidän banneria käyttäessä on keskimäärin 73,88 %, mutta meillä on asiakkaita, joilla se on reilusti yli 90 %. Ja Googlen uuden ominaisuuden, suostumustilan konversiomallinnuksen, avulla Google voi ennustaa mainoksen klikkauksesta konversiopolun jopa 70 %:lle käyttäjistä, jotka kieltäytyvät evästeistä.

Lue lisää täältä.

Linkki: Mitä on konversiomallinnus?