Seloste evästeohjeista Suomessa

Blogi
Mitkä ovat evästeiden käyttöä koskevat säännöt Suomessa? Ja miten suostumukset niiden käyttöön kerätään? Tässä on kaikki, mitä sinun on tiedettävä Suomen uusista evästeitä koskevista säännöistä.
Sisällysluettelo

Seitsemän helppoa vaihetta
Suomen evästeohjeiden noudattamiseen:

Suomen evästesaaga on päättynyt

Suomen evästesaaga on vihdoin päättynyt. Vuosien hämmennyksen jälkeen Liikenne- ja viestintävirasto (Traficom) on vihdoin julkaissut evästeiden käyttöä koskevat ohjeet, jotka eivät jätä varaa tulkinnalle. Ohjeiden tarkoituksena on antaa sinulle – verkkosivuston tai sovelluksen omistajalle – selkeät ohjeet siitä, miten pätevä suostumus evästeiden käyttöön kerätään Suomessa. Vaikka ohjeessa käsitellään pääasiassa evästeitä, on selvää, että sana “eväste” on kattotermi kaikentyyppisille tekniikoille, joiden tarkoituksena on kerätä verkkosivujen kävijöiden henkilötietoja ja käsitellä niitä ensisijaisesti markkinointitarkoituksiin (esim. sormenjäljet, web beaconit ja pikselit). Evästeitä ja suostumusta koskevat säännöt Suomessa ovat nyt seuraavat:
  • Tietoyhteiskuntakaari (917/2014) edellyttää, että käyttäjille tiedotetaan evästeistä ja heidän suostumuksensa kerätään.
  • Traficom määrittelee suostumuksen (evästeisiin) GDPR:n mukaiseksi suostumukseksi.
Miten Suomessa voidaan kerätä pätevä suostumus? Hyppää vastaukseen!

Suomen evästeohjeet – minkälaiset nämä säännöt ovat?

Kenelle se on tarkoitettu? Kaikille, jotka omistavat tai hallinnoivat Suomessa verkkosivustoa, joka käyttää evästeitä tai muita seurantatekniikoita. Mitä sinun on tehtävä? Kerro verkkosivustosi kävijöille käyttämistäsi evästeistä ja kerää GDPR:n mukainen suostumus ennen niiden käyttöä. Kun käytät evästeitä tai muita seurantatekniikoita verkkosivustoilla tai sovelluksissa Suomessa, sinun on hyvä olla tietoinen kahdesta laista:
  • Tietoyhteiskuntakaari (917/2014)
  • Yleinen tietosuoja-asetus (GDPR)

Tietoyhteiskuntakaari (917/2014)

Suomen evästesäännöt ovat lähtöisin tietoyhteiskuntakaaren (917/2014) 205 §:stä. Siinä sanotaan:

"Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta."

Mitä se oikeasti tarkoittaa:
Sinun on ilmoitettava käyttäjillesi evästeistä, ja käyttäjän on annettava suostumuksensa.
Et tarvitse suostumusta
  • teknisesti välttämättömille evästeille (evästeet, joita tarvitaan, jotta verkkosivustosi toimisi, kuten ostoskorin evästeet, kirjautumisevästeet jne.)
  • käyttäjän nimenomaisesti pyytämien tietojen tarkasteluun.
Traficomin päivitetyissä evästeohjeissa vuodelta 2021 kerrotaan selkeästi, miten käyttäjille tiedotetaan evästeistä ja miten GDPR:n mukainen suostumus kerätään. Mutta mitkä ovat GDPR:n mukaiset suostumusta koskevat säännöt? Tarkastellaanpa asiaa.

Yleinen tietosuoja-asetus (GDPR)

GDPR koskee tietojenkäsittelyä ja käyttäjien henkilötietojen käsittelyä. Vaikka sana “eväste” mainitaan vain kerran, GDPR koskee tietoja, joita useimmat evästeet keräävät ja käsittelevät. Kun käyttämäsi evästeet keräävät käyttäjien henkilötietoja (sinun tai kolmannen osapuolen suorittamaa) jatkokäsittelyä varten, sinun on kerättävä pätevä suostumus.
Jos käytät seurantaevästeitä, GDPR:n suostumusta koskevia sääntöjä sovelletaan.
GDPR:n artiklan 4 kohdan 11 mukaan pätevä suostumus on:
  • Vapaasti annettu: kävijäsi on voitava hyväksyä tai hylätä evästeiden käyttö.
  • Täsmällinen: Suostumuksen on oltava yksityiskohtainen. Voit pyytää suostumusta vain yhteen tiettyyn tarkoitukseen kerrallaan (tilastot, markkinointi, toiminnalliset evästeet).
  • Tietoa antava: sinun on kerrottava kävijälle, mitä tietoja evästeet keräävät, mihin tarkoitukseen, kuka niitä käyttää ja kuinka kauan evästeitä säilytetään.
  • Yksiselitteinen: kävijän on aktiivisesti annettava suostumuksensa klikkaamalla laatikkoa/painiketta evästeiden suostumusponnahdusikkunassa.

[R]ekisteröidyn ’suostumuksella’ [tarkoitetaan] mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen

Tämä tarkoittaa: Jos käytät palveluita, kuten Google Analyticsia tai Hotjaria, tai jos verkkosivustoosi on liitetty Facebook-pikseli tai LinkedIn Insight -tunniste, sinun on ilmoitettava käyttäjillesi evästeistä, joita nämä palvelut sijoittavat verkkosivustosi kautta, ja kerättävä käyttäjältäsi suostumus ennen evästeiden sijoittamista. Näiden palvelujen käyttämät evästeet keräävät kävijöiden henkilökohtaisia tietoja (IP-osoite, maantieteellinen sijainti, laitetunniste jne.), joita kolmannet osapuolet käyttävät jatkokäsittelyyn pääasiassa markkinointitarkoituksiin. Siksi GDPR-suostumus on tarpeen.

Evästeohjeet Suomessa – mikä on suostumus evästeisiin?

Tässä on täysi luettelo siitä, miten voit kerätä pätevän suostumuksen evästeisiin Suomessa:

Miten keräät pätevän suostumuksen evästeisiin Suomen evästeohjeiden mukaisesti?

Pätevien evästesuostumusten kerääminen Suomessa ei ole ollenkaan vaikeaa. Ja jos olet huolissasi markkinointitietojen menettämisestä, on olemassa ratkaisuja tietojen saamiseksi niiltä käyttäjiltä, jotka hylkäävät evästeet (laillisesti). Tietojen kerääminen ja GDPR:n noudattaminen? Vastaus on kuvan alla. Katsotaan ensin, miten voit kerätä GDPR:n mukaisen pätevän suostumuksen evästeisiin Suomen evästeohjeet huomioiden. Ensinnäkin tarvitset ammattimaisen evästesuostumusponnahdusikkunan ja suostumuksenhallinta-alustan. Miksi? Koska vain ammattimainen suostumuksenhallinta-alusta skannaa jatkuvasti verkkosivustoasi evästeiden ja ei-toivottujen tiedonsiirtojen varalta. Evästeponnahdusikkunasi ja evästekäytäntösi sisältävät tällöin automaattisesti evästeistäsi tarvittavat tiedot, jotta käyttäjillesi voidaan tiedottaa evästeistä. Hyvä suostumusponnahdusikkuna esittää nämä tiedot verkkosivuston kävijälle, joka voi nyt hylätä tai hyväksyä evästeet. Ponnahdusikkuna varmistaa myös, että kaikki suostumukset säilytetään 5 vuotta GDPR:n ja Traficomin vaatimusten mukaisesti.
Kuva Cookie Informationin GDPR:n mukaisesta suostumuksen ponnahdusikkunasta, joka on myös Suomen evästeohjeiden mukainen
Esimerkki Cookie Informationin GDPR:n mukaisesta evästeiden suostumusponnahdusikkunasta. Ponnahdusikkunassa kerrotaan käyttäjille evästeistä, annetaan yksityiskohtainen (täsmällinen) suostumus ja "Hyväksy"-painikkeen vieressä on "Kieltäydy"-painike. Suostumus on yhtä helppo hylätä ja hyväksyä GDPR-standardien mukaisesti.
Eli miten voit saada tietoja käyttäjiltä, jotka kieltäytyvät evästeistä? Käyttämällä Googlen suostumustilaa CMP:n (Consent Management Platform eli suostumuksenhallinta-alusta) kanssa voit kerätä arvokkaita tietoja käyttäjien käyttäytymisestä ja konversioista keräämättä henkilötietoja. Voit lukea lisää täältä Googlen suostumustilasta ja siitä, miten se on integroitu Cookie Informationin suostumuksenhallinta-alustaan.

Usein kysyttyjä kysymyksiä evästeistä ja suostumuksesta Suomessa

Emme käytä evästeitä verkkosivuillamme! Useimmat verkkosivustot käyttävät evästeitä. Nämä ovat joko teknisesti välttämättömiä evästeitä, joita käytetään verkkosivuston toiminnan mahdollistamiseksi (esim. kieliasetusten muistaminen, kirjautumisasetukset, ostoskorin evästeet), tai evästeitä, jotka on asetettu verkkosivuston kautta joidenkin käyttämiesi palveluiden, kuten esimerkiksi Google Analyticsin, Facebookin, Instagramin, LinkedInin, Hotjarin jne., kautta. Verkkosivustomme ei kerää – tai käsittele – mitään henkilötietoja! Ehkä ei, mutta kolmannen osapuolen palvelut, kuten Google Analytics, Facebook, Hotjar ja Amazon, keräävät! Jos käytät mitä tahansa kolmannen osapuolen palvelua, joka asettaa evästeitä verkkosivustosi kautta, olet rekisterinpitäjä (GDPR:n mukaan), joten pätevien suostumusten kerääminen näiden evästeiden avulla on sinun vastuullasi. Voimmeko käyttää Google Analyticsia ilman suostumusta? Ette. Google Analytics käyttää useita evästeitä, jotka keräävät kävijöiden henkilökohtaisia tietoja, joiden avulla saat tietoa yleisöstä, hankinnasta ja käyttäytymisestä. Tämä on mahdollista pysyvien evästeiden avulla, jotka seuraavat käyttäjää koko verkkosivustollasi. Jos käytät Google Analyticsia, sinun on ehdottomasti kerättävä pätevä GDPR-suostumus evästeisiin. Mitä ovat teknisesti välttämättömät evästeet? Teknisesti välttämättömät evästeet ovat välttämättömiä, jotta kävijäsi voivat selata verkkosivustoasi ja käyttää sen ominaisuuksia. Tällaisia voivat olla kirjautumisominaisuudet ja ostoskorin evästeet (jotta tiedot eivät katoa, kun kävijä poistuu sivulta). Teknisesti välttämättömät evästeet eivät ole Google Analyticsin evästeitä. Valitettavasti. Mistä tiedän, onko verkkosivustoni GDPR-evästeiden mukainen? Tarkistamalla sen. Suostumuksenhallinta-alustan tarjoajalla – kuten Cookie Information – joka voi helposti ja nopeasti arvioida, käyttääkö verkkosivustosi evästeitä, joihin ei ole kerätty suostumusta. Saa ilmainen vaatimustenmukaisuuden tarkistus täältä Cookie Informationinilta. Ei sitoumuksia.