Seloste evästeohjeista Suomessa

Blogi
Oliver Fich
Mitkä ovat evästeiden käyttöä koskevat säännöt Suomessa? Ja miten suostumukset niiden käyttöön kerätään? Tässä on kaikki, mitä sinun on tiedettävä Suomen uusista evästeitä koskevista säännöistä.
Sisällysluettelo

Seitsemän helppoa vaihetta
Suomen evästeohjeiden noudattamiseen:

  • Ilmoita käyttäjillesi evästeistä

  • Erota teknisesti välttämättömät evästeet ja evästeet, jotka edellyttävät käyttäjien suostumusta

  • Tee suostumuksen peruuttamisesta tai muuttamisesta helppoa

  • Tallenna kaikkien käyttäjien suostumukset 5 vuoden ajaksi

  • Ei valmiiksi rastitettuja valintaruutuja

  • Suostumus on yksiselitteinen (evästeet joko hyväksytään tai ei hyväksytä)

  • Kerää suostumus ennen evästeiden käyttöä!
Miten Suomessa voidaan kerätä pätevä suostumus? ➟ Hyppää vastaukseen!

Suomen evästesaaga on päättynyt

Suomen evästesaaga on vihdoin päättynyt. Vuosien hämmennyksen jälkeen Liikenne- ja viestintävirasto (Traficom) on vihdoin julkaissut evästeiden käyttöä koskevat ohjeet, jotka eivät jätä varaa tulkinnalle. Ohjeiden tarkoituksena on antaa sinulle – verkkosivuston tai sovelluksen omistajalle – selkeät ohjeet siitä, miten pätevä suostumus evästeiden käyttöön kerätään Suomessa. Vaikka ohjeessa käsitellään pääasiassa evästeitä, on selvää, että sana “eväste” on kattotermi kaikentyyppisille tekniikoille, joiden tarkoituksena on kerätä verkkosivujen kävijöiden henkilötietoja ja käsitellä niitä ensisijaisesti markkinointitarkoituksiin (esim. sormenjäljet, web beaconit ja pikselit). Evästeitä ja suostumusta koskevat säännöt Suomessa ovat nyt seuraavat:
  • Tietoyhteiskuntakaari (917/2014) edellyttää, että käyttäjille tiedotetaan evästeistä ja heidän suostumuksensa kerätään.
  • Traficom määrittelee suostumuksen (evästeisiin) GDPR:n mukaiseksi suostumukseksi.
Miten Suomessa voidaan kerätä pätevä suostumus? Hyppää vastaukseen!

Suomen evästeohjeet – minkälaiset nämä säännöt ovat?

Kenelle se on tarkoitettu? Kaikille, jotka omistavat tai hallinnoivat Suomessa verkkosivustoa, joka käyttää evästeitä tai muita seurantatekniikoita. Mitä sinun on tehtävä? Kerro verkkosivustosi kävijöille käyttämistäsi evästeistä ja kerää GDPR:n mukainen suostumus ennen niiden käyttöä. Kun käytät evästeitä tai muita seurantatekniikoita verkkosivustoilla tai sovelluksissa Suomessa, sinun on hyvä olla tietoinen kahdesta laista:
  • Tietoyhteiskuntakaari (917/2014)
  • Yleinen tietosuoja-asetus (GDPR)

Tietoyhteiskuntakaari (917/2014)

Suomen evästesäännöt ovat lähtöisin tietoyhteiskuntakaaren (917/2014) 205 §:stä. Siinä sanotaan:

"Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta."

Chapter 24 Section 205 of Information Society Code (917/2014)
Mitä se oikeasti tarkoittaa:
Sinun on ilmoitettava käyttäjillesi evästeistä, ja käyttäjän on annettava suostumuksensa.
Et tarvitse suostumusta
  • teknisesti välttämättömille evästeille (evästeet, joita tarvitaan, jotta verkkosivustosi toimisi, kuten ostoskorin evästeet, kirjautumisevästeet jne.)
  • käyttäjän nimenomaisesti pyytämien tietojen tarkasteluun.
Traficomin päivitetyissä evästeohjeissa vuodelta 2021 kerrotaan selkeästi, miten käyttäjille tiedotetaan evästeistä ja miten GDPR:n mukainen suostumus kerätään. Mutta mitkä ovat GDPR:n mukaiset suostumusta koskevat säännöt? Tarkastellaanpa asiaa.

Yleinen tietosuoja-asetus (GDPR)

GDPR koskee tietojenkäsittelyä ja käyttäjien henkilötietojen käsittelyä. Vaikka sana “eväste” mainitaan vain kerran, GDPR koskee tietoja, joita useimmat evästeet keräävät ja käsittelevät. Kun käyttämäsi evästeet keräävät käyttäjien henkilötietoja (sinun tai kolmannen osapuolen suorittamaa) jatkokäsittelyä varten, sinun on kerättävä pätevä suostumus.
Jos käytät seurantaevästeitä, GDPR:n suostumusta koskevia sääntöjä sovelletaan.
GDPR:n artiklan 4 kohdan 11 mukaan pätevä suostumus on:
  • Vapaasti annettu: kävijäsi on voitava hyväksyä tai hylätä evästeiden käyttö.
  • Täsmällinen: Suostumuksen on oltava yksityiskohtainen. Voit pyytää suostumusta vain yhteen tiettyyn tarkoitukseen kerrallaan (tilastot, markkinointi, toiminnalliset evästeet).
  • Tietoa antava: sinun on kerrottava kävijälle, mitä tietoja evästeet keräävät, mihin tarkoitukseen, kuka niitä käyttää ja kuinka kauan evästeitä säilytetään.
  • Yksiselitteinen: kävijän on aktiivisesti annettava suostumuksensa klikkaamalla laatikkoa/painiketta evästeiden suostumusponnahdusikkunassa.

[R]ekisteröidyn ’suostumuksella’ [tarkoitetaan] mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen

Article 4(11) GDPR
Tämä tarkoittaa: Jos käytät palveluita, kuten Google Analyticsia tai Hotjaria, tai jos verkkosivustoosi on liitetty Facebook-pikseli tai LinkedIn Insight -tunniste, sinun on ilmoitettava käyttäjillesi evästeistä, joita nämä palvelut sijoittavat verkkosivustosi kautta, ja kerättävä käyttäjältäsi suostumus ennen evästeiden sijoittamista. Näiden palvelujen käyttämät evästeet keräävät kävijöiden henkilökohtaisia tietoja (IP-osoite, maantieteellinen sijainti, laitetunniste jne.), joita kolmannet osapuolet käyttävät jatkokäsittelyyn pääasiassa markkinointitarkoituksiin. Siksi GDPR-suostumus on tarpeen.

Evästeohjeet Suomessa – mikä on suostumus evästeisiin?

Tässä on täysi luettelo siitä, miten voit kerätä pätevän suostumuksen evästeisiin Suomessa:

  • Tiedota käyttäjille evästeistä

    Tiedota käyttäjille evästeistä ja niiden keräämistä tiedoista, vaikka et omistaisikaan kyseistä evästettä tai käsittelisi tietoja itse (kolmannen osapuolen eväste).

  • Teknisesti välttämättömien evästeiden ja käyttäjien suostumusta edellyttävien evästeiden erottaminen toisistaan

    Lain mukaan niin sanotut välttämättömät evästeet eivät vaadi suostumusta. Erottele ne toisistaan, jotta käyttäjät tietävät, mihin evästeisiin heidän on annettava suostumuksensa. Välttämättömät evästeet ovat evästeitä, joita käytetään vain viestin välittämiseen verkossa tai kävijän pyytämän palvelun tarjoamiseen tai palvelun toiminnan mahdollistamiseen (ostoskorin evästeet, kirjautumisevästeet).

  • Tee suostumuksen peruuttamisesta tai muuttamisesta helppoa

    Tee evästeiden peruuttaminen tai muuttaminen käyttäjille helpoksi. Sen pitäisi olla yhtä helppoa kuin suostumuksen antamisen. Evästeiden poistaminen selaimen asetusten avulla ei ole vaihtoehto.

  • Tallenna kaikkien käyttäjien suostumukset 5 vuoden ajaksi

    Tallenna kaikkien käyttäjien evästeisiin antamat suostumukset 5 vuoden ajaksi, jotta voit todistaa Traficomille ja oikeusasiamiehelle, että olet kerännyt pätevät suostumukset. Jos sinuun kohdistuu tarkastus, tarvitset tämän dokumentaation todistaaksesi, että olet kerännyt ja käsitellyt tietoja laillisesti.

  • Ei valmiiksi rastitettuja valintaruutuja

    Tämä osa liittyy Euroopan unionin tuomioistuimen vuonna 2019 tekemään päätökseen saksalaista arpajaissivustoa Planet49 vastaan nostetussa syytteessä. Suostumuksen on oltava jotain, jonka käyttäjä valitsee itse aktiivisesti (opt-in), eikä ennalta valittu hyväksyntäruutu evästesuostumusponnahdusikkunassa.

  • Suostumus on yksiselitteinen (evästeet voidaan hyväksyä tai hylätä)

    Suostumus on annettava nimenomaisesti, eli ei epäsuoralla toiminnalla, kuten selaamalla, pyyhkäisemällä tai käyttämällä verkkosivustoa tai sovellusta. Suostumus on joko hyväksytty tai hylätty, eikä koskaan oletettu tai päätelty.

  • Kerää suostumus ennen evästeiden käyttöä!

    Kerää pätevä suostumus verkkosivuillasi tai sovelluksessasi vierailevilta henkilöiltä ennen evästeiden käyttöä evästesuostumusponnahdusikkunan avulla. *Ei koske teknisesti välttämättömiä evästeitä.
Suostumusta ei voi antaa:
  • vaitiololla eli valmiiksi rastittujen valintaruutujen tai passiivisuuden kautta
  • siten, että on vain yksi vaihtoehto (hyväksyntä)
  • käyttämällä verkkosivustoa (pyyhkäisemällä, selaamalla tai vain käyttämällä sivustoa/sovellusta)
  • pyytämällä käyttäjiä hylkäämään suostumuksen selaimen asetusten kautta.

Miten keräät pätevän suostumuksen evästeisiin Suomen evästeohjeiden mukaisesti?

Pätevien evästesuostumusten kerääminen Suomessa ei ole ollenkaan vaikeaa. Ja jos olet huolissasi markkinointitietojen menettämisestä, on olemassa ratkaisuja tietojen saamiseksi niiltä käyttäjiltä, jotka hylkäävät evästeet (laillisesti). Tietojen kerääminen ja GDPR:n noudattaminen? Vastaus on kuvan alla. Katsotaan ensin, miten voit kerätä GDPR:n mukaisen pätevän suostumuksen evästeisiin Suomen evästeohjeet huomioiden. Ensinnäkin tarvitset ammattimaisen evästesuostumusponnahdusikkunan ja suostumuksenhallinta-alustan. Miksi? Koska vain ammattimainen suostumuksenhallinta-alusta skannaa jatkuvasti verkkosivustoasi evästeiden ja ei-toivottujen tiedonsiirtojen varalta. Evästeponnahdusikkunasi ja evästekäytäntösi sisältävät tällöin automaattisesti evästeistäsi tarvittavat tiedot, jotta käyttäjillesi voidaan tiedottaa evästeistä. Hyvä suostumusponnahdusikkuna esittää nämä tiedot verkkosivuston kävijälle, joka voi nyt hylätä tai hyväksyä evästeet. Ponnahdusikkuna varmistaa myös, että kaikki suostumukset säilytetään 5 vuotta GDPR:n ja Traficomin vaatimusten mukaisesti.
Kuva Cookie Informationin GDPR:n mukaisesta suostumuksen ponnahdusikkunasta, joka on myös Suomen evästeohjeiden mukainen
Esimerkki Cookie Informationin GDPR:n mukaisesta evästeiden suostumusponnahdusikkunasta. Ponnahdusikkunassa kerrotaan käyttäjille evästeistä, annetaan yksityiskohtainen (täsmällinen) suostumus ja "Hyväksy"-painikkeen vieressä on "Kieltäydy"-painike. Suostumus on yhtä helppo hylätä ja hyväksyä GDPR-standardien mukaisesti.
Eli miten voit saada tietoja käyttäjiltä, jotka kieltäytyvät evästeistä? Käyttämällä Googlen suostumustilaa CMP:n (Consent Management Platform eli suostumuksenhallinta-alusta) kanssa voit kerätä arvokkaita tietoja käyttäjien käyttäytymisestä ja konversioista keräämättä henkilötietoja. Voit lukea lisää täältä Googlen suostumustilasta ja siitä, miten se on integroitu Cookie Informationin suostumuksenhallinta-alustaan.

Usein kysyttyjä kysymyksiä evästeistä ja suostumuksesta Suomessa

Emme käytä evästeitä verkkosivuillamme! Useimmat verkkosivustot käyttävät evästeitä. Nämä ovat joko teknisesti välttämättömiä evästeitä, joita käytetään verkkosivuston toiminnan mahdollistamiseksi (esim. kieliasetusten muistaminen, kirjautumisasetukset, ostoskorin evästeet), tai evästeitä, jotka on asetettu verkkosivuston kautta joidenkin käyttämiesi palveluiden, kuten esimerkiksi Google Analyticsin, Facebookin, Instagramin, LinkedInin, Hotjarin jne., kautta. Verkkosivustomme ei kerää – tai käsittele – mitään henkilötietoja! Ehkä ei, mutta kolmannen osapuolen palvelut, kuten Google Analytics, Facebook, Hotjar ja Amazon, keräävät! Jos käytät mitä tahansa kolmannen osapuolen palvelua, joka asettaa evästeitä verkkosivustosi kautta, olet rekisterinpitäjä (GDPR:n mukaan), joten pätevien suostumusten kerääminen näiden evästeiden avulla on sinun vastuullasi. Voimmeko käyttää Google Analyticsia ilman suostumusta? Ette. Google Analytics käyttää useita evästeitä, jotka keräävät kävijöiden henkilökohtaisia tietoja, joiden avulla saat tietoa yleisöstä, hankinnasta ja käyttäytymisestä. Tämä on mahdollista pysyvien evästeiden avulla, jotka seuraavat käyttäjää koko verkkosivustollasi. Jos käytät Google Analyticsia, sinun on ehdottomasti kerättävä pätevä GDPR-suostumus evästeisiin. Mitä ovat teknisesti välttämättömät evästeet? Teknisesti välttämättömät evästeet ovat välttämättömiä, jotta kävijäsi voivat selata verkkosivustoasi ja käyttää sen ominaisuuksia. Tällaisia voivat olla kirjautumisominaisuudet ja ostoskorin evästeet (jotta tiedot eivät katoa, kun kävijä poistuu sivulta). Teknisesti välttämättömät evästeet eivät ole Google Analyticsin evästeitä. Valitettavasti. Mistä tiedän, onko verkkosivustoni GDPR-evästeiden mukainen? Tarkistamalla sen. Suostumuksenhallinta-alustan tarjoajalla – kuten Cookie Information – joka voi helposti ja nopeasti arvioida, käyttääkö verkkosivustosi evästeitä, joihin ei ole kerätty suostumusta. Saa ilmainen vaatimustenmukaisuuden tarkistus täältä Cookie Informationinilta. Ei sitoumuksia.

Købmagergade 19
1150 Kööpenhamina, Tanska
VAT: DK-38758292

Facebook Cookie Information Linkedin Cookie Information Youtube Cookie Information

RESURSSIT

TUOTTEET

YRITYS

Købmagergade 19,
1150 Kööpenhamina, Tanska
VAT: DK-38758292
Connection with Cookie Information on Facebook
Connection with Cookie Information on LinkedIn
Connection with Cookie Information on Youtube

Valitse sisäänkirjautuminen:

Consent Management
Privacy & Compliance

* Kirjaudu sisään Consent Management iin päästäksesi verkkosivuston Consent Banner- ja Mobile App -tilillesi. Kirjaudu sisäänPrivacy & Compliance-toimintoon päästäksesi Data Discovery- ja Data Subject Request -palveluihin.

Takaisin

Valitse sisäänkirjautuminen:

Consent Management
Privacy & Compliance

* Kirjaudu sisään Consent Management iin päästäksesi verkkosivuston Consent Banner- ja Mobile App -tilillesi. Kirjaudu sisäänPrivacy & Compliance-toimintoon päästäksesi Data Discovery- ja Data Subject Request -palveluihin.

Takaisin