Mitä ovat “dark pattern”-tekniikat evästebannereissa?

Blogi
Monet verkkosivustot käyttävät ns. "dark pattern"-tekniikoita, jotta mahdollisimman moni käyttäjä hyväksyisi evästeiden käytön. Mutta mitä näillä tekniikoilla tarkalleen tarkoitetaan? Ja kuinka voit varmistaa, että evästeidesi suostumusprosentti on mahdollisimman korkea — laillisesti?
Sisällysluettelo

9.  elokuuta, 2022, yksityisyyden suojaan erikoistunut yritys NOYB (None Of Your Business) teki 226 uutta virallista kantelua eurooppalaisista yrityksistä.

Kantelut koskivat taas niin sanottujen “dark pattern”-tekniikoiden käyttöä evästeilmoituksissa.

Mutta mitä ovat “dark pattern”-tekniikat? Ja miten niitä käytetään evästeilmoituksissa huijaamaan ja sysäämään käyttäjä hyväksymään evästeiden käyttö?

Tässä artikkelissa käydään läpi, miltä evästeilmoitus voi näyttää – ja miltä ei.

Katsotaan tarkemmin:

Käyttääkö evästebannerisi ”dark patterrn”-tekniikoita? Ilman, että edes tiedät sitä?

Anna meidän tarkistaa verkkosivustosi evästebanneri. Ilmaiseksi, ilman sitoumuksia.

Mitä ovat ”dark pattern”-tekniikat?

”Dark pattern”-tekniikat ovat harhaanjohtavia suunnittelutapoja vaikuttamaan vierailijan käyttäytymiseen verkkosivustoilla.

Yhden verkossa toistuvan hämäystekniikan tunnisti Harry Brignull ja nimesi sen Roach Motel:liksi (torakka motelli).

Esimerkki 1: Haluat poistaa itsesi sähköpostilistalta. Etsit peruutuspainiketta, mutta sen löytäminen tuntuu mahdottomalta. Ehkä se on todella pieni tai se on piilotettu jonnekin, mistä se on hankala löytää.

Esimerkki 2: Haluat poistaa Amazon-tilisi. Se on mahdollista ainoastaan pitkän ja monimutkasien tien Amazonin loputtomilla välisivuilla. Helppo luoda tili, lähes mahdotonta poistaa se.

Kun kohtaat tällaisia ​​suunnitelmia, se on vahva osoitus siitä, että yritys pyrkii aktiivisesti vaikeuttamaan sinua tekemästä haluamaasi toimintoa: tässä tapauksessa poistamaan tilisi.

Mutta tekniikalla voidaan saada sinut myös tekemään asioita, joita yritys haluaa; esimerkiksi ostamaan tietyn version tuotteesta tai hyväksymään evästeet.

Harry Brignull käytti termiä  “Dark Patterns” ensimmäisen kerran vuonna 2010. Sen oli tarkoitus määritellä suunnittelu- ja markkinointitekniikat, joiden tarkoituksena oli tietoisesti saada käyttäjä tekemään jotain, mitä hän ei ehkä aikonut tehdä.

 

Hämäystekniikat (tunnetaan myös nimellä "dark patterns") ovat keinoja, joita käytetään verkkosivustoissa ja sovelluksissa, tavoitteena saamaan sinut tekemään asioita, joita et tarkoittanut, kuten ostamaan tai rekisteröitymään johonkin.

Nämä ovat tekniikoita, joiden tarkoituksena on hyödyntää ihmisten käyttäytymistä verkkosivustolla halutun tuloksen saavuttamiseksi oli se sitten myynti, rekisteröityminen tai lisämyynti.

Altistumme näille tekniikoille jokainen päivä.

Paikka, jossa usein törmää ”dark pattern”-tekniikoihin, on evästebannerit. Tekniikoita kutsutaan englanniksi myös “nudgingiksi” (tuuppaus) jolla tarkoitetaan tekniikoita, joilla johdatellaan käyttäjät antamaan suostumuksensa evästeille.

Mutta miten nämä tekniikat toimivat?

Katsotaanpa niiden käyttöä evästebannereissa.

Miten "dark pattern"-tekniikoita käytetään evästebannereissa?

Tekniikat ovat yleisiä evästebannereissa, mikä voi tarkoittaa sitä, että käyttäjien suostumukset eivät ole GDPR: silmissä päteviä.

Tekniikoita käytetään yhteen tarkoitukseen: keräämään mahdollisimman monta suostumusta evästeisille.

Tämä tehdään usein siten, että käyttäjän on vaikea kieltäytyä evästeitä.

Siispä ”dark pattern”-tekniikoiden käyttäminen voi estää käyttäjää antamasta “vapaasti annettua, tietoon perustuvaa, erityistä ja yksiselitteistä suostumusta (GDPR, johdanto-osan 32. kappale).

Tarkastellaan erilaisia “dark pattern”-tekniikoita, joita käytetään evästebannereissa, ja miksi niitä ei pidetä pätevänä suostumuksena.

”Dark patterns” evästebannereissa

Vuosina 2021–2022 itävaltalainen tietosuoja-aktivistijärjestö NOYB on jättänyt yli 1000 virallista valitusta eurooppalaisille tietosuojaviranomaisille ”dark pattern”-tekniikoiden käytöstä evästebannereissa.

He määrittelevät ”dark pattern”-tekniikat ja ”nudging” näin:

1) Ei hylkäyspainiketta evästebannerissa

Useimmat evästebannerit käyttävät edelleen vain yhtä painiketta — “Hyväksy”.

Nämä bannerit eivät anna käyttäjille mahdollisuutta hylätä evästeitä. He olettavat, että kaikki verkkosivuston vierailijat hyväksyvät evästeet ja henkilötietojen keräämisen.

Tätä mallia ei pidetä pätevänä suostumuksena GDPR:n mukaan. Käyttäjällä ei ole keinoa kieltäytyä evästeistä siksi suostumusta ei anneta vapaaehtoisesti.

–> Jotta suostumus on pätevä, evästebannerissa on oltava heti hylkäyspainike.

A cookie banner using dark patterns. There is no reject button in the banner and the user is forced to accept cookies.
The user cannot reject cookies and is forced to accept. Not GDPR compliant.

2) Valmiiksi täytetyt kohdat

Suostumuksen on oltava täsmällinen. Tästä syystä evästebannerien suunnittelussa on oltava valintaruudut, jotta käyttäjä voi valita antaa suostumuksensa toiminnallisiin, tilastollisiin ja/tai markkinointievästeisiin.

Näiden valintaruutujen oletuksena on oltava, että tietty evästetyyppi hylätään.

Suostumus GDPR:ssä on ”opt-in” – jotain, jonka käyttäjä päättää antaa.

Euroopan yhteisöjen tuomioistuin päätti lokakuussa 2019 valmiiksi täytettyjen ruutujen käyttämisen eri evästetyypeille on GDPR:n vastaista.

Bannerissa on käyttäjälle ennalta valitut evästetyypit hyväksyttynä, jota ei pidetä pätevänä suostumuksena.

A cookie banner using dark patterns. The checkboxes for cookie types are all pre-selected which is not considered consent.
The banner has pre-selected cookie types for the user which is not considered valid consent.

3) Linkki asetuksiin hylkäyspainikkeen sijaan

Toinen yleinen kikka on “Asetukset”-nappulan käyttäminen. Monet evästebannerit sisältävät “asetukset”-painikkeen hylkäyspainikkeen sijaan.

Kun klikkaat painiketta ja siirryt evästebannerin toiseen ”kerrokseen”, voit todennäköisesti hylätä suostumuksen.

Tämä on yksi niistä malleista, jotka vaativat “enemmän klikkauksia” evästeiden hylkäämiseen.

Käyttäjillä on taipumus valita vaivattomin vaihtoehto ja siksi he haluavat klikkailla mahdollisimman vähän.

Jos käyttäjä haluaa hylätä evästeet, hänen on ensin valittava asetuksia ja löydettävä sitten hylkäyspainike bannerin toisesta kerroksesta.

A cookie banner using dark patterns. Reject button is hidden behind a settings button and the user must click more times to reject cookies.
If the user wants to reject cookies, he must first click the settings and then find a reject button in the banner’s second layer.

4) Harhaanjohtavavien kontrastivärien käyttö

Värien käyttöä ei ole mainittu sähköisen viestinnän tietosuojadirektiivissä tai GDPR:ssä, ja korkea- ja matalakontrastisia värejä käytetään laajalti evästebannereissa.

Tämä on tekniikka, joskin ei suoranaisesti laiton, joidenkin tietosuojaviranomaisten – kuten Tanskan tietosuojaviranomainen – mielestä se voi olla laitonta, jos värejä käytetään manipulointiin tai harhaanjohtamiseen.

A cookie banner using dark patterns. The reject button is almost invisible but the accept button is highlighted.

5) Oikeutetun Edun käyttäminen

Oikeutetun edun (Legitimate Interest) käyttäminen on käytäntö, joka löytyy monilta suostumuksenhallinta-alustoja käyttäviltä verkkosivustoilta.

Käyttäjänä sinua pyydetään yhdellä sivulla antamaan tai hylkäämään suostumus.

Jos hylkäät suostumuksen, huomaat vain, että toisella sivulla verkkosivusto sanoo oikeutetun edun pätevän.

Käyttäjä saattaa haluta hylätä kaikki evästeet, mutta bannerissa mainitut termit “Suostumus” ja “Oikeutettu Etu” johtavat häntä harhaan. Käyttäjän on hylättävä evästeiden käyttö kahdessa erillisessä paikassa ja ehkä jokaiselta sadoista toimittajista. Se tarkoittaa satoja klikkauksia evästeiden hylkäämiseen, mutta vain yksi hyväksymiseen.

Linkki: Mikä on oikeutettu etu?

A cookie banner using dark patterns. Some websites use both consent and legitimate interest to with confusing design so users end up agreeing to cookies.

6) Markkinointievästeiden kategorisointi välttämättömiksi evästeiksi

Useat yritykset väittävät, että jotkin markkinointievästeet ovat välttämättömiä liiketoiminnalle. Ymmärrettävästi.

Mutta tietosuojalakien (mm. GDPR) mukaan suurin osa evästeiden keräämistä tiedoista luokitellaan henkilötiedoiksi.

Ja henkilötietojen keräämiseen vaaditaan suostumus.

Työkalut kuten Google Analytics, Facebookin Pixel tai LinkedInin tunnisteet (ja monet muut), eivät ole välttämättömiä verkkosivustosi toimimiseksi. Ja nämä kolmannet osapuolet keräävät henkilökohtaisia ​​tietoja käyttäjistä. Siksi sinun on kerättävä suostumus näiden työkalujen käyttöön.

A cookie banner using dark patterns. Some websites claim marketing cookies are essential when they are not necessary for the website to work.
For most companies, data is essential. But most cookies are not considered essential. It’s a dark pattern to declare marketing cookies as essential.

7) Ei helppoa tapaa perua suostumusta

Jotkin verkkosivut tekevät suostumuksen peruuttamisesta tai muuttamisesta vaikeaa. Tämä on klassinen esimerkki “dark pattern”-tekniikasta. Näimme kyseisen tekniikan Amazonin tilin poistamisen vaikeaudessa.

Kun teet halutun asian tekemisestä tarpeeksi vaikeaa, luultavasti käyttäjä luovuttaa

Miksi ”dark pattern”-tekniikat ja ”nudging” ovat tehokkaita?

Taktiikat voivat olla erittäin tehokkaita. Useimmiten emme edes huomaa, että niitä käytetään.

Ja kuten yllä kuvailimme, näitä taktiikoita käytetään laajalti evästebannereissa.

Kuvittele, että menet verkkosivustolle. Näet evästebannerin. Voit hyväksyä kaikki evästeet yhdellä napsautuksella korostettua vihreää painiketta.

Tai voit napsauttaa “asetukset” ja lukea, romaanilta tuntuvan tekstin siitä, kuinka ja mihin evästeitä käytetään. Ehkä sinun on poistettava useiden ennalta valittujen valintaruutujen valinnat, ennen kuin voit vihdoin hylätä evästeet.

Mitä teet?

Tulit verkkosivustolle sen sisällön takia. Ja haluat nähdä sen mahdollisimman pian. Mieluiten ennen kuin menetät kiinnostuksesi tai unohdat miksi tulit sivustolle.

Valitset helpomman tien. Hyväksyt kaikki evästeet ja pääset käsiksi sisältöön.

Monet evästebannerit toimivat näin. Yksi klikkaus nähdäksesi sisällön, monta klikkausta evästeiden hylkäämiseksi.

Tästä syystä lainsäädäntö, kuten GDPR, Kalifornian CCPA ja monet muut, määrittelevät, miltä pätevältä suostumus vaaditaan.

Suostumus on kyllä ​​tai ei. Ja evästeiden hylkäämisen on oltava yhtä helppoa kuin hyväksymisen.

Mutta mitä GDPR todella sanoo ”dark pattern”-tekniikoista?

GDPR, ”nudging” ja ”dark patterns”

Mitä GDPR sanoo kaikesta tästä?

Ei oikeastaan ​​mitään.

Mutta se sanoo paljon siitä, mikä on pätevä suostumus. Ja sen takia monet ”dark pattern”-tekniikat ovat laittomia.

Evästebannereissa käytetyt ”dark pattern”-tekniikat vaikuttavat usein käyttäjien yksityisyyteen.

Tämä tarkoittaa, että ne ovat ristiriidassa tietosuojalakien, kuten Euroopan yleisen tietosuoja-asetuksen (GDPR) tai Californian Consumer Privacy Actin (CCPA) kanssa.

Nämä kaksi tietosuojalakia ovat kaksi maailman tiukimmista.

Suurin osa evästeiden keräämistä ja käsittelemistä henkilötiedoista kuuluu GDPR:n ja CCPA:n piiriin. Ja useimmissa tapauksissa yritysten on käytettävä suostumusta laillisena perustana kerätä ja käsitellä näitä tietoja.

Monet yllä näkemistämme ”dark pattern”-tekniikoista ovat ristiriidassa GDPR:n määrittelemän pätevän suostumuksen kanssa.

GDPR:n määrittelemä suostumus

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn

(..)

Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.”

Kun käytät näitä ”dark pattern”-tekniikoita ja tarkoituksella suunnittelet evästebanneristasi harhaanjohtavan, käyttäjät eivät voi vapaasti valita hyväksyvätkö tai hylkäävätkö evästeet.

Viimeaikaiset tutkimukset ovat osoittaneet, että ”dark pattern”-tekniikoita käytetään Euroopassa laajasti.

Vuonna 2019 saksalaiset tutkijat havaitsivat, että 57.4% 1000 suosituimmista eurooppalaisista verkkosivustoista käyttävät näitä kyseenalaisia tekniikoita saadakseen käyttäjät suostumaan evästeisiin.

Ja vuonna 2020 tanskalaiset ja amerikkalaiset tutkijat tutkivat GDPR:n voimaantulon vaikutuksia ”dark pattern”-tekniikoiden käyttöön. He havaitsivat, että niiden käyttöä löytyi kaikkialta, kuten myös suostumuksien olettamista. Itse asiassa vain 11,8 % Yhdistyneen Kuningaskunnan suosituimmista verkkosivustoista täytti GDPR:n vähimmäisvaatimukset.

Ranskalaiset tutkijat, jotka tarkastelivat näiden tekniikoiden käyttöä, havaitsivat että 47 % verkkosivustoista kannustaa käyttäjiä hyväksymään evästeet valitsemalla evästetyypit käyttäjille etukäteen. 7 % ei edes antanut käyttäjille mahdollisuutta kieltäytyä evästeistä.

Tämä ”dark pattern”-tekniikoiden laaja käyttö on tietysti kiinnittänyt Euroopan tietosuojaviranomaisten huomion.

Olemme nähneet Ranskan CNIL:n jakavan valtavia sakkoja Googlelle, Facebookille ja Amazonille manipuloivista evästeilmoituksista ja vaikeasti ymmärrettävistä tietosuojakäytännöistä.

Suurin osa huomiosta ”dark pattern”-tekniikoihin voidaan katsoa NOYB:n ansioksi. Organisaatio on jättänyt melkein 1000 virallista valitusta Euroopan tietosuojaviranomaisille yritysten laittomista ”dark pattern”-tekniikoiden käytöstä.

He havaitsivat, että monet eurooppalaiset valtavat verkkosivustot käyttävät edelleen tekniikoita houkutellakseen käyttäjiä suostumaan evästeisiin. Yleisin ominaisuus hylkäyspainikkeen piilottaminen evästebannerin toiseen kerrokseen. Käyttäjien oli klikattava “useammin kuin kerran” hylätäkseen evästeet, mutta vain yksi klikkaus riitti hyväksyntään.

Kuinka voit optimoida suostumusprosenttisi käyttämättä ”dark pattern”-tekniikoita?

Kun käytät evästeitä verkkosivustollasi, sinun on kerättävä käyttäjiltäsi pätevät suostumukset niiden käyttöön.

Näin kunnioitat heidän yksityisyyttään ja noudatat tietosuojasäännöksiä (mm. GDPR ja ePrivacy).

Muistilista
pätevien suostumuksien keräämistä varten

Cookie Information voi auttaa sinua kaikessa tässä.

Haluatko tietää miten?

Mutta miten voin optimoida bannerini suostumusten keräämiseksi?

Mutta miten voit optimoida bannerisi suostumusten keräämiseksi?

Yksi kysymyksistä, joita saamme paljon täällä Cookie Informationilla, on:

“Voinko käyttää eri värejä “hyväksy/hylkää”-painikkeissani?”

Sanoisimme kyllä, mutta kuuntele vielä hetki.

Vuonna 2021 tanskalainen tietosuojaviranomainen (Datatilsynet) kritisoi tanskalaista yritystä harhaanjohtavan värisuunnittelun käyttämisestä evästebannerissaan.

Yrityksen “hylkää”-painikkeessa oli oranssi fontti valkoisella taustalla (valkoisella evästebannerilla), kun taas hyväksymispainikkeessa oli valkoinen fontti oranssilla taustalla.

Datatilsynet havaitsi, että suunnittelu harhautti käyttäjiä, koska yksi vaihtoehto oli näkyvämpi kuin toinen.

Jotta se olisi vielä hämmentävämpi, “hylkää”-painike sanoi oikeasti “hyväksy” (asetuksiin) ja hyväksyäksesi evästeet, sinun oli hyväksyttävä kaikki. Hämmentääkö? Meitäkin.

Mutta!

Kun viimeksi kysyimme Tanskan tietosuojaviranomaiselta, he eivät halunneet kommentoida evästebannerien värivaihtoehtoja.

Mutta uusimmissa evästeohjeissaan Tanskan tietosuojaviranomainen mainitsee vastakkaisten ​​värien käyttämisen evästeiden hyväksymiseen ja hylkäämiseen.

Joten…

Dark-patterns-in-cookie-banners
Dark patterns are used in many cookie banners

Mitä tästä voi päätellä?

Jos haluat käyttää yrityksesi värejä evästebannerissasi tai jos haluat, että “hyväksy”-nappulasi on vihreä ja “hylkää” on punainen, se vaikuttaa olevan ok sääntöjen puolesta.

*Vastuuvapauslauseke: Jokainen tapaus, jotka tietoturvaviranomaiset valitsevat käsiteltäväksi perustuu heidän tulkintaan evästebannerista ja laista.

Kuinka saada GDPR:n mukainen evästebanneri?

Cookie Information on Euroopan johtava suostumustenhallinta-alusta, ja palvelumme käyttäjät nauttivat korkeista suostumusprosenteista. Miksi? Koska:
  • Evästebannerisi on rehellinen. Kaikki tiedot löytyvät sieltä.
  • Testaamme malleja, tekstejä, painikkeita ja bannerien sijoittelua — kerromme sinulle ajantasaiset ja parhaat käytännöt.
  • Olet aina ajan tasalla lainsäädännöstä.
Kaikki tämä samalla kun noudatat GDPR:ää.   Rekisteröidy ja kokeile Cookie Informationin GDPR:n mukaista evästebanneria. Aloita täällä Kokeile ilmaiseksi 30 päivää. Näiden 30 päivän aikana saavutat vaatimustenmukaisuuden + korkeat suostumusprosentit. Googlen Suostumustila (​​Google Consent Mode) on oletuksena evästebannerissasi. Näin et koskaan menetä arvokasta dataa verkkosivuston liikenteestä ja Google Ads ‑konversioista. Suostumustila antaa sinulle anonymisoituja tietoja kaikista käyttäjistä, jotka hylkäävät evästeet, jotta voit tehdä dataan perustuvia päätöksiä sivuista, viesteistä ja kampanjoista. Kokeile Cookie Informationia tänään [30 päivää ilmaiseksi]

”Dark pattern”- tekniikoiden tyypit

”Dark pattern”- tekniikoita on useita. Listaamme muutaman eniten käytetyistä.

Kompakysymykset

Täytät lomakkeen ja vastaat kysymykseen, joka huijaa sinut ajattelemaan, että siinä kysytään yhtä asiaa, mutta kun luet sen huolellisesti, se kysyy jotain muuta.

”Sneak into basket”

Kun yrität ostaa jotain, myyjä lisää joskus ylimääräisiä tuotteita tilaukseesi käyttämällä edellisten sivujen peruutuspainikkeita tai valintaruutuja.

”Roach motel”

Tilin luominen tai uutiskirjeen tilaaminen on helppoa, mutta tilin peruuttaminen tai uutiskirjeen tilauksen lopettaminen on vaikeaa.

“Privacy zuckering”

Sinua huijataan jakamaan julkisesti enemmän tietoa itsestäsi kuin suunnittelit. Malli on nimetty Facebookin perustajan Mark Zuckerbergin mukaan.

Hintavertailun estäminen

Myyjä tekee vaikeaksi vertailla yhden tuotteen hintaa toiseen, joten et ehkä tiedä, maksatko reilua hintaa.

”Misdirection”

Suunnittelu kiinnittää huomiosi yhteen asiaan, jotta et huomaa toista.

Piilotetut kustannukset

Kun pääset maksuprosessin viimeiseen vaiheeseen, saatat yllättyä havaitessasi hinnan olevan korkeampi, kun luulit (esim. toimitusmaksujen, verojen jne. takia)

”Bait and switch”

Haluat tehdä tietyn asian ja valitettavasti sen sijaan tapahtuu erilainen, ei-toivottu asia.

”Confirmsharing”

Käyttäjän kannustaminen valitsemaan jotain mutta mahdollisuus kieltäytyä on muotoiltu siten, että käyttäjä hävettäisi kieltäytyä.

Naamioidut mainokset

Mainokset, jotka näyttävät muunlaiselta sisällöltä (esim. viestit ystäviltä, jotta voit kliklaisit niitä)

”Forced continuity”

Kun ilmainen kokeilujakso päättyy ja luottokorttiasi aletaan veloittaa ilman varoitusta. Joskus sitä on pehennettu entisestään niin, että jäsenyyden irtisanominen on vaikeaa.

”Friend spam”

Tuote voi pyytää sähköpostisi tai sosiaalisen median käyttöoikeuksia ja lähettää sitten roskapostia kaikkille yhteystiedoillesi väittäen, että se on sinulta.

Harry Brignull, Deceptive Design

Usein Kysyttyjä Kysymyksiä "dark pattern"-tekniikoista, "nudgingista" ja evästesuostumuksista

“Voinko käyttää vihreää nappulaa evästebannerissani?”

Saamme paljon kysymyksiä siitä, mitä voit ja mitä et voi laittaa evästebanneriisi. Mikä on laillista ja mikä ei.

Vastaamme nyt muutamaan useasti kysyttyyn kysymykseen “dark pattern”-tekniikoista ja värien, tekstien yms. käytöstä.

Jotta suostumus on GDPR:n mukainen, sen täytyy olla vapaasti annettu, tietoinen, täsmällinen ja selkeä.

Tämä tarkoittaa, että suostumus on:

  • kyllä tai ei (vapaasti annettu)
  • perustuu tietoon siitä, mihin suostumus ollaan antamassa (tietoinen)
  • annettu täsmällisesti jokaiselle käyttötarkoitukselle kuten, toiminnallisille evästeille, tilastollisille evästeille ja markkinointievästeille (täsmällinen)
  • selkeästi kuvailtu, jotta käyttäjä tietää mihin hän on suostumassa (selkeä)

Suurin osa euroopalaisista tietoturvaviranomaisista tulkitsee GDPR:n evästevaatimukset seuraavalla tavalla:

  • käyttäjän täytyy pystyä estämään evästeiden käyttö (“hylkää” nappula evästebannerissa)
  • suostumusta ei ole oletettu. Selaaminen tai muuten sivun käyttämisen jatkaminen ei ole pätevä suostumus
  • valintaruutuja on käytettävä täsmällisten suostumusten keräämiseen, ja niiden on oltava oletuksena tyhjiä.

Lue lisää mitä evästesuostumus tarkoittaa GDPR:n silmissä.

Linkki: Cookie Consent under GDPR

Kyllä, voit käyttää eri värejä “Hyväksy” ja “Hylkää” nappuloille. GDPR:ssä tai ePrivacy-direktiivissä ei ole tarkkaa mainintaa,jossa sanottaisiin että punaisen käyttäminen “hylkää”-nappulassa ja vihreän käyttäminen “hyväksy”-nappulassa olisi kiellettyä.

Kunhan et käytä värejä hämäämään tai huijaamaan käyttäjääsi hyväksymään evästeiden käyttö esimerkiksi matalaa kontrastia käyttämällä joka tarkottaisi, että teksti on vaikeaa lukea (esim. harmaa teksti valkoisella pohjalla tai vastaava, jota on vaikeaa lukea)

Tanskan tietosuojaviranomainen kritisoi virallisesti yritystä äskettäin (2021), koska he käyttivät oranssia fonttia valkoisessa nappulassa, joka oli vaikea huomata bannerin valkoisesta taustasta. “Hyväksy”-nappula oli taas helppo nähdä: valkoinen teksti oranssilla pohjalla.

Tanskan DPA:n (Datastilsynet) viimeisimmissä evästeohjeissa (sivu 17) mainitaan, että erien värien käyttäminen “Hyväksy”-  ja “Hylkää”-nappuloissa on sallittu, kunhan suunnittelu on tehty rehellisesti ja kumpikin nappula on yhtä helppo nähdä.

ePrivacy-direktiivissä tai GDPR:ssä ei ole mainintaa nappuloiden koosta. Mutta suurin osa euroopalaisista tietosuojaviranomaisista korostaa evästeohjeissaan sitä, että sekä “Hyväksy”- että “Hylkää”-nappuloiden täytyy olla yhtä painavia (saman kokoisia)

Et siis voi yrittää piilottaa hylkäämiseen käytettävää nappulaa tekemällä siitä huomattavasti pienemmän. Tämä olisi “dark pattern”-tekniikka.

Kyllä! Ja sen pitäisi olla evästebannerisi ensimmäisessä “kerroksessa”. Eli “Hyväksy”-nappulan vieressä eikä piilossa “Asetuksissa”, “Yksityiskohdissa” tai “Preferensseissä”.

Euroopalaisilla tietoturvaviranomaisilla ei ole yhtenäistä kantaa asiasta, joten kannattaa tarkistaa paikalliset ohjeet.

Linkki: Regulations and Frameworks

Voit toki. Voit kirjoittaa “Hyväksy”, “Hyväksy kaikki”, “OK” tai jotain muuta. Kunhan käyttäjä tietää mitä valitsee.

“Hyväksy” ja “Hylkää” ovat yleisimmät sanat evästebannereissa, jotka ovat vaatimustenmukaisia.

Jos kirjoitat “Hyväksy” ja “Hyväksy kaikki” olettaen , että jokainen käyttäjä tietää että “Hyväksy” tarkoittaa vain välttämättömien evästeiden käyttöä ja “Hyväksy kaikki” kaikkien evästeiden hyväksymistä, alkaa evästebannerisi olla hämmentävä. Jos tarkoituksella suunnittelet siitä hämmentävän, se on “dark pattern”-tekniikka.

Ei! Vuonna 2019 Euroopan Tuomioistuin tuomitsi Saksalaisen uhkapelisivusto Planet49:n puutteellisesta tietoturvastakäytännöstä. Tuomioistuimen mukaan on laitonta täyttää valintaruudut niin, että eri evästetyyppien (markkinointi, toiminnalliset, tilastolliset) käyttö on hyväksytty oletuksena. Käyttäjän täytyy hyväksyä täsmällisten evästetyyppien käyttö, ei hylätä niiden käyttö.

Evästebannerisi tulee sisältää valintaruudut (koska täsmällinen suostumus jokaiselle evästetyypille vaaditaan), ja näiden valintaruutujen pitää olla oletuksena tyhjiä (suostumusta ei voi olettaa)

Suostumuksen täytyy olla tietoinen. Siispä evästebannerissasi täytyy olla tietoa vähintään seuraavista asioista:

  • Evästeiden käytöstä
  • Mitä evästeitä käytät
  • Mitä dataa kerätään
  • Kuka omistaa evästeet
  • Kuinka kauan evästeet ovat voimassa
  • Kuinka käyttäjät voivat hyväksyä/hylätä ja peruuttaa suostumuksen

Sillä ei ole väliä kirjoitatko “Käytämme evästeitä” tai “Sinä päätät henkilötiedoistasi” (mutta kannattaa A/B testata se). Tärkeää on se, että olet rehellinen siitä, mitä tietoja keräät ja mihin käytät sitä. Ja että teksti on helposti ymmärrettävää.

Hyvä Suostumustenhallinta-alusta tekee sinulle automaattisesti päivitetyn version evästekuvauksesta, ja sisällyttää sen evästebanneriisi.

Kyllä. Evästeistä puhuttaessa, Oikeutettu Etu (GDPR) ei ole vaihtoehto suostumukselle. Näemme evästebannereita, jotka käyttävät oikeutettua etua laillisena perustanaan evästeiden käyttöön, mutta ePrivacy-direktiivi vaatii suostumuksen aina.

Oikeutettua etua voi käyttää, kun sinulla on oikea syy kerätä henkilötietoja. Tälläinen syy on esimerkiksi nimi ja osoite pizzan toimitukseen (pizzaa on vaikeaa toimittaa ilman osoitetta).

Mutta suostumus datan keräämiseen oltava aina. Käyttäjiesi täytyy antaa sinulle lupa käyttää heidän dataansa (esim. IP-osoite, ja laiteen ID). IP-osoitetta ei vaadita, että verkkosivusi toimii.

Linkki: Legitimate Interest & cookies explained in 5 minutes

Cookie Information ei suosittele IAB:n läpinäkyvyys- ja suostumuskehyksen (Transparency and Consent Framework (TCF)) käyttöä tällä hetkellä. Tammikuussa 2022 Belgian tietosuojaviranomainen ilmoitti, että TCF ei ole GDPR:n vaatimuksien mukainen. Lopullista vastausta ei ole vielä. Cookie Informationin suostumusratkaisu ei tukeudu TCF:ään ja on siksi täyttää kaikki GDPR:n vaatimukset.

Yrityksellesi, kyllä! Verkkosivusi toiminnalle, ei.

Google Analytics evästeitä (_ga) ei voi luokitella välttämättömiksi.

Google Analytics evästeiden käyttään tarvitaan suostumus, koska ne silti keräävät ja käsittelevät käyttäjiesi henkilötietoja. GDPR:n mukaan henkilötietojen keräämiseen tarvitaan suostumus.

Mutta minä en kerää dataa!

Mutta Google kerää! Ja Facebook. Ja Amazon.’

Se toimii näin. Käytät Google Analyticsia. Google Analytics asettaa evästeitä verkkosivustollesi, jotta sinä näät kuinka monta käyttäjää verkkosivullasi on, millä sivuilla he käyvät, ja mitä he ostavat.

Google kerää paljon data antaakseen sinulle nämä tiedot. IP-osoitteen, geolokaation, LaiteID, yms. Nämä ovat GDPR:n silmissä henkilötietoja. Vaikka sinä et näe sitä koskaan, etkä voi käyttää tietoja tunnistamaan ketään.

Sinä olet GDPR:n mukaan rekisterinpitäjä, ja siispä suostumusten kerääminen on sinun vastuullasi.

Näin Google käyttää evästeitä.

Kyllä. Suosittelemme testaamaan bannerisi painikkeet ja tekstin. Ratkaisuamme käyttämällä voit tehdä A/B testin ajan mittaan tekemällä yhden muutoksen kerrallaan, ja näkemällä tuloksen muutaman päivän jälkeen.

Ota huomioon, että muutkin asiat voivat vaikuttaa tuloksiisi, kuten aika, maat, vuodenajat yms.