Onko ilmainen evästebanneri (cookie banner) vaatimustenmukainen?

Blogi

Oliver Fich

29/04/2019

Ilmaisilla evästesuostumusbannereilla on yksi yhteinen piirre. Ne eivät ole kovin vaatimustenmukaisia.

Ilmaisten evästebannerien (cookie banner) ongelma

Kun GDPR tuli tosiasiallisesti voimaan toukokuussa 2018, monilla yrityksillä oli kiire saada verkkosivuilleen ilmainen evästebanneri (cookie banner) noudattaakseen uusia tietosuojasäännöksiä. Monet päätyivät ottamaan evästebannerin käyttöön verkkosivustollaan siinä uskossa, että kävijöille on vain ilmoitettava verkkosivuston evästeiden käytöstä ja henkilötietojen käsittelystä. GDPR:n mukaan se ei kuitenkaan läheskään riitä.

Miksi ilmainen evästebannerini ei ole GDPR:n vaatimusten mukainen?

Internetissä on saatavilla valtavasti ilmaisia evästebannereita. Jos sinulla on esimerkiksi WordPress-sivusto, sinulle on saatavilla monia ilmaisia GDPR-liitännäisiä, jotka voit asentaa ja jotka tekevät sinusta hetkessä “vaatimustenmukaisen”. Myös yksityisyydensuojaan erikoistuneet teknologiayritykset tarjoavat ilmaisia perusratkaisuja, jos sinulla on vain yksi verkkotunnus ja vain muutamia alasivuja. Kaikille on kuitenkin yhteistä, että ne eivät ole kovinkaan vaatimustenmukaisia. Miksi? Koska ne eivät kerää kävijöiden suostumusta, tallenna suostumuslokeja (tarkastuksia varten), tarjoa hylkäämisvaihtoehtoja tai estä evästeiden käyttöä ennen suostumusta. Suostumus ennen (tietojen) käsittelyä on GDPR:n kulmakivi. Joten pohjimmiltaan ilmaiset evästebannerit antavat sinulle valheellista turvallisuutta.

Miksi suostumusten kerääminen on tarpeen?

Selvitä, mitä evästeitä verkkosivustosi käyttää. Todennäköisesti löydät Google Analyticsin, YouTuben, Facebookin tai Hotjarin evästeitä. Tai ehkäpä Doubleclickin, Addthisin, Googleadservicen tai monien muiden kolmansien osapuolten palvelujen evästeitä, jotka on toteutettu verkkosivustollasi tavalla tai toisella. Nämä evästeet keräävät ja käsittelevät kävijöiden henkilökohtaisia tietoja (IP-osoitteet, maantieteellinen sijainti, verkkotunnisteet jne.), joita käytetään yksilöllisempien mainosten ohjaamiseen kävijöille. Jos eväste kerää ja käsittelee internetin käyttäjän henkilötietoja, käyttäjän on annettava nimenomainen suostumuksensa, ennen kuin verkkosivustosi voi tallentaa evästeen käyttäjän selaimeen. GDPR:ssä todetaan selvästi: Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella … josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. ja Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Linkki: Yleinen tietosuoja-asetus 2016/679

GDPR – KOHTA 32

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

Kuten tästä näkyy, suostumus on välttämätön GDPR:n noudattamiseksi. Sen on oltava tietoinen ja vapaaehtoinen. Tämä täsmentää myös, että evästeseinät ja käyttöoikeustiedot eivät ole päteviä GDPR:n nojalla. Käyttäjille on annettava mahdollisuus valita evästeiden hylkääminen. Ilmaiset evästebannerit eivät tarjoa tätä mahdollisuutta. Mitä sitten? Miten verkkosivustostasi tulee vaatimustenmukainen?

Ammattilaistason evästebannerin (cookie banner) ja suostumusratkaisun vaatimukset

Ilmoita kävijöille evästeistä.

Asianmukainen evästesuostumusten ponnahdusikkunabanneri ilmoittaa verkkosivuston käyttäjille evästeistä. Itse evästebannerissa (cookie banner) pitäisi olla linkki verkkosivuston evästekäytäntöön, jossa evästeiden tarkoitus on kuvattu asianmukaisesti.

Kerää vapaaehtoinen evästesuostumus.

Suostumuksen on oltava vapaaehtoinen! Vaikenemista, valmiiksi rastitettuja ruutuja ja passiivisuutta ei pidetä suostumuksena GDPR:n nojalla. Anna käyttäjillesi mahdollisuus hylätä evästeet, jotka keräävät ja käsittelevät heidän henkilötietojaan.

Estä evästeet ennen suostumuksen saamista.

Koska suostumus on saatava ennen kuin evästeet saavat kerätä ja käsitellä tietoja, sinun on aktiivisesti estettävä verkkosivustoasi asettamasta evästeitä ennen kuin saat käyttäjän suostumuksen. Tämä edellyttää, että estät JavaScript-evästeiden suorittamisen ennen kuin käyttäjä on antanut suostumuksensa.

Säilytä suostumuslokit tarkastusten varalta.

Jos kansallinen tietosuojaviranomainen tarkastaa sinun tai yrityksesi sivustosi, se pyytää sinua toimittamaan asiakirjat kaikista käyttäjien antamista suostumuksista – myös kielteisistä vastauksista. Säilytä ne kaikki varmuuden vuoksi turvallisesti.

Kuulostaa monimutkaiselta? Mutta se ei ole.

Cookie Informationin suostumusratkaisun avulla voit olla ammattilainen

Cookie Informationin suostumusratkaisun avulla saat verkkosivustollesi täysin GDPR:n mukaisen evästeratkaisun. Se on helppo, ammattimainen ja turvallinen. Consent Solution -ratkaisumme avulla saat

evästesuostumusten ponnahdusikkunabannerin (kerää evästesuostumukset)
tietosuojaohjauksen (evästeiden hylkäämismahdollisuus)
evästekäytännön (yksityiskohtainen evästeiden käyttötarkoitus ja tietosuojakäytäntö)
lokin ja perusraportoinnin (tallentaa suostumukset, siltä varalta, että tietosuojaviranomainen tarkastaa ne)
verkkosivustosi kuukausittaisen skannauksen evästeiden varalta
tietokannan (yleiskatsaus kaikkiin evästeisiin)
SDK-toteutuksen (estää evästeet ennen suostumusta).

Linkki: Ominaisuudet, jotka saat Cookie Informationin suostumusratkaisussa Suostumusten ponnahdusikkunabanneri näytetään käyttäjälle hänen vieraillessaan sivustolla ensimmäisen kerran. Ponnahdusikkunabannerissa kerrotaan kävijälle evästeiden käytöstä ja pyydetään suostumusta evästeiden tallentamiseen selaimeen. Tietosuojaohjauksen avulla käyttäjä voi myös hylätä eri evästetarkoitukset (esim. tilastot, markkinointi). Evästekäytännön avulla käyttäjä saa yleiskuvan sivustosi evästeistä. Kunkin käyttäjän suostumusloki säilytetään 5 vuoden ajan lain edellyttämällä tavalla. Suostumusratkaisumme avulla käyttäjä voi aina muuttaa suostumustaan tai peruuttaa suostumuksensa kokonaan. Ratkaisu skannaa verkkosivustosi ja kaikki sen alasivut evästeiden varalta ja antaa nämä tiedot taulukkomuodossa evästekäytännössä. Cookie Information ylläpitää myös maailmanlaajuista tietokantaa, jossa on asiantuntijatietoa ensimmäisen ja kolmannen osapuolen evästeistä. Suostumusratkaisun mukana saat myös SDK-toteutuksen (Software Development Kit). Voit estää JavaScript-evästeiden suorittamisen ennen kuin suostumus on annettu. Ei enää ilmaisia evästebannereita (cookie banner) – tule GDPR:n vaatimusten mukaiseksi jo tänään ammattilaistason evästebannerilla.