Petteri Pyyny
14. kesäkuuta, 2023 8:15
Euroopan Unionin GDPR-lainsäädännön kuluttajille näkyvin muutos oli aikanaan se, että verkkosivustojen täytyi alkaa kyselemään käyttäjiltään lupaa siihen, millaisia evästeitä selaimeen saa asettaa.
Suomessa asiaa valvova Traficom otti aluksi äärimmäisen rennon linjan aiheeseen ja linjasi, että lain täyttymiseen riittää se, että käyttäjä voi kytkeä omasta selaimestaan asetusten kautta keksit pois käytöstä. Sittemmin evästeistä on väännetty oikeutta EU:n tasolla ja linja on tarkentunut - ja tiukentunut merkittävästi.
Nykyinen Traficomin ohjeistus (PDF) onkin erittäin tiukka, mutta samalla erittäin johdonmukainen.
Ensinnäkin, ainoastaan välttämättömät evästeet saa asettaa ilman käyttäjän suostumusta. Välttämättömiksi evästeiksi luetaan käytännössä vain sellaiset evästeet, joita ilman verkkosivusto ei pysty toimimaan käyttäjän haluamalla tavalla. Tällaisiksi voidaan lukea vaikkapa sisäänkirjautumisen tiedot tallettavat evästeet sähköpostipalvelussa, jossa sisäänkirjautuminen omaan sähköpostilaatikkoon on täysin oleellista koko palvelun toiminnan kannalta. Myös vaikkapa Facebookiin kirjautumisen yhteydessä asetettava, sisäänkirjautumisen muistava eväste laskettaneen tällaiseksi.
Vastaavasti hyvin harvat muut evästeet voidaan ajatella välttämättömiksi sivustojen toiminnan kannalta.
Kaikkiin muihin evästeisiin pitää pyytää käyttäjältä lupa.
Traficom itse ilmaisee asian näin:
Suostumusta ei lain mukaan tarvitse pyytää niin kutsuttuihin välttämättömiin evästeisiin eli silloin:
- jos tietojen tallentamisen tai käytön ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai
- tietojen tallentaminen ja käyttö on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.
Jos käyttäjä kieltäytyy muista kuin välttämättömistä kekseistä, hänen pitää pystyä käyttämään palvelua silti. Teknisesti vaikein on vaatimus siitä, että käyttäjän kieltäydyttyä muista kuin "pakollisista" evästeistä, sivuston pitää myös oikeasti estää niiden asettuminen käyttäjän selaimeen.
Asia voi kuulostaa yksinkertaiselta, mutta se on oikeasti todella monimutkainen prosessi. Käytännössä sivuston pitää pystyä välittämään tieto kaikille ulkoisille yhteistyötahoilleen reaaliajassa siitä, että käyttäjä on kieltäytynyt evästeiden asettamisesta. Käytännössä ainoa standardoitu tapa tähän on käyttää IAB Europen luomaa suostumuksen välitysmekanismia, jonka avulla tieto voidaan varmuudella välittää mm. mainosverkoille, YouTubelle ja muille toimijoille, joiden sisältöä sivustoilla usein on upotettuna.
Usein evästeistä kieltäytyminen näkyy käytännössä niin, että sivustolla olevat upotetut YouTube-videot eivät toimi eivätkä sosiaalisen median upotukset näy. Näin toimivat etenkin monet amerikkalaiset mediatalot, jotka ovat todenneet tämän olevan helpoin tapa varmistua siitä, että evästeitä ei vahingossa aseteta käyttäjän selaimeen ulkopuolisen upotteen mukana.
GDPR:n alkuaikoina näkyi paljon ratkaisuja, joissa sivuilla oli vain "Käytämme keskejä, onko tämä ok?" -tyylinen kysely, joka ei oikeasti tehnyt itsessään mitään. Eli vastaamalla kysymykseen mitä tahansa, sillä ei ollut teknistä vaikutusta evästeiden asettumiseen. Näin omakin sivustomme, AfterDawn, toimi usean vuoden ajan.
Teknisen monimutkaisuuden vuoksi lähes kaikki mediat ovat siirtyneet käyttämään ulkopuolisia evästekyselyiden tarjoajia: pienimmät sivut, kuten oma sivustomme, käyttävät Googlen evästekyselyä, joka on sivustolle ilmainen ja toimii IAB Europen sääntöjen mukaan.
Muista kuin välttämättömistä evästeistä kieltäytyminen saattaa näkyä upotteiden (embed) katoamisena sivuilta. Tällöin vaikkapa uutisartikkelissa upotettuna oleva video ei näy lainkaan. Taustalla tähän on usein se, että upotteen tarjoava taho - vaikkapa YouTube - vaatii evästeiden asettamista "vastineena" upotusmahdollisuudesta.
Toisekseen mainonnan kohdennus heikkenee, kun käyttäjän profiilin mukaisia mainoksia ei voida näyttää. Eli mainoksia siis näkyy aivan sama määrä, kieltäytyi evästeistä tai ei, mutta mainokset eivät ole kohdennettuja. Käytännössä tällöin mainonta liikahtaa halvimpaan haarukkaan, joka tarkoittaa usein "Työskentele kotoa ja tienaa kymppitonni kuukaudessa" ja "Sinkut lähelläsi" -tyylistä mainontaa.
Mainontahan on nykyisin lähes täysin ohjelmalliseen ostamiseen pohjautuvaa, eli jokainen mainosnäyttö myydään reaaliajassa eniten maksavalle - ja hinta pohjautuu siihen, miten kiinnostava silmäpari vastapuolella on. Jos mainosverkko tietää, että olet hiljattain etsiskellyt lentohintoja rantakohteeseen, olet hyvinkin kiinnostava lomamatkojen mainostajien kannalta. Jos taas mitään tietoa sinusta ei ole, kun evästeistä ei voida päätellä kiinnostuksen kohteitasi, tarjotaan halvempaa, ylläkuvattua "bulkkimainontaa".
Tämä on kriittinen kohta Traficomin ohjeissa ja kohta, jota lähes kaikki kotimaiset suuret mediat rikkovat. Traficom linjaa ohjeessaan, että käyttäjän pitää voida hylätä kaikki ei-välttämättömät evästeet yhtä helposti kuin ne voisi myös hyväksyä.
Käytännössä se tarkoittaa sitä, että Hyväksyn ja Hylkään -painikkeet pitää näyttää yhtä isoina nappeina, yhtä selkeästi ja niitä ei saa piilottaa valikoiden taakse. Useat mediat tarjoavat vain "Hyväksy kaikki" ja "Asetukset" -vaihtoehdot. Asetusten takaa kuluttaja voi sitten yksi kerrallaan ruksia asetettavia evästeitä pois käytöstä. Tämä on vastoin Traficomin ohjeistusta.
Traficomin ohjeistus sanoo asiasta tarkalleen ottaen näin:
Lisäksi kieltäytymisen tulee olla yhtä helppoa kuin suostumuksen antamisen. Tällä tarkoitetaan evästeiden tapauksessa sitä, että suostumuksen antamisen ei-välttämättömien evästeiden käyttöön ei tule olla yksinkertaisempaa, kuin niiden käytöstä kieltäytymisen. Esimerkkinä tästä voi olla, että jos suostumusmekanismin ylimmällä tasolla esitetään hyväksy tai salli kaikki -valinta, jolla annetaan lupa kaikkien eivälttämättömien evästeiden käyttöön, niin sen rinnalla tulisi antaa valinta jatka välttämättömillä tai kieltäydy muista kuin välttämättömistä, jolloin suostumuksen antaminen ja kieltäytyminen ovat yhtäläisen helposti tehtävissä. Näiden valintojen lisäksi käyttäjälle tulisi lisäksi antaa vaihtoehtoja tehdä tarkempia valintoja eri tyyppisten evästeiden suhteen.
Teimme pienen kokeilun suurten kotimaisten medioiden sivuilla ja tarkistimme, miltä evästekysely milläkin sivustolla näyttää, kun sivulle siirtyy "puhtaalla" selaimella. Alla tulokset.
Puhtaat paperit saivat:
Puhtaat paperit saaneilla sivustoilla oli tarjolla vaihtoehtona yleensä "Hyväksy kaikki" ja "Vain välttämättömät" tai niiden eri sanamuotoja. Vaihtoehdot olivat tarjolla suoraan esiin aukeavassa evästekyselyssä, ilman tarvetta valikoihin siirtymiselle. Tämä täyttää Traficomin vaatimukset.
Nämä sivustot rikkovat lakia:
Yhtä vaille kaikilla mainituilla sivustoilla evästekysely oli tarjolla, mutta niiltä puuttui painike "Hylkää kaikki" / "Vain välttämättömät", joka pitäisi olla tarjolla suoraan ruudulle ponnahtavassa kyselylaatikossa.
Käytännössä kaikki mediakonsernien sivustot noudattivat konsernin sisällä samaa linjaa: Sanoman, Alman, Keskisuomalaisen, Pop Median ja Kalevan omistamat uutissivustot olivat kaikki toiminnaltaan yhteneviä: käyttäjälle tarjottiin mahdollisuus hyväksyä joko kaikki evästeet tai siirtyä asetuksiin, jossa evästeitä voi yksi kerrallaan sallia tai kieltää. Ainoan poikkeuksen tähän teki hämmentävästi TS-Yhtymä, jonka omistama Turun Sanomat noudatti lakia, mutta yhtiön toinen uutismedia Salon Seudun Sanomat puolestaan ei noudattanut lakia.
Mielenkiintoinen seikka on myös se, että kaikki testaamamme puoluelehdet eli Demokraatti (SDP), Verkkouutiset (kokoomus), Suomenmaa (keskusta) ja Suomen Uutiset (perussuomalaiset) rikkoivat lakia tässä suhteessa. Perussuomalaisten Suomen Uutiset oli itse asiassa ainoa testattu sivusto, joka ei tarjonnut keskikyselyä lainkaan, vaikka sivustolla on mm. Facebookin upotteita sivupalkissaan - eli Facebook asettaa käyttäjän selaimeen omat evästeensä automaattisesti.
Lisäksi mm. useat kodinelektroniikkaa myyvät kaupat näyttävät vain "Hyväksy" ja "Asetukset" -vaihtoehdot. Useimmat julkishallinnon toimijat, kuten kaupungit, kunnat ja virastot, noudattavat jo Traficomin ohjeistusta kuuliaisesti.
Rikkooko se lakia, että ei näytä "Hylkää" tai "Vain välttämättömät" -painiketta suoraan evästekyselyn päänäkymässä? Itse asiassa rikkoo, sillä Traficom on tehnyt päätöksen asiasta hiljattain (PDF), tarkalleen ottaen 8.6.2023. Päätöksessä se katsoo Sanoma Median Finlandin rikkovan lakia evästeistä usealla eri tavalla.
Yksi Traficomin nostoista on juurikin se, että Sanoma ei tarjoa evästekyselyn ensimmäisellä tasolla mahdollisuutta kieltäytyä muista kuin välttämättömistä evästeistä. Lisäksi Sanoma on tulkinnut "välttämättömien" evästeiden käsitettä Traficomin mielestä liian laajasti.
Sanomalla on aika antaa vastine Traficomille päätöksestä kolmen kuukauden kuluessa päätöksestä, eli syyskuun 2023 alkuun mennessä.
Olemme pyytäneet kommmenttia aiheeseen myös Traficomilta, täydennämme artikkelia, kun saamme heiltä palautetta.