Eväste on pieni määrä dataa, joka tallennetaan käyttäjien selaimiin kun he vierailevat verkkosivustoilla. Evästeiden avulla yritykset ovat jo pitkään seuranneet verkkosivustojen käyttöä (analytiikkaa), markkinointitoimenpiteiden tehokkuutta sekä sijoitetun pääoman tuottoa (ROI). Usein juuri edellä mainitut evästeet ovat kolmannen osapuolen hallinnoimia, mutta evästeet voi myös toimia osana digitaalisen palvelun oleellisia toiminnallisuuksia tallentamalla käyttäjän tekemiä valintoja esimerkiksi verkkokaupassa.
Koska verkkopalveluissa saatetaan käyttää jopa useita kymmeniä eri evästeitä, asetetaan nämä monesti niin sanottuihin kategorioihin, joka auttaa kuluttajia näkemään mitkä evästeet ovat käytössä. Tämän lisäksi EU:n tietosuoja-asetus (GDPR) ohjaa yrityksiä olemaan entistäkin avoimempia evästeiden käytöstä ja antaa kuluttajille mahdollisuuksia vaikuttamaan oman henkilödatan käsittelyssä.
Suomessa Liikenne- ja viestintävirasto Traficom valvoo sähköistä viestintää, joka myös kattaa evästeiden ja tietojen tallentamista kuluttajapalveluissa. Viime syksynä Traficom julkaisi ohjeet palveluntarjoajille, jossa he antavat päivitettyä tietoa, miten asiakastietoa kannatta tallentaa sekä hyviä käytäntöjä.
Tässä blogikirjoituksessa olemme keränneet oleelliset osat Traficomin ohjeesta valmiiksi pureskeltuna.
Parhaat käytännöt evästeiden käytöstä digitaalisissa palveluissa
- Kieltäytymisen tulee olla yhtä helppoa kuin suostumuksen antamisen
- Suostumuksen pyytämiseen käytettävän mekanismin osalta tulee myös varmistaa, että sillä on mahdollista kontrolloida kaikkia palvelussa käytössä olevia ei-välttämättömiä evästeitä, myös kolmansien osapuolien asettamia evästeitä
- Suostumuksen pyytämiseen käytettävällä mekanismilla ei tule kuitenkaan kohtuuttomasti häiritä ja estää käyttäjän pääsyä sivustolle tai palveluun
- Pätevänä suostumuksen antamisen osoituksena ei voida myöskään pitää palvelun yleisiä käyttöehtoja ja niiden hyväksymistä tai palvelun käytön jatkamista, vaan suostumuksen hankkimisen tulee olla näistä erillinen toimi, joka on vapaaehtoinen, tietoinen, yksilöity ja yksiselitteinen tahdonilmaisu
- Evästebannerissa ei saa olla valmiiksi raksittuja ruutuja tai "päällä" asennossa olevia liukukytkimiä ei-välttämättömien evästeiden osalta
- Suostumuksen peruuttamisen tai jo annettujen asetusten muuttamisen tulee onnistua käyttäjän kannalta mahdollisimman yksinkertaisella tavalla
- Evästeistä ja muusta tietojen käytöstä tai tallentamisesta, joka edellyttää käyttäjän suostumusta, on informoitava kattavasti ja ymmärrettävästi käyttäjiä siinä yhteydessä, kun käyttäjä tekee valintoja suostumuksen antamiseksi, antamatta jättämiseksi tai peruuttamiseksi.
- Palveluntarjoajan tulee kyetä jälkikäteen osoittamaan saamansa suostumus evästeiden ja muiden näihin rinnastettavien tietojen tallentamiselle ja käytölle.
Suostumuksen osoittamiseksi on vähintään tarpeen tallentaa:- ajanhetki, jolloin suostumusta pyydettiin ja se saatiin,
- miten suostumusta pyydettiin,
- mitä tietoja suostumuksen antamista varten annettiin, sekä
- tarpeelliset tunnistetiedot sen osalta, kenen toimesta tai miltä laitteelta suostumus annettiin
Lähde: Traficom (2021)
Kuten ohjeista ilmenee on siis syytä tarkkaan harkita miten evästeitä käytetään ja mitä mahdollisuuksia annetaan kuluttajille näiden hallintaan. Verkkoselaimet tiukentavat jatkuvasti asetuksiaan, joka tarkoittaa, että kolmannen osapuolen evästeiden hyödyntäminen tulee loppumaan tulevaisuudessa. Tämän takia yritykset ovatkin jo ryhtyneet miettimään ratkaisuja haasteisiin ja rakentavat tähän liittyvää tietoinfraa.