Netinkäyttäjiä vuosikausia ärsyttäneet evästelaatikot jäävät pian historiaan, mikäli uutta EU:n sähköisen viestinnän tietosuoja-asetusta on uskominen. Asetus astuu voimaan 25.5.2018 yhtä aikaa EU:n yleisen tietosuoja-asetuksen kanssa.
EDIT 4.10.2019! EU:n sähköisen viestinnän tietosuoja-asetusta on hiottu yli kaksi vuotta, eikä se ole astunut vielä voimaan. Kohua herättänyt EU:n tuomioistuimen ennakkoratkaisu lokakuulta 2019 ei muuta evästekäytäntöjä silloin, kun evästeet ovat välttämättömiä verkkokaupassa asioinnin kannalta.
Evästeiden tallentamiseksi käyttäjän tietokoneelle on aiemmin vaadittu käyttäjän tietoinen suostumus, jos evästeet ovat olleet verkkosivuston käytön kannalta tarpeettomia. Suomessa on aiemmin tulkittu niin, että selaimen asetus riittää suostumukseksi. Euroopassa on tulkittu toisin ja suomalaiset yritykset ovatkin ottaneet sieltä mallia.
Ennen kaikkea evästelaatikoita on kuitenkin näytetty turhaan. Esimerkiksi verkkosivuston käyttöä helpottavien evästeiden tallentaminen on ollut valmiiksi sallittua EU:n tietosuojadirektiivin 2002/58/EC artiklan 5 kohdan 3 perusteella. Lainaus direktiivistä:
…tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.
Evästelaatikoissa on toistunut nerokkaasti muotoiltu lause: ”käytämme evästeitä käyttökokemuksen parantamiseksi.” Tosiasiallisesti käyttäjän liikkeitä on vakoiltu lähestulkoon kaikilla mahdollisilla kolmannen osapuolen evästeillä.
EDIT 4.10.2019! ”Helpottaminen” poistettiin artiklan 5 kohdasta 3 vuonna 2009. Voisiko tässä olla syy sille, miksi tuo ärsyttävä käyttökokemus-sana tuli noihin Selvä! -tyyppisiin passiivisiin evästelaatikoihin? ”Ehdottoman välttämätön” jäi voimaan.
Sääntöjä kevennetään
Jatkossa selaimen evästeasetus riittää suostumukseksi kaikkialla EU:n alueella eikä evästelaatikkoa tarvitse näyttää. Samalla kävijäseurannassa käytettävät evästeet poistuvat suostumuksen piiristä, eli sellaiset evästeet sallitaan ilman käyttäjän suostumusta.
EDIT 27.4.2018! Vaikuttaa siltä, että Google Analytics -kävijäseurannan käyttäminen verkkosivustolla edellyttää nimenomaisen suostumuksen hankkimista seurantaan ylipäänsä, mutta juju on siinä, ettei evästeiden käytölle tarvitse pyytää siinä yhteydessä erillistä lupaa. Tämä selvennyksenä… 🙂
Uudistus keventää verkkosivustojen ylläpitäjien työmäärää ja aiheuttaa vastapainoksi lisätyötä vain muutamille selainten valmistajille. Kustannussäästöt EU:n alueella toimiville yrityksille ovat merkittävät. Tämä on kerrankin erinomainen uudistus.
”Yksinkertaisemmat säännöt evästeistä: Evästeiden käytön säännöt ovat johtaneet siihen, että internetin käyttäjät hukkuvat suostumuspyyntöihin. Nyt sääntöjä kevennetään. Uusien sääntöjen myötä omat asetukset ovat käyttäjillä paremmin hallinnassa, sillä asetusten avulla on helppoa hyväksyä tai hylätä evästeitä ja muita tunnisteita, kun yksityisyyden suojaan kohdistuu riskejä. Ehdotuksessa selvennetään, että suostumusta ei edellytetä, jos eväste ei ole tungetteleva vaan sillä varmistetaan internetin käyttäjien käyttökokemus – esimerkiksi ostoskorin historiatietojen muistaminen. Suostumusta ei myöskään enää edellytetä, jos kyseessä ovat kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet.” — Euroopan komission lehdistötiedote tammikuulta 2017
Yhtä asiaa en ymmärrä
Miten verkkosivusto saa tallennettua käyttäjän tietokoneelle näitä ”ei-tungettelevia” tai ”kävijämäärän laskentaan tarkoitettuja” evästeitä, jos käyttäjä ei ole sallinut evästeitä selaimen asetuksissa?
Tähän asti evästeet on luokiteltu ensimmäisen osapuolen ja kolmannen osapuolen evästeisiin. Luodaanko evästeille jonkinlainen moniportainen luokitusjärjestelmä ja käyttäjä voi rastitella niitä päälle ja pois? Mutta kuka sitten valvoo, että verkkosivusto käyttää evästeitä vain omassa luokassaan?
Kyllä tämä tästä selviää… en ole vielä ehtinyt. Mutta ei sen puoleen. Ei mun tarvi.