Traficom julkaisi päivityksiä evästekäytäntöihin – huomioi nämä tekijät verkkokaupassasi

13.9.2021 voimaan astuneen Traficomin uuden ohjeistuksen myötä verkkosivustojen evästevaatimukset tarkentuvat. Tässä artikkelissa kerromme, miten uudet ohjeistukset näkyvät verkkosivustoilla ja mitä MyCashflow-verkkokauppiaan tulee jatkossa huomioida.

Uutiset

Traficom julkaisi päivityksiä evästekäytäntöihin – huomioi nämä tekijät verkkokaupassasi

13.9.2021 voimaan astuneen Traficomin uuden ohjeistuksen myötä verkkosivustojen evästevaatimukset tarkentuvat. Tässä artikkelissa kerromme, miten uudet ohjeistukset näkyvät verkkosivustoilla ja mitä MyCashflow-verkkokauppiaan tulee jatkossa huomioida.

Julkaistu
29.9.2021
Kategoriassa
Uutiset

Traficomin uusi ohjeistus 13.9.2021 alkaen

Liikenne- ja viestintävirasto Traficom on julkaissut 13.9.2021 uuden ohjeistuksen koskien evästeiden käyttöä verkkosivuilla. Traficomin mukaan opas ei ole juridisesti velvoittava, mutta poiketessaan ohjeistuksesta palveluntarjoaja kantaa itse riskin toimintansa mahdollisesta lainvastaisuudesta. Uusi opas on luettavissa Traficomin sivuilla.

Traficomin oppaassa annetaan ohjeistukset seuraavista evästeiden käyttöön liittyvistä asioista: 

  • millä tavoin evästeitä saa käyttää verkkosivustoilla
  • miten evästeiden käyttöön täytyy pyytää lupa

Mitä vaikutuksia uudella ohjeistuksella on verkkosivustojen kannalta?

Traficom on Suomessa toimivaltainen viranomainen, joten sen antamaa ohjeistusta evästeiden käytöstä on noudatettava kaikilla suomalaisilla verkkosivustoilla – niin kaupallisilla kuin ei-kaupallisillakin. Koska käytännössä lähes jokaisella verkkosivustolla (sekä Suomessa että ulkomailla) hyödynnetään evästeitä, ohjeistus koskee kaikki sivustoja.

Tärkein ja näkyvin vaikutus uudella ohjeistuksella on se, että evästeiden käyttöön on jatkossa pyydettävä lupa käytännössä kaikilla verkkosivustoilla. Vaikka lupakyselyt ovatkin lisääntyneet selvästi aiempina vuosina, uuden linjauksen myötä verkkosivustojen käyttäjät tulevat todennäköisesti kohtaamaan kyselyitä jatkossa yhä useammin.

Traficomin uudella ohjeistuksella on selkeitä vaikutuksia etenkin seuraaviin käytäntöihin:

  • Jatkossa käytännössä kaikilla verkkosivustoilla on otettava käyttöön evästeiden hyväksyntäpalvelu
  • Evästeiden hyväksymistä koskeva kysely ei saa estää verkkosivuston käyttöä ja kyselyssä on tarjottava mahdollisuus kieltäytyä evästeistä
  • Osa verkkosivustojen toiminnoista ovat jatkossa voimassa vain niillä kävijöillä, jotka ovat hyväksyneet sivuston evästekäytännöt
  • Jatkossa suuri osa kävijöistä tulee todennäköisesti käyttämään verkkosivustoja pelkillä välttämättömillä evästeillä
  • Kävijöiden yksityisyyden kunnioittaminen lisääntyy kävijäseurantapalveluissa, mikä puolestaan voi vaikuttaa Google Analyticsin valta-asemaan alan toimijana. Google Analyticsin kävijätilastoihin tallentuu jatkossa vähemmän kävijädataa kuin ilman evästeiden hyväksyntäkyselyn käyttöönottoa, koska kaikki kävijät eivät tule hyväksymään ei-välttämättömien evästeiden käyttöä. Näin ollen vanhat kävijätilastot eivät välttämättä ole vertailukelpoisia uusien kanssa

Uudistuksella tulee olemaan näkyviä vaikutuksia nimenomaan globaalien teknologiayhtiöiden, kuten Googlen tarjoamiin palveluihin. Näitä palveluita verkkosivustojen omistajat ovat voineet käyttää ilmaiseksi, mutta maksuttomuuden seurauksena Google yhdistää palveluihinsa erilaista kävijäseurantaa, joka perustuu nimenomaan evästeisiin. Tämänkaltaiseen evästeseurantaan Traficom haluaa uuden ohjeistuksen myötä puuttua entistä tiukemmalla otteella.

Mihin evästeisiin on pyydettävä lupa?

Yleinen edellytys evästeiden tallentamiselle ja käytölle on, että käyttäjä on antanut siihen suostumuksensa. Traficomin uuden ohjeistuksen mukaan kävijältä tulee jatkossa pyytää lupa useisiin sellaisiin evästeisiin, joita sivustoilla on perinteisesti käytetty ilman luvan kysymistä.

Traficomin ohjeistuksessa evästeet jaetaan välttämättömiin ja ei-välttämättömiin evästeisiin, joiden välillä on erilaisia käytäntöjä luvan tarpeellisuuteen. Se, ovatko evästeet välttämättömiä, arvioidaan aina kyseisen palvelun näkökulmasta. Välttämättömyyden arvioinnissa evästeiden avulla kerättävien tietojen käyttötarkoituksella on ratkaiseva merkitys – ei niinkään sillä, minkä tyyppinen tai niminen eväste on kyseessä.

Välttämättömiksi evästeiksi luokitellaan Traficomin mukaan sellaiset evästeet, joiden tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai jotka ovat välttämättömiä sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Käyttäjän syötteisiin, kuten verkkokaupan ostoskorin tai lomakkeen sisällön tallentamiseen liittyvät evästeet ovat Traficomin oppaassa luokiteltu välttämättömiksi, joten niihin ei tarvitse pyytää erillistä lupaa. Näihin liittyy usein joku käyttäjän tekemä toimenpide, jonka mahdollistaminen voidaan tulkita sellaiseksi palveluksi, jota käyttäjä nimenomaisesti pyytää.

Välttämättömät evästeet, joihin ei tarvitse pyytää lupaa käyttäjältä: 

  • Käyttäjän syötteisiin liittyvät evästeet, esimerkiksi ostoskorin tai lomakkeen sisällön muistaminen – myös pysyväisluonteisesti
  • Tietoturvaan liittyvät evästeet
  • Saavutettavuutta edistävät evästeet 
  • Käyttäjän evästeasetukset tallentavat evästeet 
  • Käyttäjän mieltymyksiin ja personointiin liittyvät evästeet, jos ne palvelevat kävijää
  • Sisäänkirjautumiseen liittyvät istuntokohtaiset evästeet ja pysyväisluonteiset evästeet, jos ne palvelevat kävijöitä ja edustavat palvelua mitä kävijä pyytää (etenkin jos kävijä voi itse tehdä muistamisvalinnan) 
  • Sellaiset analytiikkaevästeet, jotka ovat erityisen välttämättömiä, tieto ei välity kolmannelle osapuolelle eikä yksittäistä kävijää voida tunnistaa tietojen perusteella

Ei-välttämättömät evästeet, joihin on pyydettävä lupa käyttäjältä

  • Analytiikkaevästeet (esim. Google Analytics). Tämä vaatimus ei ole voimassa silloin, jos analytiikka on erityisen välttämätöntä, tiedot eivät välity kolmannelle osapuolelle (kuten Google Analyticsissä), eikä yksittäisiä kävijöitä voi tunnistaa  
  • Mainonnan ja markkinoinnin kohdentamiseen liittyvät evästeet 
  • Sosiaalisen median palveluihin liittyvät evästeet, mikäli kävijä ei käytä ominaisuuksia tai ole kirjautunut kyseiseen sosiaalisen median palveluun
  • Käyttäjän laitteesta hankittavaa informaatiota keräävät evästeet (esim. muu kuin IP-osoite), mikäli niillä tähdätään laitteen tai kävijän profilointiin 
  • Chat-palveluun tai muuhun reaaliaikaiseen kommunikaatioon liittyvät evästeet, jos ne asetetaan ilman että kävijä avaa chat-toimintoa 
  • Laitteen tarkan sijaintitiedon tallentavat evästeet 
  • Käyttäjän mieltymyksiin ja personointiin liittyvät evästeet, mikäli kävijä ei ymmärrä palvelun olevan personoituva
  • Pysyväisluonteiset evästeet, mikäli ne eivät selkeästi palvele kävijää
  • Ulkoisista palveluista sivustolle upotettuihin sisältöihin liittyvät evästeet

Millä tavoin lupa evästeiden käyttöön tulee pyytää?

Traficomin oppaassa annetaan tarkat ohjeet siitä, millä tavoin lupa evästeiden käyttöön tulee kävijältä pyytää. Kun kävijältä pyydetään lupa evästeiden käyttöön, seuraavat asiat tulee ottaa huomioon: 

  • Ei-välttämättömät evästeet saadaan ottaa käyttöön vasta siinä vaiheessa, kun kävijä on antanut luvan niiden käyttöön 
  • Kävijälle tulee kertoa selkeästi, mihin tarkoituksiin evästeitä verkkosivustolla käytetään 
  • Sekä evästeiden hyväksymis- että kieltämisnapin on oltava jatkossa selkeästi näkyvissä. Evästeistä kieltäytymisen tulee olla yhtä helppoa kuin niiden salliminen
  • Suostumus evästeiden käyttöön tulee voida peruuttaa helposti milloin tahansa. Suostumuksen peruuttamisen tai jo annettujen asetusten muuttamisen tulee onnistua käyttäjän kannalta mahdollisimman yksinkertaisella tavalla
  • Evästeistä on informoitava selkeästi siinä yhteydessä, kun käyttäjä tekee valintoja suostumuksen antamiseksi, antamatta jättämiseksi tai peruuttamiseksi
  • Käyttäjän suostumusta voidaan pyytää esimerkiksi bannerilla tai ponnahdus- eli ns. pop-up-ikkunalla, joka avautuu sivustolle palveluun saavuttaessa
  • Lupakysely ei saa estää sivuston käyttöä. Tämä tulee huomioida etenkin mobiilinäkymässä, jossa evästeruutu helposti estää tai vaikeuttaa sivuston käyttöä 

Evästekäytännöt MyCashflow-verkkokaupoissa

Tähän saakka evästeiden lupakyselyihin liittyvät käytännöt ovat vaihdelleet suuresti MyCashflow-verkkokauppiaiden keskuudessa: osa kauppiaista on käyttänyt evästeiden hallintaan tarkoitettuja ulkoisia palveluita, osa staattisia pop-up-ilmoituksia ja osalla kauppiaista lupakyselyä ei ole ollut käytössä lainkaan.

MyCashflow-verkkokaupoissa vaaditaan vähintään yksi välttämätön eväste, jonka avulla kerätään palvelun kannalta välttämätöntä tietoa esimerkiksi käyttäjän selaushistoriasta (viimeksi katsotuista tuotteista) ja ostoskoriin lisätyistä tuotteista.

Verkkokauppojen lomakkeiden yhteydessä käytettävä Google reCAPTCHA hyödyntää niin ikään välttämättömiä evästeitä, jotta se voi käyttää yksilöivää tunnistetta seurantatarkoitukseen. Google reCAPTCHA on suojauspalvelu, joka suojaa verkkosivustoa roskapostilta ja väärinkäytöksiltä. Palvelu hyödyntää toiminnassaan tekniikoita, joilla se erottelee ihmiskäyttäjät ja botit toisistaan. 

Samoin kuin verkkokauppojen tietosuojaselosteiden yhteydessä, vastuu evästeluvan kysymisestä on aina verkkokauppiaalla itsellään, sillä MyCashflow palveluntarjoajana ei voi valvoa asiakkaitaan evästekäytännöissä. Kuten tähänkin saakka, neuvomme ja ohjeistamme mielellämme myös jatkossa evästeiden käyttöön liittyen.

Onetrust ja muut ulkoiset palvelut verkkokauppiaan tukena

Suosittelemme kaikille MyCashflow-verkkokaupoille ulkoisen palvelun tarjoamaa evästeidenhallinnan ratkaisua, jonka avulla verkkokauppias voi täyttää kaikki Traficomin asettamat vaatimukset evästeiden käytöstä. Koska evästesuostumuksen perumisen tulee olla yhtä helppoa kuin luvan antaminen, ominaisuuden toteuttaminen onnistuu helpoiten ulkoisen palvelun avulla.

Yksi vaihtoehto tähän on Onetrust, jonka kautta on saatavilla oma lisäosa verkkokaupan evästeiden hallinnan mahdollistamiseksi. Onetrustin palvelu on ilmainen yhdelle verkkotunnukselle ja sen voi ottaa käyttöön rekisteröitymällä palvelun verkkosivuilta löytyvällä lomakkeella.

Palvelun aktivoinnissa kestää yleensä noin 1-2 arkipäivää, jonka jälkeen OneTrust lähettää aktivointiviestin tilaajalle sähköpostitse. Kun olet aktivoinut palvelun, voit kirjautua OneTrust-palvelun hallintatyökaluun määrittämään evästebannerin asetuksia.

Käytön helpottamiseksi olemme kirjoittaneet ohjeistuksen Onetrust-palvelun käyttöön. Ohje kannattaa lukea huolella, jotta palvelun käyttöönotto sujuisi mahdollisimman helposti.

MyCashflow-verkkokauppiaat voivat käyttää oman harkinnan mukaan myös muita evästeiden hallintaan liittyviä palveluntarjoajia. 

Verkkokauppiaan kannattaa myös huomioida, että Traficomin uusi ohjeistus ja siinä esitetyt esimerkkitapaukset eivät ole tyhjentäviä, vaan ne tulevat päivittymään, kun asiaan liittyvä tekniikka tai oikeuskäytäntö kehittyvät. Tämän vuoksi tilannetta kannattaa seurata tiiviisti myös jatkossa.

Lue lisää aiheesta:

Verkkokauppa vuodeksi -50 % – aloita jo tänään!

Nyt saat monipuolisen ja helppokäyttöisen MyCashflow-verkkokaupan ensimmäisen vuoden kuukausimaksut puoleen hintaan, kun perustat verkkokauppasi 30.9.2021 mennessä ja valitset kauppaa perustaessasi vuosilaskutuksen.

Valitse palvelupaketti ›