Traficomin uusi evästeohjeistus - mikä muuttuu?

Vuoden 2021 huhtikuussa Helsingin hallinto-oikeus teki tietosuojaa koskevan ratkaisun, jolla oli kaksi merkittävää seurausta:

  • Hallinto-oikeuden mukaan Traficom on evästekäytäntöjä valvova viranomainen, eikä tietosuojavaltuutettu
  • Traficom joutuisi kuitenkin uudelleen toteuttamaan evästekäytäntöjä koskevan ohjeistuksena niin, että se on linjassa yleisen tietosuoja-asetuksen kanssa.

Aiemmin oli ollut epäselvää, kuka evästekäytäntöjä valvoo ja minkä viranomaisen ohjeistusta noudatetaan. Traficomin voimassa olleen ohjeistuksen mukaisesti evästeet saattoi hyväksyä selainasetuksilla. Samaan aikaan apulaistietosuojavaltuutettu oli tulkinnut olevansa asiaa valvova viranomainen ja antanut yrityksille toisenlaisia määräyksiä.

Hallinto-oikeuden ratkaisun jälkeen Traficom julkaisi uudet evästeohjeistukset syykuun 16 päivä.

Tämä aiheuttanee muutosprojekteja useissa organisaatoissa, sillä moni yritys on totetuttanut evästehyväksynnän tavalla, joka ei ole linjassa Traficomin nykyisen ohjeistuksen kanssa.

Mitä Traficomin ohjeistuksessa sanotaan?

Evästeiden käyttöä sääntelee laki sähköisen viestinnän palveluista.

Pykälän 205 mukaan "evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa".

Tämä ei kuitenkaan "koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä [...] tai joka on välttämätöntä [...] sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt."

Laissa on kolme olennaista kohtaa: 1) Suostumus, 2) välttämättömyys ja 3) evästeet ja miten se määritellään.

Suostumuksen tulkinta

Nykyisessä Traficomin ohjeistuksessa suostumus tarkoittaa tietoista, aidosti vapaaehtoista ja yksiselitteistä tahdonilmaisua. Lisäksi suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.

Tämä tarkoitaa käytännössä, että suostumuksen antaminen ei voi vaatia useampaa klikkausta kuin kieltäytyminen.

Aiempi vallitseva käytäntö on ollut, että yritykset tekevät suostumuksen antamisesta piirun verran helpompaa kuin kieltäytymisestä.

Ihmiset eivät pidä evästebannereista ja haluavat ne vain mahdollisimman nopeasti pois tieltä. Tämä on johtanut siihen, että noin 80-95% antaa suostumuksen, koska se on nopein reitti päästä palveluun.

Uuden Traficomin ohjeistuksen noudattaminen tullee laskemaan suostumisprosentteja arvioilta 30-60% tietämille.

Jos jatkossa puolet tai yli kieltäytyy antamasta suostumusta, tällä tulee jo olemaan merkittäviä liiketoiminnallisia vaikutuksia monen yrityksen toimintoihin.

Välttämättömyyden arvionti

Traficomin ohjeistuksessa suostumus ja sille asetetut vaatimukset määritellään kohtuullisen selkeästi.

Suostumusta ei kuitenkaan tarvitse pyytää "välttämättömille" evästeille. Välttämättömyyden kriteerit ovat ainakin osin epäselviä. Traficomin ohjeistuksessa annetaan "suuntaviivoja suostumuksen tarpeellisuuden" arviointiin mutta samalla sysätään vastuuta palveluntarjoajille.

Selkeät ohjeistukset koskettavat maalaisjärjelläkin itsestäänselviä asioita: palveluun kirjautumiseen käytetyt evästeet ovat välttämättömiä kun taas vaikkapa mainonnan kohdentamiseen käytetyt evästeet eivät ole välttämättömiä.

Analytiikan osalta evästeet eivät ole lähtökohtaisesti välttämättömiä. Traficomin ohjeistuksessa mainitaan esimerkkinä EU-tuomioistuimen päätös, jossa organisaation operatiivisten mittareiden kerääminen ei ollut pätevä peruste analytiikkaevästeiden välttämättömyydelle.

Toisaalta Traficomin ohjeistuksessa kerrotaan, miten tulee menetellä jos analytiikkaevästeet halutaan katsoa välttämättömiksi: 1) tälle tulee olla selkeät perusteet ja 2) käyttäjien yksityisyydensuojasta tulee huolehtia erityisellä tarkkuudella.

Yritin kysyä Traficomilta tarkentavia kysymyksiä koskien välttämättömyyden arviontia. Voidaanko analytiikan välttämättömyyttä perustella prosessinäkökulmalla? Vai pelkästään teknisellä välttämättömyydellä yksittäisen käyttäjän näkökulmasta?

Tämä voi tarkoittaa tilannetta, jossa palveluun tuotetaan uusia sisältöjä tai toiminnallisuuksia analytiikadataan perustuen. Ilman analytiikkaa ei olisi käyttäjien nimenomaisesti pyytämää palveluakaan. Toisaalta analytiikkaevästeet eivät ole juuri kyseiselle käyttäjälle välttämättömiä palvelun teknisen toimivuuden kannalta.

Vastauksessaan Traficomin erityisasiantuntija kertoi, että "suostumus on oikeudellisesti selvin tapa". Muilta osin hän väisti kysymyksen ja toisti Traficomin ohjeistuksen asiaan liittyen.

Oletettavaa on, että jatkossa suuri osa yrityksistä tulee "irrottamaan" analytiikan ja markkinoinnin integraatiota työkalutasolla. Tämän jälkeen analytiikkaa tai ainakin osaa siitä ryhdytään tulkitsemaan välttämättömänä.

Välttämättömyyttä voitaneen perustella ainakin ongelmatilanteiden tunnistamisella: esimerkiksi tilastolliset anomaliat konversioputkien läpimenoprosenteissa tai -ajoissa voivat kertoa teknisistä tai käytettävyyteen liittyvistä ongelmista, joita ei muuten havaittaisi.

Analytiikkaa ilman evästeitä?

Traficomin ohjeistuksessa puhutaan evästeistä ja "niihin verrattavista tekniikoista". Laissa puhutaan "tietojen tallentamisesta käyttäjän päätelaitteelle ja näiden tietojen käyttämisestä".

Tämän perusteella voisi päätellä, että sellaiset tietojen keräämisen tekniikat, jotka eivät tallenna tai käytä tietoja käyttäjän päätelaitteelta, eivät myöskään kuulu sääntelyn piiriin.

Koska HTTP on ns. tilaton protokolla, niin perinteisen web-sivuston analytiikka on melko mahdotonta toteuttaa ilman päätelaitteelle tallennettuja tietoja.

Nykyään suosioon noussseet Single Page Application sovellukset ovat kuitenkin eri asia. Niissä sovellus pyydetään palvelimelta vain kerran. Siksi ne mahdollistavat melko edistyneenkin analytiikan ilman evästeitä tai muita käyttäjän päätelaitteelle tallennettavia tietoja.

Esimerkiksi A/B-testaukseen vaadittava data olisi SPA-toteutuksessa melko yksinkertaista kerätä ilman evästeitä. Vastaavassa palvelinpuolen sivustossa A/B-testaus ilman evästeitä tai vastaavia tekniikoita olisi mahdotonta.