Evästebanneri – oikeudellinen ja tekninen tausta

Evästebannerien käyttö tietosuojan mukaisesti on yksi suurimmista haasteista verkkosivujen ylläpitäjille. Jos evästebannerit halutaan suunnitella GDPR:n mukaisesti, verkkosivuston käyttäjien on voitava hyväksyä henkilötietojensa käsittely tai voitava hylätä se evästebannerin avulla. Mutta mitä sinun tulee ottaa huomioon, jos haluat käyttää evästebannereita tai evästesisältöbannereita? Mitä sääntöjä sovelletaan evästeiden käyttöön? Miltä evästebannerin tekstin tulee näyttää? Miten evästebannerit on suunniteltava teknisesti ja laillisesti?

Suostumusratkaisu mobiilisivustoille ja sovelluksille

Evästebanneri – henkilötiedot tallennetaan

Evästeitä käytetään henkilötietojen käsittelyyn. Tämä tarkoittaa , että Internetin käyttäjän laitteelle tallennetaan pieniä tekstitietoja . Käyttäjä tai hänen laitteet voidaan määrittää yksilöllisesti tällä tavalla. Tätä käytetään esimerkiksi seurantaan. Seurannan avulla seurataan käyttäjän käyttäytymistä. IP-osoitetta, selaimen sormenjälkeä tai muita kriteerejä voidaan käyttää tähän seurantaan. Koska henkilötietoja käsitellään, evästeen on oltava GDPR:n mukainen. Tässä pätee tietosuojalaki ja evästebannerin teksti on myös suunniteltava sen mukaisesti.

Mitä evästeet oikeastaan ovat?

Evästeet ovat pohjimmiltaan tekstitiedostoja, jotka verkkosivuston tarjoaja tallentaa käyttäjän tietokoneelle tai muulle päätelaitteeseen. Kun vierailet verkkosivustolla uudelleen, nämä tekstitiedostot luetaan uudelleen, jotta helpotetaan navigointia verkossa tai tapahtumia ja analysoidaan tietoja verkkosivuston vierailijoiden käyttäytymisestä. Esimerkkejä evästeiden toiminnasta ovat:

  • Sivuston vierailija tunnistetaan, tunnistetaan ja hän saa räätälöityjä mainoksia.
  • Käyttäjän kirjautumistiedot tallennetaan, jotta häntä ei tarvitse syöttää uudelleen, kun he käyvät uudelleen. Tämä helpottaa esimerkiksi takaisin kirjautumista Facebookiin.
  • ostoskoriin asetetut tuotteet tallennetaan.

Pysyä ajan tasalla!

tilaa uutiskirje

Pohjimmiltaan evästeitä on erilaisia. Tärkein ero on, että siellä on teknisesti tarpeellisia ja teknisesti ei-välttämättömiä tekstitiedostoja . Näitä kahta muunnelmaa käsitellään oikeudellisesti eri tavalla. Evästeet, jotka ovat välttämättömiä verkkosivuston toiminnan kannalta, katsotaan teknisesti tarpeellisiksi. Evästeitä pidetään teknisesti tarpeettomina, jos niitä käytetään taloudellisten etujen toteuttamiseen. Näitä ovat esimerkiksi:

  • Evästeet sosiaalisen median laajennuksista (Twitter, Facebook, Google+, Instagram, Pinterest, LinkedIn)
  • Evästeet videoiden upotussovelluksista, kuten Youtubesta
  • Kumppanuuspalveluiden evästeet
  • Evästeet uudelleenkohdistamispalveluista
  • Evästeet uudelleenmarkkinointipalveluista
  • Online-karttapalvelut, kuten Google Maps
  • Evästeet SZM:ltä (skaalautuvat keskusmittausmenetelmät)

Voit tehdä toisen eron evästeillä ja jakaa ne välttämättömiin evästeisiin, analyysievästeisiin ja markkinointitarkoituksiin tarkoitettuihin evästeisiin.

  • Välttämättömät evästeet ovat kaikkia verkkosivuston toiminnan edellyttämiä evästeitä. Suostumus ei ole pakollinen tämän tyyppisille evästeille.
  • Analyysievästeet ovat Google Analyticsin, Matomon tai etrackerin evästeitä – eli työkaluja, jotka analysoivat kävijöiden käyttäytymistä. Nämä vaativat yleensä hyväksynnän.
  • Markkinointievästeitä käytetään aina verkkomainonnassa. Nämä työkalut tallentavat verkkosivuston vierailijoiden kiinnostuksen kohteet, jotta räätälöityjä mainoksia voidaan näyttää käyttäjille eri verkkosivustoilla. Facebook Pixel, Google Remarketing ja Google Adsense ovat näitä työkaluja. Jos haluat käyttää näitä työkaluja, tarvitset aina verkkosivuston vierailijan suostumuksen.

Evästebanneri – teknisesti tarpeelliset ja teknisesti ei-välttämättömät evästeet

Teknisesti tarpeellisia evästeitä voitiin asettaa pitkään ilman käyttäjän suostumusta. Toisaalta sellaisten evästeiden asettamiseen, jotka eivät olleet teknisesti tarpeellisia, piti aina saada käyttäjän suostumus. Laki antaa nyt paljon tiukempia säännöksiä . Jos eväste on GDPR:n mukainen, käyttäjän on lähes aina annettava suostumuksensa. Tämä tarkoittaa, että lähes kaikkien evästeiden asettamiseen on annettava suostumus . Evästebannerin tulee siis olla saatavilla paitsi silloin, kun evästeitä käytetään mainontatarkoituksiin, myös mukavuustoimintojen toteuttamiseksi.

Jos esimerkiksi käyttäjän kieliasetus tallennetaan, eväste tulee suunnitella GDPR:n mukaisesti. Lainsäädännön tarkoituksena on varmistaa, että sekä käyttäjän henkilötiedot suojataan että hänen itsemääräämisoikeutensa säilyvät. Vaikka teknisesti tarpeellisten ja teknisesti tarpeettomien evästeiden asettaminen erotetaan edelleen toisistaan, näitä kahta muunnelmaa ei aina ole mahdollista erottaa selvästi toisistaan. Jos haluat toimia lain mukaisesti, sinun tulee suhtautua konservatiivisesti ja käyttää evästebannereita, joissa on läpinäkyvää tietoa evästeiden käytöstä . Evästebanneri, jossa on vastaava evästebannerin teksti, on hyödyllinen myös evästeille, joita käytetään asetusten tallentamiseen.

Onko verkkosivustosi yhteensopiva? Ota selvää tarkistuslistallamme

Lataa tarkistuslista

Voidaan varmasti sanoa, että markkinointiin, seurantaan, tilastoihin tai analysointiin käytettäville evästeille tulee aina hankkia suostumus . Evästeiden tyypistä riippuen evästebannerit tai evästesisällön bannerit ovat mahdollisia. Periaatteessa voidaan sanoa:

  • Jos evästeet ovat teknisesti tarpeellisia, riittää, että käyttäjälle kerrotaan evästeiden asettamisesta. Tämä tarkoittaa, että pelkkä evästeilmoitus olisi mahdollinen täällä.
  • Jos evästeen käyttöön tarvitaan GDPR:n mukaan käyttäjän suostumus, evästeilmoitus ei riitä. Käyttäjää ei tarvitse vain informoida evästeiden asettamisesta. Käyttäjän suostumus on hankittava. Yksinkertaiset evästebannerit, jotka vain informoivat käyttäjää, eivät sovellu tähän tarkoitukseen. Tässä on käytettävä evästeen suostumusbanneria .

Koska pelkkä tieto evästeiden asettamisesta on harvoin riittävä, joudut useimmissa tapauksissa turvautumaan evästesisältöbanneriin.

Mitä evästebannerit ovat?

Kun käyttäjä vierailee verkkosivustolla ensimmäistä kertaa, näkyviin tulee yleensä evästebanneri. Yleensä evästebanneri näkyy sivuston alalaidassa. Joissakin tapauksissa myös ponnahdusikkuna avautuu. Banneri sisältää evästebannerin tekstin, joka kertoo käyttäjälle verkkosivustolla olevista evästeistä ja seurantaohjelmista. Evästeen suostumusbannerin avulla käyttäjällä on myös mahdollisuus antaa suostumuksensa evästeiden käyttöön. Hän voi hyväksyä tai kieltäytyä henkilötietojen käsittelystä. Evästeiden ansiosta Internetin käyttäjät voidaan tunnistaa, kun he käyvät uudelleen. Tämä tarkoittaa, että jos jotain on tallennettu ostoskoriin, se on edelleen saatavilla seuraavan kerran kun vierailet.

Suostumusratkaisu yksilöllisellä suunnittelulla

Aina kun käyttäjä on tehnyt yksittäisiä asetuksia, evästeet voivat varmistaa, että näitä asetuksia ei tarvitse tehdä uudelleen vieraillessaan verkkosivustolla uudelleen. Evästeet ovat välttämättömiä verkkosivuston teknisen toiminnan kannalta. On kuitenkin olemassa myös ei-välttämättömiä evästeitä, ja tässä käyttäjällä on oltava mahdollisuus saada niistä selvää ja suostua henkilötietojen käsittelyyn tai kieltäytyä niistä. On tärkeää tietää, että GDPR ei rajoitu evästeiden käyttöön, vaan myös muita tekniikoita käytetään, jos niitä käytetään jollain tavalla henkilötietojen käsittelyyn. Termi ”evästebanneri” voi siksi olla harhaanjohtava, eikä yksinkertainen evästeiden banneri monissa tapauksissa riitä, jos haluat noudattaa GDPR:n vaatimuksia .

Tarvitsenko evästebannerin verkkosivustolleni?

Jos sinulla on verkkosivusto ja vierailijat EU:sta (tai sen ulkopuolelta), sinulla tulee olla asianmukainen banneri. Evästebannerigeneraattori voi olla tässä erittäin hyödyllinen. Evästebannerigeneraattorin tulee suunnitella bannerit siten, että käyttäjä on täysin tietoinen evästeistä ja hänellä on mahdollisuus tehdä valinta. Tätä tarkoitusta varten evästebannerigeneraattorin tulee skannata kaikki evästeet ja listata ne vastaavasti bannerissa. Evästebannerin teksti kertoo käyttäjille evästeiden asettamisesta ja suostumuksen voi saada. Tutkimukset ovat osoittaneet, että monet verkkosivustojen ylläpitäjät eivät edes ole tietoisia siitä, että heidän käyttäjiensä tietoja käsittelevät kolmannet tai neljännet osapuolet. Esimerkiksi on troijalaisia, joiden olemassaolosta ei useinkaan ole tietoa nettisivujen ylläpitäjät. Tehokkaan suostumuksen hallintajärjestelmän avulla sivut voidaan kuitenkin skannata muiden osapuolten evästeiden varalta. Jokainen, joka haluaa suojata käyttäjiensä tietoja ja varmistaa, että heidän evästebannerinsa on GDPR-yhteensopiva, tarvitsee kehittyneen ja perusteellisen ratkaisun. Tämä on ainoa tapa varmistaa, että kaikki evästeet ja seurantalaitteet voidaan todella löytää ja hallita verkkosivustolla GDPR:n edellyttämällä tavalla. Kukaan, jolla ei ole yleiskuvaa koko sivustosta teknisestä ja toiminnallisesta näkökulmasta, ei voi taata käyttäjien tietosuojaa. Evästebannerigeneraattori, joka pystyy näyttämään GDPR-säännösten mukaisen evästebannerin, on siksi ehdottoman välttämätön verkkosivustojen ylläpitäjille.

Mitä sinun tulee ottaa huomioon, kun käytät evästesisältöbannereita käytännössä?

Lakisäädännöistä johtuen on olemassa joitain sääntöjä, joita tulee noudattaa evästesisältöbannerin käyttöönotossa. Jos käytetään evästesisällön bannereita, seuraavat seikat tulee ottaa huomioon:

  • Ennen kuin suostumusta vaativat evästeet asetetaan, on ensin hankittava suostumus. Monilla verkkosivustoilla on vielä paljon tehtävää. Oikean evästebannerin tekstin käyttäminen ei riitä, jos tekninen toteutus ei toimi oikein.
  • Suostumusta ei voida olettaa, jos käyttäjä navigoi tai selaa verkkosivustoa. Tämä ei ole lainmukainen suostumus.
  • Jos käytetään evästebannerigeneraattoria, sen on suunniteltava banneri siten, että suostumuksen peruuttaminen on yhtä helppoa kuin suostumuksen antaminen.
  • Kaikki evästeet, joille on saatu suostumus, on mainittava itse bannerissa tai evästekäytännössä tai tietosuojaselosteessa. Käyttäjälle on kerrottava, missä määrin evästeitä käsitellään.
  • Suostumusilmoitus vaaditaan todisteeksi. Tämä todiste saadaan asettamalla tarvittava eväste. Käyttäjälle on myös ilmoitettava tämän evästeen asettamisesta.
Suostumusratkaisu verkkosivustoille

Mitä sisältöä evästebannerin tulee sisältää?

Evästebannerin tekstissä on tiettyjä sääntöjä. Lakisääteisten vaatimusten noudattamiseksi evästebannerin tulee sisältää seuraavat tiedot:

  • Evästebannerin tekstin tulee antaa ensimmäinen osoitus siitä, mihin tarkoitukseen evästeitä käytetään.
  • Tietosuojakäytäntöön tulee olla viittaus. Tämän pitäisi sisältää enemmän tietoa. Tietosuojailmoituksen tulee olla saatavilla yhdellä napsautuksella. Matkalla tietosuojailmoitukseen ei saa asettaa evästeitä, jotka eivät ole teknisesti tarpeellisia.
  • Käytettävissä on oltava painike suostumuksen antamiseen ja painike suostumuksen epäämiseen.
  • Käyttäjällä on oltava mahdollisuus valita ja tietää evästeiden tarkoitus, johon hänen tulee suostua. Valintaruutuja ei saa olla esitäytettyinä, vaan käyttäjän on rastitettava ne itse.

Evästebannerien käyttö – mitä tekemistä GDPR:llä on sen kanssa?

Evästeitä voidaan käyttää niiden käytöstä ja tarkoituksesta riippuen henkilötietojen tallentamiseen, analysointiin ja jatkokäsittelyyn. Kerätyt tiedot voidaan välittää myös kolmansille osapuolille. Tästä syystä evästeiden käyttö on kiistanalaista. Jokaisen, joka ylläpitää verkkosivustoa, tulisi siksi tuntea termit, kuten ”evästeilmoitus” ja ”evästekäytäntö”. GDPR on ollut voimassa 25.5.2018 alkaen. Euroopan yleinen tietosuoja-asetus tulee aina voimaan, kun on kyse henkilötietojen käsittelystä. Toukokuusta 2018 lähtien verkkokauppiaiden ja verkkosivustojen ylläpitäjien on täytynyt ottaa käyttöön evästeilmoitus verkkosivustollaan ja mahdollisuus vastustaa sitä. GDPR kertoo kuitenkin vain vähän evästeilmoitusten käsittelystä. Sen sijaan GDPR vaikuttaa verkkosivuston tietosuojakäytäntöön. Evästeiden oikea käsittely edellyttää Euroopan sähköisen viestinnän tietosuoja-asetusta. Tämä pitäisi periaatteessa ottaa käyttöön GDPR:n rinnalla. Sähköisen viestinnän tietosuoja-asetusta on kuitenkin lykätty yhä uudelleen, joten se ei ole vielä tullut voimaan tähän päivään mennessä (maaliskuusta 2021 lähtien).

Evästebannerit ovat pakollisia – mikä koskee verkkosivustoani?

Verkkosivustojen ylläpitäjät ja verkkokauppiaat kysyvät oikeutetusti, mitä tämä tarkoittaa heidän omalle verkkonäkyvyylleen. Toistaiseksi oikeudellinen tilanne ei näytä olevan täysin selvä. GDPR antaa tietoa tietosuojaselosteesta, sähköisen viestinnän tietosuoja-asetus on vielä vireillä. Miten verkkosivustojen ylläpitäjien ja verkkokauppiaiden tulisi käyttäytyä? Ihannetapauksessa evästebanneria tulisi pitää pakollisena – huolimatta edelleen epäjohdonmukaisesta oikeudellisesta tilanteesta. Evästebanneri tulee suunnitella siten, että käyttäjän tulee aktivoitua ja päättää itse, mitä evästeitä hän hyväksyy ja mitä ei. Telemedialakiin (TMG) ankkuroitu vastalauseratkaisu ei mene tässä tarpeeksi pitkälle, ja voi olla juridisesti riskialtista luottaa siihen yksin. Jos pidät evästebanneria pakollisena ja haluat olla varma, sinun tulee ilmoittaa verkkosivuston käyttäjille, mitä evästeitä käytetään. Lisäksi käyttäjällä tulee olla mahdollisuus itse aktiivisesti päättää tietojensa käsittelystä. Kaikkien verkkosivujen ylläpitäjien tulee noudattaa näitä sääntöjä, vaikka ne olisivatkin yksityisiä tai urheiluseuran verkkosivuja. Jokaisen evästebannerin tarjoajaa käyttävän tulee varmistaa, että:

  • Käyttäjän suostumus saadaan suoraan sivulle tultuaan. Tämä tulee tehdä ennen evästeiden asettamista. Teknisesti välttämättömät evästeet voivat olla poikkeus tässä.
  • Ei riitä, että evästebannerin teksti koostuu yksinkertaisesta huomautuksesta, joka katoaa heti sivun napsautuksen jälkeen tai voidaan yksinkertaisesti piilottaa.

Hyväksyttävää rastia ei saa rastittaa etukäteen

Ihannetapauksessa manipuloivia evästebannereita tulisi välttää. Tämä tarkoittaa, että evästeiden poistaminen käytöstä ei saa viedä enempää napsautuksia kuin niiden hyväksyminen. Hyväksy-painike ei myöskään saa olla näkyvämpi kuin hylkäyspainike. Vaikka evästebannerien suunnitteleminen tällä tavalla ei ole kiellettyä, siihen suhtaudutaan kriittisesti. Myös niin sanotut evästeseinät suhtaudutaan kriittisesti. Evästeseinä on suunniteltu siten, että käyttäjä ei edes pääse verkkosivustolle, jos hän ei suostu evästeiden käyttöön. Euroopan tietosuojalautakunta (EDPB) kuitenkin näkee asian sellaisena, että verkkosivuston vierailijan on voitava vierailla verkkosivustolla, vaikka hän hylkää evästeet, jotka eivät ole teknisesti tarpeellisia.

Mitä tietosuojaselosteeseen kuuluu?

Riippumatta siitä, käyttävätkö verkkokauppiaat ja verkkosivustojen ylläpitäjät evästebanneria, heidän tulee viitata henkilötietojen käsittelyyn tietosuojaselosteessa. Tietosuojaselosteessa tulee muun muassa kertoa käyttäjille käytettyjen evästeiden tyypistä ja tarkoituksesta. Käyttäjän tulee oppia:

  • Millaisia tietoja evästeiden avulla kerätään.
  • Mihin tarkoitukseen henkilötietoja käytetään.
  • Kuinka kauan tietoja säilytetään.
  • Välitetäänkö tietoja ja kenelle.
  • Perutaanko suostumus henkilötietojen käsittelyyn ja miten.
Suostumusratkaisu GDPR:lle ja CCPA:lle

Evästebannerityökalut lainmukaiseen suunnitteluun

Evästebannerien suunnittelu GDPR:n mukaisesti ei ole aina niin helppoa. Jotta evästebanneri tai evästesisältöbanneri olisi suunniteltu lainmukaisella tavalla, on suositeltavaa käyttää asianmukaisia evästebannerityökaluja. Consent Management Provider (CMP) on evästebannerityökalu, joka ottaa vastuulleen evästesisältöbannerin suunnittelun ja tarjoamisen. Periaatteessa jokaisen verkkokauppiaan ja jokaisen verkkosivuston ylläpitäjän tulisi käyttää vakiintunutta evästebannerityökalua, esimerkiksi Consentmanagerin kaltaisten palveluntarjoajien toimittamia. Tarjolla on sekä ilmaisia että maksullisia evästebannerityökaluja. Yleensä maksullinen evästebannerityökalu tarjoaa enemmän toimintoja . Näitä lisäominaisuuksia voivat olla esimerkiksi evästeilmoitusten mukauttaminen tietylle kielelle . Jos evästebannerin pitäisi myös vastata verkkosivuston ulkoasua, maksullinen evästebannerityökalu on myös hyödyllinen. Jos haluat muokata banneriasi ja käyttää lisäpalveluita, sinun kannattaa käyttää maksullisia ratkaisuja. Jos tarjoat nettisivusi lisäksi myös sovelluksen, tarvitset myös tähän sopivan ratkaisun.

Suostumuksenhallintaratkaisun käyttäminen, joka skannaa verkkosivuston löytääkseen kaikki evästeet ja antaa käyttäjien antaa suostumuksensa jokaiselle evästeelle, on luotettava ja turvallinen tapa tehdä verkkosivustostasi GDPR-muodon mukainen.

Mitä etuja suostumuksen hallintatyökalusta on?

GDPR koskee kaikkia verkkokauppiaita ja verkkosivustojen ylläpitäjiä. Vaikka jotkut verkkosivustojen ylläpitäjät epäröivät ja ihmettelevät, onko GDPR-yhteensopiva evästeilmoitus todella tarpeen, kukaan ei voi välttää sitä tänään. Lakisääteisten määräysten noudattamatta jättäminen voi johtaa korkeisiin sakkoihin verkkosivustojen ylläpitäjille. Erityisesti IT-aihe on ongelma monille yrittäjille. Et tunne aihetta tarpeeksi, käytät paljon aikaa etkä lopulta ole varma, onko evästeilmoitus GDPR-yhteensopiva. Täällä Consentmanager.de:n kaltainen suostumuksen hallintatyökalu on hyödyllinen. Tämän ratkaisun avulla verkkosivujen ylläpitäjät voivat olla varmoja noudattavansa EU:n yleistä tietosuoja-asetusta. Avustuksenmanager.de:n tarjoaman työkalun avulla evästeiden suostumusbannerit voidaan lisätä omalle verkkosivustollesi nopeasti ja helposti . GDPR-yhteensopiva banneri suojaa verkkosivuston vierailijoita samalla kun se tarjoaa suojan oikeudenkäynneiltä . Lisäksi mainoskumppanit voivat tuntea olonsa turvalliseksi ja sijoittaa todennäköisemmin, jos he tietävät olevansa turvassa.

Johtopäätös

Onko sinulla verkkokauppaa tai verkkosivustoa ja haluaisit suunnitella verkkosivustosi GDPR:n vaatimusten mukaisesti? Haluatko suojautua varoituksilta? Silloin ”evästeiden” pitäisi ehdottomasti olla tehtävälistallasi. Jokainen, joka ei anna verkkosivuillaan vierailijoille mahdollisuutta suostua henkilötietojen käsittelyyn, on vaarassa joutua varoitukseen. Varoitus voi liittyä myös korkeisiin kustannuksiin. Jos haluat käyttää evästeitä verkkosivustollasi, käytä vastaavaa suostumusbanneria tai evästeen suostumustyökalua varmistaaksesi, että määritykset toteutetaan tehokkaasti ja samalla lain mukaisesti. Evästeiden käsittelyohjeet ovat suhteellisen uusia, minkä vuoksi kokemuksesta, ennakkotapauksista ja selkeistä määräyksistä puuttuu. Consentmanager.de:n suostumuksen hallintatyökalun avulla verkkosivustojen ylläpitäjät voivat toimia turvallisesti. Suostumusten hallintatyökalumme on helppokäyttöinen, ja se voidaan helposti integroida verkkosivustoille. Voit siis olla varma, että käyttäjät ovat hyvin perillä evästeiden käytöstä. Ja toisaalta käyttölupa hankitaan lainmukaisella tavalla.