Evästelaatikot jäävät historiaan

Evästeet ja piparit, EU, tietosuoja

Netinkäyttäjiä vuosikausia ärsyttäneet evästelaatikot jäävät pian historiaan, mikäli uutta EU:n sähköisen viestinnän tietosuoja-asetusta on uskominen.  Asetus astuu voimaan 25.5.2018 yhtä aikaa EU:n yleisen tietosuoja-asetuksen kanssa.

Evästeiden tallentamiseksi käyttäjän tietokoneelle on aiemmin vaadittu käyttäjän tietoinen suostumus, jos evästeet ovat olleet verkkosivuston käytön kannalta tarpeettomia. Suomessa on aiemmin tulkittu niin, että selaimen asetus riittää suostumukseksi. Euroopassa on tulkittu toisin ja suomalaiset yritykset ovatkin ottaneet sieltä mallia.

Ennen kaikkea evästelaatikoita on kuitenkin näytetty turhaan. Esimerkiksi verkkosivuston käyttöä helpottavien evästeiden tallentaminen on ollut valmiiksi sallittua EU:n tietosuojadirektiivin 2002/58/EC artiklan 5 kohdan 3 perusteella. Lainaus direktiivistä:

…tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.

Evästelaatikoissa on toistunut nerokkaasti muotoiltu lause: ”käytämme evästeitä käyttökokemuksen parantamiseksi.” Tosiasiallisesti käyttäjän liikkeitä on vakoiltu lähestulkoon kaikilla mahdollisilla kolmannen osapuolen evästeillä.

Sääntöjä kevennetään

Jatkossa selaimen evästeasetus riittää suostumukseksi kaikkialla EU:n alueella eikä evästelaatikkoa tarvitse näyttää. Samalla kävijäseurannassa käytettävät evästeet poistuvat suostumuksen piiristä, eli sellaiset evästeet sallitaan ilman käyttäjän suostumusta.

Uudistus keventää verkkosivustojen ylläpitäjien työmäärää ja aiheuttaa vastapainoksi lisätyötä vain muutamille selainten valmistajille. Kustannussäästöt EU:n alueella toimiville yrityksille ovat merkittävät. Tämä on kerrankin erinomainen uudistus.

Euroopan komission lehdistötiedote tammikuulta 2017 selventää asiaa:

Yksinkertaisemmat säännöt evästeistä: Evästeiden käytön säännöt ovat johtaneet siihen, että internetin käyttäjät hukkuvat suostumuspyyntöihin. Nyt sääntöjä kevennetään. Uusien sääntöjen myötä omat asetukset ovat käyttäjillä paremmin hallinnassa, sillä asetusten avulla on helppoa hyväksyä tai hylätä evästeitä ja muita tunnisteita, kun yksityisyyden suojaan kohdistuu riskejä. Ehdotuksessa selvennetään, että suostumusta ei edellytetä, jos eväste ei ole tungetteleva vaan sillä varmistetaan internetin käyttäjien käyttökokemus – esimerkiksi ostoskorin historiatietojen muistaminen. Suostumusta ei myöskään enää edellytetä, jos kyseessä ovat kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet.

Yhtä asiaa en ymmärrä

Miten verkkosivusto saa tallennettua käyttäjän tietokoneelle näitä ”ei-tungettelevia” tai ”kävijämäärän laskentaan tarkoitettuja” evästeitä, jos käyttäjä ei ole sallinut evästeitä selaimen asetuksissa?

Tähän asti evästeet on luokiteltu ensimmäisen osapuolen ja kolmannen osapuolen evästeisiin.  Luodaanko evästeille jonkinlainen moniportainen luokitusjärjestelmä ja käyttäjä voi rastitella niitä päälle ja pois? Mutta kuka sitten valvoo, että verkkosivusto käyttää evästeitä vain omassa luokassaan?

Kyllä tämä tästä selviää… en ole vielä ehtinyt. Mutta ei sen puoleen. Ei mun tarvi.

Jaa tämä kavereillesi

Tekijä: Erno Penttilä

Työskentelen Clover Shop -verkkokauppaohjelmiston tuotekehityksessä.