Hyppää sisältöön

Traficomin evästeohjeistus – voinko asentaa Google Analyticsin kysymättä lupaa käyttäjältä?

Tähän asti Suomessa verkkosivustojen evästeisiin liittyvät ohjeistukset ovat olleet melko sekavia ja eri virastot ovat ohjeistaneet asiasta keskenään ristiriitaisesti. Tähän on nyt yritetty tehdä muutos. Asiasta vastaa Liikenne- ja viestintävirasto Traficom, joka on 2021 loppuvuodesta julkistanut verkkosivustojen omistajille suunnatun uuden evästeohjeistuksen.

Välttämättömät evästeet

Ohjeistus määrittelee tarkkaan minkälainen evästeistä kertova ilmoitus pitää käyttäjille esittää, millaisia valintoja käyttäjälle tarjotaan ja mitä käyttäjien tekemillä valinnoilla tehdään. Lisäksi ohjeistus linjaa millaisia evästeitä voi asentaa verkkosivujen käyttäjien päätelaitteille. Ohjeistuksen mukaan vain välttämättömät evästeet voidaan asentaa ilman käyttäjältä erikseen kysyttävää lupaa. ”Välttämättömiksi katsottavien evästeiden ja muiden näihin rinnastettavien tekniikoiden käytölle ei tarvitse pyytää käyttäjän suostumusta. Kuten edellä jo todettiin, välttämättömiksi voidaan katsoa ainoastaan sellaiset evästeet ja muut tiedot, joiden ainoana tarkoituksena on joko toteuttaa viestin välittämistä viestintäverkoissa tai jotka ovat välttämättömiä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.”

Analytiikkaevästeet

Analytiikan ja esimerkiksi Google Analyticsin käytön kannalta ohjeistus linjaa:

”Analytiikan käyttäminen on palveluntarjoajille hyödyllistä, sillä se mahdollistaa hyvinkin yksityiskohtaisen tiedon keräämisen siitä, miten heidän tuottamaansa sivustoa tai palvelua käytetään. Analytiikkaevästeitä ei kuitenkaan voida yksiselitteisesti katsoa käyttäjän näkökulmasta välttämättömiksi sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt, koska käyttäjä ei todennäköisesti käytä palvelua siksi, että haluaa toimintaansa seurattavan ja useimpien palvelujen on myös mahdollista toimia, vaikka analytiikkaa ei olisikaan käytössä. Käyttäjän ei myöskään voida olettaa olevan tietoinen, että hänestä kerätään tilastollista tietoa, jos suostumusta ei pyydetä. Mikäli analytiikkaevästeet halutaan katsoa juuri kyseessä olevan palvelun tarjoamisen kannalta ehdottoman välttämättömiksi, palveluntarjoajan tulee voida esittää menettelylle selkeät perusteet ja huolehtia käyttäjän yksityisyyden suojaamisesta esimerkiksi varmistamalla, ettei analytiikan avulla kerättyjä tietoja jaeta kolmansille osapuolille tai että niistä ole tunnistettavissa yksittäistä kävijää. Tämä on tärkeää etenkin, jos palvelussa on käytössä muunkin tyyppisiä evästeitä, joiden avulla saatujen tietojen perusteella käyttäjä olisi mahdollista yhdistää analytiikan avulla kerättyyn tietoon. Mikäli edellä mainituista asioista ei kyetä riittävällä tasolla huolehtimaan tai analytiikan käyttöä perustelemaan palvelun tarjoamisen kannalta välttämättömäksi, tulisi suostumusta analytiikan käyttöön pyytää.”

Voidaanko Google Analytics asentaa ilman käyttäjän antamaa suostumusta?

Yllä olevasta ohjeistuksesta voisi päätellä että Google Analytics voidaan pitää välttämättömänä ja asentaa ilman käyttäjän suostumusta, jos ”huolehditaan käyttäjän yksityisyyden suojaamisesta esimerkiksi varmistamalla, ettei analytiikan avulla kerättyjä tietoja jaeta kolmansille osapuolille tai että niistä ole tunnistettavissa yksittäistä kävijää.”. Esimerkiksi uusin Google Analytics GA4 on vakiona sellainen että yksittäistä käyttäjää ei voida tunnistaa ja aikaisemmat Google Analytics -versiot voidaan asentaa niin että IP-osoitteet anonymisoidaan, jolloin yksittäistä käyttäjää ei voida tunnistaa. Lisäksi Google Analyticsin asetuksista voidaan asettaa Google Analytics toimimaan niin että tietoja ei jaeta muiden Googlen palveluiden kuten Google Adsin kanssa.

Halusin vielä varmistaa tulkintani ja kysyin asiasta suoraan Traficomilta. Traficomin lakimies vastasi minulle näin:

”Valitettavasti asiaan ei voi antaa täysin yksiselitteistä vastausta nykyisen lainsäädännön puitteissa. Jos yksiselitteinen ja helppo ohje olisi mahdollista antaa, olisimme kirjoittaneet sellaisen suoraan evästeohjeistukseen.

Asian arviointiin vaikuttaa se, millaisia tietoja käyttäjistä kerätään, onko analytiikkatietoja jotenkin mahdollista yhdistellä muihin sivustolla käytössä olevien evästeiden kautta saataviin tietoihin (vaikka tämä olisi estetty kolmannen osapuolen osalta), onko kyse 1st party vai 3rd party analytiikasta ja miten analytiikka katsotaan välttämättömäksi kyseisen palvelun kannalta. Asiaa koskevassa oikeuskirjallisuudessa on myös katsottu, että jos 1st party analytiikka katsottaisiin välttämättömäksi, sivuston tulisi silti mahdollistaa op-out mahdollisuus käyttäjille, jotka eivät halua tietojaan kerättävän.

On periaatteessa mahdollista, että analytiikkaevästeitä voidaan tietyin reunaehdoin käyttää ilman käyttäjän erillistä suostumusta, mutta koska asiaan liittyvä oikeustila on jossain määrin epäselvä, Traficom ei pysty tällä hetkellä antamaan yksiselitteistä ohjetta asiasta.

Suostumuksen pyytäminen vaikuttaisi siis olevan tällä hetkellä ainoa sataprosenttisen varma keino varmistaa, että menettely on tehty varmasti oikein. Vastuu menettelyn lainmukaisuudesta on viime kädessä palveluntarjoajalla, jonka sivusto tai palvelu on kyseessä.”

Eli tällä hetkellä Traficomin ohjeistus on että Google Analyticsin käytöstä pitäisi pyytää käyttäjältä ensin suostumus. Kun verkkosivustolle lisätään evästeistä kertova ponnahdusikkuna kaikkien Traficomin ohjeistuksessa listattujen sääntöjen mukaan, tarkoittaa se, että siitä hetkestä lähtien Google Analyticsiin ei enään tallennu tieto kaikista verkkosivujen kävijöistä. Kaikki käyttäjät eivät tule ollenkaan vastaamaan mitään ponnahdusikkunaan, vaan jättävät sen auki kun selailevat verkkosivuja tai sitten he sallivat vain välttämättömät evästeet, jolloin Google Analyticsia ei asenneta. Eräiden arvioiden mukaan statistiikkaa tallentuu enään 20% – 80% kaikista kävijöistä. Monet ovat tottuneet käyttämään Google Analyticsia seuratakseen esimerkiksi verkkosivujen kävijämääriä, näihin lukuihin ei voi siis enää muutoksen jälkeen luottaa, eivätkä ne ole enää vertailukelpoisia aikaisempien lukujen kanssa.

Päivitys 17.1.2023: Asiasta on nyt tehty ennakkopäätös kun apulaistietosuojavaltuutettu antoi tammikuussa 2023 huomautuksen Helmet-kirjastojen verkkosivuilla käytetyistä seurantateknologioista ja erityisesti Google Analyticsin ja Google Tag Managerin käytöstä ilman käyttäjän suostumusta.

Onko muita vaihtoehtoja?

Monista webhotelleista löytyy webhotellin palvelimelle tallennettava statistiikka. Esimerkiksi Seravo Oy:lla on käytössä tälläinen statistiikka. Seravo linjaa: ”Seravo Oy ei itse kerää henkilötietoja asiakkaidemme asiakkaista, eikä näin ollen ole rekisterinpitäjä. Palvelinlokeihin tallentuu jälki jokaisesta verkkoyhteydestä ja merkintä sisältää tietoja, kuten mistä IP-osoitteesta yhteys tuli ja milloin, mutta lokeihin ei kerätä henkilön yksilöiviä tietoja. Tietoturvasyistä tallennamme erilliseen lokiin myös tiedon jokaisesta sisäänkirjautumisyrityksestä asiakkaidemme WordPress-sivustoille, sisältäen tiedon siitä, mitä käyttäjätunnusta käytettiin. Jos käyttäjä on itse valinnut käyttäjätunnuksekseen oikean nimen, voi tieto olla yksilöivä. Koska kyseessä on lokitieto, ei siihen tarvitse järjestää pääsyä tai siirrettävyyttä, eikä lokitietoa poisteta kenenkään pyynnöstä, koska se palvelee tietoturvaa eikä loukkaa kenenkään tietosuojaa. Lokitietojen muokkaaminen olisi ristiriidassa auditoitavuuden vaatimuksen kanssa. Lokitietoja käytetään monella tapaa tietoturvan edistämiseen, mikä itsessään palvelee tietojärjestelmiä käyttävien ihmisten tietosuojaa.

Jos webhotellin tuottama statistiikka ei koeta riittäväksi, on asennettava statistiikka joka täyttää Traficomin asettamat reunaehdot. Esimerkiksi ilmaiset WordPress lisäosat WP Statistics ja Koko Analytics täyttävät nämä reunaehdot:

  • Statistiikka ei käytä evästeitä
  • Dataa ei välitetä kolmannelle osapuolelle (tiedot tallennetaan webhotellin palvelimelle)
  • Yksittäistä kävijää ei voi tunnistaa edes yhdistelemällä muiden mahdollisten evästeiden kautta saatua dataa kävijädataan

WP Statistics ja Koko Analytics voidaan asentaa niin etteivät ne käytä evästeitä ja kaikki IP-osoitteet anonymisoidaan, jolloin yksittäistä käyttäjää ei voi tunnistaa.

Tämän lisäksi tietosuojaselosteessa pitää perustella miksi statistiikan kerääminen verkkosivustolla on välttämätöntä.

Jos verkkosivustolla ei ole Google Analyticsin lisäksi muita kolmannen osapuolen evästeitä käytössä, on verkkosivuston omistajilla nyt pohdinnan paikka. Halutaanko säilyttää Google Analytics ja lisätä evästeistä kertova ponnahdusikkuna, sekä hyväksyä että Google Analyticsiin ei enään keräänny statistiikkaa kaikista sivuston kävijöistä. Vai karsitaanko Google Analytics pois ja mahdollisesti asennetaan esimerkiksi WP Statistics tai Koko Analytics -lisäosa, jolloin ei tarvita evästeistä kertovaa ponnahdusikkunaa.

Jos verkkosivustolla on käytössä muitakin evästeitä, esimerkiksi Facebook tai LinkedIn -markkinointiin liittyviä evästeitä, pitää evästeistä kertova ponnahdusikkuna olla toteutettuna joka tapauksessa, eli Google Analytics pitää vain siirtää välttämättömistä evästeistä ei-välttämättömiin.

Me teimme saman pohdinnan muuks.fi verkkosivuja koskien ja päädyimme poistamaan Google Analyticsin verkkosivuiltamme ja keräämme statistiikkaa yllämainituilla lisäosilla. Muista myös päivittää verkkosivujesi tietosuojaseloste, jos teet muutoksia verkkosivustosi evästekäytäntöihin.

Hannu Heljala

Hannu Heljala

Hannu on intohimoinen koodari, joka ei pelkää haasteita. Olethan yhteydessä jos tarvitset apua verkkosivujesi kanssa, mietitään yhdessä paras ratkaisu juuri sinulle.

hannu@muuks.fi
050 582 3955

Lue lisää verkkosivuista

Hannu Heljala

Varaa ilmainen konsultointi

Voit varata ajan kalenteristani ja käydään yhdessä läpi miten me voisimme auttaa teidän organisaatiota.

Varaa aika

Heräsikö kysyttävää? Tarvitsetko apua evästeiden kanssa? Ota yhteyttä!

    Tämä sivusto on suojattu Googlen reCAPTCHA:lla ja Googlen tietosuojakäytäntöä ja käyttöehtoja sovelletaan.