Skip to main content

Opt-in vs. opt-out: kaksi suostumusmallia selitettyinä

Evästesuostumukseen suhtaudutaan maailmalla kahdella pohjimmiltaan erilaisella tavalla. Euroopan unioni edellyttää opt-in-mallia: evästeitä ei aseteta ennen kuin käyttäjä antaa suostumuksensa. Yhdysvalloissa (useimmissa osavaltioissa) sallitaan opt-out-malli: evästeet asetetaan oletuksena, ja käyttäjä voi kieltäytyä. Näiden kahden mallin ymmärtäminen — niiden oikeusperusta, seuraukset ja soveltamisalue — on olennaista jokaiselle verkkosivustolle, jolla on kansainvälinen yleisö.

Opt-in-malli

Opt-in-mallissa muita kuin välttämättömiä evästeitä ei saa asettaa ennen kuin käyttäjä on antanut nimenomaisen, aktiivisen suostumuksensa. Jos käyttäjä ei tee mitään, evästeitä ei aseteta. Tämä on malli, jota EU:n sähköisen viestinnän tietosuojadirektiivi (5 artiklan 3 kohta) edellyttää, tulkittuna GDPR:n suostumuksen määritelmän kautta (4 artiklan 11 kohta).

Miten opt-in toimii käytännössä

  1. Käyttäjä vierailee verkkosivustolla ensimmäistä kertaa.
  2. Vain ehdottoman välttämättömät evästeet ovat aktiivisia. Analytiikka-, markkinointi- ja asetusevästeet on estetty.
  3. Näyttöön tulee suostumusmekanismi, joka esittää evästekategoriat ja pyytää käyttäjää tekemään valinnan.
  4. Käyttäjä valitsee aktiivisesti, mitkä kategoriat hän hyväksyy (tai klikkaa "Hyväksy kaikki" tai "Hylkää kaikki").
  5. Vain hyväksyttyjä kategorioita vastaavat skriptit ladataan.
  6. Jos käyttäjä ei tee mitään, muita kuin välttämättömiä evästeitä ei aseteta. Suostumusmekanismi pysyy näkyvissä (tai saatavilla), kunnes käyttäjä tekee valinnan.

Oikeusperusta

Opt-in-vaatimus perustuu kahteen lähteeseen:

  • Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohta: Edellyttää "suostumusta" ennen tietojen tallentamista käyttäjän laitteelle.
  • GDPR:n 4 artiklan 11 kohta: Määrittelee suostumuksen edellyttävän "selkeästi suostumusta ilmaisevaa toimenpidettä" — mikä sulkee pois passiivisuuden, valmiiksi rastitetut ruudut ja oletetun hyväksynnän.
  • EU-tuomioistuimen Planet49-ratkaisu (C-673/17): Vahvisti, että aktiivinen suostumus vaaditaan eivätkä valmiiksi rastitetut ruudut muodosta pätevää suostumusta.

Missä opt-in-mallia sovelletaan

Kaikki EU:n/ETA:n jäsenvaltiot (27 EU-maata sekä Norja, Islanti ja Liechtenstein) sekä Yhdistynyt kuningaskunta (joka säilytti sähköisen viestinnän tietosuojasäännöt Brexitin jälkeen Privacy and Electronic Communications Regulations -asetusten eli PECR:n kautta).

Vaikutukset sivuston ylläpitäjille

  • Odota merkittäviä suostumusten hylkäysprosentteja. Alan tietojen mukaan 30–50 % eurooppalaisista kävijöistä hylkää muut kuin välttämättömät evästeet, kun heille annetaan aito valinnanvara.
  • Analytiikkatiedot ovat puutteellisia. Saat tietoja vain käyttäjiltä, jotka antoivat suostumuksensa. Tämä ei ole vika — se on sääntelyn tarkoitettu lopputulos.
  • Skriptien latauksen on oltava ehdollista. Tarvitset teknisen mekanismin, joka estää skriptit, kunnes suostumus on kirjattu. Tätä ei voi tehdä pelkällä bannerilla — se edellyttää varsinaista skriptien hallintaa.

Opt-out-malli

Opt-out-mallissa evästeitä voidaan asettaa oletuksena. Käyttäjällä on oikeus kieltäytyä tai vaatia niiden poistamista, mutta ellei hän ryhdy toimenpiteisiin, seuranta on sallittua. Tätä mallia käytetään Yhdysvalloissa ja useilla muilla lainkäyttöalueilla.

Miten opt-out toimii käytännössä

  1. Käyttäjä vierailee verkkosivustolla.
  2. Kaikki evästeet — mukaan lukien analytiikka- ja markkinointievästeet — asetetaan välittömästi.
  3. Ilmoitus kertoo käyttäjälle, että evästeitä käytetään, ja tarjoaa tavan kieltäytyä.
  4. Jos käyttäjä ei tee mitään, evästeet pysyvät aktiivisina.
  5. Jos käyttäjä kieltäytyy, hänen valintojaan noudatetaan jatkossa (ja joillakin lainkäyttöalueilla aiemmin kerätyt tiedot voi olla tarpeen poistaa).

Oikeusperusta

Opt-out-malli löytyy seuraavista:

  • CCPA/CPRA (Kalifornia): Kalifornialaisilla kuluttajilla on oikeus kieltäytyä henkilötietojensa "myynnistä" tai "jakamisesta". Evästeet, joita käytetään kontekstien väliseen käyttäytymiseen perustuvaan mainontaan, muodostavat CPRA:n mukaisen "jakamisen". Velvollisuus on tarjota opt-out-mekanismi (usein "Älä myy tai jaa henkilötietojani" -linkin kautta), ei hankkia ennakkosuostumusta.
  • CAN-SPAM Act ja FTC:n ohjeet: Yhdysvaltain liittovaltiotason lähestymistapa verkkoseurantaan on historiallisesti ollut ilmoitus ja valinta ennemmin kuin nimenomainen suostumus.
  • Eri Yhdysvaltain osavaltiolait: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) ja muut noudattavat opt-out-mallin muunnelmia kohdennetun mainonnan ja tietojen myynnin osalta.

Missä opt-out-mallia sovelletaan

Yhdysvallat (osavaltiokohtaisin muunnelmin), Kanada (PIPEDA — joskin tämä saattaa muuttua ehdotettujen uudistusten myötä), Australia (Privacy Act -lain nojalla — myös uudelleentarkastelussa) sekä useat muut EU:n/ETA:n ulkopuoliset lainkäyttöalueet.

Vaikutukset sivuston ylläpitäjille

  • Enemmän tiedonkeruuta oletuksena. Koska evästeet asetetaan, ellei käyttäjä vastusta, analytiikka- ja mainostiedot ovat kattavampia.
  • On tarjottava selkeä opt-out-mekanismi. CCPA/CPRA:n mukaan tämä tarkoittaa "Älä myy tai jaa henkilötietojani" -linkkiä, joka on helppo löytää ja jota on helppo käyttää.
  • On kunnioitettava Global Privacy Control (GPC) -signaalia. Kalifornian laki edellyttää, että yritykset käsittelevät selaimen GPC-signaalin pätevänä kieltäytymispyyntönä.

Yksityiskohtainen vertailu

Näkökulma Opt-in (EU/GDPR) Opt-out (US/CCPA)
Oletustila Evästeet estetty suostumukseen asti Evästeet aktiivisia oletuksena
Käyttäjältä vaadittava toimenpide On toimittava evästeiden sallimiseksi On toimittava evästeiden estämiseksi
Vaikeneminen / toimimattomuus Tarkoittaa ei-suostumusta (ei evästeitä) Tarkoittaa oletettua suostumusta (evästeet aktiivisia)
Suostumusmekanismi Tarkka kategoriakohtainen valinta Opt-out-linkki tai kytkin
Valmiiksi rastitetut ruudut Ei sallittu (Planet49-ratkaisu) Sallittu (opt-out-malli)
Vaikutus analytiikkaan 30–50 % tietohäviö suostumuksen puutteesta Vähäinen tietohäviö (harva kieltäytyy)
Peruuttaminen Yhtä helppoa kuin suostumuksen antaminen (GDPR 7 art. 3 kohta) On tarjottava, mutta ei vaatimusta yhtäläisestä helppoudesta
Lapset Vanhemman suostumus alle 13–16-vuotiaille (vaihtelee) COPPA koskee alle 13-vuotiaita
Keskeinen sääntely Sähköisen viestinnän tietosuojadirektiivi + GDPR CCPA/CPRA + osavaltiolait
Enimmäissakot 20 milj. euroa tai 4 % maailmanlaajuisesta liikevaihdosta 7 500 dollaria tahallista rikkomusta kohti (CCPA)

Voiko eri alueilla käyttää eri malleja?

Kyllä, ja monet kansainväliset verkkosivustot tekevät niin. Tätä lähestymistapaa kutsutaan maantieteellisesti kohdennetuksi suostumuksenhallinnaksi. Verkkosivusto tunnistaa kävijän sijainnin (tyypillisesti IP-paikannuksen avulla) ja esittää sopivan suostumusmallin:

  • EU-/ETA-/UK-kävijät: Opt-in-malli tarkalla suostumuksella.
  • Kalifornialaiset kävijät: Opt-out-malli "Älä myy tai jaa" -linkillä.
  • Muut yhdysvaltalaiset kävijät: Vain ilmoitus (osavaltiolain soveltuvuudesta riippuen).
  • Muut lainkäyttöalueet: Sovellettavan paikallisen lain mukaan.

Maantieteellisen kohdentamisen haasteet

  • IP-paikannus ei ole täydellistä. VPN-käyttäjät voidaan paikantaa väärin. Mobiilikäyttäjät voivat liikkua lainkäyttöalueiden välillä.
  • Ylläpidon työmäärä. Sinun on seurattava sääntelyn kehitystä jokaisella palvelemallasi lainkäyttöalueella ja päivitettävä suostumusprosessisi sen mukaisesti.
  • Testauksen monimutkaisuus. Sinun on varmistettava, että jokainen alueellinen versio toimii oikein — eri bannerit, eri oletustilat, eri skriptien estotoiminta.
  • GDPR:ää sovelletaan alueen ulkopuolelle. Jos kohdennat toimintaasi EU-käyttäjille (3 artiklan 2 kohta), GDPR:ää sovelletaan riippumatta siitä, missä yrityksesi sijaitsee. "Kohdentaminen" sisältää tavaroiden tai palveluiden tarjoamisen EU:n asukkaille tai heidän käyttäytymisensä seurannan.

Paras käytäntö: käytä opt-in-mallia oletuksena

Jos useiden suostumusmallien hallinta tuntuu ylivoimaiselta, on olemassa yksinkertaisempi tie: käytä opt-in-mallia oletuksena maailmanlaajuisesti.

Tässä syyt, miksi tämä toimii:

  1. Vaatimustenmukaisuus kaikkialla. Opt-in-malli täyttää tiukimmat vaatimukset. Jos noudatat GDPR:n suostumusvaatimuksia, ylität automaattisesti CCPA:n, LGPD:n ja useimpien muiden viitekehysten vaatimukset.
  2. Yksinkertaisuus. Yksi suostumusmekanismi, yksi toteutus, yksi testijoukko. Ei maantieteellistä tunnistusta, ei alueellisia versioita, ei erikoistapauksia.
  3. Tulevaisuudenkestävyys. Maailmanlaajuinen suuntaus on kohti tiukempia suostumusvaatimuksia. Ehdotetut uudistukset Yhdysvalloissa, Kanadassa, Australiassa ja Intiassa liikkuvat kaikki kohti nimenomaisempaa suostumusta. Rakentamalla opt-in-mallille jo nyt vältyt myöhemmältä jälkiasennukselta.
  4. Käyttäjien luottamus. Käyttäjät ympäri maailmaa suhtautuvat myönteisesti läpinäkyviin ja kunnioittaviin suostumuskäytäntöihin. Aidon valinnanvaran tarjoaminen — jopa siellä, missä laki ei sitä tiukasti edellytä — rakentaa luottamusta ja brändin uskottavuutta.
  5. Tietojen laatu. Suostumukseen perustuvat tiedot ovat puhtaampia, paremmin puolustettavissa ja arvokkaampia kuin oikeudellisen epäselvyyden kautta kerätyt tiedot.

Kompromissi on todellinen: keräät maailmanlaajuisesti vähemmän tietoa. Mutta keräämäsi tiedot ovat oikeudellisesti pitäviä, eettisesti puhtaita ja yhä arvokkaampia sitä mukaa, kun kolmannen osapuolen tiedot muuttuvat vaikeammin saataviksi.

Kehittyviä suuntauksia

Suostumuksen maisema ei ole staattinen. Muutamaa kehityskulkua kannattaa seurata:

  • Sähköisen viestinnän tietosuoja-asetus. EU on työstänyt korvaajaa sähköisen viestinnän tietosuojadirektiiville vuodesta 2017. Kun se hyväksytään, siitä tulee suoraan sovellettava asetus (kuten GDPR) eikä direktiivi, joka vaatii kansallista täytäntöönpanoa. Evästeiden suostumussääntöjen odotetaan pysyvän nykyisen viitekehyksen kaltaisina tai tiukempina.
  • Global Privacy Control (GPC). Tämä selaintason signaali välittää käyttäjän tietosuoja-asetukset automaattisesti. Kalifornian laki edellyttää jo GPC:n kunnioittamista. Myös Colorado ja Connecticut. Tästä voi tulla vakiomekanismi opt-out-asetusten välittämiseen.
  • "Suostu tai maksa" -mallit. EDPB:n vuoden 2024 lausunto "suostu tai maksa" -mallista (erityisesti Metan lähestymistavan yhteydessä) muovaa sitä, miten sääntelyviranomaiset näkevät suostumuksen ja palveluihin pääsyn välisen suhteen.
  • Selaintason suostumus. Jotkin ehdotukset siirtäisivät suostumuksenhallinnan yksittäisiltä verkkosivustoilta itse selaimeen, jolloin käyttäjät asettaisivat asetuksensa kerran eivätkä jokaisella sivustolla erikseen. Tämä muuttaisi perustavanlaatuisesti sitä, miten suostumus toimii käytännössä.

Passiro auttaa sinua toteuttamaan yleisöllesi oikean suostumusmallin, tunnistamalla ja luokittelemalla automaattisesti kaikki sivustosi evästeet — valitsitpa sitten opt-in-, opt-out- tai maantieteellisesti kohdennetun lähestymistavan.

Viimeisessä osiossamme tarkastelemme suostumuksen parhaita käytäntöjä — käytännöllistä ja toteutettavissa olevaa ohjeistusta sellaisen suostumuksen toteuttamiseen, joka on sekä vaatimustenmukainen että käyttäjäystävällinen.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi