Skip to main content

Milloin evästesuostumus vaaditaan?

Yleissääntö on yksinkertainen: suostumus vaaditaan kaikille evästeille lukuun ottamatta ehdottoman välttämättömiä. Yksityiskohdilla on kuitenkin merkitystä. Kun tiedät tarkalleen, milloin suostumus vaaditaan ja milloin ei, vältät sekä liian tiukan noudattamisen (käyttäjien ärsyttäminen tarpeettomilla suostumuspyynnöillä) että liian väljän noudattamisen (evästeiden asettaminen ilman oikeusperustaa).

Yleissääntö

Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohta määrittää lähtökohdan:

Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteeseen jo tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot [...] käsittelyn tarkoituksista.

Tämä kattaa kaikki evästeet, kaiken paikallisen tallennuksen sekä kaiken laitetason tallennuksen tai käytön. Jos verkkosivustosi kirjoittaa mitä tahansa käyttäjän laitteelle, suostumus on oletusvaatimus.

Ehdottoman välttämättömien evästeiden poikkeus

Sama artikla tarjoaa ainoan poikkeuksen:

Tämä ei estä sellaista teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittäminen sähköisessä viestintäverkossa tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on nimenomaisesti pyytänyt.

Tässä poikkeuksessa on kaksi haaraa:

  1. Tekninen välittäminen: Evästeet, jotka ovat teknisesti välttämättömiä viestinnän toteutumiselle. Tämä on suppea kategoria — käytännössä rajoittuu kuormantasausevästeisiin ja vastaaviin verkkotason välttämättömyyksiin.
  2. Ehdottoman välttämätön palvelulle: Evästeet, jotka ovat olennaisia käyttäjän nimenomaisesti pyytämälle palvelulle. Avainilmaus on "jota tilaaja tai käyttäjä on nimenomaisesti pyytänyt". Palvelun on oltava jotain, mitä käyttäjä on pyytänyt, ja evästeen on oltava välttämätön sen tarjoamiseksi.

Ehdottoman välttämättömät evästeet (suostumusta ei vaadita)

  • Istunnon todennusevästeet. Kun käyttäjä kirjautuu sisään, hänen todennetun tilansa ylläpitävä istuntoeväste on ehdottoman välttämätön hänen pyytämälleen palvelulle (tilin käyttäminen).
  • Ostoskorin evästeet. Verkkokaupassa eväste, joka pitää kirjaa ostoskorin tuotteista, on ehdottoman välttämätön käyttäjän käyttämälle ostospalvelulle.
  • CSRF-suojaustunnisteet. Nämä ovat ehdottoman välttämättömiä lomakelähetysten turvalliselle toiminnalle.
  • Evästesuostumuksen valintaevästeet. Eväste, joka tallentaa käyttäjän suostumusvalinnat, on ehdottoman välttämätön — ilman sitä et voi kunnioittaa hänen yksityisyysasetuksiaan.
  • Syöttöön liittyvät evästeet. Evästeet, jotka muistavat lomakesyötteen monivaiheisessa prosessissa (kuten kassalomakkeessa), jonka käyttäjä on itse aloittanut.
  • Kuormantasausevästeet. Tekniset evästeet, jotka ohjaavat pyynnöt oikealle palvelimelle. Nämä kuuluvat poikkeuksen "välittämistä" koskevaan haaraan.
  • Käyttöliittymän mukautusevästeet. Kun käyttäjä nimenomaisesti valitsee kielen tai teeman sivulla olevasta säätimestä, valinnan tallentava eväste on ehdottoman välttämätön hänen pyytämälleen palvelulle. Tämä on kuitenkin kontekstisidonnaista — katso alta.

Evästeet, jotka EIVÄT ole ehdottoman välttämättömiä (suostumus vaaditaan)

  • Analytiikkaevästeet. Verkkosivuston liikenteen mittaaminen hyödyttää sivuston ylläpitäjää, ei käyttäjää. Käyttäjä ei pyytänyt liikenneanalyysipalvelua.
  • Mainonta- ja uudelleenkohdennusevästeet. Nämä palvelevat mainostajien ja sivuston ylläpitäjän etuja, eivät koskaan käyttäjän.
  • Sosiaalisen median jakoevästeet. Nämä asettaa kolmannen osapuolen sosiaalinen verkosto, ei käyttäjän pyytämää palvelua varten.
  • A/B-testausevästeet. Nämä palvelevat ylläpitäjän optimointitavoitteita.
  • Kumppanuusseurantaevästeet. Nämä seuraavat, mikä kumppani ohjasi käyttäjän sivustolle, palvellen ylläpitäjän liiketoiminnallisia etuja.
  • Pysyvät sisäänkirjautumisevästeet ("muista minut"). EDPB on todennut, että vaikka nykyisen sisäänkirjautumisen istuntoeväste on välttämätön, pysyvä eväste, joka pitää käyttäjän sisäänkirjautuneena istuntojen välillä, ylittää ehdottoman välttämättömän rajan. Käyttäjä voisi kirjautua uudelleen sisään.
  • Suorituskyvyn valvontaevästeet. Evästeet, joita käytetään sivun latausaikojen, virheiden määrän ja vastaavien teknisten mittareiden valvontaan, palvelevat ylläpitäjää, eivät käyttäjää.

Ensimmäisen osapuolen analytiikkaa koskeva keskustelu

Yksi evästeiden noudattamisen kiistanalaisimmista alueista on kysymys siitä, voidaanko ensimmäisen osapuolen analytiikkaevästeitä käyttää ilman suostumusta. Vastaus vaihtelee lainkäyttöalueittain ja on kehittymässä.

CNIL:n kanta (Ranska)

Ranskan CNIL on antanut erityistä ohjeistusta, jonka mukaan tietyt yleisömittausevästeet voivat olla vapautettuja suostumuksesta, edellyttäen että:

  1. Tarkoitus rajoittuu tiukasti yleisön mittaamiseen (ei sivustojen välistä seurantaa)
  2. Tietoja ei jaeta kolmansille osapuolille
  3. Evästeet ovat vain ensimmäisen osapuolen evästeitä
  4. Tietoja käytetään ainoastaan anonyymien tilastojen tuottamiseen
  5. Evästeiden voimassaoloaika on rajallinen (enintään 13 kuukautta)
  6. Käyttäjille kerrotaan niiden käytöstä
  7. Käyttäjät voivat kieltäytyä niiden käytöstä

Näissä olosuhteissa CNIL katsoo, että tietyt työkalut (kuten yksityisyyttä kunnioittavassa tilassa määritetty Matomo) voivat olla oikeutettuja poikkeukseen. Google Analytics ei täytä ehtoja, ensisijaisesti siksi, että Google käsittelee tietoja omalla infrastruktuurillaan ja saattaa käyttää niitä omiin tarkoituksiinsa.

Hollannin AP:n kanta (Alankomaat)

Hollannin Autoriteit Persoonsgegevens on vastaavasti todennut, että analytiikkaevästeitä, joilla on minimaalinen vaikutus yksityisyyteen, voidaan käyttää ilman suostumusta, mutta on asettanut CNIL:n ehtoja vastaavat edellytykset.

Muut lainkäyttöalueet

Useimmat muut eurooppalaiset tietosuojaviranomaiset eivät ole ottaneet käyttöön nimenomaista analytiikkapoikkeusta. ICO (Iso-Britannia) on todennut, että analytiikkaevästeet vaativat suostumuksen. Saksan tietosuojaviranomaiset vaativat yleisesti suostumuksen kaikille ei-välttämättömille evästeille. Espanjan AEPD:n kanta on suostumusta vaativa.

Käytännön suositus

Ellet toimi yksinomaan Ranskassa tai Alankomaissa ja pysty täyttämään kaikkia CNIL:n/AP:n ehtoja, turvallisin lähestymistapa on käsitellä analytiikkaevästeitä suostumusta vaativina. Jos kuitenkin nojaudut analytiikkapoikkeukseen, dokumentoi perustelusi, varmista että täytät jokaisen ehdon ja seuraa sääntelyn kehitystä — tämä alue on yhä kehittymässä.

Suostumuspoikkeukset evästeen tarkoituksen mukaan: päätöskaavio

Käy jokaisen verkkosivustosi evästeen kohdalla läpi nämä kysymykset:

  1. Onko eväste teknisesti välttämätön viestinnän välittämiseksi? (esim. kuormantasaus) Jos on: suostumusta ei tarvita. Jos ei: jatka.
  2. Onko käyttäjä nimenomaisesti pyytänyt palvelua, joka vaatii tämän evästeen? (esim. sisäänkirjautuminen, tuotteiden lisääminen ostoskoriin) Jos on: jatka. Jos ei: suostumus vaaditaan.
  3. Lakkaisiko pyydetty palvelu toimimasta ilman tätä nimenomaista evästettä? Jos lakkaisi: suostumusta ei tarvita (ehdottoman välttämätön). Jos palvelu toimisi mutta olisi vähemmän kätevä: suostumus vaaditaan.
  4. Onko eväste ensimmäisen osapuolen eväste, rajattu koostettuun analytiikkaan, joka ei jaa tietoja kolmansille osapuolille, ja oletko lainkäyttöalueella, jolla on analytiikkapoikkeus? Jos kaikkiin kyllä: mahdollisesti vapautettu, mutta dokumentoi perustelusi. Jos johonkin ei: suostumus vaaditaan.
  5. Kaikissa muissa tapauksissa: suostumus vaaditaan.

Erityistilanteet

Evästeseinät

Evästeseinä estää pääsyn verkkosivustolle, ellei käyttäjä hyväksy evästeitä. EDPB:n kanta on, että evästeseinät yleensä estävät suostumuksen antamisen "vapaaehtoisesti" ja eivät siksi ole vaatimustenmukaisia. Jotkin tietosuojaviranomaiset (erityisesti Hollannin AP oikeuden ratkaisun jälkeen) ovat kuitenkin todenneet, että evästeseinät voivat olla hyväksyttäviä, jos tarjolla on aito, vastaava vaihtoehto — kuten maksullinen, evästeetön versio palvelusta. Tämä on edelleen kiistanalainen alue.

Maksumuuri vs. evästeseinä

Jotkin julkaisijat tarjoavat "suostumus tai maksu" -mallin: hyväksy seurantaevästeet ilmaista pääsyä varten tai maksa evästeettömästä kokemuksesta. EDPB antoi vuonna 2024 lausunnon tästä käytännöstä ja myönsi, että se voi olla sallittu tietyissä olosuhteissa, mutta ilmaisi huolensa siitä, että "maksu"-vaihtoehdon on oltava aidosti kohtuullinen eikä hinnoiteltu suostumuksen pakottamiseksi.

Lapset

GDPR:n 8 artiklan mukaan lapsille suunnattujen tietoyhteiskunnan palvelujen suostumus edellyttää todentamista ja tietyn ikärajan (vaihtelee 13–16 vuoden välillä jäsenvaltiosta riippuen) alittavilta lapsilta huoltajan suostumusta. Jos verkkosivustosi kohdistuu lapsiin, evästesuostumusvaatimukset ovat tiukempia.

Työntekijä- ja B2B-kontekstit

Sähköisen viestinnän tietosuojadirektiivi koskee "tilaajaa tai käyttäjää" — ei ainoastaan kuluttajia. Jos B2B SaaS -alustasi käyttää ei-välttämättömiä evästeitä, suostumus vaaditaan silti yksittäiseltä käyttäjältä, myös liiketoimintakontekstissa.

Mitä tapahtuu ilman pätevää suostumusta

Jos asetat ei-välttämättömiä evästeitä ilman pätevää suostumusta:

  • Keräämäsi tiedot voivat olla laittomia sekä sähköisen viestinnän tietosuojadirektiivin että GDPR:n nojalla.
  • Voit joutua maksamaan GDPR:n mukaisia sakkoja jopa 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi (83 artiklan 5 kohta).
  • Sinut voidaan määrätä poistamaan laittomasti kerätyt tiedot.
  • Analytiikka- ja mainontatietosi voivat vaarantua — jos keräämisen oikeusperusta on pätemätön, tietoja ei voida käyttää laillisesti.
  • Kyseisten tietojen myöhemmät vastaanottajat (mainosverkostot, analytiikkapalveluntarjoajat) voivat myös joutua vastuuseen.

Nämä eivät ole hypoteettisia riskejä. CNIL sakotti Googlea 150 miljoonalla eurolla ja Facebookia 60 miljoonalla eurolla nimenomaan evästesuostumusrikkomuksista. Pienemmät yritykset ovat saaneet kymmenien tuhansien eurojen sakkoja vastaavista laiminlyönneistä.

Passiro tunnistaa jokaisen verkkosivustosi evästeen ja merkitsee suostumusta vaativat, jotta voit olla varma, että suostumusmekanismisi kattaa oikeat evästeet — ei enempää eikä vähempää.

Seuraavaksi vertailemme kahta perustavaa suostumusmallia: opt-in vastaan opt-out, ja missä kumpaakin sovelletaan.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi