Skip to main content

Evästekäytäntö: mikä se on ja mitä sen tulee sisältää

Evästekäytäntö on asiakirja, joka kertoo verkkosivustosi kävijöille, mitä evästeitä ja vastaavia seurantatekniikoita sivustosi käyttää, miksi se käyttää niitä ja miten käyttäjät voivat hallita niitä. Se on lakisääteinen vaatimus sekä ePrivacy-direktiivin että GDPR:n nojalla, ja se muodostaa läpinäkyvän tietojenkäsittelyn kulmakiven.

Tässä oppaassa käsitellään, mikä evästekäytäntö on, miten se eroaa tietosuojaselosteesta, mitä sen tulee nykyisten säädösten mukaan sisältää ja miten se pidetään ajan tasalla.

Mikä on evästekäytäntö?

Evästekäytäntö on erillinen asiakirja – joko oma sivunsa tai selkeästi tunnistettava osio tietosuojaselosteesi sisällä – joka antaa kattavat tiedot verkkosivustosi evästeiden ja vastaavien tekniikoiden (paikallinen tallennus, istuntotallennus, pikselitunnisteet, verkkojäljitteet, sormenjälkitunnistus ja vastaavat) käytöstä.

Evästekäytännön oikeusperusta perustuu kahteen toisiinsa liittyvään säädökseen:

  • ePrivacy-direktiivi (2002/58/EY), 5 artiklan 3 kohta – edellyttää, että käyttäjille annetaan "selkeät ja kattavat tiedot" evästeiden tarkoituksista ennen suostumuksen hankkimista.
  • GDPR, 12–14 artikla – edellyttävät läpinäkyvyyttä tietojenkäsittelyssä, mukaan lukien mitä tietoja kerätään, mihin tarkoituksiin, kenen kanssa niitä jaetaan ja kuinka kauan niitä säilytetään.

Yhdessä nämä säädökset edellyttävät, että kerrot käyttäjillesi tarkalleen, mitä seurantatekniikoita käytät, ja annat heille todellisen mahdollisuuden hallita näitä tekniikoita.

Evästekäytäntö vs. tietosuojaseloste

Evästekäytäntö ja tietosuojaseloste ovat toisiaan täydentäviä mutta erillisiä asiakirjoja. Eron ymmärtäminen on tärkeää:

Näkökulma Evästekäytäntö Tietosuojaseloste
Laajuus Erityisesti evästeet ja seurantatekniikat Kaikki henkilötietojen käsittely (lomakkeet, tilit, ostokset jne.)
Oikeusperusta ePrivacy-direktiivi + GDPR:n läpinäkyvyysvaatimukset GDPR:n 12–14 artikla
Sisällön painopiste Evästeiden nimet, tarkoitukset, kestot, tyypit, kategoriat, hallintamekanismit Tietoluokat, oikeusperusteet, oikeudet, siirrot, tietosuojavastaava, säilytys
Muoto Oma sivunsa tai osio tietosuojaselosteessa Oma sivunsa (pakollinen)
Päivitystiheys Aina kun evästeet muuttuvat (työkalujen tai toimittajien lisäys/poisto) Aina kun tietojenkäsittelykäytännöt muuttuvat

Voit sisällyttää evästekäytäntösi osioksi tietosuojaselosteeseesi, mutta sen on oltava selkeästi tunnistettavissa ja helppo löytää. Monet organisaatiot ylläpitävät erillistä evästekäytäntösivua selkeyden vuoksi ja siksi, että evästetiedot voivat olla varsin yksityiskohtaisia.

Evästebannerisi tulisi linkittää evästekäytäntöösi. Jos evästetietosi ovat osio tietosuojaselosteessa, linkin tulisi viedä suoraan kyseiseen osioon – älä pakota käyttäjiä selaamaan sivukaupalla aiheeseen liittymätöntä tietosuojatietoa löytääkseen evästetiedot.

Evästekäytännön lakisääteisyys

ePrivacy-direktiivi edellyttää "selkeitä ja kattavia tietoja" pätevän suostumuksen edellytyksenä. GDPR:n läpinäkyvyysperiaate (5 artiklan 1 kohdan a alakohta) ja tiedonantovaatimukset (13–14 artikla) edellyttävät lisäksi, että nämä tiedot ovat:

  • tiiviisti esitettyjä, läpinäkyviä ja helposti ymmärrettäviä (12 artiklan 1 kohta)
  • annettu selkeällä ja yksinkertaisella kielellä (12 artiklan 1 kohta)
  • helposti saatavilla (12 artiklan 1 kohta)
  • annettu maksutta (12 artiklan 5 kohta)

Käytännössä: evästekäytäntösi on kirjoitettava kielellä, jota myös ei-tekninen henkilö ymmärtää, sen on oltava linkitetty evästebannerista ja verkkosivustosi alatunnisteesta, ja sen on sisällettävä tarkat tiedot jokaisesta sivustosi käyttämästä evästeestä.

Mitä evästekäytännön tulee sisältää

Perustuen ePrivacy-direktiivin, GDPR:n sekä tietosuojaviranomaisten – kuten ICO:n (Iso-Britannia), CNIL:n (Ranska) ja 29 artiklan mukaisen tietosuojatyöryhmän – ohjeistuksen yhdistettyihin vaatimuksiin evästekäytäntösi tulee sisältää seuraavat tiedot:

1. Mitä evästeitä käytät

Tarjoa täydellinen luettelo kaikista verkkosivustollasi aktiivisista evästeistä ja vastaavista tekniikoista. Tähän kuuluvat sekä oman koodisi asettamat evästeet (ensimmäisen osapuolen) että käyttämiesi kolmansien osapuolten palveluiden (analytiikka-alustat, mainosverkostot, sosiaalisen median widgetit, upotettu sisältö, chatbotit jne.) asettamat evästeet.

Jokainen eväste tulee yksilöidä nimeltä. "Käytämme analytiikkaevästeitä" ei riitä – sinun on lueteltava tietyt evästeet: esimerkiksi _ga, _gid, _gat Google Analyticsille.

2. Kunkin evästeen tarkoitus

Selitä jokaisesta evästeestä tai toisiinsa liittyvien evästeiden ryhmästä, mitä se tekee selkeällä kielellä. Vältä teknistä ammattikieltä. Toimivia tarkoituskuvauksia:

  • "Tallentaa evästesuostumusasetuksesi, jotta emme kysy niitä uudelleen jokaisella käynnillä."
  • "Auttaa meitä laskemaan, kuinka moni vierailee verkkosivustollamme ja mitkä sivut ovat suosituimpia."
  • "Mahdollistaa kiinnostuksen kohteitasi vastaavien mainosten näyttämisen muilla verkkosivustoilla."

3. Ensimmäinen osapuoli vs. kolmas osapuoli

Ilmoita, onko jokainen eväste verkkosivustosi suoraan asettama (ensimmäinen osapuoli) vai ulkoisen palvelun asettama (kolmas osapuoli). Kolmansien osapuolten evästeiden osalta yksilöi palveluntarjoaja ja linkitä heidän tietosuojaselosteeseensa. Käyttäjillä on oikeus tietää paitsi se, että heidän tietojaan kerätään, myös kuka niitä kerää.

4. Kesto / vanheneminen

Ilmoita, kuinka kauan kukin eväste säilyy. Evästeitä on kahta tyyppiä:

  • Istuntoevästeet – poistetaan, kun käyttäjä sulkee selaimensa. Ilmoita tämä selkeästi: "Istunto (poistetaan, kun suljet selaimen)."
  • Pysyvät evästeet – säilyvät käyttäjän laitteella tietyn ajan. Ilmoita tarkka kesto: "2 vuotta", "30 päivää", "13 kuukautta". Älä käytä epämääräisiä ilmaisuja kuten "pitkäaikainen".

Tietosuojaviranomaiset ovat kiinnittäneet huomiota evästeiden kestoihin. CNIL esimerkiksi suosittelee, ettei suostumusevästeiden (evästeiden, jotka tallentavat käyttäjän suostumusvalinnan) kesto ylittäisi 13 kuukautta.

5. Miten evästeitä hallitaan ja poistetaan

Selitä, miten käyttäjät voivat hallita evästeitä kahden mekanismin avulla:

  • Suostumusbannerisi kautta. Selitä, että käyttäjät voivat muuttaa evästeasetuksiaan milloin tahansa evästeasetustesi kautta (kerro asetuslinkin/-kuvakkeen sijainti).
  • Selaimen asetusten kautta. Anna yleisohjeet evästeiden hallintaan yleisimmissä selaimissa (Chrome, Firefox, Safari, Edge). Sinun ei tarvitse antaa vaiheittaisia ohjeita, mutta sinun tulisi selittää, että selaimen asetukset ovat olemassa, ja linkittää kunkin selaimen asianmukaisille tukisivuille.

6. Miten suostumus peruutetaan

GDPR:n 7 artiklan 3 kohta edellyttää, että suostumuksen peruuttaminen on yhtä helppoa kuin sen antaminen, ja että käyttäjille kerrotaan tästä oikeudesta ennen suostumuksen antamista. Evästekäytäntösi on selitettävä:

  • että käyttäjällä on oikeus peruuttaa suostumuksensa milloin tahansa;
  • miten se tehdään (tyypillisesti: napsauta jokaisella sivulla näkyvää evästeasetusten kuvaketta/linkkiä tai tyhjennä evästeet selaimen asetusten kautta);
  • että suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suostumukseen perustuneen käsittelyn lainmukaisuuteen.

7. Evästekategoriat

Järjestä evästeet suostumusbannerisi käyttämiin vakiokategorioihin. Laajimmin käytetty luokittelu on:

  • Välttämättömät – evästeet, joita verkkosivusto tarvitsee toimiakseen (kirjautumisistunnot, ostoskorit, suojaustunnisteet). Nämä eivät edellytä suostumusta ePrivacy-direktiivin nojalla.
  • Asetukset / toiminnalliset – evästeet, jotka muistavat käyttäjän valinnat (kieli, alue, näyttöasetukset). Nämä parantavat käyttökokemusta, mutta eivät ole välttämättömiä.
  • Analytiikka / tilastointi – evästeet, joita käytetään anonyymien käyttötietojen keräämiseen (sivunäytöt, liikenteen lähteet, käyttäytymismallit).
  • Markkinointi / mainonta – evästeet, joita käytetään kohdennettuun mainontaan, uudelleenkohdennukseen ja mainonnan mittaamiseen.

Evästekäytäntösi kategorioiden tulisi vastata suostumusbannerisi kategorioita. Näiden kahden asiakirjan väliset epäjohdonmukaisuudet heikentävät läpinäkyvyyttä.

8. Yhteystiedot

Anna yhteystiedot evästekäytäntöjäsi koskevia kysymyksiä varten. Näihin kuuluvat tyypillisesti:

  • Rekisterinpitäjän henkilöllisyys (yrityksesi nimi ja rekisteröity osoite)
  • Sähköpostiosoite tietosuojatiedusteluja varten
  • Tietosuojavastaavan (DPO) yhteystiedot, jos sellainen on nimetty
  • Valvontaviranomaisesi (asianmukainen tietosuojaviranomainen)

Missä evästekäytäntö tulee näyttää

Evästekäytäntösi on oltava helposti saatavilla useasta paikasta:

  • Verkkosivuston alatunniste. "Evästekäytäntö"-linkki alatunnisteessasi, näkyvissä jokaisella sivulla. Tämä on käyttäjien odottama vakiosijainti.
  • Evästebanneri. Suora linkki evästebannerista täydelliseen evästekäytäntöön. Tämä on lakisääteinen vaatimus – käyttäjien on voitava saada yksityiskohtaiset tiedot suostumusnäkymästä.
  • Evästeasetusten/-valintojen paneeli. Suostumusnäkymäsi toisen tason tulisi linkittää evästekäytäntöön niille käyttäjille, jotka haluavat lisätietoja.
  • Tietosuojaseloste. Jos evästekäytäntösi on erillinen asiakirja, viittaa siihen tietosuojaselosteestasi ja päinvastoin.

Evästetietojen esittäminen

Tehokkain ja läpinäkyvin muoto yksittäisten evästeiden esittämiseen on taulukko. Tietosuojaviranomaiset, ICO mukaan lukien, suosittelevat tätä muotoa:

Evästeen nimi Palveluntarjoaja Tarkoitus Tyyppi Kesto
_ga Google Analytics Erottaa yksittäiset kävijät toisistaan antamalla satunnaisesti luodun numeron Kolmas osapuoli, analytiikka 2 vuotta
_gid Google Analytics Erottaa yksittäiset kävijät toisistaan kuluvan päivän ajan Kolmas osapuoli, analytiikka 24 tuntia
cookie_consent Tämä verkkosivusto Tallentaa evästesuostumusasetuksesi Ensimmäinen osapuoli, välttämätön 12 kuukautta

Tämä muoto on selkeä, helposti silmäiltävä ja tarjoaa kaikki vaaditut tiedot yhdellä silmäyksellä.

Kuinka usein päivittää

Evästekäytäntösi on oltava jatkuvasti ajan tasalla. Päivitä se aina, kun:

  • Lisäät uuden kolmannen osapuolen palvelun, joka asettaa evästeitä (uusi analytiikkatyökalu, uusi markkinointialusta, uusi chatbot).
  • Poistat palvelun, joka aiemmin asetti evästeitä.
  • Kolmannen osapuolen palvelu muuttaa evästeitään (uudet nimet, uudet kestot, uudet tarkoitukset).
  • Muutat suostumusbannerisi kategorioita.
  • Sääntelyohjeistus muuttuu (uudet vaatimukset, uudet parhaat käytännöt).

Sisällytä "Viimeksi päivitetty" -päivämäärä evästekäytäntösi alkuun tai loppuun. Tämä osoittaa, että käytäntöä ylläpidetään aktiivisesti, ja auttaa käyttäjiä arvioimaan sen ajantasaisuutta.

Haasteena on tietysti tietää, milloin evästeesi muuttuvat. Kolmansien osapuolten palvelut päivittävät seurantaansa usein, ja kolme kuukautta sitten olemassa ollut eväste on saatettu korvata tai nimetä uudelleen. Manuaaliset auditoinnit ovat epäluotettavia, koska ne riippuvat siitä, että joku muistaa tarkistaa asian.

Pidä käytäntösi ajan tasalla automaattisen skannauksen avulla

Yleisin vaatimustenmukaisuusvirhe evästekäytännöissä ei ole tiedon puuttuminen – vaan virheellinen tieto. Käytäntö, joka luettelee evästeitä, joita et enää käytä, tai joka ei mainitse äskettäisen markkinointityökalun integroinnin lisäämiä evästeitä, ei ole vaatimusten mukainen.

Automaattinen evästeskannaus ratkaisee tämän ongelman. Skanneri vierailee verkkosivustollasi säännöllisin väliajoin, tunnistaa kaikki asetetut evästeet, vertaa niitä ilmoittamiisi evästeisiin ja hälyttää sinua eroavaisuuksista.

Passiro skannaa verkkosivustosi automaattisesti evästeiden varalta, luokittelee ne ja nostaa esiin kaikki ilmoittamattomat evästeet, joita käytäntösi ei vielä huomioi. Näin evästekäytäntösi pysyy ajan tasalla ilman manuaalisia auditointeja. Lue lisää Passiron automaattisesta evästeskannauksesta.

Tässä osiossa

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi