Skip to main content

Evästeiden vaatimustenmukaisuuden aineistot ja sanasto

Evästeiden vaatimustenmukaisuuteen liittyy erikoistunut sanasto, joka juontaa juurensa EU-sääntelystä, tietosuojalainsäädännöstä ja verkkoteknologiasta. Tässä sanastossa määritellään keskeiset termit, joihin tulet törmäämään, minkä jälkeen esittelemme kootun kokoelman virallisia aineistoja ja arvovaltaisia lähteitä jatko-opiskelun tueksi.

Keskeisten termien sanasto

A–C

CMP (Consent Management Platform, suostumustenhallinta-alusta): Ohjelmistotyökalu tai palvelu, joka hallitsee evästeitä ja muita seurantateknologioita koskevan käyttäjän suostumuksen keräämistä, tallentamista ja toteuttamista. CMP tarjoaa tyypillisesti evästebannerin käyttöliittymän, tallentaa suostumustiedot ja hallitsee, mitkä skriptit saavat suorittua käyttäjän valintojen perusteella. Esimerkkejä ovat Cookiebot, OneTrust, Usercentrics sekä avoimen lähdekoodin ratkaisut kuten Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Ranskan tietosuojaviranomainen. CNIL on ollut aktiivisin eurooppalainen sääntelyviranomainen evästevalvonnassa: se on määrännyt suurimmat evästeisiin liittyvät sakot ja julkaissut yksityiskohtaisimmat evästeiden vaatimustenmukaisuusohjeet. Sen tulkinnat ja valvontatoimet asettavat usein standardin, jota muut tietosuojaviranomaiset seuraavat.

Suostumus: GDPR:n kontekstissa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ilmaus rekisteröidyn tahdosta, joka annetaan selkeällä myöntävällä toimella. Evästeiden osalta tämä tarkoittaa, että käyttäjän on aktiivisesti valittava salliakseen ei-välttämättömät evästeet tietoisella toimella, kuten napsauttamalla "Hyväksy"-painiketta. Vaikeneminen, valmiiksi rastitetut ruudut, toimimattomuus tai selailun jatkaminen eivät muodosta pätevää suostumusta.

Eväste: Pieni tekstitiedosto, jonka verkkosivusto sijoittaa käyttäjän laitteelle. Evästeitä käytetään monenlaisiin tarkoituksiin, kirjautumisistuntojen ylläpidosta (ehdottoman välttämättömät) selailukäyttäytymisen seurantaan eri sivustoilla (mainonta). Teknisesti eväste on nimi-arvo-pari, johon liittyy metatietoja, kuten verkkotunnus, polku, vanheneminen ja tietoturvaliput.

Evästebanneri: Käyttöliittymäelementti (tyypillisesti palkki, modaali tai ponnahdusikkuna), joka ilmestyy käyttäjän vieraillessa verkkosivustolla ensimmäistä kertaa. Se kertoo sivuston evästeiden käytöstä ja pyytää käyttäjän suostumusta. Vaatimustenmukainen evästebanneri tarjoaa selkeää tietoa, aidot valinnat (hyväksy, hylkää, mukauta) eikä aseta ei-välttämättömiä evästeitä ennen kuin käyttäjä vastaa.

Evästekäytäntö: Asiakirja (tyypillisesti oma verkkosivunsa tai osa tietosuojaselostetta), joka tarjoaa yksityiskohtaista tietoa kaikista verkkosivustolla käytettävistä evästeistä, mukaan lukien niiden nimet, tarkoitukset, tyypit, kestot ja kolmannen osapuolen palveluntarjoajat, jotka ne asettavat. Evästekäytäntö täyttää GDPR:n läpinäkyvyysvelvoitteet ja ePrivacy-direktiivin vaatimuksen "selkeästä ja kattavasta tiedosta".

Evästemuuri: Mekanismi, joka estää pääsyn verkkosivuston sisältöön, ellei käyttäjä hyväksy kaikkia evästeitä. Evästemuurit ovat kiistanalaisia, ja niiden laillisuus vaihtelee lainkäyttöalueittain. EDPB on todennut, että evästemuurit heikentävät pätevän suostumuksen "vapaaehtoisuuden" vaatimusta, sillä käyttäjä joutuu ota tai jätä -tilanteeseen. Jotkin kansalliset tietosuojaviranomaiset (erityisesti Ranskan Conseil d'Etat) ovat sallineet evästemuurit rajatuin ehdoin, kun käyttäjällä on aito vaihtoehtoinen tapa päästä sisältöön käsiksi.

D–E

Dark pattern (harhaanjohtava suunnittelumalli): Käyttöliittymän suunnitteluvalinta, joka manipuloi käyttäjiä tekemään päätöksiä, joita he eivät muuten tekisi. Evästeiden kontekstissa harhaanjohtaviin malleihin kuuluu: "Hyväksy"-painikkeen tekeminen visuaalisesti hallitsevaksi samalla kun "Hylkää"-vaihtoehto piilotetaan, hämmentävän kielen käyttäminen, useampien napsautusten vaatiminen hylkäämiseen kuin hyväksymiseen sekä syyllistämistaktiikoiden käyttö. EDPB julkaisi helmikuussa 2023 erityiset ohjeet harhaanjohtavista malleista tietosuojan käyttöliittymissä.

Rekisterinpitäjä: Taho, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Verkkosivuston asettamien evästeiden osalta sivuston ylläpitäjä on tyypillisesti rekisterinpitäjä. Kolmannen osapuolen evästeiden osalta rekisterinpitäjyys voi olla yhteistä sivuston ylläpitäjän ja kolmannen osapuolen välillä sen mukaan, kuinka paljon kukin osapuoli vaikuttaa tietojen keruun tarkoituksiin ja keinoihin.

Henkilötietojen käsittelijä: Taho, joka käsittelee henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ohjeiden mukaisesti. Hosting-palveluntarjoaja tai CMP-toimittaja, joka toimii yksinomaan sivuston ylläpitäjän ohjeiden mukaan, on henkilötietojen käsittelijä. Erottelu on merkityksellinen, koska rekisterinpitäjillä on ensisijainen vastuu vaatimustenmukaisuudesta, kun taas käsittelijöiden on noudatettava rekisterinpitäjän ohjeita ja käsittelysopimuksen ehtoja.

Rekisteröity: Luonnollinen henkilö, jonka henkilötietoja käsitellään. Evästeiden kontekstissa rekisteröityjä ovat verkkosivuston kävijät, joiden tietoja kerätään evästeiden kautta. Rekisteröidyillä on GDPR:n mukaisia oikeuksia, kuten oikeus tietojen tarkastamiseen, oikaisuun, poistamiseen, käsittelyn rajoittamiseen, tietojen siirtämiseen sekä oikeus vastustaa käsittelyä.

DPA (Data Protection Authority, tietosuojaviranomainen): Riippumaton julkinen viranomainen, joka vastaa tietosuojalainsäädännön valvonnasta ja täytäntöönpanosta kussakin EU:n jäsenvaltiossa. Tietosuojaviranomaisilla on valta tutkia valituksia, suorittaa auditointeja, antaa ohjeistusta ja määrätä sakkoja. Jokaisella jäsenvaltiolla on vähintään yksi tietosuojaviranomainen (Saksassa niitä on useita, yksi kutakin osavaltiota kohti sekä liittovaltion BfDI). Esimerkkejä: CNIL (Ranska), Garante (Italia), ICO (Iso-Britannia), Datatilsynet (Tanska/Norja).

DPO (Data Protection Officer, tietosuojavastaava): Henkilö, jonka rekisterinpitäjä tai käsittelijä on nimennyt valvomaan GDPR:n noudattamista. GDPR edellyttää tiettyjen organisaatioiden nimeävän tietosuojavastaavan, mukaan lukien viranomaiset ja organisaatiot, joiden ydintoimintaan kuuluu rekisteröityjen laajamittainen seuranta. Vaikka tietosuojavastaava ei liity suoraan evästeisiin, hän yleensä valvoo organisaation evästeiden vaatimustenmukaisuusohjelmaa.

EDPB (European Data Protection Board, Euroopan tietosuojaneuvosto): Riippumaton EU-elin, joka varmistaa GDPR:n johdonmukaisen soveltamisen ja edistää yhteistyötä kansallisten tietosuojaviranomaisten välillä. EDPB (joka korvasi 29 artiklan mukaisen tietosuojatyöryhmän) antaa ohjeita, suosituksia ja sitovia päätöksiä. Sen suostumusta koskevat ohjeet (Guidelines 05/2020) ja harhaanjohtavia malleja koskevat ohjeet ovat keskeisiä lähteitä evästeiden vaatimustenmukaisuudessa.

ePrivacy-direktiivi (direktiivi 2002/58/EY): EU-direktiivi, joka säätelee yksityisyyttä sähköisessä viestinnässä, mukaan lukien evästeiden käyttö. Artikla 5(3) on evästesuostumusvaatimuksen ensisijainen oikeusperusta. Direktiivinä se on saatettava osaksi kunkin jäsenvaltion kansallista lainsäädäntöä, mikä johtaa vaihteluihin toteutuksessa. Se on määrä korvata ePrivacy-asetuksella, joka on edelleen neuvottelujen kohteena.

F–G

Ensimmäisen osapuolen eväste: Eväste, jonka asettaa se verkkotunnus, jolla käyttäjä vierailee. Jos esimerkiksi käyttäjä vierailee osoitteessa example.com ja example.com asettaa evästeen, kyseessä on ensimmäisen osapuolen eväste. Ensimmäisen osapuolen evästeitä käytetään tyypillisesti välttämättömiin toimintoihin (istunnot, asetukset) ja ensimmäisen osapuolen analytiikkaan. Niitä pidetään yleisesti vähemmän tunkeilevina kuin kolmannen osapuolen evästeitä, koska ne eivät voi seurata käyttäjiä eri verkkosivustojen välillä.

GDPR (General Data Protection Regulation, yleinen tietosuoja-asetus): Asetus (EU) 2016/679, EU:n kattava tietosuojalaki, joka on ollut voimassa 25. toukokuuta 2018 alkaen. GDPR tarjoaa oikeudellisen kehyksen sille, mikä muodostaa pätevän suostumuksen (jota sovelletaan evästeisiin ePrivacy-direktiivin viittauksen kautta), rekisteröityjen oikeuksille, rekisterinpitäjien ja käsittelijöiden velvoitteille sekä täytäntöönpanojärjestelmälle, mukaan lukien sakot, jotka voivat olla enintään 4 % maailmanlaajuisesta vuosiliikevaihdosta tai 20 miljoonaa euroa.

GPC (Global Privacy Control): Selaintason signaali, joka viestittää käyttäjän toiveen kieltäytyä henkilökohtaisten tietojensa myynnistä tai jakamisesta. Toisin kuin vanhempi Do Not Track (DNT) -signaali, GPC:llä on oikeudellinen tuki CCPA/CPRA:n ja useiden muiden Yhdysvaltain osavaltioiden tietosuojalakien nojalla. Kun käyttäjä ottaa GPC:n käyttöön selaimessaan, näiden lakien alaisten verkkosivustojen on käsiteltävä sitä pätevänä kieltäytymispyyntönä. GPC saa yhä laajempaa tunnustusta myös Euroopassa, vaikka se ei vielä ole lakisääteisesti pakollinen EU-lainsäädännön nojalla.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Toimialan kehittämä kehys suostumuksen hallintaan digitaalisen mainonnan ekosysteemissä. TCF tarjoaa vakioidun tavan CMP:ille, mainostajille ja julkaisijoille viestittää suostumussignaaleja koko mainosteknologian toimitusketjussa. Versio 2.2 on nykyinen standardi. TCF on kohdannut oikeudellisia haasteita, erityisesti Belgian tietosuojaviranomaisen vuoden 2022 päätöksen, jonka mukaan IAB Europen suorittama TC-merkkijonon käsittely muodosti henkilötietojen käsittelyä. Kehys on edelleen laajalti käytössä, mutta sen oikeudellinen asema kehittyy jatkuvasti.

Oikeutettu etu: Yksi kuudesta henkilötietojen käsittelyn laillisesta perusteesta GDPR:n artiklan 6(1)(f) mukaisesti. Oikeutettu etu edellyttää tasapainotestiä rekisterinpitäjän etujen sekä rekisteröidyn oikeuksien ja vapauksien välillä. Evästeiden osalta oikeutetun edun käyttö laillisena perusteena on erittäin kiistanalaista. Vallitseva eurooppalainen sääntelynäkemys on, että suostumus (ei oikeutettu etu) on asianmukainen peruste ei-välttämättömille evästeille, koska ePrivacy-direktiivi vaatii erityisesti suostumusta tietojen tallentamiseen käyttäjän laitteelle.

O–P

Opt-in (aktiivinen suostumus): Suostumusmalli, jossa henkilötietojen käsittelyä (tai evästeiden asettamista) ei tapahdu, ellei käyttäjä tee myöntävää toimea sen sallimiseksi. EU:n evästemalli on opt-in-tyyppinen: ei ei-välttämättömiä evästeitä ennen kuin käyttäjä antaa suostumuksensa. Opt-in tarjoaa vahvemman yksityisyydensuojan, mutta edellyttää suostumusmekanismia ennen kuin mitään seurantaa alkaa.

Opt-out (kieltäytyminen): Suostumusmalli, jossa henkilötietojen käsittely (tai evästeiden asettaminen) tapahtuu oletuksena, ja käyttäjän on ryhdyttävä toimiin sen pysäyttämiseksi. Yhdysvaltain evästemalli (CCPA:n ja vastaavien osavaltiolakien mukaisesti) on yleensä opt-out-tyyppinen: seurantaa tapahtuu, ellei käyttäjä vastusta sitä. Opt-out asettaa toimimisen taakan käyttäjälle sivuston ylläpitäjän sijaan.

Pysyvä eväste: Eväste, joka säilyy käyttäjän laitteella määrätyn ajan selaimen sulkemisen jälkeen. Pysyviä evästeitä käytetään asetusten muistamiseen, kirjautumisistuntojen ylläpitoon vierailukertojen välillä sekä käyttäytymisen seurantaan ajan mittaan. Niillä on asetettu vanhenemispäivä, ja ne säilyvät, kunnes kyseinen päivämäärä ohittuu tai käyttäjä poistaa ne. Pysyvien evästeiden keston tulee olla oikeasuhtainen niiden tarkoitukseen nähden.

Henkilötiedot: GDPR:n mukaan mikä tahansa tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto. Tämä sisältää ilmeiset tunnisteet (nimi, sähköposti) ja vähemmän ilmeiset (IP-osoitteet, evästetunnisteet, laitteen sormenjäljet). GDPR:n johdanto-osan 30 kohdassa todetaan nimenomaisesti, että verkkotunnisteet, kuten evästetunnisteet, voivat muodostaa henkilötietoja. Käytännössä lähes kaikki evästeet, jotka yksilöivät selaimen tai käyttäjän, katsotaan henkilötiedoiksi.

Ennakkosuostumus: Suostumus, joka hankitaan ennen sen valtuuttaman toimen tapahtumista. Evästeiden osalta ennakkosuostumus tarkoittaa käyttäjän suostumuksen hankkimista ennen kuin mitään ei-välttämättömiä evästeitä asetetaan hänen laitteelleen. Tämä on ePrivacy-direktiivin artiklan 5(3) perustavanlaatuinen vaatimus. Evästeiden asettaminen ensin ja suostumuksen kysyminen jälkikäteen, tai evästeiden takautuva poistaminen suostumuksen epäämisen tapauksessa, ei täytä ennakkosuostumusvaatimusta.

S–T

Istuntoeväste: Eväste, joka on olemassa vain käyttäjän selausistunnon ajan ja poistetaan selaimen sulkeutuessa. Istuntoevästeitä käytetään yleisesti kirjautumistilan ylläpitoon, ostoskorin sisältöön ja muihin ohimeneviin tietoihin. Monet istuntoevästeet katsotaan ehdottoman välttämättömiksi ja ovat siten vapautettuja suostumusvaatimuksesta, joskin tämä riippuu niiden erityisestä tarkoituksesta.

Ehdottoman välttämätön eväste: Eväste, joka on olennainen verkkosivuston toiminnalle ja käyttäjän nimenomaisesti pyytämän palvelun tarjoamiselle. Ehdottoman välttämättömät evästeet on vapautettu suostumusvaatimuksesta ePrivacy-direktiivin artiklan 5(3) mukaisesti. Esimerkkejä ovat todennusevästeet, tietoturvaevästeet (CSRF-tokenit), kuormantasausevästeet ja käyttöliittymän asetusevästeet, jotka ovat palvelulle olennaisia. Analytiikkaevästeet, mainosevästeet ja sosiaalisen median evästeet eivät ole ehdottoman välttämättömiä, riippumatta siitä kuinka hyödyllisinä sivuston ylläpitäjä niitä pitää.

Kolmannen osapuolen eväste: Eväste, jonka asettaa muu verkkotunnus kuin se, jolla käyttäjä vierailee. Jos esimerkiksi käyttäjä vierailee osoitteessa example.com ja facebook.com asettaa evästeen (example.comiin upotetun Facebook Pixelin kautta), Facebook-eväste on kolmannen osapuolen eväste. Kolmannen osapuolen evästeitä käytetään ensisijaisesti sivustojen väliseen seurantaan ja kohdennettuun mainontaan. Suuret selaimet rajoittavat tai poistavat kolmannen osapuolen evästeitä: Safari ja Firefox estävät ne jo oletuksena, ja Chrome on ilmoittanut suunnitelmista lopettaa niiden tuki (joskin aikataulua on siirretty useaan kertaan).

Seurantapikseli: Pieni, näkymätön kuva (tyypillisesti 1x1 pikseliä), joka on upotettu verkkosivulle tai sähköpostiviestiin ja joka raportoi palvelimelle latautuessaan. Vaikka seurantapikseli ei teknisesti ole eväste, se on siihen liittyvä seurantateknologia, joka usein toimii evästeiden kanssa käyttäjän käyttäytymisen seuraamiseksi. Seurantapikselit ovat samojen suostumusvaatimusten alaisia kuin evästeet ePrivacy-direktiivin mukaisesti, koska niihin liittyy tiedon lukeminen käyttäjän laitteelta (HTTP-pyyntö välittää käyttäjän IP-osoitteen, selaintiedot ja mahdolliset niihin liittyvät evästeet).

Viralliset aineistot

EU-lainsäädäntö ja ohjeistus

Kansallisten tietosuojaviranomaisten evästeohjeistus

Google Consent Mode

IAB Transparency and Consent Framework

Yhdysvaltain tietosuojalait

Euroopan unionin tuomioistuimen oikeuskäytäntö

Lisälukemista

Evästeiden vaatimustenmukaisuustyökalut

Evästeiden vaatimustenmukaisuuden ylläpito edellyttää oikeita työkaluja. Passiro tarjoaa automaattisen evästeskannauksen, joka käy läpi koko verkkosivustosi aidolla selainmoottorilla, tunnistaa kaikki evästeet ja seurantateknologiat, luokittelee ne jatkuvasti päivittyvän tietokannan avulla sekä valvoo muutoksia ajastetuilla skannauksilla ja hälytyksillä. Yhdistettynä Passiron suostumustenhallinta-alustaan tämä antaa sinulle täydellisen ja aina ajantasaisen näkymän verkkosivustosi evästeiden vaatimustenmukaisuustilanteeseen.

Lue lisää Passiron skannausominaisuuksista tai suorita ilmainen skannaus verkkosivustollesi nähdäksesi, mitä evästeitä sivustosi asettaa tänä päivänä.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi