Skip to main content

Evästebannerit: Täydellinen opas

Evästebanneri on rajapinta verkkosivustosi ja kävijöidesi yksityisyydensuojan välillä. Se on mekanismi, jonka kautta saat – tai jäät saamatta – oikeudellisesti pätevän suostumuksen ei-välttämättömille evästeille. Sen tekeminen oikein ei ole valinnaista: se on lakisääteinen vaatimus kaikkialla Euroopan unionissa ja yhä useammilla lainkäyttöalueilla ympäri maailmaa.

Tässä oppaassa käsitellään, mitä evästebannerit ovat, miksi ne ovat olemassa, mitä laki edellyttää ja miten toteuttaa banneri, joka on sekä lainmukainen että käyttäjäystävällinen.

Mikä on evästebanneri?

Evästebanneri on käyttöliittymäelementti – tyypillisesti näytetään kävijän saapuessa verkkosivustollesi ensimmäisen kerran – joka kertoo käyttäjälle sivuston evästeiden ja vastaavien seurantatekniikoiden käytöstä ja tarjoaa käyttäjälle mekanismin suostumuksen antamiseen tai epäämiseen.

Termi ”evästebanneri” on jokseenkin epävirallinen. Oikeudellisesti kyse on suostumustenhallinnan käyttöliittymästä. Se on olemassa kahden toisiaan leikkaavan EU-lain vuoksi:

  • Sähköisen viestinnän tietosuojadirektiivi (2002/58/EY), 5 artiklan 3 kohta – edellyttää ennakkosuostumusta ennen tietojen tallentamista käyttäjän laitteeseen tai niiden lukemista (kapeine poikkeuksineen ehdottoman välttämättömille evästeille).
  • Yleinen tietosuoja-asetus (GDPR), 4 artiklan 11 kohta ja 7 artikla – määrittelee, mikä muodostaa pätevän suostumuksen: sen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen sekä annettu selkeällä myöntävällä toimenpiteellä.

Yhdessä nämä lait tarkoittavat, että ennen kuin asetat analytiikkaevästeen, markkinointipikselin tai minkä tahansa muun ei-välttämättömän seurantatyökalun, sinun on kysyttävä käyttäjältä ja saatava selkeä ”kyllä”.

Evästebannereiden oikeudelliset vaatimukset

Lainmukainen evästebanneri ei ole pelkkä ilmoitus – se on suostumusmekanismi. Euroopan tietosuojaneuvosto (EDPB) ja kansalliset tietosuojaviranomaiset ovat antaneet laajaa ohjeistusta siitä, mitä bannereiden on sisällettävä. Tässä ovat vaatimukset, joista ei voida tinkiä:

Mitä on näytettävä

  1. Selkeä kuvaus tarkoituksesta. Käyttäjien on ymmärrettävä, miksi evästeitä käytetään, ei vain että niitä on olemassa. ”Käytämme evästeitä parantaaksemme kokemustasi” ei riitä. Sinun on selitettävä tietyt tarkoitukset: analytiikka, mainonta, personointi, sosiaalisen median integraatio.
  2. Hyväksy-painike. Selkeä, myöntävä toimenpide ei-välttämättömien evästeiden hyväksymiseksi.
  3. Hylkää-painike (tai vastaava). Käyttäjien on voitava kieltäytyä ei-välttämättömistä evästeistä yhtä helposti. CNIL (Ranska), Tanskan tietosuojaviranomainen (Datatilsynet) ja EDPB ovat kaikki vahvistaneet: evästeiden hylkäämisen on oltava yhtä helppoa kuin niiden hyväksymisen.
  4. Linkki evästeasetuksiin tai -valintoihin. Käyttäjien on voitava tehdä tarkempia valintoja – hyväksyä joitakin evästekategorioita ja hylätä toisia.
  5. Linkki evästekäytäntöösi. Bannerin on tarjottava pääsy yksityiskohtaisiin tietoihin siitä, mitä evästeitä käytät, niiden tarkoituksista, kestoista sekä siitä, ovatko ne ensimmäisen vai kolmannen osapuolen evästeitä.
  6. Rekisterinpitäjän henkilöllisyys. Käyttäjien on tiedettävä, kuka kerää heidän tietojaan.

Mitä ei saa tapahtua

  • Ei-välttämättömiä evästeitä ei saa asettaa ennen kuin käyttäjä tekee valintansa.
  • Suostumusta ei saa päätellä vierittämisestä, selailun jatkamisesta tai toimimattomuudesta.
  • Valmiiksi rastitetut valintaruudut eivät muodosta pätevää suostumusta (vahvistettu EU-tuomioistuimen Planet49-ratkaisussa, asia C-673/17).
  • Evästemuurit – pääsyn estäminen sivustolle, ellei käyttäjä anna suostumustaan – ovat yleensä kiellettyjä, joskin joillakin lainkäyttöalueilla on rajoitettuja poikkeuksia.

Evästebannereiden tyypit

Kaikki evästebannerit eivät ole samanarvoisia. Tarvitsemasi tyyppi riippuu lainkäyttöalueestasi, käyttämistäsi evästeistä ja tavoittelemastasi vaatimustenmukaisuuden tasosta.

Pelkät ilmoitusbannerit

Nämä yksinkertaisesti kertovat käyttäjälle, että evästeitä käytetään, usein yhdellä ”OK”- tai ”Selvä”-painikkeella. Pelkät ilmoitusbannerit eivät ole EU-lain mukaisia. Ne olivat yleisiä evästesääntelyn alkuaikoina, mutta ne eivät täytä GDPR:n suostumusvaatimuksia. Jos verkkosivustosi on suunnattu EU-käyttäjille, pelkkä ilmoitusbanneri on riski.

Opt-in-bannerit (suostumus ensin)

Kultainen standardi EU-vaatimustenmukaisuudelle. Ei-välttämättömiä evästeitä ei aseteta ennen kuin käyttäjä antaa myöntävän suostumuksensa. Banneri esittää selkeät hyväksy- ja hylkää-vaihtoehdot sekä ihannetapauksessa linkin tarkempiin asetuksiin. Tämä on malli, jota sähköisen viestinnän tietosuojadirektiivi GDPR:n kautta tulkittuna edellyttää.

Kerroksittaiset bannerit

Kerroksittainen lähestymistapa esittää olennaiset tiedot ensimmäisessä kerroksessa (itse bannerissa) ja yksityiskohtaiset tiedot toisessa kerroksessa (valintapaneelissa tai asetussivulla). Tätä lähestymistapaa suosittelevat EDPB ja useimmat tietosuojaviranomaiset. Se tasapainottaa läpinäkyvyyden ja käytettävyyden: käyttäjät saavat keskeiset tiedot heti, mahdollisuudella syventyä tarkemmin.

Hyvin toteutettu kerroksittainen banneri näyttää tyypillisesti:

  • Ensimmäinen kerros: Lyhyt tarkoituksen kuvaus, hyväksy-painike, hylkää-painike, ”Hallinnoi valintoja” -linkki.
  • Toinen kerros: Kategoriakohtainen erittely valintakytkimineen, yksityiskohtaisine kuvauksineen ja luettelo kunkin kategorian tietyistä evästeistä.

Bannerin sijoittelu

Se, mihin sijoitat evästebannerisi, vaikuttaa sekä vaatimustenmukaisuuteen että käyttökokemukseen. Yleisiä sijainteja ovat:

Sijainti Edut Haitat
Alapalkki Ei häiritsevä, sallii sisällön katselun, laajalti tunnettu Voi jäädä huomaamatta, saattaa peittää alatunnisteen sisällön
Keskitetty modaali (peittokuva) Mahdoton ohittaa, pakottaa päätökseen, korkea sitoutuminen Keskeyttää kokemuksen, voi tuntua aggressiiviselta
Yläpalkki Näkyvä, tavanomainen sijoittelu Voi työntää sisältöä alaspäin, saattaa häiritä navigointia
Kulmawidget Vähäinen visuaalinen vaikutus, huomaamaton Helppo ohittaa, vähäinen sitoutuminen, saattaa herättää vaatimustenmukaisuushuolia

EDPB ei ole määrännyt tiettyä sijaintia, mutta bannerin on oltava selkeästi näkyvä eikä helposti ohitettavissa. Keskitetty modaali tai näkyvä alapalkki ovat turvallisimmat valinnat vaatimustenmukaisuuden näkökulmasta. Pieni kulmawidget, jonka käyttäjät säännöllisesti sivuuttavat, ei välttämättä täytä ”selkeän ja näkyvän” tiedon vaatimusta.

Mitä lainmukaisen bannerin on sisällettävä

Yhteenvetona: bannerin, joka täyttää nykyiset EU-standardit, on sisällettävä nämä elementit:

  1. Tarkoituksen kuvaus: Ytimekäs selitys siitä, miksi evästeitä käytetään, jäsenneltynä kategorioittain (välttämättömät, analytiikka, markkinointi, valinnat).
  2. Hyväksy kaikki -painike: Selkeästi merkitty, joka antaa suostumuksen kaikkiin ei-välttämättömiin evästekategorioihin.
  3. Hylkää kaikki -painike: Yhtä näkyvä kuin hyväksy-painike – sama koko, sama visuaalinen painoarvo, sama saavutettavuuden taso.
  4. Hallinnoi valintoja / Asetukset -linkki: Avaa toisen kerroksen, jossa käyttäjät voivat tehdä kategoriakohtaisia valintoja.
  5. Evästekäytännön linkki: Linkittää yksityiskohtaiseen evästekäytäntöasiakirjaan.
  6. Tietosuojakäytännön linkki: Linkittää sivuston täydelliseen tietosuojakäytäntöön (voidaan yhdistää evästekäytännön linkkiin).

Yleisiä virheitä evästebannerin toteutuksessa

Jopa hyvää tarkoittavat toteutukset sisältävät usein virheitä, jotka heikentävät vaatimustenmukaisuutta:

  • Evästeiden asettaminen ennen suostumusta. Yleisin ja vakavin virhe. Jos analytiikka- tai mainostagisi laukeavat sivun latautuessa ennen kuin käyttäjä on vuorovaikutuksessa bannerin kanssa, rikot lakia. Suostumus on saatava ennen evästeiden asettamista.
  • Ei hylkää-painiketta. Pelkkien ”Hyväksy”- ja ”Asetukset”-vaihtoehtojen tarjoaminen ei riitä. Käyttäjien on voitava hylätä kaikki ei-välttämättömät evästeet ensimmäisestä kerroksesta yhdellä toimenpiteellä.
  • Visuaalinen manipulointi. Hyväksy-painikkeen tekeminen suureksi ja vihreäksi, kun hylkää-vaihtoehto on pieni tekstilinkki, on hämäävä käytäntö (dark pattern). Tietosuojaviranomaiset ovat langettaneet merkittäviä sakkoja tästä käytännöstä.
  • Epämääräiset tarkoituksen kuvaukset. ”Käytämme evästeitä parantaaksemme kokemustasi” ei kerro käyttäjälle mitään. Ole täsmällinen: analytiikka, kohdennettu mainonta, sosiaalisen median upotukset, A/B-testaus.
  • Suostumuksen sivuuttaminen seuraavilla sivuilla. Suostumuksen (tai kieltäytymisen) on säilyttävä koko istunnon ajan ja käyntien välillä. Jos käyttäjä hylkää evästeet etusivulla, tuota valintaa on kunnioitettava jokaisella seuraavalla sivulla.
  • Valintojen muuttamismahdollisuuden puuttuminen. Käyttäjien on voitava peruuttaa suostumuksensa milloin tahansa yhtä helposti kuin he sen antoivat (GDPR 7 artiklan 3 kohta). Pysyvä asetuslinkki – usein pieni kuvake sivun kulmassa – tulisi olla aina saatavilla.
  • Päivittämättä jättäminen evästeiden muuttuessa. Jos lisäät uuden markkinointityökalun, banneriesi kategoriat ja evästekäytäntö on päivitettävä. Vanhentunut suostumus ei ole pätevä suostumus.

Bannerin ja sivun suorituskyky

Evästebannerit sijaitsevat kriittisessä asemassa: ne latautuvat jokaisella ensimmäisellä käynnillä, jokaisella sivulla. Huonosti toteutettu banneri voi merkittävästi heikentää sivustosi suorituskykyä, vaikuttaen Core Web Vitals -mittareihin ja sitä kautta hakukonesijoituksiisi.

Keskeisiä suorituskykynäkökohtia:

  • Skriptin koko. Suostumustenhallinta-alustan (CMP) skriptin tulisi olla mahdollisimman kevyt. Raskaat skriptit, jotka lataavat lisäriippuvuuksia, voivat lisätä satoja millisekunteja sivun latausaikaan. Tavoittele bannerin skriptille alle 30 kt:n gzip-pakattua kokoa.
  • Renderöinnin estäminen. Bannerin skriptin on latauduttava asynkronisesti. Sen ei tulisi koskaan estää sivusi sisällön renderöintiä. Käyttäjien tulisi nähdä sivustosi latautuvan bannerin ilmestyessä.
  • Asettelun siirtymä. Banneri, joka työntää sisältöä alaspäin tai saa elementit hyppimään, heikentää Cumulative Layout Shift (CLS) -pistemäärääsi. Käytä kiinteää tai peittosijoittelua asettelun siirtymien välttämiseksi.
  • Tagien hallinta. Bannerin on integroiduttava tagienhallintaasi lataamaan skriptejä ehdollisesti suostumuksen perusteella. Tagit, jotka laukeavat ennen suostumuksen tarkistamista, ovat sekä oikeudellinen että suorituskykyongelma – ne lataavat tarpeettomia resursseja.

Paras lähestymistapa on banneriratkaisu, joka on rakennettu suorituskykyä ajatellen alusta alkaen: minimaalinen JavaScript, ei ulkoisia riippuvuuksia, asynkroninen lataus ja tiivis integraatio tagienhallintaasi.

Passiron lähestymistapa evästesuostumukseen

Passiron suostumusbanneri on suunniteltu täyttämään kaikki tällä sivulla esitetyt vaatimukset – ja tekemään sen tinkimättä sivustosi suorituskyvystä. Bannerimme skripti on alle 15 kt gzip-pakattuna, latautuu asynkronisesti, tukee Google Consent Mode v2:ta ja tarjoaa täysin saavutettavan, WCAG AA -vaatimustenmukaisen suostumuskäyttöliittymän valmiiksi. Passiro on rekisteröity IAB Europeen tunnuksella CMP ID 499, mikä mahdollistaa pätevän TC String -merkkijonon luomisen ja täyden osallistumisen IAB TCF v2.3 -kehykseen.

Hoidamme oikeudellisen monimutkaisuuden, jotta voit keskittyä liiketoimintaasi. Passiro skannaa sivustosi automaattisesti evästeiden varalta, luokittelee ne, luo vaatimustenmukaisen bannerikokoonpanon ja pitää kaiken synkronoituna sivustosi kehittyessä.

Katso, miten Passiro voi auttaa sinua saavuttamaan evästevaatimustenmukaisuuden.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi