Terve,
Itseä ihmetyttää suuresti nykysivustojen toiminta evästeiden käytön ilmoittamisessa.
Suome lakihan veloittaa hyväksyttämään evästeiden käytön käyttäjillä, jos alla oleva määritys ei täyty:
lainaus:
https://www.finlex.fi/fi/laki/ajantasa/2014/
20140917#L24P205 Tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.
Monet sivustot siis ilmoittavat evästeiden käytöstä pienellä palkilla ala tai yläreunassa. Ja monesti tekstin perässä on nappi "Hyväskyn ehdot". Myös sellaisia sivustoja tulee vastaan, jossa erillistä Hyväksymis-painiketta ei ole ja tekstissä lukee vain "Käyttämällä sivua, hyväksyt ehdot."
Eikös tämä ole lain vastaista? Moneta sivusto siis käyttävät evästeitä, vaikka käyttäjä ei paina "Hyväksyn ehdot"-painiketta.
Eli käytännössä evästeitä saisi käyttää vasta, kun käyttäjä on painanut "Hyväksyn ehdot"-painiketta.
Mitä ihmiset ovat mieltä tästä?
Näin minäkin olen ymmärtänyt. Mielenkiintoista on sekin, että nämä evästebannerit ovat (kaiketi) vanhojen EU-pykälien mukaisia mutta monet sivustot ottivat ne käyttöön vasta, kun GDPR:nkin voimaantulosta oli kulunut hyvä tovi.
kayttaja-3842 kirjoitti:
Itseä ihmetyttää suuresti nykysivustojen toiminta evästeiden käytön ilmoittamisessa.
Niin minuakin - miksi niin monet pelkästään suomalaisillekin suunnatut sivustot ilmoittavat niistä ja käskevät hyväksyä niiden käytön. Viestintäviraston mukaan se ei ole tarpeen:
"Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.
Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa."
kayttaja-3842 kirjoitti:
Mitä ihmiset ovat mieltä tästä?
Olen sitä mieltä, että monien (maiden) tulkinta siitä että tuollaiset evästebannerit/-popupit ovat tarpeellisia on typerä. Käyttäjä pystyy paljon paremmin huolehtimaan omasta tietoturvastaan esim. määrittelemällä selaimensa unohtamaan kaikki evästeet joka sulkemisen yhteydessä. Tosin sitten tuo ärsyttävä banneri tulee uudelleen ja kun siihen ei ole vakiomuotoa niin ko. turhan bannerin blokkauslaajennoksilla joutuu olemaan pitkät opetuslistat..
Ymmärrän, että tässä on kaunis ajatus "suojella kansalaisia" ja herätellä heitä huomaamaan, että toimiaan netissä seurataan evästeiden avulla. Mutta väitän että 99% niistä jotka eivät ole säätäneet selaimen asetuksia vastaamaan itse haluamaansa tietoturvatasoa kuitenkin klikkailee noihin bannereihin sen suuremmin miettimättä "joo joo - ok ok".
Lisäksi noiden sivujen muutaman rivin kuvaus "mihin evästeitä käytämme" on useimmiten vähintäänkin kaunisteltu.
Koko toimintamalli on takaperoinen. Eli että evästeiltä suojaudutaan "vihollisen" hallinnassa olevan järjestelmän asetuksella ja luotetaan sitten siihen että ne tekee mitä pyydetään. Suunnilleen yhtä järkevä toimintamalli kuin tarkistaa että käyttäjän salasana on oikea client side javascriptillä.
Grez kirjoitti:
"Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.
Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa."
Törmäsin myös itse tuohon samaan. Tuo tosiaan selittää syyn.
Tarvitseeko ns. teknisten evästeiden (kuten puhtaat CSRF-avaimet tai istuntotunnukset) käytöstä ilmoittaa lainkaan – edes erillisellä sivulla?
Evästeitä koskevista ponnahdusilmoituksista julkaistiin tänään uutinen: ”EU:lta on luvassa uusia ohjeita evästeistä varoittamiseen. Voi olla, että pop upeja ei pian tarvita.”
HTML5 kirjoitti:
Tarvitseeko ns. teknisten evästeiden (kuten puhtaat CSRF-avaimet tai istuntotunnukset) käytöstä ilmoittaa lainkaan – edes erillisellä sivulla?
Ei tarvitse. Toisaalta ei niiden ilmoittamisesta haittaakaan ole. Nuo menevät tuohon Nail Eyen ekassa viestissä mainitsemaan määritelmään.
Aihe on jo aika vanha, joten et voi enää vastata siihen.