Huomasin, että GDPR:n suomalainen tulkinta on muuttunut olennaisesti sitten edellisen keskustelun. Lähteet lopussa.
Edellisen keskustelun aikaan konsensus oli selvästi, että teknisten evästeiden tallennukseen ei tarvita lupaa. Tämä asia onkin ilmeisesti muuttunut kesällä ja nykyään ainakin yrityksien on kysyttävä lupa käyttäjältä ennen kuin yhtäkään evästettä on käyttäjän selaimeen tallennettu. Jos siis ajat Google Analyticsin standardiskriptin ennen kuin käyttäjä on antanut suostumuksensa tähän niin yrityksellesi voidaan määrätä sakkoja.
Lisäys: itse olen pitänyt analytiikan evästeitä ns. teknisinä, mutta tästä taitaa olla eriäviä näkemyksiä. Tietosuojavaltuutettu kai määrittelee nekin seurantaevästeiksi. Ja jos olen oikein tulkinnut niin "välttämättömät" evästeet eivät edelleenkään vaadi lupaa.
Suostumus tässä tarkoittaa sitä, että käyttäjä on erikseen antanut luvan. Suostumukseksi ei riitä se, että käyttäjä ei ole tehnyt aktiivista valintaa.
Myönnettäköön, että todennäköisesti näistä ei ihan vielä sakkoja jaella, vaan ensin tulee varmaankin korjauskehotus ja huomautus (jonka laiminlyönnistä sitten varmasti tulee sakkoja).
Huomattavaa on myös se, että kertaalleen annettu suostumus pitää olla muutettavissa jälkeenpäin. Pelkkä kyllä/ei-dialogi ei siis riitä. Myöskään selainasetuksiin ohjaaminen ei kelpaa.
Ilmeisesti tähän on vielä odotettavissa joitakin tarkennuksia jollakin aikataululla. Toivon totisesti, että tämä pelleily loppuu pian, koska mitään järkeähän siinä ei ole pakottaa yrityksiä pyytämään käyttäjältä lupaa tallentaa muutama anonyymi parin tavun pituinen eväste tämän koneelle kun he ovat tässä vaiheessa jo ladannet noin suurin piirtein gigatavun verran reaktiivisia JS-kirjastoja, kuvia, videoita, CSS:ää ja HTML:ää. Toivon - en siis usko.
Täytyykin siis painua koodaamaan jotain mukavaa pop-uppia, josta tietotaitoinen kansalainen voi antaa valistuneen suostumuksensa sille, että tämä nettisivu tallentaa hänen tietokoneelleen evästeitä, joita käytetään nettisivun analytiikkaan. Onneksi koodaamista opetetaan jo peruskoulussa, joten jokainen paikallisyrityksen nettisivun kävijä kyllä ymmärtää täysin, mikä Google Analytics on.
Ja kyllä, olen huomannut kaikkien nettisivujen heittävän tuota samaa popuppia nykyään. Onneksi tuli tarkistettua itsekin, että tämä on nyt sitten pakollista. (Ehkä kaikki tiesivätkin tämän jo ja olen itse vain asunut kiven alla?) Olin ollut siinä uskossa, että mitä teknisiin ja analytiikan evästeisiin tulee niin niistä kertominen erillisellä sivulla olisi riittänyt.
Lähteet
Minä olenkin käyttänyt melkoisen summan tähän asiaan rahaa teettäen Privacy Policy -tekstin www-sivuilleni asianajalla. En kerro julkisesti miten paljon mutta eivät silti ole halpoja juttuja lakimiehellä teettää. Kaikilla ei ole tällasia rahoja ja jotuu tekemään itse ks. tekstit amatöörin tasolla.
walkout_ kirjoitti:
Minä olenkin käyttänyt melkoisen summan tähän asiaan rahaa teettäen Privacy Policy -tekstin www-sivuilleni asianajalla.
Muista myös pyytää suostumus ennen evästeen tallennusta. Pelkkä maininta ei riitä, lupa on saatava tähän erikseen. Sivustolla on myös oltava mahdollisuus muuttaa suostumusta milloin tahansa.
Linkittämässäsi blogipostauksessa ja apulaistietosuojavaltuutetun ratkaisussa on kyse nimenomaan seurantaevästeistä. Ratkaisussa lainataan palvelun selostetta: ”Evästeitä käytetään muun muassa – – markkinoinnin ja mainonnan kohdentamiseen. – – Mikäli et halua vastaanottaa evästeitä, voit muuttaa selainasetuksiasi. – – Kolmannet osapuolet voivat asettaa evästeitä käyttäjän päätelaitteelle esimerkiksi tarjotakseen käyttäjälle kohdennettua mainontaa. Saat lisätietoja alla olevista linkeistä ja voit kieltää kohdennetun mainonnan vierailemalla heidän sivustoillaan.” Asiasta ei jää tuossa tapauksessa mitään selvyyttä: ongelmalliset evästeet olivat mainonnan kohdentamiseen liittyviä, tulivat useasta lähteestä eivätkä olleet tässä tapauksessa edes sivuston kautta estettävissä.
Tulkinnan muutos tuossa on se, että selainasetukset eivät riitä evästeiden hyväksymiseen vaan asiaa pitää erikseen kysyä.
Mikään ei ole muuttunut teknisten evästeiden osalta, eli niitä saa edelleen käyttää. Analytiikassa rajanveto teknisen evästeen ja seurannan välillä on tietysti oma juridinen kysymyksensä, eli voiko jonkinlaista analytiikkaa pitää välttämättömänä palvelun tarjoamista varten esimerkiksi resursoinnin kannalta.
vesikuusi kirjoitti:
(23.01.2021 01:53:59): ”– –” Muista myös pyytää suostumus ennen evästeen...
Näin on. Mutta onko WordPressin tähän valmista plugia ja jos on niin missä?
Metabolix kirjoitti:
Mikään ei ole muuttunut teknisten evästeiden osalta, eli niitä saa edelleen käyttää. Analytiikassa rajanveto teknisen evästeen ja seurannan välillä on tietysti oma juridinen kysymyksensä, eli voiko jonkinlaista analytiikkaa pitää välttämättömänä palvelun tarjoamista varten esimerkiksi resursoinnin kannalta.
Niinhän tuo on. Erityisesti tässä oma huomio kiinnittyy siihen seikkaan, että lupa analytiikan tallennukseen on kysyttävä käyttäjältä, muuten tulee todennäköisesti rikottua lakia/asetusta. Ilmeisesti tämä on ollut pidemmän aikaa arkipäivää monelle mutta vaikeuttaahan tuo kohtuuttomasti yritysten toimintaa antamatta mitään hyötyä tai suojaa yhtään kenellekään.
walkout_ kirjoitti:
vesikuusi kirjoitti:
(23.01.2021 01:53:59): ”– –” Muista myös pyytää suostumus ennen evästeen...
Näin on. Mutta onko WordPressin tähän valmista plugia ja jos on niin missä?
Jotakin tällaista on käsittääkseni olemassa, vaikka en ole itse asentanut. Ehkä hakusanoilla "wordpress cookie consent" pääsee alkuun.
vesikuusi kirjoitti:
(23.01.2021 03:50:11): ”– –” Jotakin tällaista on käsittääkseni olemassa...
Löysin jo WP-plugarin tähän esittemälläsi tavalla. Se on ilmainen jos ei lisäominaisuuksista halua maksaa.
Metabolix kirjoitti:
Mikään ei ole muuttunut teknisten evästeiden osalta, eli niitä saa edelleen käyttää. Analytiikassa rajanveto teknisen evästeen ja seurannan välillä on tietysti oma juridinen kysymyksensä, eli voiko jonkinlaista analytiikkaa pitää välttämättömänä palvelun tarjoamista varten esimerkiksi resursoinnin kannalta.
Ongelma ei ole niinkään evästeen luonteessa vaan sen omistajassa. Kun koodaat oman analytiikkasi ja hostaat sen omalta palvelimeltasi, niin ongelmaa ei ole. Mutta kun asennat sivuillesi Googlen vakoiluskriptit, joilla on hyvin vähän mitään tekemistä analytiikan kanssa, niin siinä vaiheessa GDPR-gestapo kolkuttaa ovellasi. Varsinainen peikko on tällöin se, että jaat käyttäjän yksityisinä pidettyjä tietoja kolmannelle osapuolelle eli Googlelle.
GDPR:n lisäksi on vielä CCPA, joka on sammallainen laki kuin edellämainittu mutta se on taas EU:n ulkopuolella. Eli periaatteessa Privacy Policy pitäisi pääivittää myös nodattamaan siinä vaadittuja sääntöjä. Mutta asia ei koske niitä, jotka toimivat vain EU:n sisällä. Samoin eveästeiden sallimisnappula pitäisi olla molemmille yhtäaikaa.
Aihe on jo aika vanha, joten et voi enää vastata siihen.