Miksi evästebanneri ei enää yksin riitä? Kotisivujen tietosuoja ja evästeet kuntoon (GDPR)

30.08.2021     Innowise    

Enää mikä tahansa evästebanneri kotisivuilla ei riitä, vaan nettisivujen koko tietosuojan on oltava kunnossa.

1. Organisaatio vastaa kotisivuillaan käytetyistä evästeistä ja seurantatekniikoista

Kotisivujen evästeiden kautta henkilötietoja voi kulkeutua kolmansille osapuolille.

Jokainen yritys, yhdistys ja muu organisaatio vastaa rekisterinpitäjän ominaisuudessa kotisivuillaan tai verkkopalvelussaan käytössä olevista evästeistä. Mikäli evästeet mahdollistavat vierailijoiden tunnistamisen, kyse on EU:n yleisen tietosuoja-asetuksen (GDPR) tarkoittamasta henkilötietojen käsittelystä.

Tavallisesti evästeet liittyvät kotisivujen käyttämiin kävijäseurantapalveluihin (esim. Google Analytics), sosiaalisen median liitännäisiin (esim. Facebook), chat-palveluihin ja verkkomarkkinointiin (ns. seurantapikselit). Myös tavanomaiset nettisivujen toteutukseen liittyvät asiat kuten fontit ja sivuille upotetut videot voivat tuoda mukanaan omia evästeitä.

Vastuu on aina sivuston omistajalla, vaikka toteutuksesta on yleensä vastannut ulkopuolinen yritys.

Lisää aiheesta uudemmassa kirjoituksessa: Onko Google Analytics 4 -kävijäseuranta GDPR:n mukainen? Mitä GA:n tilalle? 

Kotisivujen omistaja ei välttämättä edes tiedä kaikista evästeistä. Ensimmäinen tehtävä on selvittää sivuston nykytila.

2. Kotisivujen evästebannerin on oltava GDPR:n mukainen

EU:n yleisen tietosuoja-asetuksen ja Tietosuojavaltuutetun antamien ennakkopäätösten perusteella monien kotisivujen käyttämät evästebannerit eivät tällä hetkellä täytä evästeille asetettuja vaatimuksia. Tällaiset kotisivut ja verkkopalvelut saattavat rikkoa tietosuoja-asetusta, mikä voi pahimmillaan johtaa GDPR:n mukaisiin sanktioihin.

Lisätietoa: Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan

Pelkkä evästebanneri ei riitä. Kyse on nyt siitä, onko evästeiden hyväksyntä toteutettu oikein.

3. Evästeiden hyväksynnät tulee dokumentoida

Vaikka evästeiden suostumus kysyttäisiin sisällöllisesti ja teknisesti oikein, on samalla varmistuttava, että suostumukset dokumentoidaan GDPR:n mukaisesti. Rekisterinpitäjän on tarvittaessa voitava osoittaa miten, milloin ja mihin suostumus saatiin.

Monet evästeratkaisut eivät tallenna tietoa suostumuksista rekisterinpitäjän saataville tai tiedot tallentuvat ulkopuolisiin järjestelmiin, joista ne eivät ole rekisterinpitäjän helposti saatavissa.

Teimme Innowise CMS -julkaisujärjestelmään yksinkertaisen ratkaisun: evästeiden suostumukset tallentuvat verkkopalvelun tietokantaan, josta organisaation ylläpitäjät voivat tarvittaessa tarkistaa ja poistaa niitä.  

Lisätietoa: Innowise CMS 2.6: GDPR:n mukaiset evästeiden suostumukset

Katso 17.11.2021 pidetyn webinaarin esitys: Evästeet nettisivuilla - aiemmin tapahtunutta ja nykyinen linjaus

Innowise CMS -julkaisujärjestelmä sisältää EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisen evästeiden suostumuksen kysymisen sivuston vierailijoilta
EU:n yleisen tietosuoja-asetuksen myötä sivuston vierailijoilta tulee saada suostumus kolmansien osapuolten kuten Googlen ja Facebookin seurantatekniikoiden ja evästeiden käytölle.

4. Pahimmillaan evästebanneri voi rikkoa muita GDPR:n kohtia

Markkinoilla on tarjolla niin ilmaisia "eväste-plugineja" kuin kalliita kk-maksullisia ulkomaisia palveluita. Nettisivuston omistajan näkökulmasta ongelmana on varmistua, onko evästeratkaisu muilta osin GDPR:n mukainen.

Monet evästeratkaisujen tarjoajat operoivat EU:n ulkopuolelta tai käyttävät yhdysvaltalaisia verkkopalvelimia. Tällöin kotisivujen vierailijoiden tietoja voi siirtyä EU:n ulkopuolelle. Henkilötietojen siirtoja EU:n ulkopuolelle ei kuitenkaan saa tehdä ilman GDPR:n mukaisia siirtoperusteita. Henkilötietojen siirrossa yhdysvaltoihin tarvitaan lisäksi täydentäviä suojatoimenpiteitä tai rekisteröidyn nimenomainen suostumus.

Pahimmassa tapauksessa valittu evästeratkaisu tuottaa lisää sekaannusta ja ongelmia GDPR:n näkökulmasta.

Varminta ja yksinkertaisinta on, että evästeiden hyväksynnän tietoja ei tallenneta mihinkään verkkopalvelun ulkopuolelle.

5. Evästeiden lisäksi tarvitaan muutakin korjausta

Kotisivujen evästeiden toteutus on vasta ensimmäinen asia, josta on huolehdittava, jotta sivusto on GDPR:n vaatimusten mukainen. Muita tavallisimpia kompastuskiviä ovat fontit, sosiaalisen median upotukset, mainostoiminnot ja muut verkkopalvelujen väliset toiminnot.

Lisäksi sivuston perustoimintojen toteutuksessa on saatettu käyttää valmiita ulkoasuteemoja, skriptikirjastoja ja muita teknisiä ratkaisuja, jotka eivät ole tietosuojaltaan kestäviä valintoja. Siinä, missä sivuston koodaaja säästi aikaansa, saattaakin olla GDPR:n näkökulmasta ongelma.

Nettisivujen tietosuojaongelmat ovat silti yleensä nopeasti paikannettavissa ja laitettavissa kuntoon.

6. Entä seloste, pitääkö se uudistaa samalla?

Mikäli organisaatiollanne on olemassa oleva tietosuojaseloste tai muu dokumentti, jolla tehdään rekisteröityjen informointi henkilötietojen käsittelystä, se kannattaa tarkistaa yhtä aikaa nettisivujen korjauksen kanssa. Välttämättä muutoksia ei tarvita, tai sitten niitä voidaan tarvita paljonkin.

Mikäli selostetta ei ole aiemmin ollut, se tulee ehdottomasti tehdä, koska kyse on GDPR:n tärkeimmistä vaatimuksista kaikille rekisterinpitäjille.

Lisätietoa: GDPR:n mukainen rekisteri- ja tietosuojaselosteen malli

Tällaiset asiat tulevat luontevasti puheeksi osana nettisivujen tietosuojakorjauksia. Kysy rohkeasti lisää, niin autamme mielellämme.

Nettisivujen evästeet ja muut tietosuojaratkaisut on tärkeää hoitaa kuntoon. Niillä on usein vaikutuksia myös muuhun organisaation henkilötietojen käsittelyyn.

7. Mitä ehdotamme ratkaisuksi?

Tarvittavat ratkaisut riippuvat tapauksesta, mutta voimme edetä esimerkiksi näin:

  1. Teemme pikatarkistuksen nettisivujenne evästeiden käyttöön ilmaiseksi. Käymme tulokset kanssanne yhdessä läpi.
    • Vastaus samana tai seuraavana päivänä.
    • Yhteinen Teams- tai puhelinpalaveri.
  2. Teemme tarjouksen korjausehdotuksista.
    • Yksinkertaisin ja helpoin ratkaisu on monessa tapauksessa vaihtaa sivuston alustaksi Innowise CMS -julkaisujärjestelmä, jossa evästeet on toteutettu GDPR:n ja suositusten mukaisesti.
    • Voimme tarvittaessa konsultoida käyttämäänne nettisivujen toteuttajaa tehtävistä korjauksista.
  3. Autamme muissakin GDPR:ään liittyvissä kysymyksissä kuten tietosuojaselosteen päivityksessä ja koulutuksissa organisaationne vastuuhenkilöille.

Jätä viesti alta, pyydä tarjous nettisivuista tai ota yhteyttä!