Evästeet WordPressissä – käyttö ja suostumuksen pyytäminen

Evästeet WordPressissä – käyttö ja suostumuksen pyytäminen

Tiivistelmä: WordPress-sivusto ja sille asennetut lisäosat voivat asettaa erilaisia evästeitä käyttäjän selaimeen. Osa näistä evästeistä ovat välttämättömiä sivuston toiminnan kannalta. Toiset taas seuraavat ja tallentavat tietoja käyttäjien toimista sivustolla. Nämä tiedot päätyvät joko sivuston omistajalle tai kolmansille tahoille. WordPressille on tarjolla lisäosia, joiden avulla evästeistä voi kertoa ja pyytää niiden käytölle luvan tarvittaessa.

Mikä on eväste ja mihin evästeitä käytetään?

Eväste (cookie) on tiedosto, jonka verkkopalvelu voi tallentaa käyttäjän tietokoneelle.

Evästeitä voidaan käyttää esimerkiksi seuraamaan ja tallentamaan

  • millä kielellä sivustoa käytetään, jos sivustolla on useita kieliversioita,
  • käyttäjän kirjautumistiedot nopeaa kirjautumista varten,
  • käyttäjän vierailut sivustolla ja vierailujen aikana selaamat alasivut.

Evästeet WordPressissä

Monen muun järjestelmän tavoin myös WordPress asettaa evästeitä. WordPressin evästeitä käytetäään sivustolle kirjautumisean ja palaavien kommentoijien tunnistamiseen.

Evästeet asetetaan käyttäjän tietokoneelle, kun

  • ylläpitäjä tai muu käyttäjä kirjautuu sivustolle.
  • vierailija jättää kommentin artikkeliin. Vierailijan kommentointilomakkeeseen täyttämät nimi, sähköposti ja url-tiedot tallentaan hänen tietokoneelleen. Vierailijan ei tällöin tarvitse jokaisella kommentointikerralla täyttää näitä tietoja uudelleen.

Kirjautumiseväste on sivuston kannalta välttämätön ja ilman sitä kirjautuminen ei onnistuisi. Kommentointieväste ei ole sivuston kannalta välttämätön, mutta parantaa käyttömukavuutta.

Näiden oletusevästeiden lisäksi monet WordPressiin saatavilla olevista lisäosista asettavat omia evästeitään.

Laki edellyttää kertomaan evästeistä

Sähköista viestintää koskevan lain mukaan evästeiden käytöstä on kerrottava käyttäjille. Lain velvoittaa palvelun tarjoajan antamaan käyttäjälle ymmärrettävät ja kattavat tiedot evästeiden tallentamisen tai käytön tarkoituksesta.

Viestintäviraston ohjeissa mainitaan kuitenkin, ettei evästeistä tarvitse kaikissa tilanteissa erikseen tiedottaa. Evästeistä ei tarvitse kertoa,

  • jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti
  • jos niiden ainoana tarkoituksena on helpottaa palvelun käyttöä tai
  • jos käyttäjä on pyytänyt evästeiden käyttöön perustuvaa palvelua (esimerkiksi verkkopankkipalvelut).

WordPressin kohdalla nämä ehdot täyttynevät järjestelmän oletusevästeiden (kirjautuminen, kommentointi) kohdalla. Lisäosien asettamien evästeiden kohdalla tilanne voi kuitenkin olla toinen.

Evästeistä kertominen WordPressissä

WordPress itsessään ei anna muita työkaluja evästeistä kertomiseen kuin 4.9.6 päivityksen mukana tulleen tietosuojasivun. Jos ylläpitäjä haluaa kertoa evästeistä jollain muulla tapaa, niin silloin on turvauduttava johonkin lukuisista evästeilmoituslisäosista.

Evästeiden käytölle on pyydettävä lupa

Sähköisen viestintännän laissa sanotaan myös, että evästeitä saa asettaa ja käyttää vain, jos siihen on saatu käyttäjältä lupa. Koska evästeet voivat sisältää henkilötiedoiksi laskettavia tietoja, niin kuvaan astuu myös tietosuojalainsäädäntö. Ilman muuta pätevää käsittelyperustetta on tietosuojalainsäädännönkin puolesta pyydettävä suostumus henkilötietoja sisältävien evästeiden käytölle.

Suomalainen tulkinta luvan pyytämisestä

Evästeistä kertovia ja niiden käytölle lupaa pyytäviä bannereita onkin ilmestynyt monille sivustoille. Suomalaisen tulkinnan mukaan tämänkaltainen tiedottaminen ja luvan pyytäminen eivät kuitenkaan ole aivan välttämättömiä.

Viestintäviraston ohjeissa todetaan asiaan liittyen,

…käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla…

Ohjeissa todetaan lisäksi,

Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Tietosuojalainsäädännön vaikutukset luvan pyytämiseen

Vaikka suostumuksen edellytykset ovatkin muuttuneet uudessa tietosuojalaissa aiempaan verrattuna, niin suomalainen tulkinta on pysynyt toistaiseksi ennallaan.

Viestintävirastolta on tiedusteltu sitä, ovatko myös evästeiden tallentamiseen liittyvät suostumuksen edellytykset muuttuneet. Viestintävirasto ei ole toistaiseksi uudelleenarvioinut evästeen tallentamiseen liittyvän suostumuksen käsitteen soveltamisesta Suomessa.

Viestintävirasto tarkistanee kantansa viimeistään, kun EU:n uusi sähköisen viestinnän tietosuoja-asetus valmistuu jokin päivä.

Muista myös kolmannen osapuolen palveluiden käyttöehdot

Lakien ja asetusten noudattamisen ohella on myös syytä muistaa käytettävien palveluiden käyttöehdot ja niiden edellytykset. Tällaisia palveluita voivat olla esimerkiksi sosiaalisen median syöte- ja kommenttilaatikot, sekä erilaiset analytiikkapalvelut. Nämä liitännäiset voivat velvoittaa ehdoissaan kertomaan palveluiden käytöstä ja niiden asettamista evästeistä tietyllä tapaa käyttäjille.

Google Analyticsin evästeet

Google Analytics -kävijäseurantaa käytettäessä siitä on kerrottava sivuston tietosuojaselosteessa (Google Analytics käyttöehdot, kohta 7). Jos tavanomaisen kävijäseurannan lisäksi käytetään Analyticsin mainosominaisuuksia, niin silloin on noudatettava myös niihin liittyviä käyttövaatimuksia.

Mainosominaisuuksien käyttövaatimuksiin sisältyy velvoite noudattaa EU-käyttäjien suostumuskäytäntöä. Näissä käytännöissä edellytetään selkeän suostumuksen pyytämistä (mainos)evästeiden käytölle käyttäjiltä. Tässä kohtaa voinee ajatella, ettei edellä mainittu suomalainen suostumuskäytäntö ole enää riittävä. Suostumus voikin olla hyvä pyytää esimerkiksi erillisen suostumusbannerin ja -painikkeen avulla.

Facebookin evästeet

Facebookin käyttöehtoihin ja evästekäytäntöihin tulee perehtyä, jos tekee Facebook-mainontaa ja käyttää omalla sivustollaan mainospikseliä.

Facebookin yksityisyyttä käsittelevissä ohjeissa mainitaan esimerkkitapauksia, jolloin suostumus tulisi pyytää

  • verkkokauppa kohdentaa mainoksia käyttäjille näiden selaamien tuotteiden ja käyttäytymisen perusteella,
  • blogisivusto, joka kerää evästeillä demografiatietoja lukijoistaan,
  • uutissivusto, joka näyttää mainosverkoston mainoksia sivustollaan ja mainosverkosto kerää evästeillä tietoa mainoksen nähneistä käyttäjistä,
  • Facebook-mainostaja, joka mittaa mainosten tehokkuuttaa ja tekee uudelleenmarkkinointia mainospikselin avulla.

Tässäkin tapauksessa on hyvä käytäntö käyttää evästebanneria sen sijaan, että luottaa käyttäjien muuttavan selaimensa evästeasetuksia.

Mitä evästeitä omalla sivustolla on käytössä?

Sivuston omistajilla ei välttämättä ole aina tarkkaa tietoa, mitä kaikkia evästeitä omalla sivustolla oikeastaan on käytössä. Etenkin WordPress-lisäosien kohdalla voi tulla yllätyksenä, että lisäosat asettavat ja käyttävät evästeitä sekä toimiakseen että kerätäkseen käyttödataa.

Tällaisissa tapauksissa voi käyttää evästeauditointityökalua, joka tarkistaa sivuston ja raportoi kaikki havaitut evästeet. Esimerkiksi Chrome-selaimeen on saatavilla Cooke Audit Tool -liitännäinen, joka hoitaa evästetarkistuksen käden käänteessä.

Miten suostumuksen evästeisiin voi pyytää ja tallentaa?

Evästeiden käytölle luvan pyytämiseen ja suostumuksen tallentamiseen on tarjolla useita teknisiä ratkaisuja. Muutamia tällaisia ratkaisuja ovat esimerkiksi

Lisäksi esimerkiksi Google on koostanut ohjesivuston evästeistä ja hyväksynnän pyytämisestä. Sivustolla on mainittu myös muutamia muita teknisiä ratkaisuja. Edellä mainittujen ratkaisujen käyttöönotto omalla sivustolla vaatii kuitenkin hieman teknistä osaamista.

Suostumuksen pyytäminen WordPressissä

Suostumustoiminnon käyttöönotto WordPressissä on onneksi helpompaa. Asia ratkeaa asentamalla ja aktivoimalla tarkoitukseen tehdyn lisäosan. Evästelisäosia on tarjolla lukuisia, mutta ennen yhdenkään niiden asentamista on syytä tutustua kunkin lisäosan esittelytekstiin ja ominaisuuslistauksiin.

Tarkista evästelisäosasta ennen sen asentamista

  • Onko lisäosa oikeasti ilmainen? Vai vaatiiko se johonkin palveluun rekisteröitymistä tai maksullisten liitännäisten ostamista?
  • Onko lisäosaa suomennettu tai käännetty tarvitsemallasi kielelle?
    • Muuten käyttäjille saattaa näkyä vain englanninkielisiä tekstejä. Esimerkiksi hyväksymispainikkeessa voi lukea ”I Agree”, ”Hyväksyn” sijaan.
  • Onko lisäosa tarkoitettu vain evästeistäilmoittamiseen?
  • Vaikuttaako lisäosa automaattisesti evästeiden asettamiseen, jos käyttäjä kieltäytyy evästeistä?
  • Pitääkö koodeihin tehdä itse muutoksia, jotta evästeiden hyväksyminen tai niistä kieltäytyminen vaikuttaa evästeiden asettamiseen?

Esimerkkejä WordPressin evästelisäosista

Suostumuksen pyytäminen evästeiden käytölle ja niiden tallentamiselle onnistuu esimerkiksi seuraavilla WordPress-lisäosilla.

Edellä olevista lisäosista

  • Ginger muun muassa tunnistaa automaattisesti sekä yleisimpien sosiaalisen median kanavien että Google Analyticsin asettamat evästeet. Lisäosan voi asettaa estämään evästeet oletuksena siihen asti, kunnes käyttäjä on ne hyväksynyt.
  • Cookiebot vaatii toimiakseen Cookiebot-palvelun,  joko rajoitetun ilmais- tai maksullisen täysversion. Palvelu tarkistaa sivuston säännöllisesti ja listaa kaikki sivustolla käytössä olevat evästeet. Palvelu kokoaa havaitut evästeet sivustolla näkyvään banneriin, josta käyttäjä voi hyväksyä tai hylätä evästeitä valintansa mukaan.
  • GDPR Cookie Consent-lisäosan kaikki ominaisuudet saa käyttöön vain ostamalla lisäosan Premium-version.

Ulkopuolisten sivustojen lähteet luettu 6.6.2018 ja artikkeli kirjoitettu kirjoittamishetkellä saatavilla olleiden tietojen perusteella. Palveluiden käyttöehdot, ohjeistukset ja lainsäädäntö ovat voineet muuttua artikkelin julkaisemisen jälkeen.

Artikkelikuva Unsplash / Olu Eletu