Suomessa toimivien julkisten organisaatioiden verkkosivuista 98,2 % ei noudata Euroopan Unionin evästeille asettamia tietosuojavaatimuksia. Julkisten organisaatioiden verkkosivustojen puutteet liittyivät erityisesti evästeiden hyväksyntään liittyviin käytäntöihin: sivustoilla ei pyydetä käyttäjän suostumusta evästeiden käyttöön lain edellyttämällä tavalla. Lisäksi 96,4 % organisaatioista käytti verkkosivuillaan markkinointievästeitä, joihin tietosuojavaltuutettu on suhtautunut kriittisesti.
Privaon ja Cookie Information laativat marras-joulukuussa 2019 selvityksen, jonka tavoitteena oli selvittää, miten julkiset organisaatiot täyttävät EU:n vaatimukset verkkosivujen evästeiden hyväksyntään liittyvien käytäntöjen osalta, ja millaisia kolmannen osapuolen evästeitä julkisen puolen organisaatiot käyttävät. Selvityksessä tarkasteltiin 168 julkisen organisaation verkkosivustoja.
Alle 2 % julkisten organisaatioiden verkkosivuista täyttää EU:n evästeisiin liittyvät vaatimukset. Keskeisin puute liittyi evästeiden hyväksyntään liittyviin käytäntöihin: lähes kaikilla selvityksessä mukana olleilla organisaatioilla evästeet siirtyivät käyttäjän selaimeen ennen käyttäjän antamaa suostumusta.
E-Privacy direktiivin mukaan evästeillä ei saa seurata käyttäjiä ilman suostumusta (Direktiivi 2002/58/EC). Euroopan unionin tuomioistuimen Planet 49:ksi kutsutun ratkaisun mukaan verkkosivustojen tulee pyytää evästeiden keräämiseen EU:n yleisen tietosuoja-asetuksen edellytykset täyttävä suostumus. Tällaista suostumusta ei saa pyytää esimerkiksi valintaruudulla, jossa suostumus kaikkien evästeiden käyttöön on valittu käyttäjän puolesta ennakkoon. Evästeet saavat siirtyä käyttäjän selaimeen vasta, kun hän on ne hyväksynyt.
Verkkosivujen käyttäjälle on EU:n vaatimusten mukaan annettava tietoa mm. evästeiden toiminta-ajoista ja kolmansien osapuolien mahdollisuudesta käyttää evästeitä. Julkisten organisaatioiden verkkosivuista 96,4 %:ssa oli käytössä markkinointievästeitä. Markkinointievästeitä käytetään verkkosivustoilla mm. kävijöiden seurantaan ja markkinointiviestinnän kohdentamiseen. Lähes kaikilla selvityksessä mukana olleilla verkkosivustoilla käyttäjien tiedot siirtyivät ulkopuoliselle toimijoille, jotka määräävät itse henkilötietojen jatkokäsittelystä. Jo vuonna 2016 tietosuojavaltuutettu Reijo Aarnio on tuonut esille kriittisen suhtautumisensa siihen, että julkisten organisaatioiden verkkosivustot käyttävät markkinointievästeitä (lue lisää täältä).
Yksi kyseenalainen, useiden kuntien, oppilaitosten, sosiaali- ja terveysalan toimijoiden ja eduskunnan verkkosivuilla käytetty markkinointieväste oli AddThis. Tämä eväste välittää mm. tietoja, millä sivustolla käyttäjät vierailevat ja millaiset asiat heitä kiinnostavat. AddThis kertoo tietosuojaselosteessa tietojen jakamisen käytännöistään, ja AddThis:in tietosuojakäytäntöihin pääset tutustumaan täällä.
Yhteensä julkisten toimijoiden verkkosivustoilta löytyi yli 70 erilaista markkinointievästettä, esimerkiksi Google, Facebook ja Bluekai. Useiden evästeiden kohdalla riittävästä datan anonymisoinnista on huolehdittu eli tiedoista on poistettu ne osat, jotka voivat johtaa henkilön tunnistamiseen.
Eväste eli cookie on tietokoneelle, tabletille tai matkapuhelimelle tallennettu pieni datatiedosto. Tässä selvityksessä evästeet jaettiin neljään kategoriaan: välttämättömiin, toiminnallisiin, tilasto- ja markkinointievästeisiin.
Välttämättömät evästeet tekevät sivustosta käyttökelpoisen sallimalla perustoimintoja, kuten sivulta toiseen siirtymisen. Toiminnalliset evästeet puolestaan mahdollistavat verkkosivuston ulkoasua tai toimintoja muuttavan tiedon tallentamisen (esim. kielivalinta) sujuvoittaen sivuston käyttöä. Tilastoevästeiden avulla kerätään ja raportoidaan tietoja vierailijoista. Kaikilla selvityksessä mukana olleilla verkkosivustoilla oli käytössä sekä välttämättömiä että toiminnallisia evästeitä, ja useimmilla (92 %) myös tilastollisia evästeitä. Markkinointievästeitä käytetään mm. markkinoinnin kohdentamiseen.
Lisätiedot tutkimukseen liittyen: CTO Tomi Mikkonen, tel. +358 40 864 3010, [email protected]
Otathan yhteyttä, mikäli haluat keskustella organisaatiosi evästekäytännöistä ja niiden kehittämisestä.