Syksyllä 2021 Traficom julkaisi päivitetyn, selvästi aiempaa tiukemman evästeohjeistuksen, joka peräänkuulutti merkittäviä muutoksia sivustojen evästekäytäntöihin. Tätä oli odotettu, sillä aiemmin käytännöt olivat hyvinkin monitulkintaisia – ja toteutukset sen näköisiä. Ohjeistuksen tarkoitus on auttaa palveluntarjoajia toimimaan lain edellyttämällä tavalla evästeiden ja evästeistä informoimisen suhteen.
Uudessa ohjeistuksessa kerrotaan tiukasti, että mitään kävijän seurantaan liittyvää toimintoa ei saa ottaa käyttöön ilman käyttäjän suostumusta. Aiemmin suostumus on voitu antaa “passiivisesti”, ilman aktiivista evästeiden hyväksyntää. Nyt suostumus tulee kysyä bannerilla, joka ei saa estää sivuston käyttöä ja jossa tulee tarjota yhdenvertainen mahdollisuus kieltäytyä ja hyväksyä evästeiden käyttö. Lisäksi ohjeistuksessa määritellään, mitä kaikkea bannerin tulee sisältää.
Ohjeistuksen julkaisusta on jutun kirjoitushetkellä muutama kuukausi aikaa. Miten ahkerasti suomalaiset verkkosivustot ovat tarttuneet ohjeistukseen? Kuinka tiukasti sitä on noudatettu? Vaihtelevatko käytännöt erityyppisten toimijoiden kesken?
Evästebanneritutkimuksen taustaa
Halusimme selvittää, miten suomalaiset verkkosivustot ovat hyödyntäneet ohjeistusta. Tutkimusta varten teimme listauksen Suomen suurimmista verkkosivuista eri kategoriassa:
- Yritykset, joiden verkkosivujen tarkoituksena on kerätä liidejä
- Yritykset, joiden verkkosivu on verkkokauppa
- Media-/uutissivustot
- Virastot
Valitsimme tarkasteluun kymmenkunta suurinta sivustoa jokaisesta kategoriasta. Tarkkaa listaa sivustoista ja niiden käytännöistä ei tulla julkaisemaan, koska käytännöt muuttuvat niin nopeasti, eikä sivustojen tai palveluntarjoajien yksilöinnistä ole tässä yhteydessä hyötyä. Tarkoitus ei ole osoitella sormella ketään, vaan tutkia käytäntöjen nykytilaa kokonaisuudessaan.
Tutkimus tehtiin tammikuussa 2022. Hyödynsimme sen pohjalla Traficomin ohjeistusta ja listattuja seikkoja. Tutkiessamme sivustoja tarkastelimme, miten seuraavia Traficomin suosituksia noudatetaan:
- Sivustolla on banneri, jossa pyydetään lupa evästeiden käyttöön.
- Kun bannerista klikkaa “Hyväksy”, kävijä hyväksyy vain välttämättömät evästeet ja kategoriat.
- Banneri ei estä sivuston käyttöä.
- Banneri tarjoaa mahdollisuuden kieltäytyä muista kuin välttämättömistä evästeistä.
- Sivustolla asetetaan selaimeen vain välttämättömiä evästeitä ennen kuin kävijä hyväksyy muiden evästeiden käytön.
- Sivusto asettaa Google Analyticsin käyttämät evästeet vasta luvan saannin jälkeen.
- Sivusto asettaa Facebookin käyttämät evästeet vasta luvan saannin jälkeen.
Näihin kaikkiin kysymyksiin löytyy Traficomin ohjeistuksesta jokseenkin yksiselitteinen vastaus. Huom. Traficomin ohjeistus ei ole juridisesti velvoittava, mutta siinä listatut seikat ovat valvovan viranomaisen tämänhetkinen näkemys lainmukaisista ja hyväksyttävistä evästekäytännöistä.
Tässä tekstissä “bannerilla” tarkoitetaan sitä elementtiä joka käyttäjälle sivustolle saapuessa ensimmäiseksi näkyy. Emme ota kantaa siihen millaisia lisävalintamahdollisuuksia bannereista löytyy sen jälkeen kun käyttäjä klikkaa “muut vaihtoehdot” tai “evästeasetukset” -tyyppistä painiketta.
Evästebanneri löytyy lähes kaikilta sivustoilta, mutta noudattavatko sivustot bannerissa lupaamiaan asioita?
Selvitetään ensiksi miltä tutkimustulokset näyttävät kaikkien tutkimuksessa mukana olleiden sivustojen osin.
Lähes kaikki tutkimuksessa mukana olleet sivustot olivat lisänneet sivustolleen evästebannerin, jossa pyydettiin kävijältä suostumusta evästeiden käyttöön.
Bannerissa on yleensä vaihtoehtoina ainoastaan evästeiden hyväksyminen ja mahdollisuus muokata evästeasetuksia tai tutustua evästekäytäntöihin. Bannerissa ei ole yhdenvertaista mahdollisuutta kieltäytyä muiden kuin välttämättömien evästeiden käytöstä ja banneri esti sivuston käytön. Lisäksi “Hyväksy”-näppäintä painamalla kävijä hyväksyy muutkin kuin välttämättömät evästeet.
Yllättävää oli, että puolet sivustoista rikkoi bannerissa mainostamaansa evästekäytäntöä ja asettivat evästeitä luvattomasti. Yleensä luvattomasti asennettiin ainoastaan kävijäseurantaan tarkoitetut ensimmäisen osapuolen evästeet. Pari poikkeusta tietenkin näissäkin oli ja sivusto asetti mainonnan kohdentamiseen tarkoitettuja kolmannen osapuolen evästeitä ennen kuin edes banneria oltiin ehditty ruudulle avaamaan.
Suuria eroja kategorioiden välillä
Tutkimuksessa mukana olleet yrityksen jaettiin neljään kategoriaan. Tässä tulokset verkkokauppojen osin.
Tutkimuksessa mukana olleista verkkokaupoista kaikilta löytyi evästebanneri. Lähes joka toisen verkkokaupan bannerissa oli myös mahdollisuus kieltäytyä muiden kuin välttämättömien evästeiden käytöstä. Evästeitä ja varsinkin kävijäseurantaan tarkoitettuja evästeitä asetettiin luvatta kuitenkin yli puolessa verkkokaupoista.
Yritysten sivustojen osin tilanne on hyvin samankaltainen kuin verkkokaupoilla. Kaikilta tutkimuksessa mukana olleilta sivustoilta löytyy evästebanneri. Poiketen verkkokaupoista, yritykset eivät tarjoa yhdenvertaista mahdollisuutta kieltäytyä muiden kuin välttämättömien evästeiden käytöstä. Lisäksi banneri estää sivuston käytön. Kävijän on siis pakko hyväksyä kaikkien evästeiden käyttö tai mennä asetuksista muokkaamaan evästeasetuksia mieleisekseen.
Yli puolet yritysten sivustoista asetti joko seurantaan tai mainonnan kohdentamiseen käytettyjä evästeitä ennen kuin kävijä oli antanut siihen luvan.
Media-alan sivustojen, kuten uutissivustojen, kohdalla evästebanneria käytettiin aina yhtä poikkeusta lukuun ottamatta. Missään bannerissa ei tarjottu yhdenvertaista mahdollisuutta kieltäytyä muiden kuin välttämättömien evästeiden käytöstä. Bannerit olivat lähes poikkeuksetta sivuston käyttöä estäviä eli kävijällä on mahdollisuutena joko hyväksyä evästeiden käyttö tai mennä erikseen asetuksista kieltäytymään eri evästekategorioista.
Kaikki mediasivustot odottivat käyttäjän lupaa ennen kuin Facebookin skriptejä ajettiin, mutta osassa sivustoista mainonnan kohdentamiseen tai analytiikkaan liittyviä evästeitä asetettiin jo ennen luvan saamista.
Poikkeuksena muiden kategorioiden sivustoihin, läheskään kaikilla virastojen sivuista ei ollut minkäänlaista evästebanneria käytössä. Näillä sivustoilla ei myöskään käytetty evästeitä seurannan tai mainonnan kohdentamisen tarkoituksiin yhtä poikkeusta lukuun ottamatta.
Miten edetä oman evästekäytännön kanssa?
Tällä hetkellä yleisen käytännön mukaisella bannerilla saadaan erittäin hyvät kattavuudet niin kävijäseurannan kuin mainonnan kohdentamisen tarpeisiin. Noin 1-3% kävijöistä klikkaa bannerissa asetuksiin ja käy sieltä erikseen kieltäytymässä evästeistä. Jos bannerissa tarjotaan mahdollisuus kieltäytyä, niin statistiikan ja mainonnan evästeiden peitosta tippuu 10-20% – ei siis kovinkaan paljoa! Vasta kun evästebannerista tehdään niin kevyt, ettei se häiritse sivuston käyttöä, luvan antaneiden määrä tipahtaa merkittävästi.
Bannereista tuskin päästään hetkeen eroon. Niiden hyvänä puolena on kuitenkin se, että evästeiden käytön hyväksyneet ovat yleensä parempaa yleisöä kuin niistä kieltäytyneet. Evästebanneri tarjoaa siis ainakin yhden helpon filtterin yleisökohdennusten parantamiseen.
Miltä näyttää evästeseurannan tulevaisuus?
Tutkimuksemme mukaan valtaosa sivustoista tulkitsee Traficomin ohjeita melko lepsusti eikä esimerkiksi tarjoa yhdenvertaista mahdollisuutta hyväksyä ja kieltäytyä evästeiden käytöstä. Ennakkotapauksia ei ole vielä syntynyt, joskin Traficom on kuulemamme mukaan jakanut huomautuksia, mikäli selkeää mahdollisuutta kieltäytyä evästeistä ei ole tarjottu.
Sivuston kehityksen ja mainonnan optimoinnin kannalta kävijäliikenteen, konversioiden ja sivustokäyttäytymisen analysointi on erittäin tärkeää. Kunnollista analysointia ja sivuston kehittämistä täytyy sen kävijöistä saada tarpeeksi dataa ja seurannan on oltava tasolla, joka kattaa tarpeeksi ison osan kävijöistä.
Selkeiden ennakkotapausten ja ohjeiden puutos on johtanut erittäin kirjaviin evästekäytäntöihin, jotka eroavat huomattavasti Traficomin ohjeista. Viimeisinkään ohjeistus ei ole riittänyt mandaatiksi monellekaan sivustolle muuttaa käytäntöjään. Tällä hetkellä bannerit häiritsevät käyttökokemusta, kävijäseuranta menee yksityisyyden edelle ja mainonnan kohdentamisessa kunnioitetaan käyttäjän päätöstä. Se, miltä bannerit tulevat näyttämään jatkossa ja minkälaisia evästekäytäntöjä noudatamme tulee paljon riippumaan julkista ennakkotapauksista. Tällä hetkellä voimme vain tulkita ohjeita ja seurata mitä muut tekevät.