Kotimaiset viranomaiset ovat vihdoin pääsemässä yhteisymmärrykseen evästehallinnan ohjeistuksesta. Tietosuoja-asetus tuli voimaan yli kolme vuotta sitten. Yrityksissä varauduttiin siihen kuin maailmanloppuun. Taivas ei kuitenkaan tippunut niskaan, ja tietosuojavaltuutetulla kesti lopulta kaksi vuotta ensimmäisten GDPR-sakkojen antamisessa.

Kaikessa hulluudessaan Traficomin ohjeistus evästeiden hallintaan poikkesi merkittävästi tietosuojavaltuutetun vastaavasta. Toukokuun alussa hallinto-oikeus kumosi kaksi Traficomin tekemää päätöstä, jotka koskivat verkkosivustojen tapoja pyytää käyttäjän suostumusta evästeiden käyttöön. Nyt Traficomin ohjeistus on lausuntokierroksella, ja muun muassa IAB Finland, jonka datatyöryhmässä työskentelen, antaa lausunnon ohjeistukseen.

Tällä hetkellä ohjeistus on aivan liian pikkutarkka. Se ottaa kantaa esimerkiksi evästeilmoituksen nappeihin ja väreihin. Ohjeistuksen mukaan yritysten pitäisi lisäksi osoittaa, kuka tarkalleen suostumuksen antoi. Toteutuessaan tämä aiheuttaisi aivan turhaa henkilötietojen keräämistä nykyiseen anonyymiin käytäntöön verrattuna.

Tällä hetkellä ohjeistus on aivan liian pikkutarkka. Se ottaa kantaa esimerkiksi evästeilmoituksen nappeihin ja väreihin.

Käytännössä evästeilmoitukset ja -hallinta ovat poikenneet ohjeistuksista ja asetuksesta. Aivan liian suuri osa suomalaisista verkkosivustoista on vielä ilman minkäänlaista evästeilmoitusta. Ja jos evästeilmoitus onkin olemassa, se ei välttämättä toimi oikein, eli evästeilmoitus on vain näennäinen.

Kuten ensimmäisessä MarkkinointiUutisten kolumnissa kirjoitin, markkinoinnin on otettava vastuu datasta. Sama koskee evästeilmoituksia. Asiaa ei voi jättää pelkästään IT-osaston tai lakihenkilöiden hoidettavaksi. Markkinointi tekee päätökset digitaalisista kanavista ja sivustolla käytettävistä evästeistä, joten vuoropuhelu ja toteutus tulee tehdä yrityksen ja ulkoisten asiantuntijoiden yhteistyönä.

Onneksi evästeiden hallintaan on olemassa niin kotimaisia kuin kansainvälisiä consent management -järjestelmiä (CMP), joiden avulla evästeiden hallinta saadaan ketterästi toteutettua lain hengen mukaisesti. Säädösten noudattaminen etenkin henkilötietojen osalta on vastuullista markkinointia.

Tietosuojalausekkeista tulee ilmetä myös anonyymien evästetietojen käyttötarkoitukset läpinäkyvästi. Käyttäjillä täytyy olla mahdollisuus helposti hyväksyä tai hylätä seuranta verkkosivustolla käyttötarkoituksen mukaan. Se, tapahtuuko kieltäytyminen yhden “ylimääräisen” klikkauksen jälkeen, ei ole relevanttia.

Markkinointi tekee päätökset digitaalisista kanavista ja sivustolla käytettävistä evästeistä, joten vuoropuhelu ja toteutus tulee tehdä yrityksen ja ulkoisten asiantuntijoiden yhteistyönä.

Hallinto-oikeuden mukaan evästesuostumuksia valvova viranomainen on jatkossa Traficom, mutta vielä jää nähtäväksi, minkälaisilla resursseilla ja käytännöillä. Varmaa on se, että markkinointi ei pääse kiemurtelemaan irti omasta vastuustaan, vaan tietosuoja, mukaan lukien evästeiden hallinta, on hoidettavien töiden listalla. 

Datanisti Petri Mertanen jakaa mietteitä markkinoinnin mittaamisesta ja erityisesti digitaalisen analytiikan hyödyntämisestä sekä kipukohdista. Mertanen työskentelee toimitusjohtajana sekä analytiikan kouluttajana ja hands on -konsulttina.