EU:n yleinen tietosuoja-asetus (Wikipedia), General Data Protection Regulation eli sanahirviölyhenteeltään GDPR on nyt kaikkien huulilla. Meillä asiaa mietittiin jo marraskuussa 2016 kun Trimedian Tiia kävi puhumassa aiheesta minun ja Timin luotsaamassa WordPress Meetupissa. Lakihan hyväksyttiin jo 27.4.2016, mutta siirtymäaika on asetettu 25.5.2018 asti. Eli se on ihan kohta.
Olet varmaan itsekin huomannut sähköpostilaatikkosi täyttyvän eri yritysten GDPR-luonteisista ilmoituksista ja kilometrin mittaisista tietosuojaselosteista. Laki on hyvä, mutta tietysti turhauttaa, kun samat asiat toistuvat uudelleen ja uudelleen.
Saan eniten kysymyksiä evästeilmoituksista. Meidänkin sivuilla on sellainen, joka linkkaa tänne. GDPR on iso asia, jolla kuitenkin pelotellaan turhaan.
Täytyykö minun lisätä sivuille ponnahdusikkuna, jossa kerrotaan evästeistä?
Lyhyesti: Ei tarvitse, mutta sinun täytyy ilmoittaa evästeistä tietosuojaselosteessasi. Siis siinä samassa tietosuojaselosteessa, jonka olet varmasti kirjoittanut yrityksellesi auki nyt kun laki tulee voimaan. Tällä hetkellä evästeistä informointi (“ilmoittaminen”, synonyymi, poate potato) yrityksen tietosuojalausunnossa riittää.
Moni on tulkinnut lakia siten, että evästeiden käyttöön pitäisi saada jokin erillinen suostumus ennen kuin niitä edes ladataan. Tämä kuulostaa epäloogiselta, epäkäytännölliseltä ja aika hurjalta, sillä lähes jokainen netin sivusto käyttää evästeitä jossain muodossa. Käytännössä tulkinta tarkoittaisi sitä, että joka ikisen sivuston pitäisi estää asioita sivuston käytössä, ennen kuin asiakas hyväksyy että haluaa tosiaankin vierailla sivustolla ladaten evästeet.
Jotta en puhuisi ihan puuta heinää ja omalla mutulla, tästä on kirjoittanut mm. asiakkuusmarkkinointiyhteisö, Viestintävirasto, Web design Miia Ylinen, Vierityspalkki, joka on alan suurimpia asiantuntijablogeja, ja moni muu.
Jos vieläkin kaipaat vakuuttelua, voit miettiä miksi Suomen Tietosuojavaltuutetun toimiston sivuilla ei ole erillistä ponnahdusikkunaa vaan ainoastaan tietoa evästeistä.
Miksi sitten ponnahdusikkunoita näkee?
Yksi syy on varmasti se, että jotkut ovat epävarmoja, enkä yhtään ihmettele miksi. Toinen se, että halutaan varmistaa että ihmiset saavat tiedon evästeistä, onhan se ihan hyvä käytäntö.
Meillä (ja varmasti monella muulla) evästeilmoitus on siksi, että sivustolla ensi kertaa vieraileva saisi aiheesta helpoiten tiedon, sillä moista sivua saattaa olla hankala linkittää muualle selkeään paikkaan. Meillä se voisi olla esimerkiksi sivuston alalaidassa, koska ylävalikkoon emme sitä halua tunkea.
EU on pallotellut Cookie-lakia jo todella pitkään ja sitä on kritisoitu kautta aikojen. Uuden GDPR-lain myötä Business Insider bloggasi aiheesta ja kirjoitti näin:
If you have your privacy settings set to allow cookies — like this in Chrome — it will be taken as consent for websites to place them. (lähde)
Mitä muuta minun tulisi tietää GDPR:stä?
Aihe on sen verran laaja, että kaikki ei mahdu yhteen artikkeliin. Siksi tästä aiheesta tuleekin olemaan lisää juttua Duden blogissa myös jatkossa. Meidän GDPR:n mukaista tietosuojaselostetta voit tarkastella operointimanuaalistamme. Ensi kertaan!