Evästelaki ja yleinen tietosuoja-asetus GDPR tulivat ja jäivät. Monelta osin nämä melko väljät lainsäädännöt ovat kuitenkin jääneet epäselviksi ja ovat edelleen erittäin tulkinnanvaraisia. Vaikka nämä lait ovat alusta asti olleet kaksi täysin eri säädöstä, monet silti sekoittavat ja yhdistävät ne toisiinsa – ikään kuin kyse olisi yhdestä ja samasta laista.
Ehkä GDPR:n myötä tulleet mahdolliset sanktiot ovat aiheuttaneet sen, että yksityisyydensuojan ohella myös evästeistä ilmoittaminen on alettu ottaa tosissaan. Käytännöllisesti katsoen nämä kaksi asetusta kulkevat usein käsi kädessä, mutta monessa tapauksessa ne eivät liity millään tavalla toisiinsa.
Laki evästeistä on kuitenkin ollut olemassa jo kauan ennen yleistä tietosuoja-asetusta. Evästelaissa on kyse nimenomaan siitä, että käyttäjää tiedotetaan evästeiden asettamisesta ja annetaan mahdollisuus kieltää evästeiden asettaminen. Evästelain kannalta ei ole väliä, kerätäänkö henkilökohtaisesti tunnistettavaa tietoa vai jotain muuta.
GDPR taas ei ota kantaa evästeisiin tai seurantakoodeihin. Sen tarkoitus on yhtenäistää tiedon keräykseen, käsittelyyn ja hallintaan liittyvää lainsäädäntöä, sekä tuoda läpinäkyvyyttä käyttäjille riippumatta siitä, millä tavalla tietoa kerätään.
Tässä artikkelissa ei kuitenkaan oteta kantaa yleiseen tietosuoja-asetukseen, vaan tarkoitus on analysoida erityisesti evästeilmoitusten vaikutusta markkinointiin.
Evästelaki
Vaikka puhutaankin evästelaista, ei kyseessä ole varsinainen laki, vaan EU:n asettama direktiivi. Se vietiin läpi jo vuonna 2002 ja sitä täydennettiin vuonna 2009 – yli kymmenen vuotta sitten. Asiaan on kuitenkin tulossa muutos mahdollisesti jo vuonna 2020, jonka myötä evästelakia päivitettäisiin ja siitä tulisi virallinen EU:n asetus.
Näkyvin osa evästelakia on nykyään lähes jokaisella sivustolla olevat monen mielestä typerät bannerit, jotka ovat aina väärässä paikassa väärään aikaan.
Direktiivistatus tarkoittaa sitä, että kukin jäsenvaltio on saanut päättää, miten asiasta säätävät. Suomessa tätä on tulkittu siten, että evästeiden asettamista varten ei lähtökohtaisesti tarvita käyttäjältä erillistä suostumusta, vaan riittää, että selaimessa asetuksissa evästeet on hyväksytty. Käyttäjää on silti tiedotettava evästeiden käyttämisestä sekä ohjeistettava niiden estämisessä ja poistamisessa.
Markkinoijat lähtökohtaisesti haluavat kerätä kaiken mahdollisen tiedon mitä vain saavat käsiinsä. Omasta mielestäni tällainen näkökulma on kuitenkin käyttäjälle epäystävällinen ja pitkällä aikavälillä jopa haitallinen, sillä usein tietojen ja tilastojen kerääminen tehdään mahdollisimman läpinäkymättömästi.
Juuri tätä varten evästelaki on alunperin luotukin. Sen tarkoitus on tehdä tietojen keräämisestä läpinäkyvää sekä antaa periaatteessa mahdollisuus myös hallita evästeiden asettamista. Direktiivin olisi kuitenkin voinut toteuttaa toisella tavalla esimerkiksi siten, että vastuu evästeiden hyväksymisestä olisikin selaimilla eikä sivustoilla. Tällöin yksi asetus selaimessa voisi korvata kaikki evästeilmoitusbannerit. Tilanne on kuitenkin se mikä on, ja bannerit meillä valitettavasti ovat riesanamme – ainakin toistaiseksi.
Evästeilmoitukset
Evästeilmoituksia eli käytännössä bannereita ja modaaleja ei vielä ennen GDPR:n voimaantuloa juurikaan ollut, sillä siihen ei ollut varsinaista pakotetta. Yleisin tapa evästeiden ilmoittamiseksi oli kuitenkin juuri yksinkertainen banneri, jossa ainoa vaihtoehto oli painaa ”OK”.
Viimeisen parin vuoden aikana tilanne on kuitenkin muuttunut melko rajusti ja erilaisia yhä yksityiskohtaisempia bannereita on nykyään useita erilaisia. Mielenkiintoisesti tilanne muuttui juuri GDPR:n voimaantulon myötä, vaikkei sillä sinänsä ole mitään tekemistä asian kanssa.
Tietyissä tapauksissa nämä kuitenkin liittyvät vahvasti toisiinsa, sillä näyttää siltä, että useat sivustot antavat kävijöilleen yksilöitävissä olevia tunnisteita, joiden perusteella tallennetaan tietoa esimerkiksi heidän käyttäytymisestään. Tällöin on loogista, että tietojenkeruuta on pystyttävä rajoittamaanja koska kerääminen tapahtuu evästeiden ja seurantakoodien avulla, on niiden estämiseen annettava mahdollisuus.
Nykyään näyttäisi siltä, että on kolme suosittua bannerityyliä, jotka ovat kaikki vähän erilaisia. Yksi yleisimmistä tyyleistä etenkin isommilla ulkomaisilla sivustoilla on popup-modaali, joka on ruudulla niin kauan kunnes käyttäjä joko hyväksyy evästeet tai sitten muokkaa asetuksia yksityiskohtaisemmin. Tämä on käyttäjälle ehkä huonoin vaihtoehto, sillä käytännössä se aiheuttaa ylimääräistä tekemistä ja hankaloittaa käyttökokemusta huomattavasti. Etenkin silloin, kun seurantakoodeja on kymmeniä on niiden estäminen erittäin hidasta, koska jokainen koodi on estettävä erikseen.
Toinen suosittu tyyli on vanhanaikainen yksinkertainen ilmoitus, minkä voi kuitata vain painamalla OK, eikä muuta mahdollisuutta anneta. Tämä on esimerkiksi Suomessa hyväksyttävä tapa, mutta ei välttämättä päde enää silloin, kun vierailijat ovatkin muista maista.
Kolmas tyyli, joka on saavuttanut jonkinlaista suosiota, on banneri, jossa on mahdollisuus hyväksyä tai estää evästeet joko kerralla tai yksityiskohtaisemmin. Tästä esimerkki on esimerkiksi Aboadinkin sivuilla käytettävä banneri. Tämä on ehdottomasti käyttäjäystävällisin ja läpinäkyvin vaihtoehto, mutta markkinoijalle se ei ole ongelmaton, sillä sivustolle tulee helposti käyntejä, joita ei tilastoida muualle kuin palvelimen lokitietoihin.
Ilmoitusten merkitys tilastoihin ja kokemukset
Olemme keränneet tilastoja evästeiden hyväksymisistä ja hylkäämisistä jo yli vuoden ajalta. Tässä esitettävät päätelmät ja tilastot perustuvat tällä hetkellä vain kahteen sivustoon, mutta mahdollisessa seuraavassa tarkastelussa on mukana useampia sivustoja.
Kuvaaja 1
Ensivaikutelma evästeilmoituksen merkityksestä kerättyihin tilastoihin on pieni. Hylkäämisiä on keskimäärin vain muutamia prosentteja ja hyväksymisiä on merkittäviä määriä.
Evästeilmoitus on näillä sivustoilla ollut esivalittu kategorioihin perustuva ja kävijä on voinut valita, minkä kategorian evästeitä on lupa asettaa. Vuoden 2019 lopulla ilmoitusta on muokattu siten, että kävijällä on mahdollisuus vain joko hyväksyä tai estää kaikki evästeet yhdellä napinpainalluksella.
Muutos on aiheuttanut jyrkän nousun evästeiden estämisessä, mikä on itsessään vaikuttanut tilastoihin esimerkiksi Google Analyticsin osalta. Olemme kuitenkin kokeneet tämän tietyllä tavalla hyvänä asiana, sillä emme halua kerätä kävijöiden tilastoja hinnalla millä hyvänsä, vaan tietoisesti antaa reilun mahdollisuuden estää evästeiden asettaminen. Jos suurin osa kävijöistämme ei halua heitä seurattavan, on meidän kunnioitettava sitä.
Kuvaaja 2
Google Analyticsin keräämiä kävijämääriä tarkasteltaessa tilanne näyttää edelleen hyvältä. Käyntejä on edelleen merkittävästi, vaikka evästeitä onkin estetty aiempaa enemmän.
Tähän mennessä olemme kuitenkin tilastoineet vain ne kävijät, jotka ovat joko estäneet tai hyväksyneet evästeet. Mitä tapahtuu silloin, jos kävijä ei klikkaa kumpaakaan nappulaa? Yksinkertaista – tällaisia käyntejä ei lasketa mukaan tilastoihin. Nämä käynnit tallentuvat ainoastaan palvelimen lokitietoihin.
Näin pääsimmekin siis suurimpaan ongelmaan, minkä olemme evästeilmoitusten osalta kohdanneet. Se, että kävijä ei hyväksy evästeitä on normaalia ja hyväksymme sen. Meillä ei kuitenkaan ole tällä hetkellä käytännössä tietoa siitä, miten paljon sivustolla on ”haamukävijöitä”, joista ei saada lainkaan tietoa analytiikkatyökaluihin.
Haamukävijöiden tilastointi on kuitenkin meilläkin työn alla siksi, että saisimme todellista tietoa evästeilmoituksen vaikuttavuudesta. Palvelinlokeista on mahdollista kaivaa tietoa jokaisesta pyynnöstä palvelimelle, mutta niiden parsiminen on työlästä ja oikeastaan tarvitsemme tiedon vain siitä, miten paljon kävijöitä on sivustolla ollut kaikkiaan. Sen jälkeen voimme verrata tätä tietoa normaalilla tavalla kerättyihin tilastoihin. Näitä tuloksia kuitenkin saamme vasta myöhemmin, ehkäpä erillisen artikkelin muodossa.
Johtopäätökset
Bannerin tai modaalin muotoinen evästeilmoitus ei ole optimaalinen vaihtoehto (eikä tosiaan Suomessa aivan välttämätön), mutta kunnes EU saa lakinsa sisällön järjestykseen, on näiden kanssa elettävä. Ehkä emme näitä enää tulevaisuudessa tarvitsekaan!
Edeltävän tutkinnan perusteella voimme päätellä, että antamalla kävijälle mahdollisuuden estää itsensä seuraaminen on olemassa riski analytiikkadatan vähenemisestä. Todelliset vaikutukset selviävät vasta palvelimen lokitiedostoja tarkastelemalla.
Samalla voidaan myös vetää johtopäätös siihen, että osa kävijöistä ei halua itseään seurattavan. Tämä on tietysti markkinoijalle harmillista, mutta antaa signaalin kävijälle, että hänet otetaan huomioon. Kumpi sitten on tärkeämpää on kiinni markkinoijan omista arvoista.