6.4. Mikä ihmeen GDPR?

Mikä ihmeen GDPR?

GDPR eli EU:n yleinen tietosuoja-asetus määrittelee, miten henkilötietoja saa kerätä, käyttää ja säilyttää digitaalisissa palveluissa. Sen tavoitteena on varmistaa, että käyttäjillä on selkeä tieto omista oikeuksistaan ja että organisaatiot käsittelevät tietoja vastuullisesti. Suomessa GDPR:n noudattamista valvoo tietosuojavaltuutetun toimisto, joka ohjaa, neuvoo ja tarvittaessa puuttuu väärinkäytöksiin. Tämä sivu auttaa ymmärtämään, mitä GDPR tarkoittaa käytännössä verkkosivuston tekijälle.

Linkkejä lisätietoon

IP-osoite

IP-osoite on verkkoyhteyden yksilöivä tunniste, jonka avulla käyttäjän laite tai internet-yhteys voidaan erottaa muista. Vaikka IP-osoite ei yksin kerro henkilön nimeä, se voidaan yhdistää tiettyyn käyttäjään esimerkiksi internetpalveluntarjoajan tai muiden lisätietojen avulla.

Jokainen webhotelli kirjaa automaattisesti kaikki sivustolle tulevat pyynnöt (verkkosivulla vierailut). Palvelimelle tallentuvat tiedot, kuten vierailijan IP-osoite, aikaleima, vierailtu sivu sekä käytetty selain. Kirjaaminen tapahtuu vaikka sivustolla ei olisi käytössä mitään liikenteen seurantaan käytettyä ominaisuutta, kuten Google analytics.

GDPR-näkökulma

Koska IP‑osoite tallentuu automaattisesti, GDPR:n näkökulmasta IP-osoite on:

  • Henkilötieto
  • sen käsittely on kuvattava tietosuojaselosteessa

IP‑osoitteen tallentumista ei voi estää, koska se kuuluu verkkosivun välttämättömään tekniseen toimintaan. IP‑osoitteen käsittely ei ole evästeisiin perustuvaa seurantaa, joten se ei edellytä evästebanneria. Sivustolla tulee kuitenkin olla tietosuojaseloste, jossa kerrotaan, miten IP‑osoitteita ja muita teknisiä lokitietoja käsitellään.

Evästeet – Cookies

Jotta voidaan tietää kuinka GDPR-vaatimukset toteutetaan sivustolla, täytyy ymmärtää miten erityyppiset evästeet jaotellaan. Seuraavassa tietoa erityyppisisita evästeistä:

Välttämättömät evästeet

Välttämättömät evästeet ovat sellaisia, joiden avulla sivusto toimii oikein. Ilman niitä esimerkiksi ostoskori tai kirjautuminen ei välttämättä toimi. Ne eivät seuraa käyttäjää, eivätkä ne kerää analytiikkaa tai markkinointitietoa, joten GDPR:n mukaan ne eivät vaadi selaajan suostumusta.

Välttämättömät evästeet:

  • mahdollistavat sivuston perustoiminnot
  • liittyvät esimerkiksi ostoskoriin, kirjautumiseen, istuntoon tai kielivalintaan.
  • Istuntokohtaiset evästeet (session cookies) – ylläpitävät käyttäjän istunnon sivustolla, esim. sivulta toiselle siirtyminen ilman tietojen katoamista.
  • Kirjautumisen evästeet – WordPressin omat evästeet, jotka pitävät käyttäjän kirjautuneena (esim. wordpress_logged_in_* ja wp-settings-*).
  • Hallintapaneelin evästeet – WordPressin ylläpitäjille tarkoitetut evästeet, jotka mahdollistavat admin‑näkymän toiminnan.
  • Ostoskori-evästeet – WooCommercen evästeet, jotka pitävät ostoskorin sisällön muistissa (esim. woocommerce_cart_hash ja woocommerce_items_in_cart).
  • Kielivalintaevästeet – tallentavat käyttäjän valitseman kielen, jotta sivusto näyttää sisällön oikealla kielellä (esim. pll_language Polylangissa).
  • Suojaukseen liittyvät evästeet – estävät väärinkäytöksiä, kuten kirjautumisyritysten väärentämistä (esim. wpnonce‑evästeet tai tietoturvalisäosien tekniset evästeet).
  • Evästebannerin valintaevästeet – tallentavat käyttäjän tekemät evästevalinnat, jotta banneri ei näy joka sivulla (esim. complianz_consent tai cookieyes-consent).

Analytiikkaevästeet

Analytiikkaevästeet seuraavat, miten käyttäjät liikkuvat sivustolla ja millaisia sivuja he käyttävät. Näiden tietojen avulla voidaan kehittää sivuston sisältöä ja parantaa sen käytettävyyttä. Koska analytiikka ei ole sivuston toiminnan kannalta välttämätöntä, sen käyttö edellyttää käyttäjän suostumusta.

  • esimerkiksi Google Analytics ja Matomo
  • seuraavat käyttäjän toimintaa sivustolla
  • vaativat suostumuksen ennen evästeiden lataamista

Analytiikkaevästeet liittyvät siis kaikkiin toimintoihin, joissa:

  1. käyttäjän toimintaa mitataan
  2. sivuston käyttöä analysoidaan
  3. liikenteen lähteitä seurataan
  4. käyttäjäpolkuja tarkastellaan

Koska nämä eivät ole välttämättömiä sivuston tekniselle toiminnalle, ne vaativat suostumuksen ennen lataamista.

Listausta toiminnoista mitä analytiikkatyökalut tallentavat kävijävirrasta:

  • Kävijämäärien seuranta – analytiikkatyökalut mittaavat, kuinka monta käyttäjää sivustolla käy ja milloin.
  • Sivujen katselukertojen seuranta – tallentaa, mitä sivuja käyttäjä avaa ja missä järjestyksessä.
  • Sivuston käytön mittaaminen – seuraa esimerkiksi vierailun kestoa, vierailtujen sivujen määrää ja poistumissivuja.
  • Liikenteen lähteiden seuranta – kertoo, mistä käyttäjä on tullut sivustolle (hakukone, some, suora osoite, kampanja).
  • Klikkausten ja vuorovaikutusten seuranta – mittaa esimerkiksi painikkeiden, linkkien ja valikoiden klikkauksia.
  • Laite- ja selain­tietojen kerääminen – analytiikka tunnistaa käytetyn laitteen, selaimen ja näytön koon sivuston optimointia varten.
  • Käyttäjäpolkujen analysointi – seuraa, miten käyttäjä liikkuu sivustolla ja missä kohdissa hän poistuu.
  • Kampanjoiden ja markkinoinnin tehokkuuden mittaaminen – analytiikka kertoo, miten hyvin esimerkiksi uutiskirje- tai mainoskampanja tuo liikennettä.
  • Uusien ja palaavien käyttäjien erottelu – analytiikka tunnistaa, onko käyttäjä käynyt sivustolla aiemmin.
  • Maantieteellisen sijainnin arviointi – analytiikka arvioi käyttäjän sijainnin IP-osoitteen perusteella (ei tarkka osoite).

Mainonta- ja seurantaevästeet

Mainonta- ja seurantaevästeet liittyvät kohdennettuun mainontaan. Ne seuraavat käyttäjän toimintaa eri sivustoilla ja muodostavat profiileja, joiden avulla mainoksia voidaan näyttää käyttäjän kiinnostusten perusteella. Koska nämä evästeet eivät ole välttämättömiä sivuston toiminnan kannalta, niiden käyttö edellyttää käyttäjän suostumusta.

  • esimerkiksi Google Ads ja Meta Pixel
  • seuraavat käyttäjän toimintaa useilla eri sivustoilla
  • käytetään mainonnan kohdentamiseen ja kampanjoiden mittaamiseen
  • vaativat suostumuksen ennen evästeiden lataamista
  • Kohdennetun mainonnan toteuttaminen – evästeet mahdollistavat mainosten näyttämisen käyttäjän kiinnostusten perusteella.
  • Käyttäjäprofiilien muodostaminen – evästeet keräävät tietoa käyttäjän toiminnasta eri sivustoilla ja muodostavat profiileja mainonnan kohdentamista varten.
  • Mainoskampanjoiden mittaaminen – evästeet seuraavat, miten käyttäjä reagoi mainoksiin (klikkaukset, konversiot).
  • Uudelleenmarkkinointi (remarketing) – käyttäjälle voidaan näyttää mainoksia tuotteista tai palveluista, joita hän on aiemmin katsellut.
  • Kolmansien osapuolten seurantapikselit – palvelut seuraavat käyttäjän toimintaa useilla eri sivustoilla.
  • Liikenteen lähteiden ja mainoskanavien tehokkuuden arviointi – evästeet kertovat, mistä mainoskanavasta käyttäjä tuli sivustolle.
  • Konversioseuranta – evästeet tallentavat, tapahtuiko toivottu toiminto (esim. ostos, lomakkeen lähetys).

Sivustolle liitettäviä palveluja, jotka käyttävät mainonta- ja seurantaevästeitä (HTML)

  • Google Ads / Google Ads Remarketing – mainonnan kohdentaminen ja konversioseuranta.
  • Google Tag Manager – ei itsessään eväste, mutta lataa muita seurantatyökaluja.
  • Meta Pixel (Facebook Pixel) – käyttäjäseuranta, kohdennettu mainonta ja konversiomittaus.
  • LinkedIn Insight Tag – B2B-mainonnan kohdentaminen ja kampanjoiden seuranta.
  • Twitter/X Pixel – mainonnan kohdentaminen ja käyttäjäseuranta.
  • Pinterest Tag – verkkokauppojen kohdennettu mainonta ja konversioseuranta.
  • TikTok Pixel – käyttäjäseuranta ja kampanjoiden mittaaminen.
  • Microsoft Advertising UET Tag – mainonnan kohdentaminen ja konversioseuranta.
  • Hotjar (käyttäjäpolkujen tallennus) – ei varsinaisesti mainontaa, mutta käyttäjäseuranta vaatii suostumuksen.
  • HubSpot Tracking Code – markkinoinnin automaatio ja käyttäjäseuranta.
  • Mailchimp Tracking – uutiskirjeiden ja kampanjoiden seurantaan liittyvät evästeet.
  • ActiveCampaign Tracking – käyttäjäseuranta ja markkinoinnin automaatio.
  • AdRoll – uudelleenmarkkinointi ja käyttäjäprofiilien muodostaminen.
  • DoubleClick / Google Marketing Platform – laaja mainonnan ja käyttäjäseurannan ekosysteemi.

Kolmannen osapuolen evästeet

Kolmannen osapuolen evästeet syntyvät, kun sivustolle upotetaan sisältöä ulkopuolisista palveluista, kuten videoita, karttoja, fontteja tai some-syötteitä. Nämä palvelut voivat asettaa evästeitä jo pelkästään upotuksen latautuessa, vaikka käyttäjä ei olisi vuorovaikutuksessa sisällön kanssa. Koska nämä evästeet eivät ole välttämättömiä sivuston toiminnan kannalta, niiden käyttö edellyttää käyttäjän suostumusta.

  • YouTube-upotukset (videot lataavat seurantaa automaattisesti)
  • Google Maps -karttaupotukset
  • Some-syötteet (esim. Facebook, Instagram, TikTok)
  • Ulkopuoliset fonttipalvelut (esim. Google Fonts, jos ladattu verkosta)
  • Chat-widgetit, jotka lataavat seurantaa (esim. Tawk.to, Crisp, Intercom)
  • Vaativat suostumuksen ennen evästeiden lataamista

Kolmannen osapuolen evästeet liittyvät siis kaikkeen sisältöön, joka tulee sivustolle ulkopuolisesta palvelusta. Jos sivustolla näkyy jotakin, joka ei ole “oman sivuston sisältöä”, se todennäköisesti:

  1. lataa evästeitä automaattisesti
  2. lähettää tietoja palvelun omille palvelimille
  3. vaatii suostumuksen ennen lataamista
  4. Tämä on yksi yleisimmistä GDPR‑kompastuskivistä WordPress‑sivustoilla.
  • Videoiden upottaminen – esimerkiksi YouTube- ja Vimeo-upotukset lataavat seurantaa jo ennen videon katselua.
  • Karttaupotukset – Google Maps ja muut karttapalvelut lataavat evästeitä heti kartan näkyessä sivulla.
  • Some-syötteiden näyttäminen – Facebook-, Instagram-, TikTok- ja X-syötteet lataavat palvelun omia evästeitä.
  • Ulkopuoliset fonttipalvelut – esimerkiksi Google Fonts voi ladata käyttäjän selaimeen tietoja fonttien hakemisen yhteydessä.
  • Chat-widgetit – palvelut kuten Tawk.to, Crisp, Intercom ja LiveChat voivat asettaa seurantaa taustalla.
  • Ulkopuoliset analytiikka- tai optimointipalvelut – esimerkiksi Hotjar tai Crazy Egg voivat asettaa evästeitä käyttäjäpolkujen tallentamiseen.
  • Ulkopuoliset kommentointijärjestelmät – Disqus ja vastaavat palvelut lataavat omia evästeitään.
  • Ulkopuoliset mainosverkostot – jos sivustolla näytetään mainoksia, mainosverkostot voivat asettaa omia evästeitään.
  • Upotetut lomakkeet – esimerkiksi HubSpot-, Mailchimp- tai Google Forms -upotukset voivat ladata seurantaa.
  • Upotetut kalenterit ja varausjärjestelmät – esimerkiksi Calendly tai Setmore voivat asettaa evästeitä.
  • Upotetut tilastot tai widgetit – esimerkiksi ulkopuoliset sää-, kurssi- tai arvosteluwidgetit voivat ladata evästeitä.

Mihin kartat ja videot katosivat!?

Kolmannen osapuolen evästeiden kannalta on hyvä huomata, että jos käyttäjä on estänyt kolmannen osapuolen evästeet selaimen asetuksissa, sivustolle upotetut palvelut – kuten kartat, videot tai some-syötteet – eivät välttämättä toimi lainkaan. Tämä johtuu siitä, että upotettu sisältö tarvitsee evästeitä latautuakseen ja toimiakseen oikein.

GDPR:n näkökulmasta sivuston tekijän on huomioitava, että esimerkiksi yhteydenottosivulla näkyvä upotettu Google Maps -kartta lataa kolmannen osapuolen evästeitä. Tämän vuoksi sivustolle on toteutettava evästeiden hyväksyntäkysely, joka pyytää käyttäjältä suostumuksen ennen kartan tai muun ulkopuolisen upotuksen lataamista.

Toiminnalliset evästeet

Toiminnalliset evästeet parantavat sivuston käyttökokemusta, mutta eivät ole välttämättömiä sivuston teknisen toiminnan kannalta. Niiden avulla sivusto voi muistaa käyttäjän tekemiä valintoja ja tarjota yksilöllisemmän käyttökokemuksen. Osa toiminnallisista evästeistä voi vaatia suostumuksen, jos ne liittyvät käyttäjän seurantaan tai kolmannen osapuolen palveluihin.

Toiminnalliset evästeet voivat joissain tapauksissa vaatia käyttäjän suostumuksen. Suostumusta ei tarvita silloin, kun eväste tallentaa vain sivuston sisäisiä asetuksia, kuten kielivalinnan tai teematilan. Suostumus on kuitenkin tarpeen, jos toiminnallinen eväste liittyy ulkopuoliseen palveluun tai sisältää käyttäjän seurantaa. Tällaisia ovat esimerkiksi chat-widgetit, jotka lähettävät tietoja kolmannen osapuolen palvelimille, tai lomakkeet, jotka käyttävät ulkopuolisia analytiikka- tai markkinointityökaluja.

Toiminnallinen eväste Vaatiiko suostumuksen? Perustelu
kielivalinnan muistaminen ei vaadi tallentaa vain käyttäjän valinnan sivuston sisällä
teemavalinta (vaalea/tumma tila) ei vaadi ei sisällä seurantaa eikä lähetä tietoja ulkopuolelle
lomakekenttien esitäyttö ei vaadi parantaa käyttökokemusta, mutta ei seuraa käyttäjää
chat-widget ilman seurantaa ei vaadi jos chat toimii vain sivuston sisällä eikä lähetä tietoja eteenpäin
chat-widget, joka lähettää tietoja palvelimille vaatii liittyy ulkopuoliseen palveluun ja sisältää seurantaa
ulkoiset lomakepalvelut (esim. HubSpot, Mailchimp) vaatii lähettää tietoja kolmannen osapuolen palvelimille
ulkoiset fonttipalvelut (esim. Google Fonts verkosta ladattuna) vaatii lataa sisältöä ulkopuoliselta palvelimelta ja voi kerätä käyttäjätietoja
widgetit ja upotukset (esim. sää-, arvostelu- tai kalenteriwidgetit) vaatii lataavat sisältöä ulkopuolisista palveluista