EU:n tietosuojaryhmä otti hiljattain kantaa EU:n tietosuojadirektiivin 2002/58/EC artiklan 5.3 soveltamiseen käytännössä. Verkkosivuston käyttäjän kannalta tarpeettomien evästeiden käytölle on hankittava käyttäjän tietoinen suostumus. Suostumuspyyntö merkitsee suurta takaiskua verkkokaupan kävijä- ja tulosseurannalle.
EU:n tietosuojaryhmän kannanottoja:
- Suostumuksen pyytäminen evästeiden käytölle [pdf]
- Vapautus suostumuksen pyynnöstä evästeiden käytölle [pdf]
EDIT 15.8.2019! Lukaiseppa myös uudempi kirjoitukseni: evästelaatikoista.
Evästeiden käyttö X4:ssä
Tällä hetkellä vaikuttaa siltä, ettei Clover Shop X4 -ohjelmistoa käyttävän verkkokaupan tarvitse pyytää asiakkaalta suostumusta evästeiden käytölle. Ohjelmiston käyttämät evästeet (sessiotunnisteet) mahtuvat vapautusluokkaan A tai B. Esimerkiksi kielivalinta, ostoskori, tilauslomakkeen muisti ja sisäänkirjautuminen kuuluvat vapautusluokkaan B.
Evästeiden käyttö kävijäseurannassa
Jos verkkokauppa käyttää esimerkiksi Google Analytics -kävijäseurantaa, verkkokaupan asiakkaan selaimeen tallentuu _ca -niminen eväste. Evästeen käyttämiselle on hankittava asiakkaan tietoinen suostumus, koska kävijäseuranta ei ole välttämätön verkkokaupassa asioinnin kannalta. Osa antaa suostumuksen ja osa ei. Kävijäseurannasta tulee puutteellinen ja keskittymistä häiritsevä suostumuspyyntö huonontaa konversioastetta. Onneksi tietosuojaryhmänkin mielestä artikla 5.3 on liian tiukasti muotoiltu. Se ehdottaakin kannanotossaan kolmatta vapautusluokkaa C.
”In this regard, should article 5.3 of the Directive 2002/58/EC be re-visited in the future, the European legislator might appropriately add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes.” — Working Party set up under Article 29 of Directive 95/46/EC