EU ei pakota verkkosivuja lisäämään evästeikkunoita
Aika ajoin huomaan eri viestipalveluissa valitusta evästelaatikoista, jotka EU on mukamas pakottanut jokaiselle verkkosivulle. Näin ei kuitenkaan ole. Evästeitä saa käyttää verkkosivuilla ilman käyttäjiä häiritseviä laatikoita.
EU vaatii luvan kysymistä vain, jos sivusto haluaa vakoilla käyttäjiään, myydä heidän tietojaan eteenpäin tai tehdä jotain muuta hänen yksityisyyttään loukkaavaa. Tätäkin varten oli helppo ratkaisu kehitettynä, jota tuettiin jokaisessa yleisimmässä selaimesta aina Chromesta Safariin.
DNT, eli "Do Not Track"
DNT oli ehdotettu internet-standardi, jonka avulla käyttäjä olisi voinut lähettää pyynnön mukana tiedon siitä haluaako tämä että häntä seurataan. Se oli hyvin yksinkertainen:
Kun haet verkkoselaimella jotain, se tehdään protokollan nimeltä HTTP avulla. Pyyntöjen mukana lähetetään otsaketietoja (engl. HTTP headers), joilla kerrotaan verkkosivustolle esimerkiksi mitä selainta käytät ja mitä kieltä toivoisit sisällön olevan. Näiden mukana olisi lähetetty tieto "DNT", jolla voisi olla 3 arvoa:
1 = Älä seuraa minua, kiitos. 0 = Ole hyvä, saat seurata minua! null (ei asetettu) = Käyttäjä ei ole asettanut mieltymystään.
Näin simppeliä! Tämä ominaisuus on ollut Chromessa vuodesta 2012 ja Firefoxissa jo vuotta aiemminkin. DNT:n seuraajana toimii GPC (Global Privacy Control)-otsaketieto, jonka kunnioittamista Californian tietosuojalaki (CCPA) vaatii. Hienoa työtä California. Mutta tätäkään otsaketietoa ei kunnioita kovinkaan moni verkkosivusto. Miksikö?
Helppo kieltätyminen, ei onnistu!
Dataa himoavat yritykset, kuten vaikka Google ja Meta (Facebook), eivät kuitenkaan ottaneet tätä käyttöön. Osaatko arvata miksi? Ne haluavat seurata sinua. On paljon todennäköisempää että sallit seurannan jos sinua ärsytetään evästelaatikoilla, sen sijaan että he kunnioittaisivat yksinkertaista pyyntöäsi olla seuraamatta minua. Pahimillaan jotkin yritykset voivat käyttää ns. pimeitä temppuja (engl. dark ui patterns) joissa sinut yritetään huijata tekemään jotain, mitä et oikeasti haluaisi tehdä.
Suuryritykset tahallaan haluavat tehdä sivustojen käytöstä helvettiä siinä toivossa että luovutat ja vain sallit seurannan. Bite Code-blogi kuvasi tilannetta artikkelissaan näin:
Yritykset tekevät elämästäsi tahallaan hankalaa. EU sanoi heille, etteivät he enää saa hyväksikäyttää käyttäjiä salaa, joten he päättivät kostaa olemalla ärsyttäviä.
EU ei missään kohtaa lainsäädäntöään vaadi evästelaatikoita. EU-lainsäädäntö ei myöskään tunne termiä evästelaatikko tai evästeikkuna, luvan kysymisen toteutustapaa ei nimittäin ole määritelty missään. Käyttäjän täytyy pystyä antamaan lupa selvästi ja kieltäytymään siitä yhtä helposti.
EU ei vaadi evästeikkunoita, mutta yritykset vaativat.
Vaihtoehtoja on.
Evästeitä käytetään yleensä käyttäjäanalytiikkaan, esimerkiksi Google Analyticsin avulla. Kuitenkin markkinoilla on useita evästeettömiä analytiikkatyökaluja, kuten Plausible. Yrityksen usein kuitenkin käyttäivät esimerkiksi Googlen tai Metan (Facebook + Instagram) mainoksia, jolloin niiden tehon seuranta vaatii esimerkiksi Google Analyticsin käytön. Mainokset ja niiden seurantahan perustuu täysin siihen, että yritykset saavat kerättyä sinusta kaiken mahdollisen tiedon irti.
Tiedät miten selaimesi kysyy esimerkiksi lupaa mikrofonin käyttöön etäkokouksessa? Lupa oltaisiin voitu kysyä esimerkiksi vaikka sillä tavalla. Mutta sille olisi todennäköisesti käynyt samalla tavalla kuin DNT:lle, sillä selaimen avulla voitaisiin vain aina kieltää pyynnöt.
Pitäkää kiinni oikeudestanne yksityisyyteen. Käyttäkää uBlock Originia ja Privacy Badgeria.
Lue lisää
- Do Not Track englanninkielisessä Wikipediassa
- Amazing CTO-blogin artikkeli Dear Paul Graham, there is no cookie banner law
- BiteCoden artikkeli There is no EU cookie banner law