Mistä kaikki "hylkää"-painikkeet tulivat?!
Yhä useammat verkkosivustot ovat lisänneet mahdollisuuden kieltäytyä evästeistä ja muusta seurannasta - kuten GDPR:ssä säädetään. Mistä tämä suuntaus on peräisin?
Maaliskuussa 2021 noyb tutki verkkoa laittomien evästeiden bannerien varalta ja teki yli 700 valitusta eri puolilla Eurooppaa. Viimeinen skannaus osoittaa yksityiskohtaisen arvion 1,5 vuoden kuluttua: yli 50 prosenttia sivustoista on parantanut bannereitaan, monissa tapauksissa ilman, että noyb on koskaan ottanut yhteyttä sivustoihin
Tausta ja tiedonkeruu Käyttämällä erityisesti kehitettyä ohjelmistoa noyb skannasi yli 3600 verkkosivustoa maaliskuussa 2021 ja keräsi tietoja siitä, rikkovatko näiden sivustojen suostumusbannerit tietosuoja-asetusta. Näiden tietojen perusteella tehtiin yli 700 kantelua eniten vierailtuihin sivuihin, joiden bannereissa oli GDPR:n rikkomuksia, kuten ei "hylkää"-painiketta tai harhaanjohtavia malleja. Tämä käynnisti monien banneriohjelmistojen tarjoajien ja verkkosivustojen keskuudessa massiivisen uudelleentarkasteluprosessin. Oletusasetukset muutettiin GDPR:n mukaisempaan versioon ennaltaehkäisevänä toimenpiteenä, vaikka valituksia ei olisikaan tehty
"Tällä valitusaallolla on ollut massiivinen ennaltaehkäisevä vaikutus. Olemme kuulleet yrityksiltä, että ne ovat jo muuttaneet evästebannereita koskevaa kantaansa sen jälkeen, kun olemme ilmoittaneet täytäntöönpanoaallostamme - vaikka ne eivät olisi itse saaneet valitusta." - Max Schrems, noybin puheenjohtaja
Valitusten aaltoon liittyi muita tietosuojaviranomaisten täytäntöönpanotoimia; esimerkiksi Ranskan CNIL otti käyttöön ohjeet ja vaati Googlea ottamaan käyttöön "hylkää"-painikkeen, mikä nähtiin myös merkkinä monille yrityksille, jotta ne mukauttivat bannereitaan, ja se johti Ranskassa merkittäviin mitattavissa oleviin parannuksiin
Merkittäviä parannuksia Lokakuussa 2022, puolitoista vuotta myöhemmin, skannaus toistettiin ja vertailuluvut laskettiin 1631 verkkosivustolle. Nämä osoittavat merkittäviä parannuksia käyttäjien kannalta: kaikista skannatuista sivuista 56 prosenttia on muuttunut parempaan suuntaan viimeisten puolentoista vuoden aikana, ja niissä ei enää käytetä harhaanjohtavia värejä linkeissä ja painikkeissa eikä valmiiksi rastitettuja alaluokkia. Yleisin rikkomus oli myös ärsyttävin: 82 prosentilla (1 377) kaikista verkkosivustoista ei ollut painiketta kaikkien evästeiden hylkäämiseksi maaliskuussa 2021. Käyttäjien oli sukellettava alivalikoihin löytääkseen piilotetun "hylkää"-vaihtoehdon. 574 (41 %) tutkituista verkkosivustoista on nyt ottanut käyttöön "hylkää"-painikkeen valitusten jälkeen. Myös asetettujen evästeiden kokonaismäärä on vähentynyt noin 10 prosenttia - vastoin viimeaikaista suuntausta.
"Olemme nähneet verkkosivustojen muuttavan laittomia malleja vain muutaman kuukauden kuluttua. 1,5 vuoden jälkeen käyttäytymisessä on nähtävissä muutos jopa sivustoilla, joihin emme ole koskaan ottaneet yhteyttä. Näemme klassisen yleisen ennaltaehkäisevän vaikutuksen." - Ala Krinickytė, noybin tietosuojalakimies
Varoitus lisää sääntöjen noudattamista Näistä 1 631 verkkosivustosta noyb lähetti 483:lle huomautusluonnoksen ja antoi niille enintään 60 päivää aikaa korjata rikkomukset. Lähes puolet kaikista rikkomuksista korjattiin tässä ryhmässä. Yli puolella on nyt käytössä hylkää-painike, yli 70 prosentilla ei ole enää valmiiksi rastitettuja kategorioita, ja kaksi kolmasosaa on muuttanut harhaanjohtavia värejä ja linkkejä
Pelote toimii. Niiden verkkosivustojen lisäksi, joille lähetettiin valituksia, myös muut verkkosivustot, joille noyb ei lähettänyt varoitusta, alkoivat noudattaa paremmin GDPR-asetusta. 543 otoksen 1 148 verkkosivustosta, jotka eivät olleet saaneet valitusta, paransivat evästebannereitaan. 78 on nyt täysin GDPR:n mukaisia. Myös asetettujen evästeiden ja henkilötietoja sisältävien evästeiden kokonaismäärä väheni merkittävästi
"Useimmat ihmiset noudattavat yleensä lakia. Tietosuojan alalla näin ei aina ole - mutta se voidaan saavuttaa julkisesti havaittavalla valvonnalla." - Ala Krinickytė, noybin tietosuojalakimies
Lisää valituksia suunnitteilla. Tulevina kuukausina noyb jatkaa tavoitettaan päästä eroon harhaanjohtavista evästebannereista ja laajentaa hanketta koskemaan myös sivustoja, jotka käyttävät suostumuksenhallinta-alustoja (CMP) . Seuraavaksi noyb kehittää ohjelmistoaan edelleen, jotta se voi käynnistää vastaavanlaisen toiminnan myös muiden yksityisyyden suojan loukkausten osalta .
Tällä hetkellä noyb odottaa edelleen ensimmäisiä päätöksiä elokuussa 2021 jätetyissä valituksissa, vaikka monissa tapauksissa on edistytty huomattavasti. Euroopan tietosuojaneuvosto (EDPB) on käynnistänyt työryhmän koordinoimaan tietosuojaviranomaisten toimintaa näissä tapauksissa, joten voimme toivoa koordinoitua lähestymistapaa
Menetelmä
- 24.3.2021 mennessä tutkittiin 3 672 verkkosivustoa, jotka käyttivät Onetrustia CMP:nä ja joilla oli GDPR:n rikkomuksia
- Tämä skannaus toimi pohjana kahdelle valitusaallolle, joissa tutkittiin vain eniten vierailtuja verkkosivustoja aluetunnuksen mukaan. Lisäksi valituksia tehtiin myös 20:stä korkealle sijoittuneesta sivustosta riippumatta käytetystä CMP:stä. Kaikki nämä saivat aluksi valitusluonnoksen ja 60 päivää aikaa muuttaa asetuksia. Jos banneria ei muutettu lain mukaisesti, noyb teki virallisen kantelun
- 4.10.2022 skannaus toistettiin samalla periaatteella. Prosessissa löydettiin 2137 verkkosivua. sekä ensimmäisessä että toisessa skannauksessa oli edustettuna 1 631 sivua, joten niitä käytetään tässä vertailussa. Koska joitakin verkkosivuja ei enää ole olemassa, ne käyttävät eri CMP-palveluntarjoajaa tai eri OneTrust-versiota, jota ohjelmistomme ei pysty havaitsemaan, määrä on pienentynyt.