Google evästeet pähkinänkuoressa ovat pieniä tekstitiedostoja, joita verkkosivut tallentavat laitteelle selaamisen aikana. Ensimmäisen osapuolen evästeet tulevat suoraan siltä verkkosivustolta, jolla käydään.
Tuolloin, vain se sivusto voi ne lukea. Verkkosivustot saattavat käyttää myös ulkopuolisia, kolmannen osapuolen evästeitä. Ne eivät suinkaan ole vaarallisia ja ne usein voidaankin poistaa laitteelta.
Evästeet tallentavat kuitenkin runsaasti dataa, jotka riittävät tunnistamaan henkilöitä ilman suostumusta. Evästeet ovat täten siis ensisijaisia välineitä, joilla mainostajat seuraavat ja analysoivat verkkotoimintaa, jotta kohdennettua mainontaa voidaan harrastaa tehokkaamin.
Koska evästeet sisältävät suuria määriä henkilötietoja koskevaa dataa, tähän sovelletaan EU:n yleistä tietosuoja-asetusta (GDPR) sekä sähköisen viestinnän tietosuojadirektiiviä (EPD).
Evästeet voidaan luokitella kolmella eri tavalla: käyttötarkoitukseen, alkuperään sekä niiden säilyvyyteen. On myös evästeitä, jotka eivät tipahda tähän luokitukseen tai sopivat useampaan luokkaan. Käyttötarkoituksen mukaan luokiteltuna, tällaiset evästeet ovat välttämättömiä verkkosivujen selaamiseksi ja niiden ominaisuuksien käyttämiseksi.
Tällöin suostumusta ei tarvita, mutta on kuitenkin tarpeen selittää selkällä ja ymmärrettävällä kielellä, mitä evästeillä tehdään ja miksi. Evästeiden kesto laitteella voivat perustua istuntoon taikka ne voivat olla pysyviä. Istutoon perustuvat evästeet ovat tilapäisiä ja vanhenevat, kunnes selain on suljettu, kun taas pysyvät evästeet ovat kovalelyvvä siihen saakka kunnes ne poistetaan manuaalisesti tai ne vanhenevat itse.
Alkuperä viittaa siihen, että ovatko evästeet ensimmäisen tai ulkopuolisen osapuolen. Ensimmäisen osapuolen evästeet laitteeseen sijoittaa suoraan verkkosivusto itse. Kolmannen osapuolen evästeet laitteeseen sijoittavat mainostajat ja analyysijärjestelmät.
GDPR on kattavin tietosuojalainsäädäntö, jota on sovellettu 25. toukokuuta 2018 alkaen kaikissa EU jäsenvaltioissa. Asetuksen tavoitteena on yhdenmukaistaa tietosuojalainsäädäntö koko EU:ssa. Kuitenkin, ainoa viittaus evästeisiin esiintyy vain GDPR:n johdanto-osassa.
Sen mukaan evästeet, joita käytetään käyttäjien tunnistamiseen, joutuvat soveltamaan GDPR:n määräyksiä. Toisin sanoen, yritykset voivat käsitellä henkilötietoja niin kauan kuin ne saavat siihen käyttäjän suostumuksen taikka siihen on jokin muutoin lakiin perustuva syy.
EPD pantiin täytäntöön vuonna 2002. Sen tarkoituksena oli parantaa puutteita, jotka liittyivät sähköisen viestinnän luottamuksellisuuteen. Vaikka yli 20-vuotta vanha direktiivi, se toimii täydentävänä lainsäädäntönä GDPR:n rinnalla. Joissakin tapauksisa EPD voi jopa syrjäyttää GDPR:n.
Direktiivin mahdollinen korvaaja, sähköisen viestinnän tietosuoja-asetus (EPR), perustuu kyseiseen direktiiviin, mutta sen soveltamisalaa laajennetaan. EPR oli tarkoitus hyväksyä samaan aikaan GDPR:n voimaantulon kanssa, mutta EU on jäänyt pahasti tässä jälkeen.
EPR:n odotetaan valmistuvan vuonna 2024, vaikka vielä ei ole tarkempaa käsitystä siitä, milloin se otettaisiin käyttöön. Lain tarkoitus olisi luoda vankemmat suojat mahdollisesti uusille viestintämenetelmille.
Evästeitä koskevan lainsäädännön noudattamiseksi on lähes elintärkeää saada käyttäjältä suostumus ennen evästeiden irtilaskemista verkkosivustolle. Poikkeuksen luovat ensimmäisen osapuolen evästeet, jotka ovat ehdottoman välttämättömiä verkkosivun toimivuuden kannalta.
Ennen suostumuksen vastaanottamista, on olennaista antaa täsmälliset tiedot evästeen keräämästä datasta sekä tarkoitusperistä selkokielellä.
Käyttäjien tulisi voida käyttää verkkosivustoja ja -palveluita mahdollisesti myös ilman pakollisten evästeiden hyväksymistä. Evästeistä kieltäytyminen palvelun käyttämiseksi ei myöskään ole linjassa GDPR:n ja EPD:n kanssa. Mikäli käyttäjä päättää peruuttaa evästeitä koskevan suostumuksensa, prosessin olisi oltava yksinkertainen.
Tammikuun 4. päivänä vuonna 2024, Google aloitti uusien yksityisyysominaisuuksiensa testaamisen samalla lopettaen ulkopuolisen osapuolen evästeiden käytön 1 prosentilta käyttäjistään Chrome -selaimessa.
Google siirtyi Safarin ja Mozilla Firefoxin joukkoon luopumalla tällaisista seurantatekniikoista. Chromella on tällä hetkellä merkittävä enemmistö selainmarkkinoista maailmanlaajuisesti ja Google aikookin lopettaa kokonaan kolmansien osapuolten seurantaevästeiden käytön käyttäjiensä osalta. Määräaikaa on tosin lykätty.
Ulkopuolisen osapuolen evästeet eivät palvele vain verkkosivustoa, jolle ne on sijoitettu, vaan myös niiden tarjoajia. Mainosteollisuus hyvin pitkälti pyörii massatietojen keräämisen, profiloinnin ja reaaliaikaisen tarjoamisen ympärillä. Vastineeksi verkkosivustojen optimointipalveluista monet ulkopuolisen osapuolen evästeet keräävät valtavia määriä henkilötietoja käyttäjistä, joskus jopa ilman heidän suostumustaan tai edes tietämättään.
Tällaisia tietoja lähetetään, kaupataan ja myydään digitaalisilla markkinoilla. Ongelma itsessään ei ole kerättyjen tietojen määrässä tai niiden arkaluonteisuudessa vaan siinä, että näitä tietoja käsitellään käyttäjien laajojen profiilien luomiseksi. Googlen aloite kolmansien osapuolten evästeiden poistamiseksi Chromesta on luonnollisesti saanut osakseen vastustusta mainosalalta.
Googlen päätös poistaa Chromen kolmannen osapuolen evästeet on osa laajempaa aloitetta nimeltä ”Privacy Sandbox”, joka käynnistettiin elokuussa 2019. Aloite on vaihtoehto kaikenlaiselle sivustojen ja sovellusten väliselle seurannalle, ja se toimii samalla tavalla kuin kolmannen osapuolen evästeet.
Kolmannen osapuolen evästeiden hävitessä ei tarkoita sitä, että tarve saada käyttäjän suostumus päättyisi. Suostumus on edelleen keskeinen vaatimus monissa maailman tietosuojalaiessa. Kolmannen osapuolen evästeiden käytön lopettaminen ei myöskään merkitse käyttäjien seurannan loppumista, sillä seurantatekniikoita voidaan myös sisällyttää verkkosivustoilla ja sovelluksissa käytettäviin palveluihin monilla muilla eri tavoin.
Googlen The Privacy Sandbox -ratkaisu mainosten kohdentamiseen on ”Topics”-sovellusliittymä (API), joka luo tunnistettavia kategorioita, jotka selain päättelee käyttäjien käymien sivujen perusteella. Topicsin avulla käyttäjän yksittäisiä vierailtuja sivustoja ei enää jaeta verkossa, kuten kolmansien osapuolten evästeiden avulla on tehty.
Toinen Privacy Sandbox -ratkaisu on ”Protected Audience” -sovellusliittymä, joka on suunniteltu palvelemaan uudelleenmarkkinointia ja mukautettuja yleisöjä ilman, että kolmannet osapuolet voivat seurata käyttäjän verkkokäyttäytymistä eri sivustoilla. Se mahdollistaa selaimen laitteessa tapahtuvat toiminnot, joiden avulla käyttäjä voi valita relevantteja mainoksia verkkosivustoilta, joilla hän on aiemmin vieraillut.
Lisäksi yksi markkinoijien suurimmista peloista ulkopuolisen osapuolen datan loppumisen ja yksityisyyden suojaa suosivaan teknologiaan siirtymisen lisäksi on yksityiskohtaisten ja tarkkojen mainosmittausten väheneminen.
Privacy Sandbox vastaa tähän huoleen ”Attribution Reporting” API:lla, jonka avulla mainostajat voivat sijoittaa relevantteja mainoksia ja analysoida niiden tehokkuutta ilman kolmannen osapuolen evästeitä ja varmistaa yksityisyyden suojaa estämällä käyttäjien ristikkäisen sivustoseurannan.
Evästeetön maailma on melkein täällä, ja mainostajat vapisevat tossuissaan. Tiettyjen takaiskujen ja niistä toipumisen jälkeen mainostajat saattavat kuitenkin harkita ensimmäisen osapuolen datan hyödyntämistä. Tällaiset tiedot (sähköpostiosoitteet, ostohistoria jne.) ovat uskottavampia ja sisällöltään runsaampia, sillä käyttäjät antavat ne usein vapaaehtoisesti ja niitä voidaan seurata ilman seurantalaitteita.
Parantaakseen ensimmäisen osapuolen tietokantaa, markkinoijat voivat tarjota uutiskirjeen tilausta, käynnistää kanta-asiakasohjelmia, analysoida asiakaspalautetta tai luoda kyselyitä ja tietokilpailuja. Tällaisen yksinomaisen pääsyn saaminen ensimmäisen osapuolen tietoihin merkitsee selvää kilpailuetua.
EU:n yleistä tietosuoja-asetusta ja EPD:tä sovelletaan kuitenkin EU:ssa käsiteltäviin tietoihin. Samat henkilötietojen käsittelyä koskevat periaatteet säilyvät vielä pitkään sen jälkeen, kun ulkopuolisen osapuolen evästeet ovat poissa.
Kolmannen osapuolen evästeet ovat toimittaneet dataa ja yksityisyyden suojaa loukkaavia tietoja lähes biljoonan dollarin arvoiselle AdTech-teollisuudelle, joka on jo vuosia tukeutunut käyttäjien verkkokäyttäytymisen ennustamisessa ja reaaliaikaisissa huutokaupoissa. Nämä ovat muodostaneet mekanismin, jolla personoidut mainokset saatetaan verkkokäyttäjille.