Google Analytics lisas selle aasta märtsis oma seadetesse juurde uued nõusoleku seaded- lahenduse, mis peab kodulehe külastajalt nõusolekut küsima, kas ta on nõus jagama oma andmeid veevbistatistika kogumiseks. Kuna see “Consent settings” (eesti keeles “Nõusoleku seaded”) kohustab lisama veebilehele mõne Google´i poolt sobivaks tunnistatud küpsiste mooduli, tuleb oma veebi natuke seadistada.

Veebiagentuuri 1001.ee juht Erkki Meidla soovitab, mida peaks Google Analyticsis seadistama ja kuidas oma koduleht uutele nõuetele vastavaks seada.

Loe täpsemalt Google´i Nõusoleku seadete kohta siit. 

Praeguseks on näha, et vaid vähesed veebilehed on seadistanud oma kodulehe analüütika korrektselt ning vastavalt Andmekaitse Inspektsiooni (edaspidi AKI) ja Euroopa Kohtu otsusele.

AKI käest konkreetselt küsides saime vastuseks, milliseid küpsiseid tohib vaikimisi alla laadida ja milliseid mitte.

AKI jurist-konsultant Liina Kroonberg vastas, mis on lubatud ja mis mitte. Tema sõnul on Euroopa Komisjoni direktiivis ette nähtud, et küpsiste kasutamiseks peab olema isiku eelnev nõusolek, älja arvatud juhul, kui andmete tehnilise salvestamise ja juurdepääsu ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik infoühiskonna teenuse osutamiseks.

Hädavajalikud küpsised on näiteks kasutaja sessiooni-, keele-eelistuse või autentimise jaoks. Need küpsised otseselt ei mõõda midagi, vaid toetavad veebilehe põhifunktsioone.

Nõusoleku kohustust (küpsistele, mis vajavad nõusolekut) on kinnitanud ka Euroopa Kohus 01.10.2019 asjas number C-673/171 . Euroopa Kohus on otsuses rõhutanud, et nõusolek kolmandate osapoolte küpsiste kasutamiseks tuleb võtta sõltumata sellest, kas tegemist on isikuandmetega või mitte.

Sellest tulenevalt on hea meeles pidada, et kodulehele lihtsalt “mooduli lisamine” ei paranda seda, mis on ette kirjutatud Euroopa Liidu seadustes. Kui paneme kodulehele küpsiste info, kas siis on asi korras? Paraku paljudel juhtudel pole see nii lihtne, kui esialgu paistab.

Toon kaks näidet, mis on minu arvates valesti ja selgitan täpsemalt lahti, miks need nii on.

Peidan ära privaatsuse osas kõik viited kahele ettevõttele, kellest jutt käib. Kuna ei soovi pahuksisse minna. Mõistan, et teema on natukene delikaatne ja näpuga näitamine pole hetkel kõige parem lahendus.

Eelnevalt võis lugeda, et igasuguse analüütilise sisuga küpsised peavad olema vaikimisi keelatud. Kuid kahel (tegelikult enamikel veebilehtedel) on lubatud kõik just analüütilised küpsised eelnevalt külastajalt luba küsimata. 

Google Analytics kogub järgmisi andmeid:

• Kasutaja seadmed, mida külastajad kasutavad (näiteks arvuti, nutitelefon, tahvelarvuti);
• Veebilehitseja (näiteks Chrome ja Safari) ja operatsioonisüsteemi andmed (Linux, IOS, Windows);
• Külastuse kestus ja sisulehtede vaatamiste arv;
• Külastuse (mitte)orgaanilisus – kas tuldud on Google´i otsingust või kirjutati brauserisse otse veebilehe aadress.

Hotjar on hea tööriist, mis võimaldab veebilehe omanikel jälgida ja analüüsida külastajate käitumist: 

• Kliki- ja liikumissoojuskaardid. Seal kogutakse kokku kõigi veebilehe külastajate liikumised veebilehel ning sellest loodakse iga lehe kohta kaart, kuhu inimesed klikivad, kui sügavale lehele nad kerivad jms. Loe lähemalt: www.hotjar.com/heatmaps/;
• Kasutajate tagasiside ja arvamused. Selle funktsiooni kirjutaks funktsionaalsuse alla ja seda ma lubaksin vaikimisi. Kuna see ei kogu midagi enne, kui ma kliendina ise annan tagasisidet;
• Külastaja sessiooni salvestused. Hotjaris on olemas funktsioon, mis võimaldab külastaja võtta (umbisikuliselt) lahti ja analüüsida tema käitumist. Erinevad sellise lahenduse pakkujad võimaldavad erinevat informatsiooni ja funktsionaalsust. Kuid olen näinud võimekust, kus näen taasesitatavas vormis arvutiekraanil hiire liikumist, pause, mis teksti kopeeritakse ja tekste mida inimene kirjutab (ja näiteks ei saada ära) kontaktvormi.
• Erinevad konversiooni määrad, mida keegi on seadistanud.

Mõistan, et kõik ettevõtted, kes soovivad, et nende klientide/külastajate informatsioon/andmed oleks privaatselt ja turvaliselt talletatud, aga külastajad tahavad, et nende andmetega ollakse ettevaatlikud ning kodulehel peaks mainima, et me teeme seda turvaliselt, kas siis oled nõus oma andmeid meile jätma?

Vaadates erinevaid veebilehti, olen jõudnud veendumisele, et korrektselt seadistatud kodulehti on praegu olemas üsna minimaalselt. Kui riigil pole tänaseks arusaama, kuidas teatud protsessid peaksid olema, siis kuidas me saame küsida seda eraettevõtetelt, kui Riigile kuuluvatel lehtedel on kõik valesti?

Näiteks kui on näha paljudel lehtedel vananenud Google Analyticsi koode, topelt ja erinevaid Google Analyticsi kontosid (siinkohal mõtlen unikaalseid ga_ / g tääge), siis kuidas saaks ka küpsiste asjad korras olla? 

Igal inimesel on võimalik ise vaadata, kas ja millised küpsiseid tema veebilehele jõudes alla laetakse. Ava selleks (Chrome´i) veebileht, vajuta sellel paremat hiireklahvi ja ava “Inspect” -> liigu edasi “Applications” sektsiooni -> “Cookies” -> ava domeeni link.

Lisaks on AKI toonud välja järgneva olulise info, millega ma üldiselt nõustun, kuid samas leidub ka aspekte, millega ei tahaks nõustuda.

Nimelt nõusoleku bänner peaks sisaldama kolme võimalust:

• kasutaja saab korraga nõustuda kõigi küpsistega (st nii vajalikud kui mittevajalikud),
• kasutaja saab keelduda küpsistest (st rakenduvad ainult vajalikud küpsised)
• kasutaja saab täiendavalt hallata, millised mittevajalikud küpsised ta lubab. Näiteks ei soovi kasutaja reklaamküpsiseid, kuid statistika (analüütika) küpsistega on nõus.

Minu arvates ei pea nõusoleku bänner sisaldama kolme võimalust. Leian, et inimesed ei loe ja üldiselt ei saa aru, mida see kõik tähendab, kuna enamus teksti on seal raskelt kirjutatud. Enamus tekstid on ju sellise nõusoleku küsimise juures juriidilised ja väga pikad. Minu arvates on tähtis see, et kui ma ütlen, et me ei tee nii, siis me ka ei tee nii. Ülejäänud juhud on juba kaine mõistusega hallatavad. 

Hetkel on üks suurimaid murekohti, mis annab mõtteainet see, et vaadates Google Analyticsi nimekirjast ridu 8-12, on võimalik ideaalselt välja selekteerida seadmed, millega kodulehte on külastatud. Ehk kui kodulehte külastatakse vähem levinud seadmetega, on võimalik analüüsida väga väikse segmendi käitumist, mis otseselt pole õige. Meil peaks olema luba, et sellist analüüsi teha, kuna see mõjutab konkreetselt seda, kuidas käesolevad kliendid kodulehte näevad.

Andmekaitse ja infoturve on täna nii suur ja sügav teema, et inimene, kes on just loonud veebilehe, ei oska isegi mõelda sellele, et ta tegevus võib olla teatud mõttes ebaseaduslik. Kogu selle teema juures on nii palju arvamusi, ettevõtteid ja artikleid, et neid siia kokku koguda pole võimalik.

Soovitan sel puhul seda, mida olen varemgi soovitanud:

1. Ära kogu seda infot, mida sul pole vaja, kui sa ei oska Google Analyticsis analüüsida, kas see info peab olema kodulehelt kogutud;
2. Ära küsi näiteks meiliturunduses inimese nime, kui sa seda ei kasuta. Kui sul mingi hetk on vaja kasutada nime, on sul seda võimalik uuesti küsida ja teha ka uuenduskuur oma listile. Koos nime küsimisega saad uuesti pärida, kas inimene soovib ikka meililistis edasi olla. Google´i hea tava ütleb, et küsi korra teatud perioodi jooksul, kas soovid ikka listis edasi olla;
3. Ära kogu endale suurt ega väikest andmekogu paljude erinevate väljadega, kui sul sellega midagi teha pole. Kõik võtab ruumi ja lõpuks pole see ka roheline käitumine. Kõik võtab ruumi, mahtu, elektrit;
4. Igaühe privaatsuse austamine on tähtsam. Sa pole Google ja sa kunagi ei saa selleks. Google´il on täna (olen veendunud) üks suurimaid infokogusid inimeste kohta, et küpsised võiksid tänaseks üldse ära kaduda. Arvan, et see on aja küsimus, millal küpsised kaovad;
5. Usalduse kaotamine, mis on seotud just viimasel ajal lekkinud isikuandmetega on ohtlik turvarisk. Kõik seadmed on võrgus on häkitavad. Pole olemas süsteemi, mida pole võimalik kuidagi mõjutada. Seega kogu andmeid võimalikult vähe. 

Üks kasulikumaid blogisid, mis koondab kokku häkkimised ja sellega seotud asjad, leiab RIA lehelt: blog.ria.ee.

Küpsiste kogumine peaks põhinema kasutaja eelneval nõusolekul, välja arvatud hädavajalike ja funktsionaalsus küpsiste puhul. Rõhutan, et paljud veebilehed ei ole nõuetekohaselt seadistatud ja arvan, et erandid on need lehed, kus on korrektselt seadistanud küpsised. Soovitan ettevõtetel järgida selgeid juhiseid ja piirata andmete kogumist.

Artikkel ilmus algselt Veebimajutus.ee blogis.