Vaativatko ostoskorikeksit suostumuksen?

Tekniset perusteet

Ostoskori-keksit otetaan käyttöön, kun käyttäjä lisää tuotteita verkkokaupan ostoskoriin. Tämä mahdollistaa käyttäjän tunnistamisen istuntojen välillä palvelimen tai verkkokaupan toimesta.

Ilman tunnistusmahdollisuutta verkkokauppa ei voisi enää yhdistää ostoskoria käyttäjään, jos käyttäjä sulkee selaimensa ostoskorin täyttämisen jälkeen ennen oston viimeistelyä tai jos istunto päättyy muista syistä (esim. aikakatkaisu käyttäjän pitkän passiivisuuden vuoksi).

Siksi palvelin tai verkkokauppa tallentaa käyttäjän päätelaitteelle evästeen, joka tunnistaa käyttäjän. Näin verkkokauppa voi käyttäjän vieraillessa verkkokaupassa lukea evästeen ja selvittää, onko käyttäjällä jo lunastamaton ostoskori, ja hakea ostoskorin sisällön uudelleen tietokannasta.

Tallentamalla ostoskorikeksin käyttäjän päätelaitteelle ja myöhemmin lukemalla ostoskorikeksin palvelimen / verkkokaupan toimesta, verkkokauppa voi siis tunnistaa käyttäjän istunnon päättymisen jälkeen ja yhdistää ostoskorin sisällön käyttäjään.

Tekninen välttämättömyys / Suostumus

On kohtuullista olettaa, että käyttäjä odottaa toimivaa ostoskoriratkaisua ja että ostoskorin sisältö ei katoa pelkästään selaimen sulkemisen tai pitkän passiivisuuden vuoksi. Kuka haluaa etsiä kaikki tuotteet uudelleen vain siksi, että välissä soitettiin puhelu tai tehtiin hintavertailu muissa kaupoissa?

Näin ollen ostoskorikeksit luokiteltaisiin direktiivin 2002/58/EY 5 artiklan 3 kohdan (tai Itävallassa TKG:n 96 §:n 3 momentin) mukaisesti kekseiksi, jotka ovat ehdottoman välttämättömiä käyttäjän nimenomaisesti pyytämän palvelun tarjoamiseksi.

Näin ollos ostoskorikeksien tallentamiseen ja lukemiseen ei tarvittaisi suostumusta.

Käsittelytoimenpide ”Ostoskori”

Ostoskorikeksin asettaminen ei kuitenkaan ole itsenäinen käsittelytoimenpide, vaan ainoastaan osa sopimusta edeltävää käsittelytoimenpidettä ”Ostoskori”. Ostoskori on sopimusta edeltävä käsittelytoimenpide, joka käynnistyy, kun käyttäjä lisää tuotteita ostoskoriin. Käsittelytoimenpide ”Ostoskori” on siten GDPR:n 6 artiklan 1 kohdan b alakohdan mukaisesti tarpeen sopimusta edeltävien toimenpiteiden toteuttamiseksi, jotka tehdään rekisteröidyn pyynnöstä.

Näin ollen koko sopimusta edeltävään käsittelytoimenpiteeseen ”Ostoskori” ei tarvittaisi suostumusta.

Lainmukainen toteutus

Tähän asti kaikki hyvin. Kuten usein, myös ostoskorin kohdalla oikea toteutus on kuitenkin ratkaisevaa.

Istuntokeksit

Täysin ongelmattomia olisivat istuntokeksit, eli keksit, jotka poistetaan istunnon päättyessä selaimen ikkunan sulkemisen yhteydessä. Ostoskorin sisältö saattaisi silloin olla edelleen tietokannassa, mutta sitä ei voitaisi enää yhdistää käyttäjään vastaavan ostoskorikeksin puuttuessa.

Istuntokeksit eivät kuitenkaan ole optimaalisia ostoskoriratkaisuille. Asiakkaat lisäävät usein tuotteita ostoskoriin, mutta eivät osta heti eri syistä. Jos asiakas kuitenkin sulkee selainikkunan tehdäkseen lisähintavertailuja ennen ostoa tai harkitakseen asiaa vielä, istuntokeksin tapauksessa ostoskorin sisältö katoaisi sivun uudelleen avaamisen yhteydessä.

Tämä ei ole optimaalista verkkokaupan ylläpitäjälle, koska se laskisi merkittävästi oston viimeistelyprosenttia, eikä myöskään järkevää asiakkaille, koska heidän pitäisi etsiä tuotteensa uudelleen.

Pysyvät keksit

Siksi ostoskorissa käytetään pysyviä keksejä, eli keksejä, jotka säilyvät istunnon päättymisen jälkeen. Tarkkaan ottaen termi pysyvä on epätarkka, koska myös pysyvät ostoskorikeksit vanhenevat. Tarkka vanhenemisaika määritellään keksin Expiry- tai Max-Age-attribuutilla.

Lainmukainen vanhenemispäivä

Teoreettisesti ostoskorikeksi voitaisiin suunnitella niin, että se vanhenee vasta 10 vuoden kuluttua. Tämä ei kuitenkaan olisi teknisesti tarpeen järkevän ostoskoriratkaisun tarkoituksen saavuttamiseksi, koska se on aivan liian pitkä aika. Kukaan asiakas ei palaa 10 vuoden kuluttua sanomaan: ”no niin, tänään ostan tämän”. Siksi näin pitkä vanhenemisaika olisi teknisen välttämättömyyden puuttuessa sallittu vain asiakkaan suostumuksella. Koska näin pitkä vanhenemisaika on kuitenkin joka tapauksessa järjetön, suostumuksen hankkiminen ei tietenkään ole vaihtoehto.

Oikeaoppisesti ostoskorikeksin vanhenemispäivä on mukautettava todellisiin asiakastarpeisiin. Tämä on helppoa, jos voidaan hyödyntää kokemuksia tai lukea tarvittavat tiedot verkkotilastoista. Täydellinen vanhenemispäivä asetetaan niin, että suurin osa asiakkaista, jotka palaavat myöhemmin ostamaan, löytävät edelleen täyden ostoskorin.

Ongelmatonta on luultavasti 7–14 päivää. Kaikki pidempi aika tulisi pystyä perustelemaan hyvin tilastojen avulla. Eksoottisia poikkeuksia, kuten ”meillä oli kerran joku, joka palasi viikkoja myöhemmin ja osti”, ei pidä ottaa huomioon vanhenemispäivää määritettäessä.

Suostumusta ei tarvita

Jos vanhenemispäivä on järkevästi määritetty, sitä pidetään teknisesti välttämättömänä, jotta asiakkaan toivoma ostoskoritoiminto voidaan tarjota. Tämän vuoksi tässä tapauksessa ei tarvita asiakkaan suostumusta evästeen tallentamiseen ja lukemiseen.