Seuranta ennen suostumusta: mitä se on ja miksi valvojat pitävät sitä rikkomuksena

Seuranta ennen suostumusta on havaintojen luokka skannerissamme. Se laukeaa, kun selain lähettää sivun raikkaan latauksen alkamisen ja sen hetken välillä, jolloin käyttäjä ryhtyy mihinkään toimeen suostumusbannerissa, yhden tai useamman verkkopyynnön, joka kantaa tunnisteita, sisältää ei-välttämättömiä analytiikkadataa tai asettaa ei-välttämättömiä evästeitä.

Tämä on yleisin havaitsemamme puute. Skannauksessamme 97 000 EU-verkkosivustosta valtaosa korkean riskin luokituksista johtui suostumusta edeltävästä seurannasta, ei puuttuvista bannereista tai rikkinäisistä hylkäyspainikkeista.

Mitä skanneri etsii

Tunnistin tarkkailee verkkoa siitä hetkestä lähtien, kun selain lähettää dokumenttipyynnön, kunnes yksi kolmesta tapahtumasta sattuu:

1. Käyttäjä napsauttaa suostumusbannerin painiketta (hyväksy, hylkää, asetukset).
2. Mitattava suostumustilan eväste tai localStorage-merkintä kirjoitetaan.
3. Aikakatkaisu kuluu (oletuksena 8 sekuntia) ilman mitään suostumussignaalia.

Jokainen tässä ikkunassa lähetetty pyyntö tutkitaan kolmen signaalin osalta:

• Tunnettu seurantapalvelun sormenjälki. Kohdedomeeni, pyynnön polku tai datakuvio vastaa merkintää seurantapalvelutietokannassamme. Tähän kuuluvat Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, X:n konversiopikselit ja monia muita.
• Tunnistetta sisältävä data. Pyyntö kantaa pysyvää asiakastunnistetta (eväste, sormenjälkitiiviste tai kyselyparametri, joka säilyy sivujen välillä).
• Ei-välttämättömän evästeen kirjoittaminen. Vastaus asettaa evästeen, joka luokittelun mukaan ei ole ehdottoman välttämätön sivuston toiminnalle.

Mikä tahansa näistä riittää havainnon laukaisemiseen. Kaikki kolme yhdessä ovat tyypillinen kuvio Google Tag Manager -säiliölle, joka laukeaa ennen suostumusporttia.

Oikeudellinen kehys lyhyesti

Emme ole asianajajasi. Pelkät tosiseikat:

• GDPR Art. 6(1)(a) vaatii pätevän käsittelyperusteen henkilötietojen käsittelylle. Ei-välttämättömien seurainten kohdalla tämä on suostumus.
• GDPR Art. 7 asettaa standardin sille, miltä pätevä suostumus näyttää: vapaaehtoisesti annettu, yksilöity, tietoinen, yksiselitteinen ja peruutettavissa.
• ePrivacy Directive Art. 5(3) vaatii nimenomaisesti suostumusta ennen tietojen tallentamista käyttäjän päätelaitteelle tai niihin pääsyä — eli ennen evästeiden ja vastaavien tunnisteiden lukemista tai kirjoittamista. Se, ylittääkö tietty suostumusta edeltävä verkkopyyntö rikkomuksen rajan, riippuu siitä, lukeeko se tai kirjoittaako se tietoja laitteelle, kantaako se tunnisteita ja voidaanko se perustella "ehdottoman välttämättömänä" — nämä ovat kysymyksiä, joita valvojat ovat punninneet.

Kansalliset toimeenpanot eroavat yksityiskohdiltaan. Saksan TTDSG (nyt TDDDG) ja Ranskan toimeenpano Loi Informatique et Libertés -lain kautta, jonka CNIL panee täytäntöön, ovat tuottaneet näkyvimmän valvonnan. DPAs ympäri EU:ta ovat varoittaneet suostumusta edeltävän seurannan kuvioista; tarkat valvontakynnykset vaihtelevat lainkäyttöalueittain. Taustalla oleva periaate on kaikkialla sama: ensin suostumus, sitten seurain.

Mitä valvojat ovat oikeasti tehneet

Lyhyt, osittainen aikajana päätöksistä, joissa suostumusta edeltävä seuranta oli keskeinen havainto:

• CNIL v. Google (joulukuu 2020): 100 miljoonaa EUR mainosevästeiden asettamisesta google.fr-sivustolle ilman ennakkosuostumusta.
• CNIL v. Amazon Europe Core (joulukuu 2020): 35 miljoonaa EUR samasta kuviosta amazon.fr-sivustolla.

Nämä eivät ole ainoita tapauksia — ne ovat kantavia. Kuvio kaikissa on johdonmukainen: valvoja mittasi verkkokäyttäytymistä ja kohteli teknistä todellisuutta ratkaisevana, riippumatta tietosuojaselosteen tekstistä.

Skriptit, jotka useimmin aiheuttavat sen

Karkeasti siinä järjestyksessä, kuinka usein näemme ne pääsyynä korkean riskin skannauksessa:

• Google Tag Manager -säiliöt, jotka on konfiguroitu ilman consent-mode-portitusta, tai joissa consent mode on määritetty väärin niin, että oletustila on "granted".
• Meta Pixel, joka ladataan suoraan <script src> -tagilla sen sijaan, että se olisi suostumustakaisinkutsun takana.
• Hotjar-istuntotallennus, joka aloitetaan ennen kuin banneri on suljettu.
• LinkedIn Insight B2B-uudelleenkohdennukseen, erityisesti toimisto- ja SaaS-sivustoilla.
• TikTok Pixel kuluttajaverkkokaupassa.
• Ensimmäisen osapuolen analytiikkatoteutukset, jotka lukevat navigator-ominaisuuksia tai asettavat sormenjälkievästeitä ennen mitään käyttäjän toimea.

Yhteinen tekijä ei ole melkein koskaan itse skripti — se on käyttöönotto. Jokainen näistä toimittajista julkaisee dokumentoidun tavan portittaa laukaisu suostumussignaaliin; oletusasennusohjeet eivät kuitenkaan usein mainitse sitä.

Miltä puhdas skannaus näyttää

Sivusto, joka läpäisee suostumusta edeltävän tarkistuksemme, tekee jonkin seuraavista:

1. Ei lataa lainkaan kolmannen osapuolen seurantaa, ennen kuin suostumus on annettu. Toiminnalliset evästeet (istunto, kieliasetus, CSRF) ovat kunnossa.
2. Lataa tag managerin "denied"-tilassa, jossa kaikki ei-välttämättömät tagit ovat eksplisiittisten suostumussignaalien takana, ja päivittää tilan Google Consent Mode v2:n tai vastaavan mekanismin kautta käyttäjän toimittua.
3. Lataa seurantatynkiä, jotka eivät lähetä tunnisteita, ennen kuin suostumuslippu on asetettu.

Vuoden 2026 Q1 -korpuksessamme, jossa oli 97 000 EU-sivustoa, 68 %:lla oli seurantapalvelu aktiivinen ennen mitään suostumuspäätöstä. Vähemmistöllä sivustoista, jotka läpäisevät suostumusta edeltävän tarkistuksen, on yhteinen profiili: verkkoa suostumusta edeltävässä ikkunassa hallitsee itse dokumentti, CSS- ja fonttitiedostot sekä favicon — mikään, mikä kantaisi tunnistetta laitteen ulkopuolelle.

Miten korjata se

Rehellinen versio: oikotietä ei ole. Jokainen tagi on tarkistettava sen suhteen, laukeaako se ennen kuin suostumussignaali on asetettu. Käytännössä toimivat askeleet:

1. Avaa sivusto puhtaassa selainprofiilissa kehittäjätyökalut auki.
2. Suodata verkko "kolmas osapuoli" -näkymään ja lataa sivu uudelleen.
3. Kaikki, mikä laukeaa ennen kuin napsautat bannerin painiketta, on ehdokas.
4. Etsi jokaiselle ehdokkaalle latain (yleensä script-tagi, tag managerin laukaisin tai inline-katkelma) ja portita se suostumussignaaliin.
5. Testaa uudelleen. Toista, kunnes suostumusta edeltävä ikkuna on tyhjä seuraimista.

Jos käytät suostumustenhallinta-alustaa, alustan "estä suostumukseen asti" -tila on välttämätön mutta ei riittävä — monet CMP:t estävät vain evästeen kirjoittamisen, eivät pyyntöä. Article 5(3) ePrivacy Directive -direktiivissä vaatii suostumusta ennen tietojen tallentamista käyttäjän laitteelle tai niihin pääsyä (evästeet, paikallinen tallennustila, vastaavat tunnisteet). Se, laukaiseeko tietty suostumusta edeltävä verkkopyyntö tämän velvoitteen, riippuu siitä, mitä pyyntö lukee laitteelta tai kirjoittaa siihen — tämä on tosiseikkoihin sidottu kysymys.

Saadaksesi käsitellyn esimerkin omasta verkkotunnuksestasi, aja skannaus ja katso raportin "suostumusta edeltävä verkko" -paneelia. Jokainen rikkova pyyntö on lueteltu sen alullepanopinon (initiator stack) kanssa, joten voit jäljittää sen koodikantasi lähdetiedostoon.