Evästekäytäntö (Verlab)
Palvelu: verlab.fi Rekisterinpitäjä: SMTA Socials, Y-tunnus 3612172-8, Hernetie 4 C 87, 01300 Vantaa Sähköposti: oskari@someta.fi Päivitetty: 4.6.2026
Tämä evästekäytäntö kuvaa, miten Verlab-palvelussa (verlab.fi, jäljempänä "Palvelu") käytetään evästeitä ja muita vastaavia tekniikoita. Evästeiden käyttö perustuu lakiin sähköisen viestinnän palveluista (917/2014, "SVPL") 205 §:ään, joka panee täytäntöön sähköisen viestinnän tietosuojadirektiivin (ePrivacy-direktiivi 2002/58/EY). Siltä osin kuin evästeet käsittelevät henkilötietoja, sovelletaan lisäksi EU:n yleistä tietosuoja-asetusta (EU) 2016/679 ("tietosuoja-asetus") ja tietosuojalakia (1050/2018).
Evästeiden tallentamista ja lukemista valvoo Liikenne- ja viestintävirasto Traficom. Henkilötietojen käsittelyn lainmukaisuutta valvoo tietosuojavaltuutetun toimisto.
Palvelun täydelliset palveluntarjoaja- ja yhteystiedot (mukaan lukien kaupparekisteritunnus ja mahdollinen arvonlisäverotunnus) on julkaistu Palvelun käyttöehdoissa / oikeudellisessa ilmoituksessa SVPL:n 22 luvun (mm. 214–215 §) palveluntarjoajan tunnistamisvelvoitteiden mukaisesti. Tämä evästekäytäntö sisältää vain osittaiset tunnistetiedot; täydellinen tunnistus löytyy mainitusta asiakirjasta.
Tämä evästekäytäntö on osa palvelukokonaisuutta yhdessä tietosuojaselosteen ja käyttöehtojen kanssa. Suostumuksen pyytäminen ja toteuttaminen tapahtuu erillisellä suostumustyökalulla (evästebanneri) — pelkkä tämä asiakirja tai tietosuojaseloste ei muodosta evästesuostumusta.
1. Mitä evästeet ovat
Evästeet ("cookies") ovat pieniä tekstitiedostoja, jotka verkkosivusto tallentaa käyttäjän selaimeen tai päätelaitteelle. Niiden avulla Palvelu voi muun muassa pitää käyttäjän kirjautuneena, muistaa asetuksia ja — suostumuksen perusteella — kerätä tilastotietoa Palvelun käytöstä.
Tässä käytännössä "evästeillä" tarkoitetaan myös muita vastaavia tekniikoita, jotka tallentavat tai lukevat tietoa päätelaitteella, kuten selaimen paikallista varastoa (localStorage, sessionStorage), seurantapikseleitä ja kolmansien osapuolten upotettuja komentosarjoja (skriptejä).
Evästeet voivat olla:
- kestoltaan: istuntokohtaisia (poistuvat selaimen sulkeutuessa) tai pysyviä (säilyvät määräajan); ja
- asettajan mukaan: ensimmäisen osapuolen evästeitä (Palvelun itsensä asettamia) tai kolmannen osapuolen evästeitä (muun toimijan, kuten palveluntarjoajan, asettamia).
2. Evästeiden luokat ja suostumussääntö
Evästeet jaetaan tässä käytännössä neljään luokkaan. Vain välttämättömät evästeet voidaan asettaa ilman suostumusta. Kaikki muut luokat (toiminnalliset, analytiikka ja markkinointi) ovat ei-välttämättömiä, ja ne edellyttävät SVPL 205 §:n ja tietosuoja-asetuksen mukaista ennakkosuostumusta.
| Luokka | Edellyttääkö suostumusta? | Kuvaus |
|---|---|---|
| Välttämättömät (välttämättömät) | Ei | Pakolliset Palvelun toiminnan ja tietoturvan kannalta: kirjautuminen ja istunnonhallinta, kuormantasaus, turvallisuus, kielivalinta sekä itse suostumusvalinnan tallentava eväste. Analytiikkaa, mainontaa tai vastaavaa seurantaa ei koskaan luokitella tähän luokkaan. |
| Toiminnalliset (toiminnalliset) | Kyllä | Parantavat käytettävyyttä ja muistavat valintoja, mutta eivät ole välttämättömiä. |
| Analytiikka / tilastointi (analytiikka) | Kyllä | Kerää tietoa Palvelun käytöstä ja kävijämääristä Palvelun kehittämiseksi. Analytiikka ei ole välttämätöntä eikä siihen sovelleta suostumusvapautusta. |
| Markkinointi (markkinointi) | Kyllä | Kohdennettu mainonta ja markkinoinnin mittaaminen. Verlab ei tällä hetkellä käytä markkinointievästeitä; luokka on varattu mahdollista myöhempää käyttöä varten ja aktivoidaan vasta suostumuksella. Niin kauan kuin markkinointievästeitä ei ole käytössä, bannerissa ei näytetä markkinointivalitsinta, joka ei tee mitään. |
Ennakkosuostumusta koskeva sääntö
Ennen ei-välttämättömän evästeen tai seurantatekniikan tallentamista tai lukemista Palvelu pyytää käyttäjältä vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen suostumuksen aktiivisella toimella (klikkaus). Tämä tarkoittaa, että:
- ei-välttämättömät evästeet ja kolmansien osapuolten skriptit (esim. analytiikka sekä mahdolliset markkinointipikselit) estetään skriptitasolla, kunnes suostumus on annettu (estä-ennen-suostumusta): kyseisiä skriptejä ei ladata eikä alusteta lainkaan ennen kuin niiden luokalle on annettu suostumus;
- valmiiksi rastitettuja ruutuja tai päälle kytkettyjä valintoja ei käytetä ei-välttämättömille luokille;
- pelkkä sivuston selaaminen, vierittäminen tai selaimen asetukset eivät muodosta suostumusta (vrt. apulaistietosuojavaltuutetun päätös 14.5.2020); ja
- suostumuksen epääminen on yhtä helppoa kuin sen antaminen: bannerin ensimmäisellä tasolla (samalla ensimmäisellä näkymällä) on yhtä näkyvät painikkeet "Hyväksy kaikki" ja "Hylkää kaikki", ja luokkakohtaiset valitsimet (toiminnalliset, analytiikka, markkinointi) ovat saavutettavissa jo bannerin ensimmäisellä tasolla — niitä ei ole piilotettu erillisen "Asetukset"-välitason taakse. Hylkääminen ei vaadi useampaa klikkausta kuin hyväksyminen.
Suostumuksen kirjaaminen ja osoitettavuus
Jokainen suostumusvalinta lokitetaan auditoitavasti suostumuksen osoittamiseksi tietosuoja-asetuksen 7 artiklan 1 kohdan mukaisesti. Lokiin tallennetaan vähintään hyväksytyt ja hylätyt evästeluokat, valinnan aikaleima sekä bannerin/käytännön versio. Tätä lokia käytetään osoittamaan, että suostumus on annettu lainmukaisesti.
Suostumuksen voimassaolo ja uudelleenpyytäminen
Tallennettu suostumusvalinta on voimassa määräajan, jonka jälkeen suostumus pyydetään uudelleen, jottei kerran annettua suostumusta käsitellä pysyvänä. Suostumus pyydetään uudelleen viimeistään 12 kuukauden kuluttua. Voit myös milloin tahansa muuttaa tai peruuttaa suostumuksesi (ks. kohta 3).
3. Miten annat ja PERUUTAT suostumuksen
Suostumuksen antaminen
Kun saavut Palveluun, näet evästebannerin, jossa voit jo ensimmäisellä näkymällä:
- hyväksyä kaikki ei-välttämättömät evästeet ("Hyväksy kaikki");
- hylätä kaikki ei-välttämättömät evästeet ("Hylkää kaikki"); tai
- valita luokkakohtaisesti, mitkä ei-välttämättömät luokat (toiminnalliset, analytiikka, markkinointi) sallit. Luokkakohtaiset valitsimet ovat saavutettavissa samalla ensimmäisellä bannerinäkymällä eikä niitä ole haudattu erillisen välitason taakse. Välttämättömät evästeet ovat aina käytössä eikä niitä voi kytkeä pois, koska Palvelu ei toimi ilman niitä.
Valintasi kirjataan ja lokitetaan (ks. kohta 2 "Suostumuksen kirjaaminen ja osoitettavuus"), jotta sitä ei kysytä joka käyntikerralla ja jotta voimme osoittaa suostumuksen lainmukaisuuden.
Suostumuksen peruuttaminen ja muuttaminen
Voit peruuttaa tai muuttaa suostumuksesi milloin tahansa, yhtä helposti kuin sen annoit (tietosuoja-asetus 7 artiklan 3 kohta). Avaa evästeasetukset:
- "Evästeasetukset"-linkistä Palvelun alatunnisteessa (footer) tai vastaavasta pysyvästä kuvakkeesta jokaisella sivulla.
Suostumuksen peruuttaminen ei vaikuta ennen peruutusta tehdyn käsittelyn lainmukaisuuteen, eikä peruuttamisesta aiheudu sinulle haittaa. Peruutuksen jälkeen kyseisen luokan evästeitä ei enää aseteta; jo asetetut evästeet voivat säilyä laitteellasi, kunnes ne vanhenevat tai poistat ne.
Evästeiden hallinta selaimessa
Voit myös hallita ja poistaa evästeitä selaimesi asetuksista. Huomaa, että kaikkien evästeiden estäminen selaimessa voi heikentää Palvelun toimivuutta (esim. estää kirjautumisen). Selaimen "Do Not Track" -asetus ei yksinään muodosta SVPL:n tarkoittamaa suostumusta tai sen peruutusta.
Saavutettavuus
Evästebanneri ja evästeasetukset on tarkoitettu toteutettaviksi näppäimistöllä käytettäviksi ja saavutettaviksi, mukaan lukien mahdollisuus hylätä kaikki ei-välttämättömät evästeet näppäimistöllä. Tavoitteena on WCAG 2.1 AA -tason mukaisuus. Palvelun saavutettavuudesta kerrotaan tarkemmin saavutettavuusselosteessa.
4. Käytettävät evästeet (esimerkkitaulukko)
Alla on edustava luettelo Palvelussa käytettävistä evästeistä ja vastaavista tekniikoista. Luettelo päivitetään vastaamaan käytössä olevia tekniikoita.
4.1 Välttämättömät evästeet (ei suostumusta)
| Eväste / tekniikka | Asettaja | Tarkoitus | Tyyppi | Kesto (säilytysaika) |
|---|---|---|---|---|
sb-<projekti>-auth-token (Supabase Auth -istuntoeväste; voi olla pilkottu useaan evästeeseen, esim. ...-auth-token.0 / .1) | Ensimmäinen osapuoli (Supabase, käytetään @supabase/ssr-kirjastolla) | Kirjautuneen käyttäjän istunnon ja autentikoinnin ylläpito (homeowner / asentaja / admin) sekä istunnon turvallinen uusiminen ja suojattujen reittien suojaaminen | Välttämätön | Istunto; uusitaan automaattisesti istunnon aikana (Supabase Auth) |
Suostumuksen tallentava eväste (esim. verlab_consent) | Ensimmäinen osapuoli | Tallentaa evästevalintasi, jotta sitä ei kysytä toistuvasti, ja toimii suostumuksen osoituksena | Välttämätön | Enintään 12 kk; tämän jälkeen suostumus pyydetään uudelleen |
| Kuormantasaus- / turvallisuus- / infraevästeet (Vercel) | Ensimmäinen / kolmas osapuoli (Vercel, hosting) | Liikenteen ohjaus, alustan turvallisuus ja toimintavarmuus (vain aidot infra-/turvallisuusevästeet — ei analytiikkaa) | Välttämätön | Istunto / lyhytkestoinen |
| Kielivalintaeväste (jos käytössä) | Ensimmäinen osapuoli | Muistaa valitun kielen | Välttämätön | Istunto |
Huom. Vercelin mahdolliset analytiikka- / nopeustietoevästeet (Vercel Analytics / Speed Insights) eivät kuulu tähän luokkaan, vaan ovat ei-välttämättömiä ja käsitellään kohdassa 4.3.
4.2 Toiminnalliset evästeet (suostumus)
| Eväste / tekniikka | Asettaja | Tarkoitus | Tyyppi | Kesto |
|---|---|---|---|---|
| Käyttöliittymän tila / valinnat | Ensimmäinen osapuoli | Muistaa ei-välttämättömiä käyttöliittymävalintoja | Toiminnallinen | Istunto |
Jos toiminnallisia evästeitä ei ole käytössä, tämä rivi poistetaan.
4.3 Analytiikka- / tilastointievästeet (suostumus)
| Eväste / tekniikka | Asettaja | Tarkoitus | Tyyppi | Kesto |
|---|---|---|---|---|
| Analytiikkaeväste (esim. PostHog / Vercel Analytics) | Kolmas osapuoli (analytiikkapalvelu) | Palvelun käytön ja kävijämäärien mittaaminen Palvelun kehittämiseksi | Analytiikka | Ei käytössä tällä hetkellä |
Analytiikkaskriptiä ei ladata eikä alusteta ennen kuin käyttäjä on antanut suostumuksen analytiikkaluokalle. Ennen suostumusta analytiikkatyökalu pysyy estettynä eikä aseta evästeitä tai muita tunnisteita.
4.4 Markkinointievästeet (suostumus)
| Eväste / tekniikka | Asettaja | Tarkoitus | Tyyppi | Kesto |
|---|---|---|---|---|
| — (ei tällä hetkellä käytössä) | — | Markkinointievästeitä ei käytetä. Jos otetaan käyttöön, ne aktivoidaan vain suostumuksella ja lisätään tähän taulukkoon. | Markkinointi | — |
Niin kauan kuin markkinointievästeitä ei ole käytössä, bannerissa ei näytetä erillistä markkinointivalitsinta, joka ei vaikuta mihinkään.
5. Kolmannet osapuolet ja henkilötietojen siirrot
Osa evästeistä asetetaan tai liittyy palveluntarjoajiin, joita Verlab käyttää Palvelun tuottamiseen. Keskeiset toimijat ja niiden rooli evästeiden osalta:
- Supabase — tietokanta, autentikointi ja tallennus; asettaa välttämättömät kirjautumis-/istuntoevästeet (EU-alue — varmistettava).
- Vercel — Palvelun hosting; voi asettaa välttämättömiä kuormantasaus-/turvallisuus-/infraevästeitä. Vercelin mahdollinen analytiikka (Vercel Analytics / Speed Insights) ei ole välttämätöntä ja käsitellään analytiikkaluokassa (kohta 4.3): se ladataan ja asettaa evästeitä vasta analytiikkasuostumuksella, ja se on estetty ennen suostumusta.
- Resend — transaktiosähköpostit (esim. "tarjous valmis"); ei tyypillisesti aseta evästeitä selaimeen.
- Stripe — maksaminen ja SEPA-suoraveloitusvaltuutukset. Stripeä käytetään vain asentajien (B2B) maksu- ja onboarding-yhteydessä. Kuluttaja (homeowner) ei koskaan maksa eikä asioi Stripen kanssa, ja Palvelu on kuluttajalle maksuton. Kuluttajalle suunnatuilla sivuilla Stripen skriptejä tai evästeitä ei ladata lainkaan. Siellä missä Stripe ladataan (asentajan aktiivinen, käyttäjän itse käynnistämä maksu), suostumusvapautus koskee vain niitä evästeitä, jotka ovat aidosti välttämättömiä kyseisen aktiivisen maksun suorittamiseksi; kaikki muut Stripen evästeet ovat ei-välttämättömiä ja edellyttävät ennakkosuostumusta.
- Analytiikkapalvelu (esim. PostHog / Vercel Analytics, jos käytössä) — käytön mittaaminen, vain suostumuksella.
Siltä osin kuin palveluntarjoaja siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle, siirron suojakeinona käytetään Euroopan komission vakiosopimuslausekkeita (SCC, täytäntöönpanopäätös (EU) 2021/914) ja/tai (voimassaolostaan riippuen) EU–US Data Privacy Framework -järjestelyä. Tarkemmat tiedot siirroista, oikeusperusteista, säilytysajoista ja rekisteröidyn oikeuksista on tietosuojaselosteessa.
6. Suhde tietosuojaselosteeseen ja valvonta
Tämä evästekäytäntö kuvaa evästeiden käytön. Henkilötietojen käsittelyä, oikeusperusteita, vastaanottajia, kansainvälisiä siirtoja ja rekisteröidyn oikeuksia (tarkastus-, oikaisu-, poisto-, rajoittamis-, vastustamis- ja siirto-oikeus sekä oikeus tehdä valitus valvontaviranomaiselle) on kuvattu tarkemmin tietosuojaselosteessa.
Osa evästeluokista voi käsitellä henkilötietoja: erityisesti analytiikka voi käsitellä esimerkiksi IP-osoitetta tai laite-/selaintunnisteita, ja autentikointievästeet liittyvät kirjautuneen käyttäjän tunnistamiseen. Näiltä osin sovelletaan tietosuoja-asetuksen 13/14 artiklan mukaista informointivelvollisuutta, joka täytetään tietosuojaselosteessa. Pelkät tilatiedot (esim. kielivalinta tai suostumusvalinta) eivät tyypillisesti yksinään muodosta henkilötietojen käsittelyä.
Valvonta jakautuu kahden viranomaisen kesken:
- Traficom valvoo evästeiden tallentamista ja lukemista (SVPL 205 §).
- Tietosuojavaltuutetun toimisto valvoo henkilötietojen käsittelyä (tietosuoja-asetus, tietosuojalaki 1050/2018). Sinulla on oikeus tehdä valitus tietosuojavaltuutetun toimistolle.
7. Muutokset tähän evästekäytäntöön
Voimme päivittää tätä evästekäytäntöä esimerkiksi käytettävien evästeiden tai palveluntarjoajien muuttuessa. Päivitetty versio julkaistaan tällä sivulla, ja olennaisista muutoksista voidaan ilmoittaa Palvelussa. Asiakirjan yläosassa näkyy viimeisin päivityspäivä.
Yhteydenotot evästeitä koskevissa kysymyksissä: oskari@someta.fi, SMTA Socials, Hernetie 4 C 87, 01300 Vantaa.