Muutus veebiküpsistest teavitamise kord

Andmekaitse Inspektsiooni üks kohustustest on olnud teostada järelevalvet veebiküpsiste kui isikuandmete õiguspärase kasutamise üle.

Märgiline kohtuotsus

Veebiküpsiste õiguspärane kasutamine nõudis aasta teises pooles teenuseosutajatelt senise praktika muutmist. Kui Euroopa Kohus võttis vastu 1. oktoobril 2019 otsuse C-673/17[1], tuleb võtta kõikide veebiküpsiste osas, mis ei lähe e-privaatsusdirektiivi erandi alla, kasutajatelt aktiivne nõusolek. Olenemata sellest, kas veebiküpsised võimaldavad isikuandmete töötlemist või mitte.

Mis on veebiküpsised?

Veebiküpsised on väiksed tekstifailid, mis salvestatakse kasutaja seadmesse võrgulehtedel käies. Küpsiste eesmärgiks on parandada võrgulehe kasutuskogemust ja isikupärastada navigeerimist ning koguda statistilisi andmeid ja jälgida kasutaja käitumist ja liikumist erinevatel võrgulehtedel, et omakorda analüüsida kasutusharjumusi.

Meenutuseks, et küpsiste varasem regulatsioon tugines e-privaatsusdirektiivil 2002/58/EÜ[2], mida muudeti direktiiviga 2009/136/EÜ[3]. Selle kohaselt pidid võrgulehed hakkama kasutajalt alati võtma nõusolekut, kui leht salvestab tema seadmesse teavet ja omab ka eelnevalt salvestatud infole juurdepääsu. Nõusolekut ei pidanud küsima ainult juhul, kui teabe salvestamine ja sellele juurdepääs on teenuse osutamiseks hädavajalik või selle ainus eesmärk on side edastamine elektroonilises sidevõrgus.

Kuna Eesti õigusruumi ei ole e-privaatsusdirektiivi küpsiste sätet üheselt üle võetud, lähtus inspektsioon kuni oktoobris tehtud kohtuotsuseni isikuandmete kaitse üldnormidest, mille järgi ei olnud vaja võtta kasutajalt nõusolekut, kui veebiküpsiste abil ei toimu inimeste tuvastamist ehk isikuandmete töötlemist. Piisas, kui võrgulehtedel oli teave veebiküpsiste kasutamise kohta.

Euroopa Kohtu otsus muutis nii mõndagi. Muutus see, et erandeid ei ole ja igasugune veebiküpsis nõuab nõusolekut. Millises mahus peab aga küpsiste kasutamisel rakendama isikuandmete kaitse üldmääruse (IKÜM) artikleid 13 või 14, jäi ebaselgeks. Kohtuotsuse kohaselt peavad veebikasutajad olema samuti teadlikud küpsiste kasutamise kestvusest ning olema informeeritud, kas kolmandatel isikutel on küpsistele juurdepääs.

„Kõikide veebiküpsiste osas, mis ei lähe e-privaatsusdirektiivi erandi alla, tuleb kasutajatelt võtta aktiivne nõusolek. Olenemata sellest, kas veebiküpsised võimaldavad isikuandmete töötlemist või mitte.“

Nagu me teame, koguvad statistikat ja jälgivad käitumist sageli nn kolmanda osapoole küpsised, millele tugineb täna valdavalt ka interneti reklaamitööstus. Kuna kolmanda osapoole küpsised on kasutajatele üldjuhul arusaamatud ja kasutuseesmärgilt läbipaistmatud, kujutavad need inimeste privaatsusriivele kõige enam ohtu.

Euroopa Andmekaitsenõukogu on asunud selle pilguga oma varasemaid juhiseid üle vaatama ja võtnud eesmärgiks 2020 aasta esimesel poolel anda täiendavad suunised. Euroopa andmekaitseasutustel tuleb 2020. aastal tegeleda sellega, et suures plaanis oleks veebiküpsiste praktika Euroopas ühetaoline ja kindlasti tuleb anda ettevõtjatele suurem õigusselgus. Eriti puudutab see piiriüleseid teenuseid.

Samuti peavad veebiteenuse osutajad küpsiste teavituses kasutajatele selgitama, mis on konkreetse küpsise eesmärk, kes küpsise seadmesse paneb ja selle üle kontrolli omab ning kas ja kuidas lahendada nõusoleku võtmine erinevate eesmärkide korral.