Andmekaitse Inspektsioon kirjutas 2019. aastal oma aastaraamatus põgusalt veebiküpsistest ja nende teavitamise korrast (vt Andmekaitse Inspektsiooni 2019 aastaraamat lk 9).

Praegu, sh eelmisel aastal, teeb Andmekaitse Inspektsioon jõudsalt järelevalvet veebiküpsiste kogumise üle. Enamasti avastab Andmekaitse Inspektsioon puuduseid veebiküpsiste kasutamises muus asjus alustatud järelevalvemenetluste käigus. Seni on enamik menetlusi päädinud sellega, et Andmekaitse Inspektsioon teeb andmetöötlejale ettepaneku veebiküpsiste kogumise korrastamiseks ja need parandatakse ära. Äärmistel juhtudel oleme andmetöötlejale teinud ettekirjutuse koos sunniraha hoiatusega. Seni ühelgi korral sunniraha reaalselt rakendatud ei ole, sest andmetöötlejad on vastavalt Andmekaitse Inspektsioonile veebiküpsiste kogumise andmekaitseliselt korda teinud.

Enamikel juhtudel on andmetöötlejate veebilehtedel aktiveeritud analüütilised küpsised (nt Google Analytics), aga on ka muid variante. Põhiline murekoht veebiküpsiste kogumisel on see, et veebilehe külastajatelt ei küsita küpsiste kogumise kohta korrektselt nõusolekut. Isikuandmete kaitse üldmääruse artikli 6 punkt a sätestab, et isikuandmete töötlemine on seaduslik ainult juhul, kui andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil. Isikandmete kaitse üldmääruse põhjenduspunkt 30 sätestab, et füüsilisi isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega, näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse serveritesse saabuvate kordumatute identifikaatorite ja muu teabega. Seega on küpsiste kogumine selgelt isikuandmete töötlemine ja selleks on vaja seadusest tulenevat õiguslikku alust, milleks saab Euroopas väljakujunenud praktikas olla ainult andmesubjekti nõusolek.

Oleme andmetöötlejatele seletanud, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi kohaselt peaks kasutajatel olema võimalik keelata küpsiste või muude selliste vahendite salvestamine oma lõppseadmes. Teavet kasutaja eri lõppseadmesse salvestatavate vahendite kohta ja õigust neist keelduda võib pakkuda korra ühe ja sama ühenduse ajal ning see võib hõlmata ka kõnealuste vahendite edaspidist kasutamist järgmiste ühenduste ajal. Teabe edastamine, keeldumisvõimaluse pakkumine või nõusoleku küsimine tuleks teha võimalikult kasutajasõbralikuks. Juurdepääs teatavale rakenduse sisule võib oleneda küpsise või muu sellise vahendi teadlikust vastuvõtmisest, kui seda kasutatakse õiguspärasel eesmärgil. Oluline on saada kasutaja vabatahtlik, konkreetne, teadlik ja ühemõtteline nõusolek või loobumine küpsistest. Kui kasutaja ei nõustu, peab siiski olema tagatud rakenduse põhifunktsioonide toimivus. Andmesubjekti nõusoleku andmise tingimused on muu hulgas sätestatud isikuandmete kaitse üldmääruse artiklis 7.

Toome välja põhilised probleemkohad veebiküpsiste kogumisel

1. Andmetöötlejad ei küsi veebiküpsiste kogumisel andmesubjektilt nõusolekut.

2. Andmetöötlejad küsivad veebiküpsiste kogumisel andmesubjektilt nõusolekut, kuid teevad seda ebakorrektselt. Nõuetele vastav teade küpsiste kasutamisest sisaldab selgitust, mis eesmärgil küpsiseid kasutatakse, kui kaua ja kes on need osapooled, kellega on kavas neid jagada. Muu hulgas peab teavitus sisaldama viidet andmekaitsetingimustele, kus on selgitatud ka küpsiste kasutamise tingimusi. Andmesubjekt peab aru saama, milliseid küpsiseid veebileht kogub ja tal peab olema võimalik iga küpsiseliigi kohta anda eraldi nõusolek või keeldumine.

3. Andmetöötlejad loovad veebilehe kliendipoolsesse (ingl front end) vaatesse nõusoleku küsimiseks hüpikakna, kuid see on jäetud täielikult liidestamata veebilehe tagasüsteemiga (ingl back end). Ehk lühidalt on tehtud nõusoleku küsimiseks hüpikaken, mis tegelikkuses ei rakendu ja küpsiste kogumist ei keelusta, kui andmesubjekt peaks selle keelama. Selline tegevus on vale. Muu hulgas ei tohiks küpsised rakenduda veebilehele sisenedes, vaid alles siis, kui andmesubjekt on andnud oma nõusoleku.

Näiteks külastades mõnda veebilehte, kus kogutakse küpsiseid, peaks esimese asjana veebileht kuvama nõusoleku küsimiseks hüpikakna. Seejärel saab andmesubjekt valida, kas a) nõustun, b) nõustun osaliselt (ehk talle avaneb valik erinevate küpsistega) või
c) keeldun. Alles seejärel saab veebileht vastavalt andmesubjekti valikutele küpsiseid koguma hakata, kui üldse.

Andmekaitse Inspektsioon kavatseb veebiküpsiste andmekaitselise poolega edasi tegeleda ja ükski andmetöötleja ei peaks võimalikke ettepanekuid isiklikult võtma. On ilmselge, et Andmekaitse Inspektsioon ei jõua kõikide ettevõteteni, kes küpsiste kogumisega isikuandmeid töötlevad, kuid annab oma parima, et riigi üldpilt oleks selgem ja korrektne, et väiksemad eeskuju võtaksid.