| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/24/1463-3 |
| Registreeritud | 31.05.2024 |
| Sünkroonitud | 03.06.2024 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Agnes Järvela (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp juhatus
Osaühing Aldar Eesti
Meie 31.05.2024 nr 2.2-10/24/1463-3
Tähelepanu juhtimine
Andmekaitse Inspektsioon sai märgukirja, mille kohaselt ei vasta cityalko.ee veebilehel küpsiste
kasutamine nõuetele. Märgukirjast ajendatuna kontrollis inspektsioon veebilehte
https://cityalko.ee/ ja juhib Teie tähelepanu alljärgnevale.
Tuvastasime, et nimetatud veebilehel kasutatakse lisaks veebilehe toimimiseks vältimatult
vajalikele küpsistele ka täiendavaid küpsiseid. Hädavajalikud küpsised on näiteks kasutaja
sessiooni- või keele-eelistuse küpsised. Sellised küpsised otseselt ei mõõda midagi, vaid toetavad
veebilehe põhifunktsioone. Täiendavad küpsised on analüütilised küpsised, reklaamküpsised või
autentimise küpsised, mis võimaldavad inimest kas otseselt või kaudselt tuvastada – seda tüüpi
küpsiste paigaldamiseks peab olema kasutaja eelnev vabatahtlik nõusolek. Selline nõue tuleb
direktiivi 2002/58/EÜ (e-privaatsusdirektiiv) artiklist 5 lõikest 3, mida täpsustab artikkel 2 punkt
f. Euroopa Kohus on lahendis C673/17 sedastanud, et küpsiste kasutamise nõusolek peab vastama
isikuandmete kaitse üldmääruse (IKÜM) artikli 4 punkti 11 ja artikli 7 tingimustele. Nõusolek
peab olema antud kõiki asjaolusid teades, mh peab veebilehe külastajal teada olema küpsiste
kasutamise kestus kui ka asjaolu, kas kolmandatel isikutel on võimalus neile juurde pääseda.
Selline info tuleks esitada veebilehe andmekaitsetingimustes. Ühtlasi peab olema võimalik antud
nõusolekut tagasi võtta sama lihtsal viisil, kui toimus selle andmine veebilehel.
Teie veebilehel kasutatakse veebilehe toimimiseks vältimatult vajalike küpsistele lisaks ka
küpsiseid, mis eeldavad veebilehe külastaja vabatahtlikku nõusolekut (_fbp, _ga). Nimetatud
küpsistest vähemalt ühed (_fbp) rakenduvad juba siis, kui veebilehe külastaja ei ole veel ühtegi
nõusolekut küpsiste kasutamiseks andnud. Sellised küpsised võivad tegelikkuses rakenduda alles
pärast inimeselt nõusoleku saamist.
Eelkõige on aga veebilehel https://cityalko.ee/ problemaatiline külastajatelt küpsiste
kasutamiseks nõusoleku küsimise viis. Nagu eelnevalt mainitud, siis analüütiliste, reklaam- vm
autentimise küpsiste kasutamise eelduseks on inimese vabatahtlik nõusolek. Teie kodulehel on
nõusolek seotud inimeselt tema vanuse kohta kinnituse küsimisega. Veebilehe külastaja peab
vajutama esilehel ilmuva teavituse peal nuppu „Olen vähemalt 18“, kuid seejuures peab ta nupu
aktiveerimiseks tegema linnukese kasti „Seda veebisaiti kasutades nõustun küpsiste
kasutamisega“. Seega annab inimene tegelikkuses nõusoleku mitte sellele, et ta on täisealine, vaid
küpsiste kasutamisele. Selline segadusse ajav ning erinevatel eesmärkidel kinnituse ja eelneva
linnukese tegemise nõue ei ole kooskõlas isikuandmete kaitse üldmääruse ega e-
privaatsusdirektiivi nõuetega.
Veebilehel küpsiste kasutamiseks peab külastajatelt küsima aktiivset nõusolekut täiendavate
küpsiste kasutamise osas. IKÜM-i nõuete ja Euroopa Kohtu praktikaga on kooskõlas vaid olukord,
2 (2)
kus nõusolekulahter ei ole eeltäidetud ja inimene saab ise soovi korral lahtrisse märke nõustuva
märke teha. Mittehädavajalikud küpsised ei tohi aga enne kasutajalt nõusoleku saamist rakenduda.
Kui kasutaja on andnud mittehädavajalike küpsiste kasutamiseks nõusoleku, siis nõusoleku
tagasivõtmine peab olema sama lihtne kui nõusoleku andmine.
Täiendavalt on andmetöötlejal kohustus esitada inimesele isikuandmete töötlemise kohta teavet,
sh ka juhul, kui isikuandmete töötlemine toimub küpsiste kasutamisel. Teie lehelt ei leidnud me
teavet küpsiste abil isikuandmete töötlemise kohta. On küll mainitud, et Veebileht kasutab
küpsiseid nii ostusessiooni korraldamiseks kui ka kasutamisstatistika kogumiseks. Tellimuse
teostamine on võimalik ainult siis, kui lubate cityalko.ee küpsiseid, kui selgusetuks jääb, millisel
õiguslikul alusel küpsiste kasutamine toimub, kui kaua nendega kogutud isikuandmeid säilitatakse
jne. Isikuandmete töötlemise kohta inimestele vajaliku teabe edastamise kohustus tuleb IKÜM-i
artiklitest 12–14.
Eelnevast tulenevalt palun vaadata oma veebilehel küpsiste kasutamine üle ja viia see vastavusse
e-privaatsusdirektiivi ja IKÜM-i sätetega. Samuti palun vaadata üle oma andmekaitsetingimused.
Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota. Siiski võib inspektsioon tulevikus
kontrollida veebilehte uuesti ja otsustada seejärel täiendava sekkumisvajaduse üle.
Lugupidamisega
Agnes Järvela
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|