| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-10/24/2180-2 |
| Registreeritud | 04.09.2024 |
| Sünkroonitud | 05.09.2024 |
| Liik | Otsus |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-10 Märgukirjad |
| Toimik | 2.2-10 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Greete Kaljuste (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim III) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp juhatuse liikmed
SA Ida-Viru Ettevõtluskeskus
Meie 04.09.2024 nr 2.2-10/24/2180-2
Tähelepanu juhtimine
Andmekaitse Inspektsioon (AKI) sai märgukirja, mille kohaselt ei vasta https://idaviru.ee/
veebilehel küpsiste kasutamine nõuetele. Märgukirjast ajendatuna kontrollis inspektsioon
veebilehte https://idaviru.ee/ ja juhib Teie tähelepanu alljärgnevale.
Tuvastasime, et nimetatud veebilehel kasutatakse lisaks veebilehe toimimiseks vältimatult
vajalikele küpsistele ka täiendavaid küpsiseid. Hädavajalikud küpsised on näiteks kasutaja
sessiooni- või keele-eelistuse küpsised. Sellised küpsised otseselt ei mõõda midagi, vaid toetavad
veebilehe põhifunktsioone. Täiendavad küpsised on analüütilised küpsised, reklaamküpsised või
autentimise küpsised, mis võimaldavad inimest kas otseselt või kaudselt tuvastada – seda tüüpi
küpsiste paigaldamiseks peab olema kasutaja eelnev vabatahtlik nõusolek.
Selline nõue tuleb direktiivi 2002/58/EÜ (e-privaatsusdirektiiv) artiklist 5 lõikest 3, mida täpsustab
artikkel 2 punkt f. Euroopa Kohus on lahendis C673/17 sedastanud, et küpsiste kasutamise
nõusolek peab vastama isikuandmete kaitse üldmääruse (IKÜM) artikli 4 punkti 11 ja artikli 7
tingimustele. Nõusolek peab olema antud kõiki asjaolusid teades, mh peab veebilehe külastajal
teada olema küpsiste kasutamise kestus kui ka asjaolu, kas kolmandatel isikutel on võimalus neile
juurde pääseda. Selline info tuleks esitada veebilehe andmekaitsetingimustes. Ühtlasi peab olema
võimalik antud nõusolekut tagasi võtta sama lihtsal viisil, kui toimus selle andmine veebilehel.
Teie veebilehel https://idaviru.ee/ kasutatakse veebilehe toimimiseks vältimatult vajalike
küpsistele lisaks ka küpsiseid, mis eeldavad veebilehe külastaja vabatahtlikku nõusolekut. Teie
veebilehele sisenedes kuvatakse hetkel küpsiste teade, kus on võimalik vaid üle kinnitada, et
nõustutakse kõigi küpsistega, kuid võimalik ei ole keelduda mittevajalikest küpsistest või teha
mõni muu valik. Olemas on küll viide privaatsuspoliitikale, kus saab lugeda täpsemalt ka küpsiste
kohta, kuid ka seal pole võimalik teha täpsemaid valikuid.
Tuvastasime, et veebilehel on kasutusel analüütilised ja reklaamküpsised, olete selle ka ise välja
toonud oma privaatsuspoliitikas. Leidsime, et Teie veebilehel on problemaatiline külastajatelt
küpsiste kasutamiseks nõusoleku küsimise viis. Tuvastasime, et veebilehe külastajalt küll
küsitakse küpsiste kasutamiseks nõusolekut, kuid nõusolekulahter on eeltäidetud. IKÜM-i nõuete
ja Euroopa Kohtu praktikaga on kooskõlas vaid olukord, kus nõusolekulahter ei ole eeltäidetud ja
inimene saab ise soovi korral lahtrisse nõustuva märke teha. Ka ei pakuta valikuid erinevate
küpsiste liikide kaupa nõustumiseks ega võimalusest keelduda küpsistest, mis pole lehe
toimimiseks vältimatult vajalikud. Seetõttu ei saa ka rääkida vabatahtliku nõusoleku kogumisest.
Veenduda tuleb veel, et enne kui veebilehe külastaja annab nõusoleku küpsiste paigaldamiseks, ei
rakenduks lehel juba mittehädavajalikud küpsised (nt mõned reklaamküpsised). Viimased võivad
2 (2)
rakenduda alles peale nõusoleku saamist. Lisaks peale nõusoleku andmist ei saa hetkel nõusolekut
Teie veebilehel lihtsal viisil tagasi võtta. Nõusoleku tagasi võtmine peab aga olema sama lihtne
kui nõusoleku andmine.
Üle tuleb vaadata ka asjaolule, et hetkel pole andmekaitsetingimused (privaatsuspoliitika, mida
kuvatakse enne nõusoleku andmist viitena nõusoleku aknas) leitavad veebilehel peale seda, kui
vajutatakse nupul „nõustun kõigiga“. See informatsioon isikuandmete töötlemisest ja küpsistest
peaks olema aga isikule kergesti leitav ja püsivalt kätte saadav. Üks tavapärane viis on lisada viide
privaatsuspoliitikale või andmekaitsetingimustele veebilehe all jaluses, kus on hetkel ka ülejäänud
asutuse üldine informatsioon.
Palume vaadata eelnevast tulenevalt veebilehel küpsiste kasutamine üle ja viia vastavusse e-
privaatsusdirektiivi ja IKÜM-i sätetega. Käesolevale tähelepanu juhtimisele inspektsioon
vastust ei oota. Siiski kontrollib inspektsioon tulevikus veebilehte uuesti ja otsustab seejärel
täiendava sekkumisvajaduse üle.
Lugupidamisega
Greete Kaljuste
jurist
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|