| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2264-1 |
| Registreeritud | 05.09.2024 |
| Sünkroonitud | 06.09.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Conseno |
| Saabumis/saatmisviis | Conseno |
| Vastutaja | Urmo Parm (Andmekaitse Inspektsioon, Tehnoloogia valdkond) |
| Originaal | Ava uues aknas |
From: Andres Ruul <[email protected]>
Sent: Thu, 05 Sep 2024 08:18:45 +0000
To: [email protected]
Cc: Taavi Kalvi <[email protected]>
Subject: Küpsiste nõusolekute küsimise nõuded Eestis
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Pöördumine Andmekaitse Inspektsiooni poole Selgitustaotlus
Avalduse kuupäev: 05.09.2024
Pöörduja andmed
Selgitustaotluse sisu:
Oleme arendanud Conseno platvormi küpsiste halduseks, siis meie poole pöördutakse tihti ka parimate praktikate jaoks, et kõik oleks korrektselt seadistatud. Küsimused, millele sooviks saada teiepoolset sisendit: - Kas kolmanda osapoole küpsised on AKI jaoks sama, mis “third party cookies”? Või lähevad sinna alla ka “first party cookies”, mis võivad ka olla kolmandate osapooltega seotud, nt Google Analytics (mis tekitab tehniliselt first party cookie, aga saadab andmeid Google serveritesse). - Kas 3rd party request-e (3. osapoole veebipäringuid) võib lugeda võrdväärseks pikslitega? Sest 3rd party request-iga saadetakse alati kaasa kasutaja IP aadress (mis kuulub isikuandmete hulka) ning ka user agent (seadme ja brauseriga seonduv info) kolmandale osapoolele, mille järgi on võimalik isikut identifitseerida sarnaselt fingerprinting-uga. - Kas nõusolek kerimise (scrolling) kaudu on kehtiv või mitte? - Kas nõusolek veebilehe navigeerimise jätkamise kaudu (nt navigeeritakse esilehelt tootelehele) on kehtiv või mitte? - Kas eelnevalt märgitud (lubatud) nõusoleku kastid näiteks analüütika ja reklaami teenuste osas on lubatud või mitte? - Kas ja milliseid küpsiseid tohib veebilehe külastaja seadmesse (brauserisse) salvestada enne kui nõusolek on antud? - Kas ja milliseid küpsiseid ei tohi veebilehe külastaja seadmesse (brauserisse) salvestada enne kui nõusolek on antud? - Kas nõusolek peab olema granuleeritud eesmärgi kaupa (nt "Vajalik"; "Eelistused"; "Turundus" jne)? - Kas peale küpsiste (cookies) kehtivad samad tingimused ka muudele brauserisse andmete salvestamise tehnoloogiatele (nt local storage, session storage, IndexDB jne) ja andmeedasusviididele (3. osapoole päringud)? - Kas nii "Aktsepteeri" JA "Keeldu" nupud peavad olema küpsiste nõusoleku bänneri esimeses kihis välja toodud? Või võib olla “Keeldu” asemel olla
NIMI: Andres Ruul
E-POSTI AADRESS: [email protected]
TELEFON: 53449295
“Halda seadeid”, “Kohanda” ning seejärel saab kasutaja teha oma otsuse (sh keeldumise otsuse)? - Kui "Keeldu" võimalus peab olema esimeses nõusoleku bänneri kihis, siis kas see võib olla asendatud ka tekstiga "Nõustun vajalikega", mis on olemuselt võrdne "Keeldu" nupuga? - Kas aktsepteerimise ja keeldumise valikud (nupud) nõusoleku küsimuse bänneril peavad olema võrdselt silmapaistvad (võrdse silmapaistvuse nõue)? - Kas täielikud küpsiste seinad on lubatud? See tähendab, et ilma küpsiseid lubamata, ei saa veebilehte või teenust tasuta kasutada? Näiteks uudistelehed, mis finantseerivad oma tegevust läbi reklaami müügi? - Kas konkreetsed küpsised ja muud kasutatavad tehnoloogiad (local storage, session storage jne) peavad olema loetletud veebilehel või nõusoleku bänneril ükshaaval? Või võib neid kirjeldada ka kategooriatena, ilma konkreetseid küpsised välja toomata? - Kas küpsiste kasutamise eesmärgid peavad olema loetletud küpsiste nõusoleku küsimise teate esimeses kihis või võivad need olla kirjeldatud ka "Tutvu detailidega" või "Kohanda" menüü all peidus? - Kas küpsiste nõusolekut küsides on vajalik GDPR-i nõuetele vastav nõusoleku tõend? Kas on vaja salvestada kasutajate tehtud valikud andmebaasi (logisse), mis sisaldavad kasutaja nõusoleku ID-d ja esitatud valikuid koos ajatempliga? - Kas küpsistega seotud nõusoleku tagasivõtmine peab olema sama lihtne kui selle andmine? Kas sellele tagasivõtmise ligipääs peab olema veebilehel koguaeg olemas või võib selle jätta ainult Privaatsuspoliitikas viidatuna? Kas veebilehe jalusesse tagasivõtmise ligipääsu lingi või nupu lisamine on piisav? - Kas konkreetsed küpsised ja muud kasutatavad tehnoloogiad peavad olema loetletud ja tuvastatud nõusolekuvormil või võib neid veebilehe külastajaid suunata selle jaoks Privaatsustingimustele ja seal neid katta? - Kui teenusepakkujate küpsiste loetelu sageli muutub, siis kas on lubatud nende küpsiste Privaatsustingimustes või nõusoleku bänneril loetlemise asemel hoopis viidata küpsiseid genereeriva teenusepakkuja veebilehele, mis kirjeldab konkreetsete küpsiste kohta käivaid detaile? - Kas oskate soovitada lahendusi või tehnoloogiaid, mis aitavad tuvastada, milliseid küpsiseid ja muid tehnoloogiaid veebileht kasutab ehk mida tuleks loetleda ja ära kirjeldada? Kas küpsiste nõusoleku bänneril tuleks lingina viidata ka andmekaitse- ja privaatsustingimuste lehele või see pole vajalik? - Kas on täpsustatud kindel aeg, kui kaua küpsiste kasutamiseks antud nõusolek võib maksimaalselt kehtida? Kui on, siis mis on see maksimaalne aeg? - Kas nõusoleku küpsise kehtivuse aeg võib erineda tulenevalt kasutaja otsusest (näiteks, kui kasutaja keeldub, siis on kehtivus 6 kuud, aga kui nõustub kõigiga, siis on 12 kuud)? - Kas nõusoleku bänneri kasutamine on kohustuslik ka juhul, kui veebilehel kasutatatakse ainult hädavajalikke küpsiseid? - Milliste tingimuste täitmisel ei pea veebileht kasutama nõusoleku bännerit? - Kas GDPR-i õigusalused, mis ei ole seotud nõusolekuga (nt õigustatud huvi), võivad kehtida? Näiteks veebianalüütika õigustatud huvi, et veebilehte paremaks teha?