Tähelepanu juhtimine



Lp juhatuse liikmed
Äripäev AS
[email protected]

Koopia:
Toomas Jõgi
[email protected]



Meie: 16.02.2024 nr 2.1.-5/24/156-2
Tähelepanu juhtimine

Andmekaitse Inspektsioon sai märgukirja seoses veebilehe http://www.foundme.io/ küpsiste kasutusega, kus veebilehe kasutaja sõnul rakenduvad lisaks vältimatult vajalikele ka täiendavad küpsised, millele nõusoleku andmine ei ole vabatahtlik, samuti ei ole kasutajal võimalik nõusolekut tagasi võtta.

Tuvastasime, et nimetatud veebilehel kasutatakse lisaks veebilehe toimimiseks vältimatult vajalikele küpsistele ka täiendavaid küpsiseid. Hädavajalikud küpsised on näiteks kasutaja sessiooni- või keele-eelistuse küpsised. Sellised küpsised otseselt ei mõõda midagi, vaid toetavad veebilehe põhifunktsioone. Täiendavad küpsised on analüütilised küpsised, reklaamküpsised või autentimise küpsised, mis võimaldavad inimest kas otseselt või kaudselt tuvastada - seda tüüpi küpsiste paigaldamiseks peab olema kasutaja eelnev vabatahtlik nõusolek.

Kui veebilehel on kasutusel analüütilised küpsised ja/või reklaamküpsised, mis võimaldavad inimest kas otseselt või kaudselt tuvastada, tuleb lähtuda isikuandmete kaitse üldmäärusest ning seda tüüpi küpsiste paigaldamiseks peab olema võetud kasutajalt eelnev nõusolek. Andmesubjekt peab aru saama, milliseid küpsiseid veebileht kogub ja tal peab olema võimalik iga küpsiseliigi kohta anda eraldi nõusolek (v.a võrgulehe toimimiseks hädavajalikud küpsised) ning nõusolek peab olema antud aktiivse tegevusega (nt kasti linnutamine vms).
Passiivselt võetud nõusolek ei ole kehtiv.

Selline nõue tuleb direktiivi 2002/58/EÜ (e-privaatsusdirektiiv) artiklist 5 lõikest 3, mida täpsustab artikkel 2 punkt f. Euroopa Kohus on lahendis C673/17 sedastanud, et küpsiste kasutamise nõusolek peab vastama isikuandmete kaitse üldmääruse (IKÜM) artikli 4 punkti 11 ja artikli 7 tingimustele. Nõusolek peab olema antud kõiki asjaolusid teades, mh peab veebilehe külastajal teada olema küpsiste kasutamise kestus kui ka asjaolu, kas kolmandatel isikutel on võimalus neile juurde pääseda. Selline info tuleks esitada veebilehe andmekaitsetingimustes. Ühtlasi peab olema võimalik antud nõusolekut tagasi võtta sama lihtsal viisil, kui toimus selle andmine veebilehel.

Teie ettevõttele kuuluval veebilehel http://www.foundme.io/ kasutatakse lehe toimimiseks vältimatult vajalike küpsistele lisaks ka küpsiseid, mis eeldavad veebilehe külastaja vabatahtlikku nõusolekut.

Kõnealuse veebilehe kontrollimisel tuvastasime, et enne kui veebilehe külastaja annab nõusoleku küpsiste paigaldamiseks, rakenduvad analüütilised ning turundus- ja reklaamiküpsised (mh _ga, _gat ja _gid) ehk mittehädavalikud küpsised. Viimased võivad rakenduda alles pärast nõusoleku saamist.

Nõusolek peab olema muudest tingimustest selgelt eristatav ja eraldi otsustamist võimaldav. Inimene peab saama nõusoleku anda või sellest keelduda nii, et sellest ei sõltu muude teenuste või hüvede kasutamine. Kui aga nõusolek(ud) on kasutustingimustesse kirjutatud nii, et neist saab keelduda üksnes kasutustingimustega mitte nõustudes ja seeläbi ka teenusest loobudes, ei ole see õiguspärane. Kui nõusoleku võtmisel rikutakse IKÜM nõudeid, ei ole selline nõusolek siduv.

Lisaks tuvastasime, et peale nõusoleku andmist ei saa nõusolekut mingil viisil tagasi võtta ning eelmainitud küpsisevalikud on režiimil „alati aktiivne“. Antud küpsisekasutus ei ole kooskõlas IKÜM sätetega. IKÜM artikli 7 lõike 3 kohaselt peab vastutav töötleja tagama, et andmesubjekt saab nõusoleku igal ajal tagasi võtta sama lihtsalt kui ta selle andis. Isikuandmete kaitse üldmääruses ei ole öeldud, et nõusoleku andmine ja tagasivõtmine peab alati toimuma samal moel. Samas, kui nõusolek on saadud elektrooniliselt vaid ühe hiireklõpsu, libistamise või klahvilevajutusega, peab andmesubjektil olema võimalik see nõusolek tagasi võtta sama lihtsalt. Kui nõusoleku saamiseks on kasutatud teenusepõhist kasutajaliidest (nt veebisait, rakendus, sisselogimist nõudev konto, asjade interneti seade või e-post), peab andmesubjektil kahtlemata olema võimalik võtta nõusolek tagasi sama elektroonilise liidese kaudu, sest üleminek teisele liidesele pelgalt nõusoleku tagasivõtmiseks nõuaks tarbetuid jõupingutusi, nagu seda on näiteks veebilehitseja salvestatud küpsiste sirvimine.

Külastajale peab olema võimaldatud reklaamküpsistele vabatahtliku nõusoleku andmine või sellest keeldumine. Küpsiste haldamise all on küll välja toodud viide, kuidas ühe või teise brauseri kasutamisel küpsised kas blokeerida või kustutada, kuid nõusoleku tagasivõtmise ja küpsisevalimi muutmise võimalus puudub.

Nõusoleku vorm võib sisaldada kolme võimalust:
(1) kasutaja saab korraga nõustuda kõigi küpsistega,
(2) kasutaja saab keelduda täiendavatest küpsistest (st rakenduvad ainult hädavajalikud küpsised)
ning
(3) kasutaja saab täiendavalt hallata, millised täiendavaid küpsised ta lubab. Näiteks kasutaja ei soovi reklaamküpsiseid, kuid statistika (analüütika) küpsistega on nõus.

Palun vaadata veebilehel http://www.foundme.io/ küpsiste kasutamine üle ja viia vastavusse e-privaatsusdirektiivi ja IKÜM-i sätetega. Käesolevale tähelepanu juhtimisele inspektsioon vastust ei oota. Siiski kontrollib inspektsioon tulevikus veebilehte uuesti ja otsustab seejärel täiendava sekkumisvajaduse üle.


Lugupidamisega


Kaire Jürgenstein
jurist
peadirektori volitusel