| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.2-9/24/2264-2 |
| Registreeritud | 04.10.2024 |
| Sünkroonitud | 07.10.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.2 Loa- ja teavitamismenetlused |
| Sari | 2.2-9 Selgitustaotlused |
| Toimik | 2.2-9 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Conseno |
| Saabumis/saatmisviis | Conseno |
| Vastutaja | Eleri Pilliroog (Andmekaitse Inspektsioon, Tehnoloogia valdkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Lp Andres Ruul
Teie 05.09.2024 Meie 04.10.2024 nr 2.2-9/24/2264-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon (AKI) sai Teie pöördumise, milles küsite seoses küpsiste korrektse
kasutamisega veebilehtedele. Kuna soovite küpsiste teemal selgust saada, siis selgitab
inspektsioon küpsiste kasutamise regulatsiooni ning reegleid üldiselt ning sellest tulenevalt saate
ka loodetavasti vastused oma küsimustele.
Märgime, et isikuandmete kaitse üldmääruse (IKÜM) artikkel 4 punkti 1 kohaselt on
isikuandmeteks igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikuandmete
töötlemine on iga isikuandmetega tehtav toiming. IKÜM põhjenduspunkt 30 selgitab, et füüsilisi
isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate
võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega,
näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste
isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse
serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.
Küpsiste regulatsioon tuleneb EL direktiivist 2002/58/EÜ (eraelu puutumatust ja elektroonilist
sidet käsitlev direktiiv), mida muudeti direktiiviga 2009/136/EÜ. Tulenevalt EL direktiivist
2002/58/EÜ preambula punktist 25 on veebilehe haldajad kohustatud esitama selge ja täpse
teabe, millist tüüpi küpsiseid nende veebileht kasutab ja mis eesmärgil. Küpsiste
paigaldamiseks peab olema konkreetne õiguslik alus.
Seejuures on sõnaselgelt direktiivis ettenähtud, et küpsiste kasutamiseks peab olema isiku eelnev
nõusolek, v.a juhul kui andmete tehnilise salvestamise ja juurdepääsu ainus eesmärk on edastada
sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik infoühiskonna teenuse
osutamiseks. Hädavajalikud küpsised on näiteks kasutaja sessiooni-, keele-eelistuse- või
autentimise küpsised. Sellised küpsised otseselt ei mõõda midagi, vaid toetavad veebilehe
põhifunktsioone. Nõusoleku kohustust (küpsistele, mis vajavad nõusolekut) on kinnitanud ka
Euroopa Kohus 01.10.2019 asjas number C-673/171. Euroopa Kohus on otsuses ka rõhutanud, et
nõusolek kolmandate osapoolte küpsiste kasutamiseks tuleb võtta sõltumata sellest, kas tegemist
on isikuandmetega või mitte.
Juhul, kui veebilehel on kasutusel analüütilised küpsised, reklaamküpsised või küpsised, millega
edastatakse andmeid kolmandatele osapooltele ning edastatav teave võimaldab inimest kas otseselt
või kaudselt tuvastada, tuleb lähtuda isikuandmete kaitse üldmäärusest ning seda tüüpi küpsiste
paigaldamiseks peabki olema kasutaja eelnev nõusolek. Andmesubjekt peab aru saama, milliseid
1 https://eur-lex.europa.eu/legal-content/et/TXT/?uri=CELEX:62017CJ0673
2 (2)
küpsiseid veebileht kogub ja tal peab olema võimalik iga küpsiseliigi kohta anda eraldi nõusolek
(v.a võrgulehe toimimiseks hädavajalikud küpsised).
Nõuetele vastav teade küpsiste kasutamisest sisaldab selgitust, mis eesmärgil küpsiseid
kasutatakse, kui kaua ja kes on need erinevad osapooled, kellega on kavas neid jagada (kui on
asjakohane). Teade peaks sisaldama viidet andmekaitsetingimustele, kus on selgitatud ka küpsiste
kasutamise tingimusi. Soovitame selgitustes viidata ka konkreetsete küpsiste nimetustele.
Kindlasti tuleb jälgida, et kui teatud küpsised eeldavad kasutaja nõusolekut, tohib sellised küpsised
laadida alles peale kasutaja tahteavaldust. Meie praktika on paraku näidanud, et vaatamata
nõusoleku bännerile laetakse küpsised kasutaja arvutisse kohe veebilehe avamisel. See ei ole aga
korrektne.
Nõusoleku bänner peaks sisaldama kolme võimalust - (1) kasutaja saab korraga nõustuda kõigi
küpsistega (st nii vajalikud kui mittevajalikud), (2) kasutaja saab keelduda küpsistest (st
rakenduvad ainult vajalikud küpsised) ning (3) kasutaja saab täiendavalt hallata, millised
mittevajalikud küpsised ta lubab. Näiteks ei soovi kasutaja reklaamküpsiseid, kuid statistika
(analüütika) küpsistega on nõus. Lisaks ei ole sobiv kasutada eeltäidetud lahtreid või muud sellist,
sest tegemist on tumedate või petlike mustritega (deceptive design pattern). Petlik disain
kasutajaliideses manipuleerib kasutajaid tegema teatavaid valikuid või sooritama konkreetseid
tegevusi, mida nad ei teeks, kui neil oleks tegelik valikuvõimalus või kui nad sellest aru saaksid.
Juba nõustutud küpsiste kustutamiseks on kolm levinud võimalust – vilunumad kasutajad
oskavad neid juba ise veebilehitsejas kustutada. Teiste kasutajate võtmes on hea tava veebilehel
hoida infot, kuidas kasutajad seda teha saavad. Kolmas võimalus on aega ajalt bänneriga meelde
tuletada, et küpsised on kehtiva nõusoleku alusel kasutusel ja kui kasutaja neid enam ei soovi,
siis mida ta tegema peab.
Lõpetuseks, loodame, et meie selgitustest on Teile abi ning märgime veelkord, et Andmekaitse
Inspektsioon saab eelkõige anda üldiseid selgitusi seoses küpsistega. Kui Teil on vajalik
analüüsida konkreetseid juhtumeid (konkreetse veebilehe puhul või muuks juhuks), siis sellisel
juhul on Teil võimalus pöörduda nõustajate poole, kes sellealaseid teenuseid igapäevaselt
pakuvad (õigusnõustajad jne).
Lugupidamisega
Eleri Pilliroog
andmeturbe ekspert
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|