| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 2.1.-5/24/3374-2 |
| Registreeritud | 30.01.2024 |
| Sünkroonitud | 26.03.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 2.1 Menetluse korraldamine |
| Sari | 2.1.-5 Õigusaktide tõlgendamisega seonduvad selgitustaotlused, märgukirjad, kirjavahetus (01.03.2024 suletud - ümber tõstetud 2.2-9, 2.2-10 ja 2.3-8 sarjadesse) |
| Toimik | 2.1.-5/2023 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Milos OÜ |
| Saabumis/saatmisviis | Milos OÜ |
| Vastutaja | Liina Kroonberg (Andmekaitse Inspektsioon, Menetlusvaldkond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari 39, 10134 Tallinn Telefon 627 4135
Registrikood 70004235 E-post [email protected] www.aki.ee
Lp Brit Mesipuu
Milos OÜ
Teie 29.12.2023 nr Meie 30.01.2024 nr 2.1.-5/24/3374-2
Vastus selgitustaotlusele
Andmekaitse Inspektsioon sai Teie pöördumise, milles soovite informatsiooni veebilehe küpsiste
rakendamise ning otseturustuspakkumiste saatmise osas. Kuna soovite viidatud teemadel selgust
saada, siis selgitab inspektsioon nii küpsiste kasutamise kui otseturustuspakkumiste edastamise
regulatsiooni ning reegleid üldiselt ning sellest tulenevalt saate ka loodetavasti vastused oma
küsimustele.
Märgime, et isikuandmete kaitse üldmääruse (IKÜM) artikkel 4 punkti 1 kohaselt on
isikuandmeteks igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikuandmete
töötlemine on iga isikuandmetega tehtav toiming. IKÜM põhjenduspunkt 30 selgitab, et füüsilisi
isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate
võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega,
näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste
isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse
serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.
Küpsiste regulatsioon tuleneb EL direktiivist 2002/58/EÜ (eraelu puutumatust ja elektroonilist
sidet käsitlev direktiiv), mida muudeti direktiiviga 2009/136/EÜ. Tulenevalt EL direktiivist
2002/58/EÜ preambula punktist 25 on veebilehe haldajad kohustatud esitama selge ja täpse
teabe, millist tüüpi küpsiseid nende veebileht kasutab ja mis eesmärgil. Küpsiste paigaldamiseks
peab olema konkreetne õiguslik alus.
Seejuures on sõnaselgelt direktiivis ettenähtud, et küpsiste kasutamiseks peab olema isiku eelnev
nõusolek, v.a juhul kui andmete tehnilise salvestamise ja juurdepääsu ainus eesmärk on edastada
sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik infoühiskonna teenuse
osutamiseks. Hädavajalikud küpsised on näiteks kasutaja sessiooni-, keele-eelistuse- või
autentimise küpsised. Sellised küpsised otseselt ei mõõda midagi, vaid toetavad veebilehe
põhifunktsioone. Nõusoleku kohustust (küpsistele, mis vajavad nõusolekut) on kinnitanud ka
Euroopa Kohus 01.10.2019 asjas number C-673/171. Euroopa Kohus on otsuses ka rõhutanud, et
nõusolek kolmandate osapoolte küpsiste kasutamiseks tuleb võtta sõltumata sellest, kas tegemist
on isikuandmetega või mitte.
Juhul, kui veebilehel on kasutusel analüütilised küpsised ja/või reklaamküpsised, mis
võimaldavad inimest kas otseselt või kaudselt tuvastada, tuleb lähtuda isikuandmete kaitse
1 https://eur-lex.europa.eu/legal-content/et/TXT/?uri=CELEX:62017CJ0673
2 (3)
üldmäärusest ning seda tüüpi küpsiste paigaldamiseks peabki olema kasutaja eelnev nõusolek.
Andmesubjekt peab aru saama, milliseid küpsiseid veebileht kogub ja tal peab olema võimalik
iga küpsiseliigi kohta anda eraldi nõusolek (v.a võrgulehe toimimiseks hädavajalikud küpsised).
Nõuetele vastav teade küpsiste kasutamisest sisaldab selgitust, mis eesmärgil küpsiseid
kasutatakse, kui kaua ja kes on need erinevad osapooled, kellega on kavas neid jagada (kui on
asjakohane). Teade peaks sisaldama viidet andmekaitsetingimustele, kus on selgitatud ka
küpsiste kasutamise tingimusi. Soovitame selgitustes viidata ka konkreetsete küpsiste
nimetustele.
Kindlasti tuleb jälgida, et kui teatud küpsised eeldavad kasutaja nõusolekut, tohib sellised
küpsised laadida alles peale kasutaja tahteavaldust. Meie praktika on paraku näidanud, et
vaatamata nõusoleku bännerile laetakse küpsised kasutaja arvutisse kohe veebilehe avamisel. See
ei ole aga korrektne.
Nõusoleku bänner peaks sisaldama kolme võimalust - (1) kasutaja saab korraga nõustuda kõigi
küpsistega (st nii vajalikud kui mittevajalikud), (2) kasutaja saab keelduda küpsistest (st
rakenduvad ainult vajalikud küpsised) ning (3) kasutaja saab täiendavalt hallata, millised
mittevajalikud küpsised ta lubab. Näiteks ei soovi kasutaja reklaamküpsiseid, kuid statistika
(analüütika) küpsistega on nõus.
Juba nõustutud küpsiste kustutamiseks on kolm levinud võimalust – vilunumad kasutajad
oskavad neid juba ise veebilehitsejas kustutada. Teiste kasutajate võtmes on hea tava veebilehel
hoida infot, kuidas kasutajad seda teha saavad. Kolmas võimalus on aega ajalt bänneriga meelde
tuletada, et küpsised on kehtiva nõusoleku alusel kasutusel ja kui kasutaja neid enam ei soovi,
siis mida ta tegema peab.
Otseturustuspakkumiste saatmist reguleerib Eestis elektroonilise side seaduse (ESS-i) § 1031.2
Inspektsioon selgitab üldiselt nõudeid, mis kohalduvad füüsilistele isikule ning nõudeid, mis
kohalduvad juriidilistele isikutele seoses otseturustuspakkumistega.
Pöördumises selgitatud asjaoludest lähtuvalt, saame selgitada, et elektroonilise otseturustuse ehk
spami saatmise eelduseks on füüsilise isiku puhul tema eelnev nõusolek. Samuti peab kellele
tahes saadetud otseturustuse teates olema viide, kuidas teadete saamisest loobuda. Täpsemalt
saate lugeda inspektsiooni juhisest ja kasutada seda oma pöördumises otseturustaja poole. Kui
saatja oma praktikat ei muuda, on kiireim lahendus saatja aadressi blokeerimine.
Juriidilise isiku elektrooniliste kontaktandmete kasutamine otseturustuseks on lubatud juhul, kui
kontaktandmete kasutamisel antakse iga kord selge ja arusaadav võimalus tasuta ja lihtsal viisil
keelata oma kontaktandmete selline kasutamine. Ja siis kui isikul võimaldatakse oma õigust
keeldumisele realiseerida elektroonilise side võrgu kaudu.
Sõltumata sellest, kas tegemist on füüsilise või juriidilise isiku kontaktandmetega, on
elektrooniliste kontaktandmete kasutamine otseturustuseks keelatud, kui (ESS § 1031 lg 4
punktid 1, 2 ja 5):
1) isik, kelle nimel teave edastatakse, ei ole tuvastatav;
2) isik on keelanud oma elektrooniliste kontaktandmete kasutamise;
3) ei sisalda juhendit või teavet, mis võimaldab sideteenuse kasutajal, kliendil või ostjal oma
õigust keeldumisele realiseerida.
Seda, millisel alusel ettevõte edastab Teile kirju (sh turustuspakkumisi), saabki selgitada
otseturustuspakkumise saatja.
Märgime, et isikuandmed on ainult füüsilisel isikul – juriidilisel isikul puudub eraelu ning seega
2 https://www.riigiteataja.ee/en/eli/517122020006/consolide
3 (3)
ka isikuandmed. Kui füüsilise isiku kontaktandmed on juriidilise isiku kontaktandmeteks
märgitud näiteks Äriregistris, siis loetakse need andmed juriidilise isiku kontaktandmeteks.
Andmesubjektil endal tuleb olla tähelepanelik, milliseid andmeid avaldatakse, sh Äriregistris.
Lõpetuseks, loodame, et meie selgitustest on Teile abi ning märgime veelkord, et Andmekaitse
Inspektsioon saab eelkõige anda üldiseid selgitusi seoses küpsistega ning
otseturustuspakkumistega. Kui Teil on vajalik analüüsida konkreetseid juhtumeid, siis sellisel
juhul on Teil võimalus pöörduda nõustajate poole, kes sellealaseid teenuseid igapäevaselt
pakuvad (advokaadid, juristid jne).
Lugupidamisega
Liina Kroonberg
jurist-konsultant
peadirektori volitusel
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Selgitustaotlus | 29.12.2023 | 89 | 2.1.-5/23/3374-1 | Sissetulev kiri | aki | Milos OÜ |