Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39, 10134 Tallinn Telefon 627 4135

Registrikood 70004235 E-post [email protected] www.aki.ee

Lp Teele Teder

Tervisemeeter

[email protected]

Teie 08.02.2024 nr Meie 05.03.2024 nr 2.1.-5/24/371-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon sai Teie pöördumise, milles kirjutate:

Oleme loomas uut portaali tervisemeeter.ee ning oleme hetkel kokku panemas teenuse tingimusi

ning tekitab segadust küpsiste kasutamise pool. Hakkame oma lehel kasutama küpsiseid ja

sooviksin teada, mis punkte peaksime teenuste tingimustesse seoses küpsiste kasutamisega

lisama. Kas saaksite selles osas mind suunata või aidata?

Järgnevalt selgitame küpsiste kasutamise regulatsiooni ning reegleid üldiselt.

Isikuandmete kaitse üldmääruse (IKÜM) artikkel 4 punkti 1 kohaselt on isikuandmeteks

igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Isikuandmete töötlemine on iga

isikuandmetega tehtav toiming. IKÜM põhjenduspunkt 30 selgitab, et füüsilisi isikuid võib

seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate

võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega,

näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste

isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse

serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.

Küpsiste regulatsioon tuleneb EL direktiivist 2002/58/EÜ (eraelu puutumatust ja elektroonilist

sidet käsitlev direktiiv), mida muudeti direktiiviga 2009/136/EÜ. Tulenevalt EL direktiivist

2002/58/EÜ preambula punktist 25 on veebilehe haldajad kohustatud esitama selge ja täpse

teabe, millist tüüpi küpsiseid nende veebileht kasutab ja mis eesmärgil. Küpsiste paigaldamiseks

peab olema konkreetne õiguslik alus.

Seejuures on sõnaselgelt direktiivis ettenähtud, et küpsiste kasutamiseks peab olema isiku eelnev

nõusolek, v.a juhul kui andmete tehnilise salvestamise ja juurdepääsu ainus eesmärk on edastada

sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik infoühiskonna teenuse

osutamiseks. Hädavajalikud küpsised on näiteks kasutaja sessiooni-, keele-eelistuse- või

autentimise küpsised. Sellised küpsised otseselt ei mõõda midagi, vaid toetavad veebilehe

põhifunktsioone. Nõusoleku kohustust (küpsistele, mis vajavad nõusolekut) on kinnitanud ka

Euroopa Kohus 01.10.2019 asjas number C-673/171. Euroopa Kohus on otsuses ka rõhutanud, et

nõusolek kolmandate osapoolte küpsiste kasutamiseks tuleb võtta sõltumata sellest, kas tegemist

on isikuandmetega või mitte.

1 https://eur-lex.europa.eu/legal-content/et/TXT/?uri=CELEX:62017CJ0673

2 (2)

Juhul, kui veebilehel on kasutusel analüütilised küpsised ja/või reklaamküpsised, mis

võimaldavad inimest kas otseselt või kaudselt tuvastada, tuleb lähtuda isikuandmete kaitse

üldmäärusest ning seda tüüpi küpsiste paigaldamiseks peabki olema kasutaja eelnev nõusolek.

Andmesubjekt peab aru saama, milliseid küpsiseid veebileht kogub ja tal peab olema

võimalik iga küpsiseliigi kohta anda eraldi nõusolek (v.a võrgulehe toimimiseks

hädavajalikud küpsised).

Nõuetele vastav teade küpsiste kasutamisest sisaldab selgitust, mis eesmärgil küpsiseid

kasutatakse, kui kaua ja kes on need erinevad osapooled, kellega on kavas neid jagada (kui

on asjakohane). Teade peaks sisaldama viidet andmekaitsetingimustele, kus on selgitatud

ka küpsiste kasutamise tingimusi. Soovitame selgitustes viidata ka konkreetsete küpsiste

nimetustele.

Kindlasti tuleb jälgida, et kui teatud küpsised eeldavad kasutaja nõusolekut, tohib sellised

küpsised laadida alles peale kasutaja tahteavaldust. Meie praktika on paraku näidanud, et

vaatamata nõusoleku bännerile laetakse küpsised kasutaja arvutisse kohe veebilehe avamisel. See

ei ole aga korrektne.

Nõusoleku bänner peaks sisaldama kolme võimalust - (1) kasutaja saab korraga nõustuda kõigi

küpsistega (st nii vajalikud kui mittevajalikud), (2) kasutaja saab keelduda küpsistest (st

rakenduvad ainult vajalikud küpsised) ning (3) kasutaja saab täiendavalt hallata, millised

mittevajalikud küpsised ta lubab. Näiteks ei soovi kasutaja reklaamküpsiseid, kuid statistika

(analüütika) küpsistega on nõus.

Juba nõustutud küpsiste kustutamiseks on kolm levinud võimalust – vilunumad kasutajad

oskavad neid juba ise veebilehitsejas kustutada. Teiste kasutajate võtmes on hea tava veebilehel

hoida infot, kuidas kasutajad seda teha saavad. Kolmas võimalus on aega ajalt bänneriga meelde

tuletada, et küpsised on kehtiva nõusoleku alusel kasutusel ja kui kasutaja neid enam ei soovi,

siis mida ta tegema peab.

Näiteks Andmekaitse Inspektsiooni veebileht jälitamise ega analüütika küpsiseid ei kasuta.

Mõlemad küpsised _cf_bm ja _cfuvid on vajalikud lehe toimimiseks ja turvalisuse tagamiseks

ning on osa DDoS ehk teenustõkestusrünnete ja nn „mittesõbralike“ veebirobotite (botid) kaitse

ennetustegevuses. Vajalik ning asjakohane informatsioon Andmekaitse Inspektsiooni veebilehel

kasutatavate küpsiste kohta on leitav siin.

Lõpetuseks, loodame, et meie selgitustest on Teile abi ning märgime veelkord, et Andmekaitse

Inspektsioon saab eelkõige anda üldiseid selgitusi seoses küpsistega. Kui Teil on vajalik

analüüsida konkreetseid juhtumeid (konkreetse veebilehe puhul või muuks juhuks), siis sellisel

juhul on Teil võimalus pöörduda nõustajate poole, kes sellealaseid teenuseid igapäevaselt

pakuvad (õigusnõustajad jne).

Küpsiste õiguspärase kasutamise järelevalve pädevus on Andmekaitse Inspektsioonil.

Loodan, et minu selgitustest on abi.

Lugupidamisega

Liina Kroonberg

jurist-konsultant

peadirektori volitusel