Kuidas tuleks pakkuda küpsiseid veebis

Privacy

Iseäranis Eesti veebilehti külastades jääb pahatihti silma, et küpsistega seonduv ei ole päris korrektne. Ei ole harvad näited, mil veebilehe avalehel on nähtaval bänner sõnumiga, et veebilehe külastusega nõustud kõigi veebilehel kasutatavate küpsistega.

Andmekaitsemääruse vastuvõtmise järgselt valitses praktikas arusaam, et küpsistega mittenõustumise eest peab hoolitsema veebikasutaja ise, määrates oma seadme veebilehitseja programmis endale sobivad sätted. Veel tänasel päeval on paljud veebilehed sellise eelduse järgi üles ehitatud. Siiski ei ole selline käsitlus andmekaitseõigusega kooskõlas ja miks, seda selgitame alljärgnevalt.

Küpsis ehk cookie on külastatava veebilehe genereeritud tekstifail, mille veebisait salvestab kasutatava seadme veebilehitsejasse ja mis on võimeline seeläbi jälgima inimese veebikäitumist.

Küpsiste tehnoloogia võimaldab salvestada infot, mille kaudu on võimalik koguda andmeid isikute eelistuste kohta ja ka isikuid tuvastada. Küpsise olemusest lähtuvalt kuuluvad need andmekaitsereeglite reguleerimisalasse, mille peamine printsiip on, et andmete töötlejal peab olema õiguslik alus isikuandmete töötlemiseks. Isikuandmete töötlemiseks võib andmetöötlejale põhjuse anda kas seadusest või lepingust tulenev kohustus, õigustatud huvi või andmesubjekti nõusolek. Küpsiste kasutamist reguleerib e-privaatsusdirektiiv. Selle kohaselt tuleb alati küsida veebilehe kasutaja nõusolekut, kui leht salvestab tema seadmesse teavet ja omab eelnevalt salvestud teabele juurdepääsu. Nõusolekut ei ole tarvis küsida ja piisab veebilehel avaldatavast teabest küpsiste kasutamise kohta, kui teabe salvestamine ja sellele juurdepääs on teenuse osutamiseks hädavajalik. Eesti õigusesse ei ole mainitud küpsiste kasutamise säte üheselt üle võetud, mistõttu on senini lähtutud andmekaitsemääruse õigusliku aluse loogikast. Selle järgi ei olnud vaja võtta kasutajalt nõusolekut, kui veebiküpsiste abil ei toimunud inimeste tuvastamist ehk isikuandmete töötlemist. Piisas, kui võrgulehtedel oli teave veebiküpsiste kasutamise kohta.

See, kas küpsise kasutamine vajab isiku nõusolekut või mitte, sõltub küpsise tüübist. Küpsised jagatakse üldjuhul nende põhiomaduste järgi kolme rühma:

1) Ajalise kestvuse järgi

a. sessiooniküpsised ehk ajutised küpsised, mis aeguvad koheselt, kui veebisessioon lõpeb (kasutaja sulgeb veebilehe või veebilehitseja);

b. püsiküpsised on kategooria, mis hõlmab kõiki erineval eesmärgil genereeritud küpsiseid, mis püsivad kõvakettal kuni kasutaja või veebilehitseja need kustutab, sõltuvalt küpsise tähtajast.

2) Päritolu järgi

a. esimese osapoole küpsised, mille puhul on tegemist küpsistega, mille allikaks on külastatav veebisait;

b. kolmanda osapoole küpsised, mis pärinevad veebisaidi teenusepakkujatelt või teistelt veebisaitidelt, mida kasutaja on külastanud.

3) Eesmärgi järgi

a. funktsionaalsed küpsised, mis on olemuslikult vajalikud veebilehe korrektseks toimimiseks, võimaldades veebilehe sirvimist ja juurdepääsu lehe turvalistele osadele. Näiteks tänu sellistele küpsistele on e-poodides võimalik, et ostukorvi lisatud tooted ei kustu, kui jätkate veebipoe valikuga tutvumist;

b. eelistuste küpsised, mis lubavad nö „meelde jätta“ kasutaja varasemaid valikuid, näiteks varasemal seansil sisestatud kasutajatunnuseid, keele-eelistusi või aadressiinfot;

c. statistilised küpsised, mis koguvad analüütilisi andmeid veebilehe külastuste kohta, näiteks kasutajate arv mingis ajavahemikus, milliseid lehekülgi kasutajad on sirvinud ja milliseid linke klikkinud. Statistilised küpsised aitavad veebisaidil hinnata kasutajakogemust;

d. reklaami- või turundusküpsised, mis jälgivad kasutaja veebikäitumist kaardistamaks isiku tarbimisharjumisi ja huvisid selleks, et vastavalt kasutaja eelistustele pakkuda talle personaliseeritud reklaame.

Küpsised võivad seega olla head abilised võimaldamaks meil sujuvamat ja mugavamat internetikogemust. Teisalt, reklaamiküpsiste kaudu kogutud teave isikute eelistuste ja harjumuste kohta võimaldab häirivat veebikäitumise jälgimist ja nõrgestab eraelu kaitset. E-privaatsusdirektiivi nõuete kohaselt kuuluvad aga nõusolekut vajavate küpsiste hulka kõik küpsised, mis ei ole otseselt vajalikud veebilehe toimimiseks, muuhulgas analüütilised ja statistilised küpsised, mille peamine eesmärk on anda veebilehe haldajale sisendit veebilehe külastatavuse kohta.

Tähelepanelik internetikasutaja on kindlasti märganud, et paljudel veebisaitidel on toimunud areng küpsistest teavitamise ja nõusoleku küsimise osas. Veebisaidi avalehel ilmub bänner, mille kaudu on kasutajal võimalik teha valik, millised küpsised ta lubab oma seadmesse salvestada ning seda iga küpsise tüübi - statistilise, eelistuste või turundusküpsise kohta eraldi. Veebilehtede läbipaistvam küpsiste kasutus on 2019. aasta oktoobris Euroopa Liidu Kohtu otsuse (Planet49 kaasus) otsene tulemus. Antud kohtuotsus oli märgiline, sest esmakordselt sai selle kaudu õigusjõu tõlgendus, et ka e-privaatsusdirektiivi alusel antav nõusolek peab vastama Andmekaitsemääruses toodud nõusoleku tingimustele. Kohtuotsuse kohaselt ei ole veebisaidi haldaja poolt eeltäidetud nõusolekut vajavate küpsiste märkeruudud õiguspärased, sest veebikasutaja nõusolek küpsiste kasutamiseks on kehtiv vaid siis, kui see on antud vabatahtlikult ja aktiivselt. See tähendab, et veebikasutajal nõusolekut ei saa eeldada. Nõusolek peab olema antud isiku enda toimingu kaudu samal veebilehel, mis kasutab küpsiseid.

Muuhulgas on kohtuotsuses selgitatud, et nõusolek peab olema konkreetne ja kasutaja peab mõistma, millisele funktsiooniga küpsisele ta nõusoleku annab. Sellest tulenevalt peab iga erineva eesmärgiga küpsise kohta küsima eraldi nõusolekut. Praktikas tähendab see, et ühe nõusolekuga ei saa kasutajat sundida aktsepteerima nii analüütilisi kui ka reklaamiküpsiseid. Kasutajal peab olema valikuvõimalus aktsepteerida ühtesid küpsiseid ja teisi keelata.

Kasutaja nõusolek saab olla kehtiv vaid juhul, kui see on antud teadlikult. Veebihaldajal on kohustus võimaldada kasutajal tutvuda enne nõusoleku küsimist teabega, mis selgitab küpsiste toimimist, mõju kasutajale ja küpsiste kehtivust. Eraldi on kohtuotsuses rõhutatud, et kasutajat tuleb informeerida, kas kolmandatel isikutel on küpsiste kaudu kogutud teabele juurdepääs.

Planet49 kaasuse kohtuotsuse tulemusena on ka Euroopa Andmekaitsenõukogu täpsustanud oma suuniseid kohase nõusoleku kohta. Suuniste järgi ei saa küpsiste nõusolekut käsitada vabatahtliku nõusolekuna, kui juurdepääs teenustele ja funktsioonidele on tehtud sõltuvaks sellest, kas kasutaja on nõus teabe salvestamisega või kas ta võimaldab juurdepääsu oma lõppseadmes juba salvestatud teabele (nn küpsisemüürid).  See tähendab, et veebisait ei tohi seada külastuse tingimuseks, et kasutaja vajutab kõigi küpsistega nõustumise nupule. Kasutajal ei ole sel juhul reaalset valikuvõimalust, kas nõustuda küpsistega või mitte.

Kuigi pretsedenti loov kohtuotsus on olnud jõus juba üle paari aasta, kohtab paraku siiani veebisaite, kus ei toimu küpsiste kasutamiseks nõusolekute küsimine nõuetekohaselt. Vältimaks andmekaitseõigusega vastuollu sattumist, tuleb seega silmas pidada, et kasutaja nõusolekut ole tarvis vaid otseselt vajalike funktsionaalsete küpsiste kasutamiseks. Kõigi teiste küpsiste kasutamiseks tuleb saada veebikülastajalt eraldi luba.