Millal on küpsiste nõusolek vajalik?
Üldreegel on lihtne: nõusolek on vajalik kõigi küpsiste puhul, välja arvatud need, mis on rangelt vajalikud. Kuid detailid on olulised. Täpne teadmine, millal nõusolekut on ja millal ei ole vaja, hoiab ära nii ülevastavuse (kasutajate häirimine tarbetute nõusolekuküsimustega) kui ka alavastavuse (küpsiste paigutamine ilma õigusliku aluseta).
Üldreegel
ePrivacy direktiivi artikli 5 lõige 3 sätestab lähtepunkti:
Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse või juba salvestatud teabele juurdepääsu saamine on lubatud üksnes tingimusel, et asjaomasele abonendile või kasutajale on antud selge ja arusaadav teave [...] töötlemise eesmärkide kohta ning ta on selleks andnud oma nõusoleku.
See hõlmab kõiki küpsiseid, kogu kohalikku salvestust ja kogu seadmetasandi salvestamist või juurdepääsu. Kui teie veebisait kirjutab midagi kasutaja seadmesse, on nõusolek vaikimisi nõue.
Rangelt vajalike küpsiste erand
Sama artikkel näeb ette ainsa erandi:
See ei takista sellist tehnilist salvestamist või juurdepääsu, mille ainus eesmärk on side edastamine elektroonilises sidevõrgus või mis on hädavajalik selleks, et pakkuda infoühiskonna teenust, mida abonent või kasutaja on sõnaselgelt taotlenud.
Sellel erandil on kaks tahku:
- Tehniline edastamine: küpsised, mis on side toimumiseks tehniliselt vajalikud. See on kitsas — sisuliselt piirdub koormuse jaotamise küpsiste ja sarnaste võrgutasandi vajadustega.
- Teenuse jaoks rangelt vajalik: küpsised, mis on hädavajalikud teenuse jaoks, mida kasutaja on sõnaselgelt taotlenud. Võtmefraas on „mida abonent või kasutaja on sõnaselgelt taotlenud". Teenus peab olema midagi, mida kasutaja palus, ja küpsis peab olema selle pakkumiseks asendamatu.
Küpsised, mis on rangelt vajalikud (nõusolekut ei ole vaja)
- Seansi autentimisküpsised. Kui kasutaja logib sisse, on seansiküpsis, mis säilitab tema autenditud oleku, rangelt vajalik teenuse jaoks, mida ta taotles (juurdepääs oma kontole).
- Ostukorvi küpsised. E-kaubanduse saidil on küpsis, mis jälgib korvis olevaid tooteid, rangelt vajalik ostuteenuse jaoks, mida kasutaja kasutab.
- CSRF-kaitse tokenid. Need on rangelt vajalikud vormide turvaliseks esitamiseks.
- Küpsiste nõusoleku eelistuste küpsised. Küpsis, mis salvestab kasutaja nõusolekuvalikud, on rangelt vajalik — ilma selleta ei saa te tema privaatsuseelistusi austada.
- Sisestusega seotud küpsised. Küpsised, mis mäletavad vormisisestust mitmeetapilise protsessi (näiteks kassavormi) jooksul, kus kasutaja on protsessi algatanud.
- Koormuse jaotamise küpsised. Tehnilised küpsised, mis suunavad päringud õigele serverile. Need kuuluvad erandi „edastamise" tahu alla.
- Kasutajaliidese kohandamise küpsised. Kui kasutaja valib lehel oleva juhtelemendi kaudu sõnaselgelt keele või kujunduse, on selle valiku salvestav küpsis rangelt vajalik teenuse jaoks, mida ta taotles. See on aga kontekstisõltuv — vaadake allpool.
Küpsised, mis EI OLE rangelt vajalikud (nõusolek vajalik)
- Analüütikaküpsised. Veebisaidi liikluse mõõtmine toob kasu veebisaidi operaatorile, mitte kasutajale. Kasutaja ei taotlenud liiklusanalüüsi teenust.
- Reklaami- ja taassihtimisküpsised. Need teenivad reklaamijate ja veebisaidi operaatori huve, mitte kunagi kasutaja huve.
- Sotsiaalmeedia jagamisküpsised. Need on seadistatud kolmandate osapoolte sotsiaalvõrgustike poolt, mitte kasutaja taotletud teenuse jaoks.
- A/B-testimise küpsised. Need teenivad operaatori optimeerimiseesmärke.
- Partnerjälgimise küpsised. Need jälgivad, milline partner kasutaja suunas, teenides operaatori ärihuve.
- Püsivad sisselogimise („mäleta mind") küpsised. EDPB on märkinud, et kuigi seansiküpsis praeguse sisselogimise jaoks on vajalik, läheb püsiküpsis, mis hoiab kasutaja seansside vahel sisselogitud, kaugemale sellest, mis on rangelt vajalik. Kasutaja võiks uuesti sisse logida.
- Jõudluse jälgimise küpsised. Küpsised, mida kasutatakse lehe laadimisaegade, vigade määra ja sarnaste tehniliste mõõdikute jälgimiseks, teenivad operaatorit, mitte kasutajat.
Esimese osapoole analüütika debatt
Üks vaieldavamaid valdkondi küpsistevastavuses on see, kas esimese osapoole analüütikaküpsiseid saab kasutada ilma nõusolekuta. Vastus varieerub jurisdiktsiooniti ja on arenemas.
CNIL-i seisukoht (Prantsusmaa)
Prantsuse CNIL on andnud konkreetseid juhiseid, et teatud auditooriumi mõõtmise küpsised võivad olla nõusolekust vabastatud, tingimusel et:
- Eesmärk piirdub rangelt auditooriumi mõõtmisega (ei mingit saitideülest jälgimist)
- Andmeid ei jagata kolmandate osapooltega
- Küpsised on ainult esimese osapoole omad
- Andmeid kasutatakse ainult anonüümse statistika koostamiseks
- Küpsistel on piiratud eluiga (maksimaalselt 13 kuud)
- Kasutajaid teavitatakse nende kasutamisest
- Kasutajad saavad loobuda
Nendel tingimustel peab CNIL teatud tööriistu (näiteks privaatsust austavas režiimis seadistatud Matomo) erandiks sobivaks. Google Analytics ei kvalifitseeru, peamiselt seetõttu, et Google töötleb andmeid oma taristul ja võib kasutada neid oma eesmärkidel.
Hollandi AP seisukoht (Holland)
Hollandi Autoriteit Persoonsgegevens on samuti märkinud, et minimaalse privaatsusmõjuga analüütikaküpsiseid võib kasutada ilma nõusolekuta, kuid on seadnud CNIL-i omaga võrreldavad tingimused.
Muud jurisdiktsioonid
Enamik teisi Euroopa andmekaitseasutusi ei ole võtnud vastu selget analüütikaerandit. ICO (Ühendkuningriik) on öelnud, et analüütikaküpsised nõuavad nõusolekut. Saksa andmekaitseasutused nõuavad üldjuhul nõusolekut kõigi mittehädavajalike küpsiste puhul. Hispaania AEPD seisukoht on kooskõlas nõusoleku nõudmisega.
Praktiline soovitus
Kui te ei tegutse eranditult Prantsusmaal või Hollandis ega suuda täita kõiki CNIL-i/AP tingimusi, on kõige turvalisem lähenemine käsitleda analüütikaküpsiseid nõusolekut nõudvatena. Kui te siiski tuginete analüütikaerandile, dokumenteerige oma põhjendused, veenduge, et täidate iga tingimuse, ja jälgige regulatiivseid arenguid — see valdkond areneb veel.
Nõusolekuerandid küpsise eesmärgi järgi: otsustusvoodiagramm
Iga oma veebisaidi küpsise puhul käige läbi need küsimused:
- Kas küpsis on side edastamiseks tehniliselt vajalik? (nt koormuse jaotamine) Kui jah: nõusolekut ei ole vaja. Kui ei: jätkake.
- Kas kasutaja on sõnaselgelt taotlenud teenust, mis nõuab seda küpsist? (nt sisselogimine, toodete lisamine korvi) Kui jah: jätkake. Kui ei: nõusolek on vajalik.
- Kas taotletud teenus ei toimiks ilma selle konkreetse küpsiseta? Kui jah: nõusolekut ei ole vaja (rangelt vajalik). Kui teenus toimiks, kuid oleks vähem mugav: nõusolek on vajalik.
- Kas küpsis on esimese osapoole oma, piiratud koondanalüütikaga, andmeid ei jagata kolmandate osapooltega, ja kas te asute jurisdiktsioonis, kus kehtib analüütikaerand? Kui kõigile jah: potentsiaalselt vabastatud, kuid dokumenteerige oma põhjendused. Kui mõnele ei: nõusolek on vajalik.
- Kõigil muudel juhtudel: nõusolek on vajalik.
Erilised olukorrad
Küpsisemüürid
Küpsisemüür blokeerib juurdepääsu veebisaidile, kui kasutaja küpsiseid ei aktsepteeri. EDPB seisukoht on, et küpsisemüürid takistavad üldiselt nõusoleku „vabatahtlikku andmist" ega ole seetõttu nõuetele vastavad. Mõned andmekaitseasutused (eelkõige Hollandi AP kohtuotsuse järel) on siiski märkinud, et küpsisemüürid võivad olla vastuvõetavad, kui pakutakse tõelist, samaväärset alternatiivi — näiteks teenuse tasulist, küpsistevaba versiooni. See jääb vaieldavaks valdkonnaks.
Maksemüür vs küpsisemüür
Mõned väljaandjad pakuvad „nõustu või maksa" mudelit: aktsepteeri jälgimisküpsiseid tasuta juurdepääsu eest või maksa küpsistevaba kogemuse eest. EDPB andis 2024. aastal välja arvamuse, mis käsitleb seda praktikat, tunnistades, et see võib teatud tingimustel olla lubatud, kuid väljendades muret, et „maksa" alternatiiv peab olema tõeliselt mõistlik ega tohi olla määratud hinnaga, mis on mõeldud nõusoleku pealesundimiseks.
Lapsed
GDPR-i artikli 8 kohaselt nõuab nõusolek lastele suunatud infoühiskonna teenuste puhul kontrolli ja teatud vanuse alla jäävate laste puhul (varieerudes liikmesriigist olenevalt 13 kuni 16 aastani) vanema nõusolekut. Kui teie veebisait on suunatud lastele, on küpsiste nõusoleku nõuded rangemad.
Töötaja- ja B2B-kontekstid
ePrivacy direktiiv kehtib „abonendi või kasutaja" kohta — mitte ainult tarbijate kohta. Kui teie B2B SaaS-platvorm kasutab mittehädavajalikke küpsiseid, on nõusolek üksikkasutajalt siiski vajalik, isegi ärikontekstis.
Mis juhtub kehtiva nõusolekuta
Kui paigutate mittehädavajalikke küpsiseid ilma kehtiva nõusolekuta:
- Teie kogutavad andmed võivad olla ebaseaduslikud nii ePrivacy direktiivi kui ka GDPR-i alusel.
- Teil on GDPR-i alusel oht saada trahv kuni 20 miljonit eurot või 4% globaalsest aastakäibest, olenevalt sellest, kumb on suurem (artikkel 83 lõige 5).
- Teile võidakse anda korraldus ebaseaduslikult kogutud andmed kustutada.
- Teie analüütika- ja reklaamiandmed võivad olla ohus — kui kogumise õiguslik alus on kehtetu, ei saa andmeid seaduslikult kasutada.
- Nende andmete edasised vastuvõtjad (reklaamivõrgud, analüütikapakkujad) võivad samuti vastutada.
Need ei ole hüpoteetilised riskid. CNIL trahvis Google'it 150 miljoni euroga ja Facebooki 60 miljoni euroga just küpsiste nõusoleku rikkumiste eest. Väiksemad ettevõtted on saanud sarnaste rikkumiste eest kümnete tuhandete eurode suuruseid trahve.
Passiro tuvastab teie veebisaidil iga küpsise ja märgistab need, mis nõuavad nõusolekut, nii et võite olla kindel, et teie nõusolekumehhanism katab õiged küpsised — ei rohkem ega vähem.
Järgmisena võrdleme kahte põhilist nõusolekumudelit: valikuline nõusolek (opt-in) versus loobumisõigus (opt-out) ja seda, kumb kus kehtib.
Kas sinu veebisait vastab kupsiste reeglitele?
Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.
Skanni oma kupsiseid tasuta