Skip to main content

ePrivacy direktiiv: ELi küpsiseseadus lahti seletatuna

Kui inimesed räägivad "ELi küpsiseseadusest", peavad nad tavaliselt silmas ePrivacy direktiivi — täpsemalt selle artiklit 5(3). Kuigi enamik pealkirju kuulub GDPRile, on just ePrivacy direktiiv see regulatsioon, mis otseselt reguleerib küpsiste ja sarnaste jälgimistehnoloogiate kasutamist. Selle direktiivi, selle seose GDPRiga ning tulevase ePrivacy määruse mõistmine on hädavajalik igaühele, kes vastutab Euroopa veebisaidi küpsiste vastavuse eest.

Mis on ePrivacy direktiiv?

ePrivacy direktiiv (ametlikult direktiiv 2002/58/EÜ) võeti vastu 12. juulil 2002 osana ELi telekommunikatsiooni privaatsuse raamistikust. Algselt keskendus see privaatsusele elektroonilises side valdkonnas — hõlmates selliseid teemasid nagu side konfidentsiaalsus, liiklusandmed, rämpspost ja helistaja tuvastamine.

2009. aastal muudeti direktiivi oluliselt direktiiviga 2009/136/EÜ (mida sageli nimetatakse "kodanike õiguste direktiiviks"). See muudatus tõi sisse tänapäeval tuntud küpsiste nõusolekunõude, asendades varasema loobumissüsteemi valikulise nõusoleku mudeliga. Enne 2009. aastat pidid veebisaidid vaid teavitama kasutajaid küpsistest ja andma neile õiguse keelduda. Pärast 2009. aastat muutus eelnev nõusolek kohustuslikuks kõigi mittehädavajalike küpsiste puhul.

Erinevalt GDPRist, mis on määrus (otsekohaldatav kõigis liikmesriikides), on ePrivacy direktiiv direktiiv (iga liikmesriik peab selle oma õigusesse üle võtma). See tähendab, et konkreetsed küpsisereeglid erinevad riigiti, ehkki aluspõhimõttelised nõuded on samad.

Artikkel 5(3): küpsiste nõusolekureegel

ePrivacy direktiivi artikkel 5(3) on säte, mis otseselt reguleerib küpsiseid. Oma muudetud kujul sätestab see:

"Liikmesriigid tagavad, et teabe salvestamine või juba salvestatud teabele juurdepääsu saamine abonendi või kasutaja lõppseadmes on lubatud üksnes tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, olles saanud selget ja arusaadavat teavet [andmekaitsedirektiivi, nüüd GDPRi] kohaselt muu hulgas töötlemise eesmärkide kohta."

See säte kehtestab mitu peamist nõuet:

  1. Kohaldamisala: See hõlmab igasugust teabe salvestamist kasutaja seadmesse või juurdepääsu kasutaja seadmesse salvestatud teabele. See hõlmab küpsiseid, kuid ka kohalikku salvestust (local storage), IndexedDB-d, seadme sõrmejälgede võtmist, jälgimispiksleid ja mis tahes muud tehnoloogiat, mis loeb kasutaja seadmest või kirjutab sinna.
  2. Eelnev nõusolek: Nõusolek tuleb saada enne teabe salvestamist või sellele juurdepääsu — mitte pärast.
  3. Teadlik nõusolek: Kasutajale tuleb anda selget ja arusaadavat teavet salvestamise või juurdepääsu eesmärkide kohta.
  4. Nõusoleku standard: Viide GDPRile (algselt andmekaitsedirektiivile) tähendab, et kohaldub GDPRi nõusoleku määratlus ja tingimused. Nõusolek peab olema vabatahtlik, konkreetne, teadlik ja ühemõtteline.

"Rangelt vajalike" küpsiste erand

Artikkel 5(3) sisaldab oma teises lauses olulist erandit:

"See ei takista mis tahes tehnilist salvestamist või juurdepääsu, mille ainus eesmärk on side edastamine elektroonilise sidevõrgu kaudu või mis on rangelt vajalik selleks, et infoühiskonna teenuse osutaja saaks osutada abonendi või kasutaja poolt selgesõnaliselt taotletud teenust."

See erand hõlmab kahte kategooriat küpsiseid, mis ei vaja nõusolekut:

  1. Side edastamiseks vajalikud küpsised (nt koormuse jaotamise küpsised).
  2. Küpsised, mis on rangelt vajalikud kasutaja selgesõnaliselt taotletud teenuse osutamiseks (nt ostukorvi küpsised, autentimisseansi küpsised, kasutaja eelistuste küpsised teenuse jaoks, mida kasutaja aktiivselt kasutab).

Euroopa Andmekaitsenõukogu eelkäija, artikli 29 töörühm, andis üksikasjalikud juhised selle kohta, millised küpsised kvalifitseeruvad rangelt vajalikeks, oma arvamuses 04/2012. Näiteks:

  • Vabastatud (nõusolek pole vajalik): kasutaja sisendi seansiküpsised (mitmeetapilised vormid), autentimisküpsised, ostukorvi küpsised, turvaküpsised (CSRF-märgised), multimeediumipleieri seansiküpsised, koormuse jaotamise küpsised, kasutajaliidese kohandamise küpsised (keele-eelistus) praeguse seansi jaoks.
  • Ei ole vabastatud (nõusolek vajalik): analüütikaküpsised (sh Google Analytics), reklaamiküpsised, sotsiaalmeedia jagamis-/jälgimisküpsised, püsivad eelistuste küpsised, mis kestavad kauem kui seanss, mis tahes kolmandate osapoolte jälgimisküpsised.

Otsustav erisus on nende küpsiste vahel, mis teenindavad kasutaja selgesõnalist soovi, ja nende vahel, mis teenindavad veebisaidi operaatori huve. Keele-eelistuse küpsis, mis seatakse, kuna kasutaja klõpsas keelevalijat, on rangelt vajalik. Analüütikaküpsis, mis seatakse veebisaidi operaatori aitamiseks liikluse mõistmisel, ei ole — ehkki operaator peab seda oluliseks.

Kuidas ePrivacy ja GDPR koos toimivad

ePrivacy direktiivi ja GDPRi vaheline suhe on lex specialis (erinorm) ja lex generalis (üldnorm) suhe. ePrivacy direktiiv on erinorm, mis reguleerib privaatsust elektroonilises side valdkonnas, samal ajal kui GDPR on üldine andmekaitse raamistik.

Praktikas:

  • ePrivacy direktiiv reguleerib, kas te tohite küpsist kasutaja seadmesse paigutada. See nõuab nõusolekut mittehädavajalike küpsiste puhul, olenemata sellest, kas küpsis sisaldab isikuandmeid.
  • GDPR reguleerib, mis on kehtiv nõusolek ja kuidas te tohite töödelda küpsiste kaudu kogutud isikuandmeid. See tagab ka jõustamisraamistiku, sealhulgas õiguse esitada kaebusi andmekaitseasutustele ning märkimisväärse trahvirežiimi.

See tähendab, et isegi küpsis, mis ei sisalda isikuandmeid (näiteks juhuslikult genereeritud analüütikaidentifikaator, millel puudub seos mis tahes muude andmetega), vajab siiski nõusolekut ePrivacy direktiivi alusel, sest artikkel 5(3) kehtib igasuguse salvestamise kohta kasutaja seadmes — mitte ainult isikuandmete salvestamise kohta.

Vastupidiselt, kui te töötlete küpsiste kaudu isikuandmeid, peate järgima kogu GDPRi raamistikku: õiguslik alus, läbipaistvus, andmesubjekti õigused, andmekaitse mõjuhinnangud ja kõik muud kohustused.

Riiklikud ülevõtmised

Kuna ePrivacy direktiiv on direktiiv, mitte määrus, on iga ELi liikmesriik selle oma õigusesse üle võtnud teatava varieerumisega. Kuigi põhinõue — nõusolek enne mittehädavajalikke küpsiseid — on kõigis liikmesriikides ühtne, esineb märkimisväärseid erinevusi järgmistes küsimustes:

  • Jõustamise intensiivsus: Prantsusmaa (CNIL) ja Itaalia (Garante) on olnud kõige aktiivsemad küpsiste jõustamisel, samal ajal kui teised riigid on suunanud oma ressursid mujale.
  • Konkreetsed erandid: Mõned riigid on võtnud "rangelt vajalike" erandi osas veidi laiema või kitsama tõlgenduse.
  • Analüütikaküpsised: Mõned andmekaitseasutused on uurinud, kas nõuetekohaselt konfigureeritud, privaatsust säilitavad analüütikatööriistad (nt anonüümistatud analüütika ilma saitide vahelise jälgimiseta) võiksid kvalifitseeruda õigustatud huvi alusele. Prantsuse CNILi erand auditooriumi mõõtmise tööriistadele teatud tingimustel on selle kõige märkimisväärsem näide, ehkki see jääb vaieldavaks.
  • Küpsiseseinad: Küpsiseseinade (mis nõuavad veebisaidile juurdepääsuks nõusolekut) seaduslikkus erineb jurisdiktsiooniti. Hollandi andmekaitseasutus ja Euroopa Andmekaitsenõukogu on võtnud nende suhtes range seisukoha, samal ajal kui Prantsuse riiginõukogu (Conseil d'Etat) leidis, et need on teatud tingimustel lubatavad.

Kavandatav ePrivacy määrus

Euroopa Komisjon avaldas ePrivacy määruse ettepaneku 2017. aasta jaanuaris eesmärgiga asendada ePrivacy direktiiv ja viia küpsisereeglid kooskõlla GDPRiga. Rohkem kui üheksa aastat hiljem on määrus endiselt läbirääkimiste faasis, muutes selle üheks ELi ajaloo pikimaks õigusloomeprotsessiks.

Peamised muudatused kavandatavas määruses

Kuigi lõplikus tekstis pole veel kokku lepitud, on ettepanek ja järgnevad nõukogu seisukohad viidanud mitmele olulisele muudatusele:

  • Otsekohaldatavus: Määrusena, mitte direktiivina, kohalduks ePrivacy määrus ühetaoliselt kõigis liikmesriikides, kõrvaldades praeguse killustatuse.
  • Brauseripõhine nõusolek: Varajased ettepanekud sisaldasid sätteid, mis võimaldaksid kasutajatel seada oma küpsiste-eelistused brauseri tasandil, selle asemel et vastata igal veebisaidil eraldi küpsisebänneritele. See lihtsustaks kasutajakogemust dramaatiliselt, ehkki tehnilised ja poliitilised väljakutsed on märkimisväärsed.
  • Laiendatud kohaldamisala: Määrus laieneks, hõlmates over-the-top (OTT) sideteenuseid nagu WhatsApp ja Skype, mis praeguse direktiiviga hõlmatud ei ole.
  • Selgemad erandid: Määruse eesmärk on täpsustada, millist tüüpi küpsised on nõusolekust vabastatud, potentsiaalselt laiendades erandit teatud tüüpi auditooriumi mõõtmisele.
  • Metaandmete reeglid: Uued sätted, mis reguleerivad sidemetaandmete (asukohaandmed, ühenduseajad) töötlemist enam kui praegune direktiiv hõlmab.
  • Ühtlustatud jõustamine: Määrus kehtestaks ühtse jõustamismehhanismi, mis tõenäoliselt põhineb GDPRi ühtse kontaktpunkti põhimõttel.

Praegune seis ja ajakava

2026. aasta alguse seisuga on ePrivacy määrus endiselt kolmepoolsetel läbirääkimistel (triloogis) Euroopa Parlamendi, Euroopa Liidu Nõukogu ja Euroopa Komisjoni vahel. Edenemine on olnud aeglane mitmete põhimõtteliste lahkarvamuste tõttu, sealhulgas brauseripõhise nõusolekumehhanismi, "rangelt vajalike" erandi ulatuse ja metaandmete töötlemise reeglite osas.

Kõige realistlikum stsenaarium on, et määrus ei valmi enne 2027. aastat kõige varem, millele lisandub 12–24-kuuline üleminekuperiood enne jõustumist. Veebisaidi operaatorid peaksid jätkama praeguse ePrivacy direktiivi järgimist selle riiklikult õigusesse ülevõetud kujul, täiendatuna GDPRi nõusolekuraamistikuga.

Praktilised tagajärjed veebisaidi omanikele

Sõltumata tulevast ePrivacy määrust ümbritsevast regulatiivsest ebakindlusest on praegused reeglid selged ja aktiivselt jõustatud. Veebisaidi omanikud peaksid:

  1. Käsitlema praegust režiimi lähtepunktina. Mittehädavajalike küpsiste nõusolekunõue on kogu ELis kehtiv seadus. Ärge oodake ePrivacy määrust, et vastavus rakendada.
  2. Blokeerima mittehädavajalikud küpsised enne nõusolekut. See on vastavuse tehniliselt kõige keerulisem aspekt, kuid see pole läbiräägitav. Teie küpsiste nõusolekumehhanism peab takistama skriptidel küpsiste seadmist, kuni kasutaja on aktiivselt nõusoleku andnud.
  3. Rakendama GDPRi nõusolekustandardit. Kui ePrivacy direktiiv ütleb "nõusolek", tähendab see GDPRi nõusolekut: vabatahtlik, konkreetne, teadlik, ühemõtteline ja väljendatud selge kinnitava tegevusega.
  4. Dokumenteerima oma rangelt vajalikud küpsised. Pidama selget arvestust selle üle, milliseid küpsiseid te peate rangelt vajalikeks ja miks. Olema valmis seda liigitust põhjendama, kui andmekaitseasutus selle vaidlustab.
  5. Jälgima riiklikke arenguid. Kuna ePrivacy direktiiv on igas riigis erinevalt rakendatud, olge kursis andmekaitseasutuste juhiste ja jõustamistegevusega neis riikides, kus asuvad teie kasutajad.
  6. Valmistuma ePrivacy määruseks. Kuigi ajakava on ebakindel, on suund selge: ühtlustatumad reeglid, potentsiaalselt laiemad nõusolekumehhanismid ja jätkuv rõhk kasutaja privaatsusele. Robustse nõusolekuhaldussüsteemi ehitamine juba praegu muudab ülemineku sujuvamaks, kui see saabub.

ePrivacy direktiiv võib olla üle kahe aastakümne vana, kuid see jääb Euroopa küpsiseseaduse nurgakiviks. Koos GDPRi nõusolekuraamistiku ja riiklike andmekaitseasutuste aktiivsete jõustamisprogrammidega loob see regulatiivse keskkonna, kus küpsiste vastavus ei ole vabatahtlik — see on juriidiline kohustus, millel on mittevastavuse korral tegelikud rahalised tagajärjed.

Kas sinu veebisait vastab kupsiste reeglitele?

Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.

Skanni oma kupsiseid tasuta