Skip to main content

Küpsiste vastavuse ressursid ja sõnastik

Küpsiste vastavus hõlmab spetsiifilist sõnavara, mis pärineb EL-i regulatsioonist, andmekaitseõigusest ja veebitehnoloogiast. See sõnastik selgitab peamisi mõisteid, millega kokku puutute, ning sellele järgneb hoolikalt koostatud kogum ametlikke ressursse ja usaldusväärseid viiteid edasiseks süvenemiseks.

Peamiste mõistete sõnastik

A–C

CMP (nõusolekute haldusplatvorm): Tarkvaratööriist või teenus, mis haldab kasutajate nõusoleku kogumist, säilitamist ja jõustamist küpsiste ning muude jälgimistehnoloogiate osas. CMP tagab tavaliselt küpsisebänneri liidese, säilitab nõusolekukirjed ja kontrollib, milliseid skripte on kasutaja valikute põhjal lubatud käivitada. Näidete hulka kuuluvad Cookiebot, OneTrust, Usercentrics ja avatud lähtekoodiga lahendused nagu Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Prantsusmaa andmekaitseasutus. CNIL on olnud kõige aktiivsem Euroopa reguleerija küpsiste jõustamisel, määrates suurimaid küpsistega seotud trahve ja avaldades kõige põhjalikumaid küpsiste vastavuse juhiseid. Selle tõlgendused ja jõustamismeetmed seavad sageli standardi, mida teised andmekaitseasutused järgivad.

Nõusolek: GDPR-i kontekstis vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus andmesubjektilt, mida väljendab selge kinnitav tegevus. Küpsiste puhul tähendab see, et kasutaja peab aktiivselt valima mitteoluliste küpsiste lubamise sihipärase tegevuse kaudu, näiteks vajutades nupule „Nõustun". Vaikimine, eeltäidetud kastid, tegevusetus ja jätkuv sirvimine ei kujuta endast kehtivat nõusolekut.

Küpsis: Väike tekstifail, mille veebisait paigutab kasutaja seadmesse. Küpsiseid kasutatakse mitmesugustel eesmärkidel, alates sisselogimissessioonide hoidmisest (rangelt vajalik) kuni sirvimiskäitumise jälgimiseni kogu veebis (reklaam). Tehniliselt on küpsis nime-väärtuse paar koos seotud metaandmetega, sealhulgas domeen, tee, aegumine ja turvalipud.

Küpsisebänner: Kasutajaliidese element (tavaliselt riba, modaalaken või hüpikaken), mis ilmub, kui kasutaja esimest korda veebisaiti külastab, teavitades teda saidi küpsiste kasutamisest ja küsides tema nõusolekut. Vastav küpsisebänner annab selget teavet, pakub tegelikke valikuid (nõustuda, keelduda, kohandada) ega sea mitteolulisi küpsiseid enne, kui kasutaja reageerib.

Küpsisepoliitika: Dokument (tavaliselt eraldi veebileht või privaatsuspoliitika osa), mis annab üksikasjalikku teavet kõigi veebisaidil kasutatavate küpsiste kohta, sealhulgas nende nimede, eesmärkide, tüüpide, kestuste ja neid seadvate kolmandate osapoolte kohta. Küpsisepoliitika täidab GDPR-i läbipaistvuskohustusi ja ePrivacy direktiivi nõuet „selge ja arusaadava teabe" kohta.

Küpsisesein: Mehhanism, mis blokeerib juurdepääsu veebisaidi sisule, kui kasutaja ei nõustu kõigi küpsistega. Küpsiseseinad on vastuolulised ja nende õiguspärasus varieerub jurisdiktsiooniti. EDPB on väitnud, et küpsiseseinad õõnestavad kehtiva nõusoleku „vabatahtlikkuse" nõuet, kuna kasutaja seisab silmitsi „võta või jäta" valikuga. Mõned riiklikud andmekaitseasutused (eelkõige Prantsuse Conseil d'Etat) on lubanud küpsiseseinu piiratud tingimustel, kus kasutajal on tõeline alternatiivne viis sisule juurde pääseda.

D–E

Manipuleeriv muster (dark pattern): Kasutajaliidese kujunduslik valik, mis manipuleerib kasutajaid tegema otsuseid, mida nad muidu ei teeks. Küpsiste kontekstis hõlmavad manipuleerivad mustrid järgmist: nupu „Nõustun" visuaalne domineerimine, samal ajal peites „Keeldu" valiku, segadust tekitava keele kasutamine, keeldumiseks rohkemate klõpsude nõudmine kui nõustumiseks, ning häbistamistaktikate rakendamine. EDPB avaldas 2023. aasta veebruaris konkreetsed juhised manipuleerivate mustrite kohta andmekaitseliidestes.

Vastutav töötleja: Üksus, mis määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Veebisaidi seatud küpsiste puhul on veebisaidi haldaja tavaliselt vastutav töötleja. Kolmandate osapoolte küpsiste puhul võib esineda ühist vastutust veebisaidi haldaja ja kolmanda osapoole vahel, sõltuvalt sellest, mil määral kumbki osapool mõjutab andmekogumise eesmärke ja vahendeid.

Volitatud töötleja: Üksus, mis töötleb isikuandmeid vastutava töötleja nimel, järgides vastutava töötleja juhiseid. Majutusteenuse pakkuja või CMP-tarnija, kes tegutseb üksnes veebisaidi haldaja juhiste alusel, oleks volitatud töötleja. Erinevus on oluline, kuna vastutavad töötlejad kannavad esmast vastutust vastavuse eest, samas kui volitatud töötlejad peavad järgima vastutava töötleja juhiseid ja andmetöötluslepingu tingimusi.

Andmesubjekt: Füüsiline isik, kelle isikuandmeid töödeldakse. Küpsiste kontekstis on andmesubjektid veebisaidi külastajad, kelle andmeid kogutakse küpsiste kaudu. Andmesubjektidel on GDPR-i alusel õigused, sealhulgas õigus juurdepääsule, parandamisele, kustutamisele, töötlemise piiramisele, andmete ülekantavusele ja vastuväite esitamise õigus.

Andmekaitseasutus (DPA): Sõltumatu avalik-õiguslik asutus, mis vastutab andmekaitseõiguse järelevalve ja jõustamise eest igas EL-i liikmesriigis. Andmekaitseasutustel on õigus uurida kaebusi, teostada auditeid, anda juhiseid ja määrata trahve. Igas liikmesriigis on vähemalt üks andmekaitseasutus (Saksamaal on mitu, üks liidumaa kohta pluss föderaalne BfDI). Näited: CNIL (Prantsusmaa), Garante (Itaalia), ICO (Ühendkuningriik), Datatilsynet (Taani/Norra).

Andmekaitseametnik (DPO): Isik, kelle vastutav töötleja või volitatud töötleja määrab GDPR-i vastavuse üle järelevalve teostamiseks. GDPR nõuab teatud organisatsioonidelt andmekaitseametniku määramist, sealhulgas avalik-õiguslikelt asutustelt ja organisatsioonidelt, kelle põhitegevus hõlmab andmesubjektide ulatuslikku jälgimist. Kuigi see pole otseselt küpsistega seotud, teostab andmekaitseametnik tavaliselt järelevalvet organisatsiooni küpsiste vastavusprogrammi üle.

EDPB (Euroopa Andmekaitsenõukogu): Sõltumatu EL-i organ, mis tagab GDPR-i järjepideva rakendamise ja edendab koostööd riiklike andmekaitseasutuste vahel. EDPB (mis asendas artikli 29 töörühma) annab välja juhiseid, soovitusi ja siduvaid otsuseid. Selle juhised nõusoleku kohta (juhised 05/2020) ja manipuleerivate mustrite kohta on küpsiste vastavuse peamised viited.

ePrivacy direktiiv (direktiiv 2002/58/EÜ): EL-i direktiiv, mis reguleerib privaatsust elektroonilises sides, sealhulgas küpsiste kasutamist. Artikkel 5(3) on küpsiste nõusolekunõude peamine õiguslik alus. Direktiivina tuleb see igas liikmesriigis üle võtta siseriiklikku õigusesse, mis toob kaasa erinevusi rakendamisel. See kavatsetakse asendada ePrivacy määrusega, mille üle peetakse endiselt läbirääkimisi.

F–G

Esimese osapoole küpsis: Küpsis, mille seab domeen, mida kasutaja külastab. Näiteks kui kasutaja külastab example.com ja example.com seab küpsise, on see esimese osapoole küpsis. Esimese osapoole küpsiseid kasutatakse tavaliselt oluliste funktsioonide jaoks (sessioonid, eelistused) ja esimese osapoole analüütika jaoks. Neid peetakse üldiselt vähem sekkuvateks kui kolmandate osapoolte küpsiseid, kuna need ei saa jälgida kasutajaid erinevatel veebisaitidel.

GDPR (isikuandmete kaitse üldmäärus): Määrus (EL) 2016/679, EL-i põhjalik andmekaitseseadus, mis kehtib alates 25. maist 2018. GDPR sätestab õigusliku raamistiku selle kohta, mis kujutab endast kehtivat nõusolekut (küpsistele rakendatud ePrivacy direktiivi viite kaudu), andmesubjektide õigused, vastutavate ja volitatud töötlejate kohustused ning jõustamiskorra, sealhulgas trahvid kuni 4% ülemaailmsest aastakäibest või 20 miljonit eurot.

GPC (Global Privacy Control): Brauseritasandi signaal, mis edastab kasutaja eelistuse loobuda oma isikuandmete müügist või jagamisest. Erinevalt vanemast Do Not Track (DNT) signaalist on GPC-l õiguslik alus CCPA/CPRA ja mitmete teiste USA osariikide privaatsusseaduste alusel. Kui kasutaja lubab oma brauseris GPC, peavad neile seadustele alluvad veebisaidid seda käsitlema kehtiva loobumistaotlusena. GPC-d tunnustatakse üha enam ka Euroopas, kuigi see pole EL-i õiguse alusel veel õiguslikult kohustuslik.

Google Consent Mode: Google'i märgendite taristu funktsioon, mis kohandab Google'i märgendite (Analytics, Ads jne) käitumist veebisaidi CMP edastatud nõusolekustaatuse põhjal. Consent Mode v2, mis on EMP reklaami isikupärastamiseks nõutav alates 2024. aasta märtsist, lisab olemasolevatele parameetritele ad_storage ja analytics_storage parameetrid ad_user_data ja ad_personalization. Kui nõusolekust keeldutakse, kohandavad Google'i märgendid oma käitumist, et vältida küpsiste seadmist, kuigi olenevalt konfiguratsioonist võivad nad siiski saata piiratud, küpsisteta pinge.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Tööstuse väljatöötatud raamistik nõusoleku haldamiseks digitaalse reklaami ökosüsteemis. TCF pakub standardiseeritud viisi, kuidas CMP-d, reklaamiandjad ja väljaandjad saavad nõusolekusignaale edastada kogu reklaamitehnoloogia tarneahelas. Versioon 2.2 on praegune standard. TCF on seisnud silmitsi õiguslike vaidlustega, eelkõige Belgia andmekaitseasutuse 2022. aasta otsusega, et IAB Europe'i TC-stringi töötlemine kujutas endast isikuandmete töötlemist. Raamistikku kasutatakse endiselt laialdaselt, kuid selle õiguslik staatus jätkab arengut.

Õigustatud huvi: Üks kuuest isikuandmete töötlemise õiguslikust alusest GDPR-i artikli 6(1)(f) alusel. Õigustatud huvi nõuab kaalumistesti vastutava töötleja huvide ning andmesubjekti õiguste ja vabaduste vahel. Küpsiste puhul on õigustatud huvi kasutamine õigusliku alusena väga vaieldav. Valitsev Euroopa reguleeriv seisukoht on, et mitteoluliste küpsiste asjakohane alus on nõusolek (mitte õigustatud huvi), kuna ePrivacy direktiiv nõuab konkreetselt nõusolekut kasutaja seadmesse salvestamiseks.

O–P

Nõusoleku andmine (opt-in): Nõusolekumudel, kus isikuandmete töötlemist (või küpsiste seadmist) ei toimu, kui kasutaja ei tee kinnitavat tegevust selle lubamiseks. EL-i küpsisemudel on nõusolekupõhine: mitte ühtki mitteolulist küpsist enne, kui kasutaja nõustub. Nõusoleku andmine pakub tugevamat privaatsuskaitset, kuid nõuab nõusolekumehhanismi enne igasuguse jälgimise algust.

Loobumine (opt-out): Nõusolekumudel, kus isikuandmete töötlemine (või küpsiste seadmine) toimub vaikimisi ja kasutaja peab selle peatamiseks tegevusi tegema. USA küpsisemudel (CCPA ja sarnaste osariigi seaduste alusel) on üldiselt loobumispõhine: jälgimine toimub, kui kasutaja ei esita vastuväidet. Loobumine paneb tegevuskoormuse kasutajale, mitte veebisaidi haldajale.

Püsiküpsis: Küpsis, mis jääb kasutaja seadmesse kindlaksmääratud ajaks pärast brauseri sulgemist. Püsiküpsiseid kasutatakse eelistuste meelespidamiseks, sisselogimissessioonide hoidmiseks külastuste vahel ja käitumise jälgimiseks aja jooksul. Neil on määratud aegumiskuupäev ning need jäävad alles kuni selle kuupäeva möödumiseni või kuni kasutaja need kustutab. Püsiküpsiste kestus peaks olema proportsionaalne nende eesmärgiga.

Isikuandmed: GDPR-i alusel igasugune teave, mis on seotud tuvastatud või tuvastatava füüsilise isikuga. See hõlmab ilmseid tunnuseid (nimi, e-post) ja vähem ilmseid (IP-aadressid, küpsisetunnused, seadme sõrmejäljed). GDPR-i põhjendus 30 sätestab selgesõnaliselt, et veebipõhised tunnused, näiteks küpsisetunnused, võivad kujutada endast isikuandmeid. Praktikas kvalifitseeruvad peaaegu kõik küpsised, mis üheselt tuvastavad brauseri või kasutaja, isikuandmeteks.

Eelnev nõusolek: Nõusolek, mis saadakse enne selle poolt lubatud tegevuse toimumist. Küpsiste puhul tähendab eelnev nõusolek kasutaja nõusoleku saamist enne, kui tema seadmesse seatakse mis tahes mitteolulisi küpsiseid. See on ePrivacy direktiivi artikli 5(3) põhinõue. Küpsiste seadmine esmalt ja seejärel nõusoleku küsimine või küpsiste tagasiulatuv kustutamine, kui nõusolekust keeldutakse, ei rahulda eelneva nõusoleku nõuet.

S–T

Sessiooniküpsis: Küpsis, mis eksisteerib ainult kasutaja brauserisessiooni kestel ja kustutatakse, kui brauser suletakse. Sessiooniküpsiseid kasutatakse tavaliselt sisselogimisoleku hoidmiseks, ostukorvi sisu ja muude ajutiste andmete jaoks. Paljud sessiooniküpsised kvalifitseeruvad rangelt vajalikeks ja on seetõttu nõusolekunõudest vabastatud, kuigi see sõltub nende konkreetsest eesmärgist.

Rangelt vajalik küpsis: Küpsis, mis on hädavajalik veebisaidi toimimiseks ja kasutaja poolt sõnaselgelt taotletud teenuse osutamiseks. Rangelt vajalikud küpsised on ePrivacy direktiivi artikli 5(3) alusel nõusolekunõudest vabastatud. Näidete hulka kuuluvad autentimisküpsised, turvaküpsised (CSRF-märgid), koormuse tasakaalustamise küpsised ja kasutajaliidese eelistuste küpsised, mis on teenuse jaoks hädavajalikud. Analüütikaküpsised, reklaamiküpsised ja sotsiaalmeedia küpsised ei ole rangelt vajalikud, olenemata sellest, kui kasulikuks veebisaidi haldaja neid peab.

Kolmanda osapoole küpsis: Küpsis, mille seab muu domeen kui see, mida kasutaja külastab. Näiteks kui kasutaja külastab example.com ja küpsise seab facebook.com (example.com-i manustatud Facebook Pixeli kaudu), on Facebooki küpsis kolmanda osapoole küpsis. Kolmanda osapoole küpsiseid kasutatakse peamiselt saidiüleseks jälgimiseks ja suunatud reklaamiks. Suuremad brauserid piiravad või kaotavad kolmanda osapoole küpsiseid: Safari ja Firefox blokeerivad need juba vaikimisi ning Chrome on teatanud plaanidest need järk-järgult kõrvaldada (kuigi ajakava on mitu korda nihkunud).

Jälgimispiksel: Väike, nähtamatu pilt (tavaliselt 1x1 piksel), mis on manustatud veebilehele või e-kirja ning mis annab laadimisel serverile tagasisidet. Kuigi tehniliselt pole see küpsis, on jälgimispikslid seotud jälgimistehnoloogia, mis töötab sageli koos küpsistega kasutaja käitumise jälgimiseks. Nende suhtes kehtivad ePrivacy direktiivi alusel samad nõusolekunõuded kui küpsiste puhul, kuna need hõlmavad juurdepääsu teabele kasutaja seadmes (HTTP-päring edastab kasutaja IP-aadressi, brauseri teabe ja kõik seotud küpsised).

Ametlikud ressursid

EL-i õigusaktid ja juhised

Riiklike andmekaitseasutuste küpsiste juhised

Google Consent Mode

IAB Transparency and Consent Framework

USA privaatsusseadused

Euroopa Kohtu (CJEU) kohtupraktika

Edasine lugemine

Küpsiste vastavuse tööriistad

Küpsiste vastavuse säilitamine nõuab õigeid tööriistu. Passiro pakub automaatset küpsiste skannimist, mis roomab kogu teie veebisaidi läbi päris brauserimootorit kasutades, tuvastab kõik küpsised ja jälgimistehnoloogiad, kategoriseerib need pidevalt uuendatava andmebaasi abil ning jälgib muutusi ajastatud skannimiste ja hoiatustega. Koos Passiro nõusolekute haldusplatvormiga annab see teile täieliku ja alati ajakohase ülevaate teie veebisaidi küpsiste vastavuse olukorrast.

Lugege lähemalt Passiro skannimisvõimekuse kohta või käivitage oma veebisaidi tasuta skannimine, et näha, milliseid küpsiseid teie sait täna seab.

Kas sinu veebisait vastab kupsiste reeglitele?

Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.

Skanni oma kupsiseid tasuta