Küpsiseseadused riigiti: EL-i ja EMP juhend
Kuigi ePrivacy direktiiv ja GDPR pakuvad kogu Euroopa Liidus ühist raamistikku, on iga liikmesriik ePrivacy direktiivi oma nüanssidega siseriiklikku õigusesse üle võtnud. Jõustamise intensiivsus, erandite tõlgendamine ja trahvide suurus erinevad riigiti märkimisväärselt. See juhend käsitleb küpsiseseaduste peamisi eripärasid kaheteistkümne suurema Euroopa turu näitel.
Kiirülevaate tabel
| Riik | Järelevalveasutus | Siseriiklik seadus | Jõustamise tase | Märkimisväärne |
|---|---|---|---|---|
| Saksamaa | Liidumaade andmekaitseasutused + BfDI | TTDSG (2021) | Kõrge | Detsentraliseeritud jõustamine; PIMS-raamistik |
| Prantsusmaa | CNIL | Loi Informatique et Libertés | Väga kõrge | Rekordtrahvid; üksikasjalikud küpsisejuhised |
| Itaalia | Garante | Privaatsuskoodeks (D.Lgs. 196/2003) | Kõrge | Põhjalikud 2021. aasta küpsisejuhised |
| Hispaania | AEPD | LSSI-CE + LOPDGDD | Mõõdukas | Analüütika erandi arutelu ajalugu |
| Holland | AP | Telecommunicatiewet | Kõrge | Range küpsisemüüride keeld |
| Belgia | APD/GBA | ePrivacy seadus (2012) | Mõõdukas | IAB Europe TCF otsus |
| Austria | DSB | TKG 2021 | Mõõdukas-kõrge | Varajased Google Analyticsi otsused |
| Taani | Datatilsynet | Cookiebekendtgørelsen | Mõõdukas | Kasvav jõustamine alates 2022. aastast |
| Rootsi | IMY | LEK (2003:389) | Mõõdukas-kõrge | Suured trahvid aastatel 2023–2024 |
| Iirimaa | DPC | SI 336/2011 | Mõõdukas | Suurte tehnoloogiafirmade keskus; jõustamiskiiruse tõttu tähelepanu all |
| Poola | UODO | Telekommunikatsiooniseadus | Mõõdukas | Kasvav jõustamistegevus |
| Norra | Datatilsynet | Ekomloven | Mõõdukas | EMP liige; järgib tihedalt EDPB juhiseid |
Saksamaa
Järelevalveasutus: föderaalne andmekaitsevolinik (BfDI) föderaaltasandil ning 16 liidumaa andmekaitseasutust (Landesdatenschutzbehörden).
Siseriiklik seadus: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), mis jõustus 1. detsembril 2021 ja koondas Saksamaa küpsisereeglid. TTDSG § 25 võtab üle ePrivacy direktiivi artikli 5 lõike 3, nõudes teabe salvestamiseks või sellele juurdepääsuks lõppkasutaja seadmes nõusolekut, välja arvatud juhul, kui salvestamine on rangelt vajalik.
Peamised nõuded: TTDSG selgitas, et küpsiste nõusolek peab vastama GDPR-i standardile. Saksamaa Föderaalne Kohus (BGH) oli seda juba kinnitanud Planet49 otsuse rakendamisel (mai 2020), leides, et eelnevalt märgistatud märkeruudud ei ole piisavad. TTDSG kehtestas ka sätted tunnustatud isikuandmete haldussüsteemide (PIMS) kohta, mis võimaldaksid kasutajatel hallata nõusolekueelistusi tsentraalselt, mitte igal veebisaidil eraldi – kuigi PIMS-i rakendussätete väljatöötamine on olnud aeglane.
Jõustamine: Saksamaa detsentraliseeritud jõustamisstruktuur tähendab, et küpsiste nõuetele vastavuse jõustamine erineb liidumaati. Berliini, Hamburgi ja Baden-Württembergi andmekaitseasutused on olnud kõige aktiivsemate seas. Andmekaitseasutuste konverents (DSK) avaldab perioodiliselt ühiseid seisukohti küpsiste nõusoleku nõuete kohta.
Märkimisväärsed meetmed: Mitmed uurimised küpsisebännerite kohta, mis kasutasid pettemustreid, eelkõige „suunavaid" disainilahendusi, kus nõustumisnupp oli visuaalselt esiletõstetud, samas kui tagasilükkamisvalik oli vähem märgatav. Trahvid on üldiselt olnud madalamad kui Prantsusmaal, kuid jõustamistegevus on alates TTDSG jõustumisest pidevalt kasvanud.
Prantsusmaa
Järelevalveasutus: Commission Nationale de l'Informatique et des Libertés (CNIL).
Siseriiklik seadus: Loi Informatique et Libertés (seadus nr 78-17), muudetud ePrivacy direktiivi rakendamiseks. CNIL avaldas põhjalikud küpsisejuhised 2020. aasta septembris, seades nõuetele vastavuse ajapikenduse lõppkuupäevaks 31. märtsi 2021.
Peamised nõuded: Prantsusmaa on rangeim suurem EL-i turg küpsiste nõuetele vastavuse osas. CNIL-i juhised nõuavad: nõusolekut enne iga mittehädavajaliku küpsise seadmist; tagasilükkamisvalikut bänneri esimeses kihis, mida on sama lihtne kasutada kui nõustumisvalikut; küpsisemüüride keeldu (piiratud eranditega, mille kinnitas Conseil d'État); üksikasjalikku teavet iga küpsise eesmärgi kohta.
Auditooriumi mõõtmise erand: CNIL näeb ette piiratud erandi auditooriumi mõõtmise küpsistele, mis vastavad rangetele tingimustele: tööriist peab olema seadistatud tootma ainult anonüümseid statistilisi andmeid, küpsised peavad piirduma avaldaja saidiga, küpsise eluiga ei tohi ületada 13 kuud ja andmeid ei tohi kombineerida muu töötlemisega. Selle erandi alusel on tunnustatud selliseid tööriistu nagu Matomo (spetsiifilise seadistusega) ja AT Internet. Google Analytics ei kvalifitseeru.
Märkimisväärsed trahvid: Prantsusmaa on määranud Euroopa suurimaid küpsistega seotud trahve. Google LLC-le määrati 2021. aasta detsembris 150 miljoni euro suurune trahv küpsiste tagasilükkamise raskemaks tegemise eest kui nõustumine. Facebookile määrati samas menetluses 60 miljoni euro suurune trahv. Microsoftile määrati 2022. aasta detsembris 60 miljoni euro suurune trahv. TikTokile määrati 2022. aasta detsembris 5 miljoni euro suurune trahv. Criteole määrati 2023. aasta juunis 40 miljoni euro suurune trahv. Kokku on CNIL määranud üle 400 miljoni euro küpsisespetsiifilisi trahve.
Itaalia
Järelevalveasutus: Garante per la protezione dei dati personali (Garante).
Siseriiklik seadus: Privaatsuskoodeks (Decreto Legislativo 196/2003), muudetud GDPR-iga vastavusse viimiseks. Garante avaldas põhjalikud küpsisejuhised 10. juunil 2021, nõudes nõuetele vastavust 10. jaanuariks 2022.
Peamised nõuded: Garante 2021. aasta juhised on Euroopa üksikasjalikumate hulgas. Need nõuavad: esimese kihi bännerit nõustumisnupu ja silmatorkavalt kuvatava tagasilükkamisnupuga (tähistatud „X"-i või „Jätka nõustumata" abil); esimesest bännerist ligipääsetavat teist kihti detailsete küpsisekategooriate juhtelementidega; kerimine ei kujuta selgesõnaliselt endast nõusolekut; küpsiste nõusolekut tuleb uuesti küsida maksimaalselt iga 6 kuu järel.
Märkimisväärne: Garante tutvustas kontseptsiooni, mis nõuab küpsisebänneritel konkreetset „sulge"-nuppu, selle asemel et lubada jätkuval sirvimisel toimida tagasilükkamisena. Juhised käsitlesid ka küpsiseanalüütika küsimust, nõudes nõusolekut kogu kolmandate osapoolte analüütika jaoks ja lubades piiratud erandit ainult esimese osapoole analüütikatööriistadele korralikult anonüümitud andmetega.
Hispaania
Järelevalveasutus: Agencia Española de Protección de Datos (AEPD).
Siseriiklik seadus: Ley de Servicios de la Sociedad de la Información (LSSI-CE) ja Ley Orgánica de Protección de Datos (LOPDGDD).
Peamised nõuded: Hispaania võttis küpsiste nõuetele vastavuse osas algselt leebema lähenemise, kusjuures AEPD 2013. aasta küpsisejuhend soovitas, et teatud analüütikaküpsiseid võib kasutada õigustatud huvi alusel. Siiski on AEPD järk-järgult ühtlustunud rangema Euroopa konsensusega pärast EDPB juhiseid ja Planet49 otsust. Praegused AEPD juhised nõuavad analüütika- ja turundusküpsiste jaoks eelnevat nõusolekut.
Märkimisväärsed meetmed: AEPD määras Vueling Airlinesile 2020. aastal 30 000 euro suuruse trahvi küpsisebänneri eest, mis pakkus ainult nõustumisvalikut ja ei võimaldanud küpsiseid tagasi lükata. CaixaBankile määrati 2021. aastal 6 miljoni euro suurune trahv, mis oli osaliselt seotud küpsistepõhise jälgimisega seotud andmetöötlustavadega. Hiljuti on AEPD keskendunud küpsisemüüridele ja nõusolekuliidestes esinevatele pettemustritele.
Holland
Järelevalveasutus: Autoriteit Persoonsgegevens (AP).
Siseriiklik seadus: Telecommunicatiewet (telekommunikatsiooniseadus), artikkel 11.7a.
Peamised nõuded: Holland on võtnud küpsisemüüride osas ühe rangema seisukoha Euroopas. AP on selgelt öelnud, et veebisaidile juurdepääsu tingimuseks küpsistega nõustumise seadmine ei ole kehtiv nõusolek, sest nõusolek ei ole „vabatahtlikult antud", kui alternatiiviks on teenusele juurdepääsu kaotamine. AP nõuab samuti selgesõnalist nõusolekut enne jälgimisküpsiste seadmist ning on kritiseerinud nõusolekute haldamise platvorme, mis kasutavad manipuleerivat disaini.
Märkimisväärsed meetmed: AP on uurinud arvukaid veebisaite küpsiste nõuetele vastavuse rikkumiste tõttu ja avaldanud juhiseid, mis on suunatud konkreetselt küpsisebännerite pettemustritele. Asutus osales ka valitsuse veebisaitide koordineeritud kontrollides küpsiste nõuetele vastavuse osas. 2024. aastal suurendas AP oma jõustamistegevust väiksemate organisatsioonide vastu, andes märku, et küpsiste nõuetele vastavuse ootused kehtivad ettevõtte suurusest sõltumata.
Belgia
Järelevalveasutus: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Siseriiklik seadus: 13. juuni 2005. aasta elektroonilise side seadus, muudetud 10. juuli 2012. aasta seadusega.
Peamised nõuded: Belgia järgib ePrivacy direktiivi standardnõudeid. Belgia andmekaitseasutus omandas küpsiste regulatsioonis globaalse tähtsuse, kui tegi 2022. aasta veebruaris otsuse IAB Europe läbipaistvuse ja nõusoleku raamistiku (TCF) kohta, leides, et TCF nõusolekustring kujutab endast isikuandmeid ja et IAB Europe on ühine vastutav töötleja. See otsus, mille CJEU osaliselt kinnitas 2024. aasta märtsis, mõjutab iga veebisaiti, mis kasutab TCF-i küpsiste nõusoleku haldamiseks.
Märkimisväärne: IAB TCF otsus raputas veebireklaami tööstust, kuna TCF on Euroopas kõige laialdasemalt kasutatav nõusolekuraamistik programmeeriva reklaami jaoks. Kuigi IAB Europe on rakendanud muudatusi andmekaitseasutuse murede lahendamiseks, tõi juhtum esile riskid, mis kaasnevad tuginemisega tööstuse loodud nõusolekuraamistikele, mis ei pruugi täielikult vastata GDPR-i nõuetele.
Austria
Järelevalveasutus: Datenschutzbehörde (DSB).
Siseriiklik seadus: Telekommunikationsgesetz 2021 (TKG 2021), § 165.
Peamised nõuded: Austria küpsisereeglid järgivad ePrivacy direktiivi standardraamistikku. Austria DSB pälvis rahvusvahelist tähelepanu 2022. aasta jaanuaris, kui sellest sai esimene Euroopa andmekaitseasutus, mis otsustas, et Google Analyticsi kasutamine rikub GDPR-i, eelkõige seoses isikuandmete edastamisega Ameerika Ühendriikidesse pärast Schrems II otsust. Kuigi see oli peamiselt andmete edastamise küsimus, oli sellel otsene mõju küpsiste nõuetele vastavusele, kuna Google Analyticsi küpsised leiti olevat isikuandmed, mis edastatakse kolmandasse riiki ilma piisavate kaitsemeetmeteta.
Märkimisväärne: Google Analyticsi otsus käivitas sarnaste otsuste laine üle Euroopa (järgnesid Prantsusmaa, Itaalia ja teised) ning kiirendas privaatsust säilitavate analüütika-alternatiivide arendamist. DSB on jätkanud aktiivsust küpsiste ja jälgimistehnoloogia küsimustes.
Taani
Järelevalveasutus: Datatilsynet.
Siseriiklik seadus: Cookiebekendtgørelsen (määrus lõppkasutaja seadmes teabe salvestamiseks või sellele juurdepääsuks vajaliku teabe ja nõusoleku kohta), mis rakendab ePrivacy direktiivi sätteid.
Peamised nõuded: Taani nõuab nõusolekut kõigi küpsiste jaoks, välja arvatud need, mis on rangelt vajalikud kasutaja selgesõnaliselt taotletud teenuse jaoks. Datatilsynet on avaldanud juhised, mis kinnitavad, et analüütikaküpsised nõuavad nõusolekut ja et jätkuv sirvimine ei kujuta endast kehtivat nõusolekut. Taani juhised on üha enam ühtlustunud CNIL-i ja EDPB rangemate seisukohtadega.
Märkimisväärsed meetmed: Datatilsynet on suurendanud oma küpsiste jõustamistegevust alates 2022. aastast, uurides nii avaliku kui ka erasektori veebisaite. 2023. aastal tegi asutus otsuseid mitmete Taani veebisaitide vastu ebapiisavate küpsiste nõusolekumehhanismide tõttu, sealhulgas juhtumite osas, kus tagasilükkamisvalik ei olnud piisavalt nähtav. Datatilsynet on käsitlenud ka Google Analyticsi ja Meta jälgimispikslite kasutamist Taani veebisaitidel, andes mitmele organisatsioonile korralduse lõpetada nende tööriistade kasutamine ilma korraliku nõusoleku ja andmete edastamise kaitsemeetmeteta.
Rootsi
Järelevalveasutus: Integritetsskyddsmyndigheten (IMY).
Siseriiklik seadus: Lag om elektronisk kommunikation (LEK, 2003:389).
Peamised nõuded: Rootsi on viimastel aastatel liikunud suhteliselt madalalt küpsiste jõustamiselt märkimisväärse tegevuse suunas. IMY määras oma esimesed suuremad küpsistega seotud trahvid 2023. aastal, olles suunatud neljale ettevõttele (sh Tele2, CDON, Dagens Industri ja Coop) kokku üle 100 miljoni Rootsi krooni ulatuses (ligikaudu 9 miljonit eurot) Google Analyticsi kasutamise ja isikuandmete Google'iga jagamise eest ilma kehtiva nõusoleku või piisavate andmete edastamise kaitsemeetmeteta.
Märkimisväärne: 2023. aasta jõustamismeetmed andsid märku olulisest muutusest Rootsi lähenemises. IMY kooskõlastas tegevust teiste Põhjamaade andmekaitseasutustega ning järgis Austria DSB ja Prantsuse CNIL-i loodud pretsedente Google Analyticsi osas. Trahvid olid Põhjamaade andmekaitseasutuste seas suurimate hulgas ja kinnitasid, et Rootsi jõustamine on nüüd samal tasemel rangeimate Euroopa asutustega.
Iirimaa
Järelevalveasutus: Data Protection Commission (DPC).
Siseriiklik seadus: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Peamised nõuded: Iirimaa järgib ePrivacy direktiivi standardraamistikku. Kuid DPC roll juhtiva järelevalveasutusena paljudele Iirimaal asuvatele suurtele tehnoloogiaettevõtetele (sh Meta, Google, Apple, Microsoft ja TikTok) on andnud sellele Euroopa andmekaitses ebaproportsionaalse tähtsuse. DPC on avaldanud juhiseid küpsiste nõuetele vastavuse kohta ja teostanud auditeid nii avaliku kui ka erasektori veebisaitidel.
Märkimisväärne: DPC on saanud kriitikat teistelt Euroopa andmekaitseasutustelt ja Euroopa Parlamendilt suurte tehnoloogiafirmade vastase jõustamise tajutava tempo tõttu. Siiski on DPC määranud olulisi GDPR-i trahve, sealhulgas 1,2 miljardi euro suuruse trahvi Metale 2023. aastal andmete edastamise eest. Konkreetselt küpsiste osas viis DPC läbi veebisaitide kontrollid aastatel 2020 ja 2021, andes arvukatele organisatsioonidele nõuetele vastavuse soovitusi. Otsesed küpsisespetsiifilised trahvid DPC-lt on olnud CNIL-iga võrreldes suhteliselt tagasihoidlikud.
Poola
Järelevalveasutus: Urząd Ochrony Danych Osobowych (UODO).
Siseriiklik seadus: telekommunikatsiooniseadus (Prawo telekomunikacyjne), artikkel 173.
Peamised nõuded: Poola nõuab küpsiste jaoks nõusolekut kooskõlas ePrivacy direktiiviga. UODO on avaldanud juhised, mis kinnitavad, et eelnevalt märgistatud ruudud ja jätkuv sirvimine ei kujuta endast kehtivat nõusolekut. Poola seadus sisaldab konkreetseid sätteid teabe kohta, mis tuleb kasutajatele küpsiste kohta esitada, sealhulgas eesmärgid, vastutava töötleja isik ja juhised küpsiste seadete haldamiseks.
Märkimisväärne: Poola jõustamistegevus küpsiste osas on kasvanud, kusjuures UODO uurib kaebusi nõuetele mittevastavate küpsisebännerite kohta ja teeb koostööd telekommunikatsiooni järelevalvega. UODO on osalenud EL-i üleses koordineeritud jõustamiskontrollides ja ühtlustanud oma juhised EDPB soovitustega.
Norra
Järelevalveasutus: Datatilsynet (Norra andmekaitseasutus – eristub samanimelisest Taani asutusest).
Siseriiklik seadus: Ekomloven (elektroonilise side seadus).
Peamised nõuded: Kuigi Norra ei ole EL-i liikmesriik, on ta Euroopa Majanduspiirkonna (EMP) liige ja on inkorporeerinud GDPR-i ja ePrivacy direktiivi oma siseriiklikku õigusesse EMP lepingu kaudu. Norra Datatilsynet järgib tihedalt EDPB juhiseid ja on olnud küpsiste jõustamisel aktiivne.
Märkimisväärsed meetmed: Norra Datatilsynet määras Grindrile 2021. aasta detsembris 5 miljoni euro suuruse trahvi (hiljem apellatsiooni käigus vähendatud 6,5 miljoni euroni) kasutajaandmete jagamise eest reklaamipartneritega ilma kehtiva nõusolekuta. Kuigi see oli peamiselt nõusolekuga seotud andmete jagamise, mitte konkreetselt küpsiste juhtum, kehtestas see olulisi pretsedente jälgimistehnoloogiate nõusolekunõuete osas. Asutus on uurinud ka Google Analyticsi ja teiste jälgimistööriistade kasutamist Norra veebisaitidel.
Peamised järeldused
Hoolimata erinevustest siseriiklikus rakendamises ja jõustamises, on mitmed põhimõtted järjepidevad kõigis EL-i ja EMP riikides:
- Nõusolek on nõutav enne iga mittehädavajaliku küpsise seadmist. Ükski Euroopa riik ei aktsepteeri küpsiste puhul puhast loobumismudelit.
- Nõusolek peab vastama GDPR-i standardile: vabatahtlikult antud, konkreetne, teadlik, ühemõtteline ja väljendatud selge kinnitava tegevusega.
- Tagasilükkamine peab olema sama lihtne kui nõustumine. Kuigi konkreetne rakendus võib erineda (eraldi nupp, X sulgemiseks jne), on põhimõte, et küpsistest keeldumine ei tohi olla raskem kui nendega nõustumine, universaalne.
- Jõustamine kasvab kõikjal. Riigid, mis olid varem leebed, määravad nüüd trahve ja teevad ametlikke otsuseid. Nõuetele mittevastavuse jaoks ei ole „ohutut" Euroopa jurisdiktsiooni.
- Koordineeritud jõustamine kasvab. Andmekaitseasutused teevad üha enam koostööd EDPB kaudu ja viivad läbi koordineeritud kontrolle, mis tähendab, et nõuetele mittevastavus ühes riigis tõmbab tõenäoliselt tähelepanu ka teistes.
Kas sinu veebisait vastab kupsiste reeglitele?
Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.
Skanni oma kupsiseid tasuta