Skip to main content

GDPR ja küpsised: täielik juhend nõuetele vastavuseks

Isikuandmete kaitse üldmäärus (GDPR) muutis põhjalikult seda, kuidas veebisaidid küpsiseid käsitlevad, kui see 25. mail 2018 jõustus. Kuigi e-privaatsuse direktiiv on peamine küpsiseid reguleeriv EL-i õigusakt, kohaldatakse GDPR-i alati, kui küpsised töötlevad isikuandmeid — mis praktikas tähendab peaaegu alati. GDPR-i kohaldamise mõistmine küpsiste puhul on hädavajalik igale veebisaidile, mis tegutseb Euroopa Majanduspiirkonnas või on suunatud selle kasutajatele.

Kuidas GDPR-i küpsistele kohaldatakse

GDPR ei maini küpsiseid nimepidi. Selle asemel reguleerib see isikuandmete töötlemist, mis on artikli 4 punktis 1 määratletud kui igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. GDPR-i põhjenduses 30 on sõnaselgelt öeldud, et veebipõhiseid identifikaatoreid — sealhulgas küpsiste identifikaatoreid — võib kasutada füüsiliste isikute profiilide loomiseks ja nende tuvastamiseks. See tähendab, et iga küpsis, mis sisaldab kordumatut identifikaatorit või on sellega seotud, kujutab endast GDPR-i kohaselt isikuandmeid.

Praktikas hõlmab see peaaegu kõiki küpsiseid peale kõige elementaarsemate funktsionaalsete. Analüütikaküpsised, mis omistavad kordumatu külastaja ID, reklaamiküpsised, mis jälgivad sirvimiskäitumist, ja isegi kasutajakontoga seotud seansiküpsised töötlevad kõik isikuandmeid ning kuuluvad seetõttu GDPR-i nõuete alla.

Artikkel 6: töötlemise õiguslik alus

GDPR-i artikli 6 kohaselt nõuab iga isikuandmete töötlemise juhtum õiguslikku alust. Küpsistega seotud töötlemise puhul tuginetakse kõige sagedamini kahele alusele:

  • Nõusolek (artikli 6 lõike 1 punkt a): andmesubjekt on andnud nõusoleku töötlemiseks ühel või mitmel konkreetsel eesmärgil. See on enamiku küpsiste töötlemise peamine õiguslik alus, eelkõige analüütika-, turundus- ja reklaamiküpsiste puhul.
  • Õigustatud huvi (artikli 6 lõike 1 punkt f): töötlemine on vajalik vastutava töötleja õigustatud huvide tõttu, tingimusel et neid huve ei kaalu üles andmesubjekti õigused ja vabadused.

Õigustatud huvi alus on olnud küpsiste kontekstis olulise arutelu teema. Mõned veebisaitide käitajad on väitnud, et analüütiline jälgimine teenib õigustatud huvi. Mitmed andmekaitseasutused on aga selle argumendi tagasi lükanud küpsiste puhul, mis ei ole rangelt vajalikud. Prantsuse CNIL, Austria DSB ja Euroopa Andmekaitsenõukogu (EDPB) on kõik võtnud seisukoha, et analüütikaküpsiste puhul on nõusolek vajalik ning et õigustatud huvi ei saa olla õiguslik alus mittehädavajalike küpsiste seadmiseks kasutaja seadmesse.

EDPB nõusolekut käsitlevate suunistes 05/2020 on ühemõtteliselt öeldud: "Veebisaidil kerimine või sirvimise jätkamine ei kujuta endast kehtivat nõusolekut." Küpsiste kaudse nõusoleku ajastu on läbi.

Artikkel 7: kehtiva nõusoleku tingimused

Artiklis 7 on sätestatud tingimused, millele nõusolek peab vastama. Selleks et küpsiste nõusolek oleks GDPR-i kohaselt kehtiv, peab see olema:

  1. Vabatahtlik: kasutajal peab olema tõeline valik. Nõusolek ei ole vabatahtlik, kui kasutaja ei saa nõusolekust keelduda või seda tagasi võtta ilma kahjuta. Küpsiseseinad, mis blokeerivad juurdepääsu veebisaidile, kui kõiki küpsiseid ei aktsepteerita, on mitmete andmekaitseasutuste hinnangul olnud nõuetele mittevastavad, kuigi õiguslik maastik erineb jurisdiktsiooniti.
  2. Konkreetne: nõusolek tuleb anda iga eraldiseisva eesmärgi jaoks. Üksik nupp "Nõustu kõigega" ilma võimaluseta anda nõusolekut konkreetsete kategooriate jaoks ei täida seda nõuet.
  3. Teadlik: kasutajale tuleb selgelt öelda, millega ta nõustub. See tähendab küpsiste, nende eesmärkide, kogutud andmete ja kõigi kaasatud kolmandate osapoolte tuvastamist.
  4. Ühemõtteline: nõusolek tuleb anda selge kinnitava tegevuse kaudu. Eeltäidetud märkeruudud, vaikimine või tegevusetus ei kujuta endast kehtivat nõusolekut.

Artikli 7 lõige 3 lisab kriitilise nõude: nõusoleku tagasivõtmine peab olema sama lihtne kui selle andmine. Kui kasutaja saab küpsistega nõustuda ühe klõpsuga, peab tal olema võimalus see nõusolek sama lihtsalt tagasi võtta. Küpsisebänner, mis muudab nupu "Nõustu" silmapaistvaks, kuid peidab loobumisvõimaluse mitme klõpsu kaugusel olevale seadete lehele, ei vasta nõuetele.

Artikli 4 punkt 11: nõusoleku määratlus

Artikli 4 punktis 11 määratletakse nõusolek kui "andmesubjekti vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega ta kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega".

Seda määratlust tugevdab põhjendus 32, milles öeldakse:

"Nõusolek tuleks anda selge kinnitava tegevusega, millega väljendatakse vabatahtlikku, konkreetset, teadlikku ja ühemõttelist nõusolekut andmesubjekti isikuandmete töötlemiseks. See võib hõlmata märkeruudu märkimist veebisaidi külastamisel. Vaikimine, eeltäidetud lahtrid või tegevusetus ei tohiks endast nõusolekut kujutada."

Euroopa Liidu Kohtu (CJEU) 2019. aasta oktoobris tehtud murranguline Planet49 otsus (kohtuasi C-673/17) kinnitas seda tõlgendust, otsustades, et eeltäidetud märkeruudud ei kujuta endast küpsiste puhul kehtivat nõusolekut.

Läbipaistvuskohustused: artiklid 12–14

Artiklid 12 kuni 14 nõuavad, et vastutavad töötlejad esitaksid teabe andmetöötluse kohta kokkuvõtlikul, läbipaistval, arusaadaval ja kergesti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Küpsiste puhul tähendab see järgmist:

  • Teie küpsisepoliitika peab olema kirjutatud keeles, mida tavakasutajad mõistavad — mitte juriidilises kantseliidis.
  • Teave tuleb esitada andmete kogumise ajal (st enne küpsiste seadmist).
  • Kasutajatele tuleb teatada vastutava töötleja isik, töötlemise eesmärgid, andmete kategooriad, võimalikud vastuvõtjad, säilitamisperioodid ja nende õigused.
  • Kui küpsiseid jagatakse kolmandate osapooltega (näiteks Google Analytics, Facebook Pixel või reklaamivõrgustikud), tuleb need kolmandad osapooled tuvastada.

Artikkel 17: õigus andmete kustutamisele

Artikkel 17 annab andmesubjektidele õiguse oma isikuandmete kustutamisele. Küpsiste kontekstis tähendab see, et kui kasutaja taotleb oma andmete kustutamist, tuleb kustutada kõik küpsiste kaudu kogutud isikuandmed. See hõlmab analüütikaprofiile, reklaami identifikaatoreid ja mis tahes muid küpsiste identifikaatoritega seotud andmeid.

Kolmandate osapoolte analüütika- või reklaamiteenuseid kasutavate veebisaitide käitajate jaoks võib see olla eriti keeruline, kuna andmeid võib hoida kolmas osapool. Teie andmetöötluslepingud kolmandatest osapooltest küpsisepakkujatega peaksid sisaldama sätteid kustutamistaotluste käsitlemiseks.

GDPR vs. e-privaatsus: kumb millal kehtib?

GDPR-i ja e-privaatsuse direktiivi vaheline suhe võib olla segadust tekitav. Siin on kirjeldatud, kuidas need omavahel toimivad:

  • E-privaatsuse direktiiv (artikli 5 lõige 3) reguleerib teabe salvestamist või sellele juurdepääsu kasutaja seadmes. See nõuab nõusolekut kõigi küpsiste puhul, välja arvatud need, mis on rangelt vajalikud. See on küpsiste puhul lex specialis (eriseadus).
  • GDPR reguleerib küpsiste kaudu kogutud isikuandmete edasist töötlemist. See annab raamistiku selle kohta, mis kujutab endast kehtivat nõusolekut, milleks on andmesubjektide õigused ja vastutavate töötlejate kohustused.

Praktilises mõttes: e-privaatsuse direktiiv ütleb teile, et küpsise seadmiseks on vaja nõusolekut. GDPR ütleb teile, kuidas kehtiv nõusolek välja näeb, mida te andmetega teha saate ja millised õigused on kasutajatel nende andmete suhtes. Mõlemad kehtivad samaaegselt.

Andmekaitseasutused ja jõustamine

Igal EL-i liikmesriigil on andmekaitseasutus (DPA), mis vastutab nii GDPR-i kui ka e-privaatsuse direktiivi riiklike rakenduste jõustamise eest. Neil asutustel on õigus uurida kaebusi, viia läbi auditeid ja määrata trahve kuni 4% globaalsest aastakäibest või 20 miljonit eurot, olenevalt sellest, kumb on suurem.

Küpsistega seotud jõustamine on alates 2020. aastast dramaatiliselt kiirenenud. Andmekaitseasutused kogu Euroopas on liikunud juhistelt ja hoiatustelt märkimisväärsete trahvide juurde, muutes küpsiste nõuetele vastavuse tegelikuks äririskiks, mitte teoreetiliseks mureks.

Suuremad küpsistega seotud GDPR-i trahvid

Järgmised jõustamismeetmed näitavad küpsiste nõuetele mittevastavuse tegelikke rahalisi tagajärgi:

Ettevõte Trahv Asutus Aasta Peamine probleem
Amazon Europe 746 miljonit eurot CNPD (Luksemburg) 2021 Nõuetele mittevastav reklaami jälgimine ja nõusolekumehhanismid
Google LLC 150 miljonit eurot CNIL (Prantsusmaa) 2022 Küpsistest keeldumine ei olnud sama lihtne kui nendega nõustumine
Facebook (Meta) 60 miljonit eurot CNIL (Prantsusmaa) 2022 Puudus lihtne mehhanism küpsistest keeldumiseks
Microsoft (Bing) 60 miljonit eurot CNIL (Prantsusmaa) 2022 Küpsised paigutatud ilma nõusolekuta, puudus lihtne keeldumismehhanism
TikTok 5 miljonit eurot CNIL (Prantsusmaa) 2023 Küpsistest keeldumine nõudis rohkem klõpse kui nõustumine
Criteo 40 miljonit eurot CNIL (Prantsusmaa) 2023 Jälgimisküpsiste jaoks kehtiva nõusoleku hankimata jätmine
Vueling Airlines 30 000 eurot AEPD (Hispaania) 2020 Puudus võimalus küpsistest keelduda, ainult "nõustu"

Need trahvid ei piirdu suurte korporatsioonidega. Ka väikesed ja keskmise suurusega ettevõtted on jõustamismeetmetega silmitsi seisnud, eelkõige Prantsusmaal, Itaalias ja Saksamaal. Ainuüksi CNIL väljastas 2021. aastal küpsiste nõuetele vastavuse osas üle 100 ametliku teate igas suuruses veebisaitidele.

Praktiline kontrollnimekiri GDPR-i küpsiste nõuetele vastavuseks

Kasutage seda kontrollnimekirja, et kontrollida, kas teie veebisait vastab küpsiste osas GDPR-i nõuetele:

  1. Tuvastage kõik küpsised, mille teie veebisait seab, sealhulgas need, mille paigutavad kolmandate osapoolte skriptid, näiteks analüütika, reklaam ja sotsiaalmeedia vidinad.
  2. Klassifitseerige iga küpsis kui rangelt vajalik, funktsionaalne, analüütiline või turundus-/reklaamiküpsis.
  3. Rakendage eelnevat nõusolekut kõigi mittehädavajalike küpsiste puhul. Ükski analüütika- ega turundusküpsis ei tohiks käivituda enne, kui kasutaja on nõusoleku andnud.
  4. Esitage nõusolekuvalikud õiglaselt. Küpsistest keeldumise võimalus peab olema sama silmapaistev ja kättesaadav kui nendega nõustumise võimalus.
  5. Pakkuge detailset nõusolekut. Kasutajatel peab olema võimalik anda nõusolek konkreetsete küpsiste kategooriate jaoks, mitte olla sunnitud tegema kõik-või-mitte-midagi valikut.
  6. Ärge kasutage eeltäidetud märkeruute. Kõik valikulised küpsiste kategooriad peavad olema vaikimisi märkimata.
  7. Esitage selget teavet iga küpsise eesmärgi, kogutavate andmete, andmetele juurdepääsu omavate isikute ning küpsise püsivuse kestuse kohta.
  8. Tuvastage kolmandad osapooled. Nimetage kolmandate osapoolte teenused, mis teie saidil küpsiseid seavad (Google Analytics, Facebook Pixel, HubSpot jne).
  9. Muutke tagasivõtmine lihtsaks. Pakkuge kasutajatele püsivat ja kergesti ligipääsetavat viisi oma küpsiste-eelistuste muutmiseks pärast esialgset nõusolekut. Levinud lähenemisviisid on link jaluses või hõljuv ikoon.
  10. Salvestage nõusoleku andmed. Pidage logi selle kohta, millal iga kasutaja nõusoleku andis, millega ta nõustus ja milline küpsisepoliitika versioon sel ajal kehtis.
  11. Austage nõusolekuvalikuid tehniliselt. Tagage, et nõusolekust keeldumine tegelikult takistab vastavate küpsiste seadmist. See nõuab skriptide blokeerimist enne nõusolekut, mitte ainult küpsiste kustutamist tagantjärele.
  12. Hoidke ajakohast küpsisepoliitikat, mis on aktuaalne, täpne ja kirjutatud lihtsas keeles. Uuendage seda alati, kui lisate uusi küpsiseid või kolmandate osapoolte teenuseid.
  13. Käsitlege andmesubjektide taotlusi. Omage protsessi kustutamistaotlustele vastamiseks, mis hõlmab küpsiste kaudu kogutud andmeid.
  14. Skannige regulaarselt. Käivitage automaatseid küpsiste skanneeringuid vähemalt kord kuus ja pärast iga juurutamist, et püüda kinni uued küpsised, mille toovad kaasa uuendatud skriptid või pistikprogrammid.

Küpsiste nõuetele vastavus GDPR-i alusel ei ole ühekordne toiming. See nõuab pidevat tähelepanu, kui teie veebisait areneb, lisatakse uusi skripte ja regulatiivseid juhiseid uuendatakse. Organisatsioonid, kes käsitlevad seda pideva protsessina, mitte märkeruudu täitmisena, on need, kes väldivad jõustamismeetmeid — ja loovad selle käigus oma kasutajatega usaldust.

Kas sinu veebisait vastab kupsiste reeglitele?

Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.

Skanni oma kupsiseid tasuta