Skip to main content

Küpsiste ja privaatsuse regulatsioonid: ülemaailmne ülevaade

Küpsiste vastavust ei reguleeri üksainus seadus. Seda kujundab riiklike ja piirkondlike regulatsioonide mosaiik, mis erinevad märkimisväärselt oma ulatuse, nõuete ja jõustamise poolest. Iga rahvusvahelise auditooriumiga veebisaidi jaoks — ja avatud internetis on selleks peaaegu iga veebisait — on ülioluline mõista, millised seadused kehtivad ja kuidas need erinevad.

See juhend kaardistab küpsiste ja veebijälgimise ülemaailmse regulatiivse maastiku, alates ELi nõusolekukesksest mudelist kuni USA teavitamise ja valiku lähenemiseni ning mujal esilekerkivate raamistikeni.

Ülemaailmne mosaiik

Ühtainust "küpsiseseadust" pole olemas. Selle asemel paikneb küpsiste vastavus privaatsusregulatsioonide, elektroonilise side direktiivide ja tarbijakaitseseaduste ristumiskohas. Tulemuseks on keeruline, mõnikord vasturääkiv maastik, kus üks ja sama veebisait võib alluda erinevatele reeglitele sõltuvalt sellest, kus tema külastajad asuvad.

Välja on kujunenud kaks laiemat mudelit:

  • ELi mudel (nõusolek eelkõige): Mitteolulisi küpsiseid võib seada alles pärast seda, kui kasutaja on andnud teadliku, konkreetse ja vabatahtliku nõusoleku. Vaikimisi jälgimist ei toimu. Kasutaja peab andma nõusoleku.
  • USA mudel (teavitamine ja valik): Ettevõtted peavad avaldama oma andmete kogumise tavad ja andma kasutajatele võimaluse loobuda teatud kasutusviisidest (eelkõige isikuandmete müügist või jagamisest). Vaikimisi jälgimine toimub, kuid kasutaja saab sellest loobuda.

Enamik uusi privaatsusregulatsioone kogu maailmas liigub ELi mudeli suunas, ehkki kohalike erinevustega. Mõlema mudeli — ja nende sees paiknevate konkreetsete seaduste — mõistmine on vajalik igale piiriüleselt tegutsevale veebisaidile.

ELi raamistik: ePrivacy direktiiv + GDPR

Euroopa Liidu lähenemine küpsiste reguleerimisele põhineb kahel õiguslikul instrumendil, mis toimivad koos:

ePrivacy direktiiv (2002/58/EÜ)

ePrivacy direktiiv — mida sageli nimetatakse "küpsisedirektiiviks" — on peamine ELi seadus, mis reguleerib küpsiste ja sarnaste jälgimistehnoloogiate kasutamist. Selle põhisäte, artikkel 5 lõige 3, sätestab:

Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse või juurdepääsu saamine juba salvestatud teabele on lubatud üksnes tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, olles saanud selget ja arusaadavat teavet.

Ainus erand kehtib küpsistele, mis on "rangelt vajalikud" kasutaja poolt sõnaselgelt taotletud teenuse osutamiseks — näiteks seansiküpsised ostukorvi või sisselogimisoleku jaoks.

Oluline: ePrivacy direktiiv on direktiiv, mitte määrus. See tähendab, et iga ELi liikmesriik on selle riigisisesesse õigusesse üle võtnud kohalike erinevustega. Põhipõhimõte (nõusolek on nõutav mitteoluliste küpsiste puhul) on ühtne, kuid rakendamise üksikasjad erinevad. Näiteks:

  • Prantsusmaa (CNIL): On avaldanud üksikasjalikud küpsiste juhised, sealhulgas piiratud erandi teatud auditooriumi mõõtmise tööriistadele, mis vastavad rangetele tingimustele (anonümiseerimine, saitideülese jälgimise puudumine, piiratud säilitamine).
  • Saksamaa: Rakendatud TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) kaudu, mis jõustus 2021. aasta detsembris ja kodifitseeris nõusoleku nõude sõnaselgelt.
  • Itaalia (Garante): Avaldas 2021. aastal üksikasjalikud küpsiste juhised, mis nõuavad tagasilükkamise nuppu esimesel kihil ja keelavad küpsisemüürid.
  • Holland (AP): On küpsisemüüride suhtes võtnud mõnevõrra lubavama seisukoha, viidates, et need võivad olla vastuvõetavad, kui kasutajal on sisule juurdepääsuks tõeline alternatiivne viis.

GDPR (määrus (EL) 2016/679)

Isikuandmete kaitse üldmäärus ei maini konkreetselt küpsiseid, kuid reguleerib isikuandmete töötlemist — ja küpsised hõlmavad sageli isikuandmeid. GDPR on küpsiste vastavuse jaoks asjakohane mitmel viisil:

  • Nõusoleku standard (artikkel 4 lõige 11, artikkel 7): GDPR määratleb, mis moodustab kehtiva nõusoleku: vabatahtlik, konkreetne, teadlik, ühemõtteline ning antud selge kinnitava tegevusega. See standard kehtib ka ePrivacy direktiivi alusel saadud küpsiste nõusolekule.
  • Läbipaistvus (artiklid 12–14): Kui küpsised töötlevad isikuandmeid, kehtivad GDPRi läbipaistvusnõuded. See tähendab, et teie küpsiste poliitika peab andma konkreetset teavet asjaomase andmetöötluse kohta.
  • Õiguslik alus (artikkel 6): Isikuandmete töötlemine küpsiste kaudu nõuab õiguslikku alust. Mitteoluliste küpsiste puhul on selleks aluseks nõusolek. Mõned vastutavad töötlejad püüavad tugineda õigustatud huvile (artikkel 6 lõige 1 punkt f), kuid andmekaitseasutused on üha enam õigustatud huve reklaami- ja analüütikajälgimise alusena tagasi lükanud.
  • Andmesubjekti õigused (artiklid 15–22): Kasutajatel on õigus tutvuda oma andmetega, neid parandada, kustutada ja üle kanda — sealhulgas küpsiste kaudu kogutud andmete puhul.
  • Eksterritoriaalne ulatus (artikkel 3): GDPR kehtib igale organisatsioonile, kes töötleb ELis asuvate isikute isikuandmeid, olenemata sellest, kus organisatsioon on asutatud. USA ettevõte, kes sihib ELi kliente, peab seda järgima.

Tulevane ePrivacy määrus

Euroopa Komisjon esitas 2017. aastal ettepaneku ePrivacy määruse kohta, et asendada ePrivacy direktiiv, ühtlustada reeglid liikmesriikide vahel ja ajakohastada neid tänapäevaste tehnoloogiate jaoks. 2026. aasta alguse seisuga ei ole määrust veel lõpetatud. Läbirääkimised on olnud pikaajalised, lahkarvamustega õigustatud huvi erandite, küpsisemüüri sätete ja brauseritasandi nõusolekumehhanismide osas.

Kui ePrivacy määrus lõpuks vastu võetakse, kehtib see otse kõigis liikmesriikides (erinevalt praegusest direktiivist, mis nõuab riigisisest ülevõtmist). Seni jäävad kohaldatavaks olemasolev ePrivacy direktiiv ja selle riiklikud rakendused.

USA raamistik: osariigitasandi privaatsusseadused

Ameerika Ühendriikidel puudub föderaalne küpsiseseadus ja föderaalne terviklik privaatsusseadus (2026. aasta alguse seisuga). Selle asemel on privaatsusregulatsioon esile kerkinud osariikide tasandil, luues nõuete mosaiigi.

California: CCPA ja CPRA

California Consumer Privacy Act (CCPA), mida on muudetud California Privacy Rights Actiga (CPRA), on kõige terviklikum USA osariigi privaatsusseadus. Küpsistega seotud põhisätted:

  • Õigus loobuda müügist/jagamisest. Tarbijatel on õigus loobuda oma isikuandmete "müügist" või "jagamisest". CPRA kohaselt hõlmab "jagamine" andmete jagamist kolmandate isikutega kontekstiülese käitumispõhise reklaami eesmärgil — mida enamik reklaamiküpsiseid täpselt teebki.
  • Eelnevat nõusolekut ei nõuta. Erinevalt ELi mudelist ei nõua CCPA/CPRA küpsiste jaoks eelnevat nõusolekut. Vaikimisi on jälgimine lubatud ja kasutajad peavad sellest aktiivselt loobuma.
  • "Do Not Sell or Share" link. Ettevõtted peavad oma veebisaidil pakkuma silmatorkavat linki "Do Not Sell or Share My Personal Information".
  • Global Privacy Control (GPC). Ettevõtted peavad austama GPC brauserisignaali kui kehtivat loobumistaotlust. Kui kasutaja brauser saadab GPC signaali, peab ettevõte käsitlema seda nii, nagu kasutaja oleks vajutanud "Do Not Sell or Share".
  • Teavitamine kogumisel. Ettevõtted peavad kogumise hetkel või enne seda avaldama kogutavate isikuandmete kategooriad ja eesmärgid, milleks neid kasutatakse.

Teised USA osariikide seadused

California eeskujul on paljud USA osariigid vastu võtnud terviklikud privaatsusseadused. 2026. aasta alguse seisuga hõlmavad kehtivate privaatsusseadustega osariigid järgmisi:

Osariik Seadus Jõustumiskuupäev Küpsistega seotud tunnused
Virginia VCDPA Jaanuar 2023 Loobumine sihitud reklaamist ja andmete müügist
Colorado CPA Juuli 2023 Loobumine sihitud reklaamist ja andmete müügist; peab austama universaalseid loobumissignaale
Connecticut CTDPA Juuli 2023 Loobumine sihitud reklaamist ja andmete müügist; peab austama universaalseid loobumissignaale
Utah UCPA Detsember 2023 Loobumine sihitud reklaamist ja andmete müügist
Texas TDPSA Juuli 2024 Loobumine sihitud reklaamist ja andmete müügist; peab austama universaalseid loobumissignaale
Oregon OCPA Juuli 2024 Loobumine sihitud reklaamist ja andmete müügist; peab austama universaalseid loobumissignaale
Montana MCDPA Oktoober 2024 Loobumine sihitud reklaamist ja andmete müügist; peab austama universaalseid loobumissignaale

Täiendavad osariigid on vastu võtnud seadused, mille jõustumiskuupäevad langevad 2025. ja 2026. aastasse. Suund on selge: osariigitasandi privaatsusregulatsioon laieneb ning enamik uusi seadusi sisaldab sihitud reklaamist loobumise õigusi, mis mõjutavad otseselt küpsiste kasutamist.

Muud olulised regulatsioonid

Ühendkuningriik: UK GDPR ja PECR

Pärast Brexitit säilitas Ühendkuningriik GDPRi "UK GDPR" nime all ning jätkab Privacy and Electronic Communications Regulations'i (PECR) jõustamist, mis rakendavad ePrivacy direktiivi. Küpsiste nõuded on sisuliselt ELi omadega identsed: mitteoluliste küpsiste jaoks on nõutav eelnev nõusolek, kitsa erandiga rangelt vajalike küpsiste puhul. Neid reegleid jõustab Information Commissioner's Office (ICO), mis on avaldanud üksikasjalikud küpsiste juhised.

Brasiilia: LGPD

Brasiilia Lei Geral de Protecao de Dados (LGPD), mis on kehtinud alates 2020. aastast, on tugevalt GDPRist inspireeritud. See nõuab isikuandmete töötlemiseks õiguslikku alust, sealhulgas küpsiste kaudu kogutud andmete puhul. Kuigi LGPD-l puudub ePrivacy direktiivi küpsistele suunatud sätte otsene vaste, tuleb küpsistepõhise andmetöötluse jaoks kehtestada nõusolek või õigustatud huvi. ANPD (riiklik andmekaitseasutus) annab järk-järgult välja juhiseid küpsiste ja nõusoleku kohta.

Kanada: PIPEDA ja seaduseelnõu C-27

Kanada Personal Information Protection and Electronic Documents Act (PIPEDA) nõuab isikuandmete kogumiseks, kasutamiseks ja avaldamiseks "sisukat nõusolekut". Isikuandmeid koguvate küpsiste puhul peavad organisatsioonid saama nõusoleku ja andma selget teavet oma tavade kohta. Seaduseelnõu C-27, kavandatav Consumer Privacy Protection Act, ajakohastaks Kanada raamistikku tugevamate nõusolekunõuetega, kuid selle vastuvõtmine on viibinud.

Jaapan: APPI

Jaapani Act on the Protection of Personal Information (APPI), mida muudeti 2022. aastal, tutvustas "isikuga seostatava teabe" mõistet, mis teatud kontekstides võib hõlmata küpsiseidentifikaatoreid. Kui küpsiseandmed kombineeritakse muu teabega isiku tuvastamiseks, kehtivad nõusolekunõuded.

Lõuna-Korea: PIPA

Lõuna-Korea Personal Information Protection Act (PIPA), mida muudeti 2023. aastal, nõuab nõusolekut isikuandmete kogumiseks ja kasutamiseks, mis võib hõlmata küpsiseandmeid, kui need tuvastavad isiku või võimaldavad seda tuvastada.

Lähenemistrend

Vaatamata praegusele mosaiigile kerkib esile selge trend: enamik uusi privaatsusseadusi järgib ELi mudelit, mis on nõusolekukeskne ja kasutajaid võimestav. Isegi USA osariikide seadused, olles tehniliselt loobumis- pigem kui nõusolekupõhised, liiguvad rangemate nõuete suunas universaalsete loobumissignaalidega (GPC), andmete minimeerimise põhimõtetega ja laiendatud "isikuandmete" määratlustega, mis hõlmavad küpsiseidentifikaatoreid.

Praktilises mõttes tähendab see lähenemine, et veebisaidid, mis rakendavad ELi tasemel küpsiste vastavust (eelnev nõusolek, selge nõustumine/tagasilükkamine, granulaarsed kategooriad, läbipaistvad poliitikad), on hästi positsioneeritud enamiku teiste jurisdiktsioonide vastavuse jaoks. ELi standard on kõrgeim ühisnimetaja.

Riskihindamine: millised seadused kehtivad teie veebisaidile?

Iga veebisaidi haldaja jaoks on põhiküsimus: millised seadused minule kehtivad? Vastus sõltub kahest tegurist:

  1. Kus teie organisatsioon on asutatud. Te allute nende jurisdiktsioonide privaatsusseadustele, kus teie organisatsioonil on tegevuskoht (kontor, tütarettevõte, filiaal).
  2. Kus teie kasutajad asuvad. GDPRi eksterritoriaalse ulatuse (artikkel 3 lõige 2) kohaselt allute ELi privaatsusseadusele, kui pakute kaupu või teenuseid ELis asuvatele isikutele või kui jälgite ELis asuvate isikute käitumist. Sarnased eksterritoriaalsed sätted eksisteerivad UK GDPRis, Brasiilia LGPD-s ja teistes seadustes.

Praktikas, kui teie veebisait on ligipääsetav ELis asuvatele kasutajatele — ja teil on mistahes ELi liiklust, mis on peaaegu kõigil veebisaitidel — peaksite järgima ePrivacy direktiivi ja GDPRi. Kui teil on USA liiklust, peaksite käsitlema CCPA/CPRA (California) ja muid kohaldatavaid osariikide seadusi.

Pragmaatiline lähenemine:

  • Rakendage ELi standardi kohane nõusolek kõigi ELi/EMP/Ühendkuningriigi külastajate jaoks (eelnev nõusolek mitteoluliste küpsiste jaoks).
  • Rakendage loobumismehhanismid USA külastajate jaoks (Do Not Sell/Share link, GPC tugi).
  • Kasutage vaikimisi kõrgemat standardit, kui geograafiline tuvastamine on ebapraktiline. ELi tasemel nõusolek rahuldab peaaegu kõiki jurisdiktsioone.

Eksterritoriaalne ulatus

Üks tänapäevase privaatsusregulatsiooni olulisemaid aspekte on selle eksterritoriaalne ulatus. GDPR (artikkel 3 lõige 2) kehtib väljaspool ELi asuvatele organisatsioonidele, kes:

  • Pakuvad kaupu või teenuseid ELis asuvatele isikutele (isegi kui tasuta — ELis ligipääsetav veebisait, mis sihib ELi kasutajaid, kvalifitseerub), või
  • Jälgivad ELis asuvate isikute käitumist (analüütika- ja reklaamijälgimine kujutavad endast jälgimist).

See tähendab, et USA ettevõte, kes kasutab Google Analyticsit veebisaidil, mis saab ELi liiklust, allub tehniliselt GDPRile ja ePrivacy direktiivi küpsiste nõuetele. Jõustamine väljaspool ELi asuvate organisatsioonide vastu on ajalooliselt olnud piiratud, kuid see kasvab, eriti suurte ettevõtete puhul. Väiksemate organisatsioonide praktiline risk sõltub nähtavusest ja kaebuste hulgast, kuid õiguslik kohustus eksisteerib olenemata suurusest.

Jõustamise maastik

Küpsiste vastavuse jõustamine on alates 2020. aastast dramaatiliselt intensiivistunud. Peamised trendid:

Kes jõustab

ELis jõustavad nii ePrivacy direktiivi kui ka GDPRi riiklikud andmekaitseasutused (DPAd). Silmapaistvate aktiivsete jõustajate hulka kuuluvad CNIL (Prantsusmaa), Garante (Itaalia), Datatilsynet (Taani ja Norra), BfDI (Saksamaa föderaalsel tasandil) ja APD (Belgia). EDPB koordineerib piiriülest jõustamist.

USA-s jõustavad CCPA/CPRA-d California peaprokurör ja California Privacy Protection Agency. Osariikide peaprokurörid jõustavad muid osariigi seadusi.

Kuidas nad jõustavad

  • Kaebusepõhised uurimised. Enamik jõustamist algab kasutaja kaebusega andmekaitseasutusele. Kaebus käivitab veebisaidi küpsiste tavade uurimise.
  • Süstemaatilised uurimised. Andmekaitseasutused viivad perioodiliselt läbi sektoriüleseid kontrolle, skannides sadu veebisaite küpsiste vastavuse osas. CNIL, Itaalia Garante ja Taani Datatilsynet on kõik läbi viinud avalikustatud kontrolle.
  • Kodanikuühenduste kaebused. Privaatsuse eestkosteorganisatsioonid nagu noyb (juhib Max Schrems) on esitanud massilisi kaebusi sadade veebisaitide vastu, luues märkimisväärse jõustamismahu. Ainuüksi noybi küpsisebänneri kaebused on viinud kümnete jõustamismeetmeteni kogu ELis.

Karistused

GDPRi trahvid küpsiste rikkumiste eest võivad ulatuda kuni 20 miljoni euroni või 4%-ni aastasest ülemaailmsest käibest, olenevalt sellest, kumb on suurem. Praktikas on trahvid küpsiste rikkumiste eest ulatunud hoiatustest (väikeste organisatsioonide väiksemate rikkumiste puhul) kuni 150 miljoni euroni (Google, CNIL, 2022). Suund on kõrgemate trahvide ja sagedasema jõustamise poole.

Lisaks trahvidele kaasnevad mittevastavusega mainerisk, tarbijate usalduse kahjustumine ning regulatiivse korralduse alusel tehtavate erakorraliste paranduste tegevuskulu.

Passiro aitab teil selles regulatiivses keerukuses navigeerida automatiseeritud vastavusega, mis kohandub teie külastajatele kohaldatavate seadustega. Vaadake, kuidas Passiro lihtsustab küpsiste vastavust eri jurisdiktsioonides.

Kas sinu veebisait vastab kupsiste reeglitele?

Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.

Skanni oma kupsiseid tasuta