Küpsiste poliitika koostamine on oluline osa iga veebilehe andmekaitsetingimustest. Küpsiste poliitika reguleerib, kuidas veebileht kasutab küpsiseid külastajate isikuandmete kogumiseks ja töötlemiseks. Küpsiste poliitikas selgitatakse milliseid küpsiseid veebileht kogub, mis on erinevate küpsiste kogumise eesmärgid, mis on küpsiste kasutamise ajaline kestus jms.
2019. aastal tegi Euroopa Kohus eelotsusemenetluses lahendi kohtuasjas C-673-17, nn Planet49 kaasuses. Planet49 pakkus Internetis hasartmänge ning korraldas selleks müügiedendusliku auhinnamängu. Seejuures ei teavitanud Planet49 oma külastajaid nõuetekohaselt küpsiste kasutamisest ega saanud küpsiste kasutamiseks ka nõuetekohaseid nõusolekuid.
Käesolevas artiklis vaatame, kuidas koostada küpsiste poliitikat, lähtudes seejuures Planet49 kaasuses tõusetunud probleemidest.
Küpsiste poliitika koostamise põhimõtted
Kui eesmärk on küpsiste poliitika koostamine, mis on kooskõlas isikuandmete kaitse üldmäärusega ja Planet49 kaasusega, siis tuleb järgida allolevaid põhimõtteid.
Vabatahtlik, konkreetne ja teadlik nõusolek
Küpsised tohib paigaldada kasutaja lõppseadmesse ainult siis, kui kasutaja on andnud selleks oma nõusoleku. Seega peab esmalt veenduma, et veebileht ei paigalda küpsiseid kasutaja seadmesse juba enne nõusoleku andmist. Erinevat liiki küpsiste jaoks peab küsima eraldi nõusolekud. Nõusolekut ei ole vaja vaid nende küpsiste jaoks, mis on hädavajalikud veebilehe toimimiseks. Üldreeglina ei kogu sellised küpsised isikuandmeid.
Selleks, et selget nõusolekut anda, peab kasutaja teadma, millele ta oma nõusoleku annab. Kasutaja peab teadma, mis eesmärgil tema andmeid töödeldakse. Veebilehe küpsiste poliitikas tuleb selgelt määratleda, milliseid küpsiseid kasutatakse ja miks.
Küpsiste teavituses eeltäidetud märkeruutude kasutamine
Planet49 kaasuses lahendati küsimust selle kohta, kas küpsiste kasutamiseks on antud kehtiv nõusolek, kui see toimub eeltäidetud märkeruudu kaudu. Arutluse all oli, kas selline nõusoleku vorm, kus kasutaja peab küpsiste kasutamise lubamisest keeldumiseks märgistuse eemaldama, vastab kehtivatele nõusolekunõuetele. Allpool on näide eeltäidetud märkeruutude kasutamisest.
Lahendis selgitati, et kasutaja nõusoleku väljendamiseks on vaja tema aktiivset tegevust. Seega ei saa kasutaja nõusolekut eeldada ja see peab nähtuma tema aktiivsest tegevusest. Eeltäidetud märkeruudu abil nõusoleku andmiseks ei ole vaja veebilehe kasutaja aktiivset tegevust. Kui veebilehe kasutaja on jätnud eeltäidetud märkeruudu tühjendamata, siis on võimatu kindlaks teha, kas ta on nõustunud oma isikuandmete töötlemisega. Samuti ei ole võimalik veenduda selles, kas nõusolek on antud teadlikult. Ei saa välistada, et kasutaja ei lugenud või ei märganud eeltäidetud märkeruudu juures olevat teavet enne oma tegevuse jätkamist veebilehel.
Planet49 kaasuses jõuti järeldusele, et nõusolek ei ole antud kehtivalt, kui nõusolekust keeldumiseks peab eemaldama märgituse eeltäidetud märkeruutudest. Aktiivse nõusoleku võtmine tähendab vähemalt seda, et kasutaja märgistab ise veebilehel iga lahtri erinevate küpsiste liikide kasutamise kohta.
Aktiivne nõusolek on vajalik ka siis, kui tegu ei ole isikuandmetega
Planet49 kaasuses selgitas kohus, et aktiivse nõusoleku nõue ei sõltu sellest, kas kogutava teabe puhul on tegemist isikuandmetega või mitte. Elektroonilise side võrkude kasutajate lõppseadmed ja sellistes seadmetes säilitatav teave moodustavad osa kasutajate eraelust, mida tuleb igal juhul kaitsta.
Kasutajale tuleb anda selge ja igakülgne teave tema andmete töötlemise eesmärgi kohta
Selleks, et selget nõusolekut anda, peab kasutaja teadma, millele ta oma nõusoleku annab. Seega tuleb kasutajale anda selge ja igakülgne teave küpsiste kasutamise kohta, sh kasutaja andmete töötlemise eesmärgi kohta.
Küpsiste teavituses peaks vähemalt lühidalt kirjeldama, mis liiki ja mis eesmärgiga küpsiseid kasutatakse. Teavitus võiks sisaldada viidet (linki) nt privaatsuspoliitikale, kus on küpsiseid ja nende kasutamise kestust juba pikemalt kirjeldatud.
Planet49 kaasuses leiti, et kui küpsiste eesmärk on koguda teavet reklaamimise eesmärgil, siis kuuluvad nii küpsiste kasutamise kestus kui ka kolmandate isikute võimalus neile juurde pääseda, teabe hulka, mis tuleb kasutajale edastada. Selge ja igakülgne teave peab võimaldama kasutajal hõlpsasti kindlaks määrata tema nõusoleku tagajärjed. Seega tuleb kasutajale teada anda ka asjaolust, kui kolmandatel isikutel on võimalus küpsistele juurde pääseda.
Küpsiste kasutamise nõusoleku tagasivõtmine
Kasutajal peab olema võimalik igal ajal tagasi võtta küpsiste kasutamiseks antud nõusolek. Selleks peab kasutajal olema võimalik pärast nõusoleku andmist oma nõusolekuid hallata. Seda võimaldab nt püsiv ikoon veebilehel, mille kaudu pääseb kasutaja antud nõusolekutele ligi ja saab küpsiseid hallata.
Kasutajat tuleb enne nõusoleku andmist teavitada sellest, et tal on õigus oma nõusolek igal ajal tagasi võtta. Selline teavitus peaks sisalduma seal, kus kasutajalt nõusolek küsitakse – küpsiste teavituses. Nõusoleku tagasivõtmine peab olema sama lihtne kui selle andmine.
Kokkuvõte
Isikuandmete töötlemise läbipaistvuse tagamisel on väga oluline, et küpsiste poliitika ei jääks kõigest formaalsuseks ning oleks kasutaja jaoks lihtsasti arusaadav ja ka reaalselt toimiv. Küpsiste poliitika koostamine ei ole pelgalt õiguslik kohustus. Tegemist on võimalusega tugevdada ka oma veebilehe usaldusväärsust.
Kui soovid sel teemal rohkem nõu, on RAND Õigusbüroo meeleldi valmis aitama. Meie kontaktid leiad siit.