Miks mulle internetis alati pakutakse küpsiseid?

Veebilehtedel kasutatavatel küpsistel on häid omadusi, nagu mugavus läbi kasutaja meeldejätmise, kuid lisaks on nende kasutamise võimalust lihtne ka kuritarvitada. Probleemid võivad tekkida siis, kui neid kasutatakse seadusevastaseks tegevuseks. Loodetavasti toovad sellistele probleemidele lahenduse uus 25. mail 2018 kehtima hakkav isikuandmete kaitse üldmäärus (GDPR) ning Euroopa Komisjoni poolt kavandatav e-privaatsuse direktiiv, kirjutavad Njord Advokaadibüroo advokaat Siiri Kuusik ja jurist Gertrud Sein.

Cookie ehk küpsis on tuttav ilmselt kõigile netisõpradele, sest nende kasutamine veebilehtedel on saanud praktikas tavapäraseks. Küpsiseid kasutavad mitmed ettevõtted oma veebilehe külastajate tuvastamiseks, ettevõtte veebilehe kohta statistika pidamiseks ja veebilehe funktsionaalsuse parandamiseks. Kuna küpsiste abil on võimalik jälgida inimeste toiminguid internetis, siis kasutatakse neid sageli ka personaalsete teenuste või reklaami pakkumiseks.

Mis on küpsised ja milleks neid kasutatakse?

Küpsised on väiksed tekstifailid, mis kujutavad endast sisuliselt väikseid andmeplokke, mis saadetakse veebilehtede külastamisel määratud domeenile iga kord, kui kasutaja teeb sinna päringu. Küpsised võivad toimida veebilehe mäluna, võimaldades veebilehel arvutit korduvatel külastustel ära tunda. Lisaks asjaolule, et küpsised aitavad veebilehel meelde jätta kasutaja eelistusi ja kohandada esitatavaid reklaame kasutajale sobilikeks, võib brauser küpsiste kasutamise lubamisel meelde jätta ka isiku kasutajanime ja salasõna.

Küpsised võivad olla kas alalised või ajutised. Ajutine küpsis kaob automaatselt, kui isik oma brauseri sulgeb, kuid alaline küpsis säilib arvutis pikema aja vältel. Ajutiste küpsiste abil saab kasutaja ennast veebilehele sisse logida, lisada veebipoes virtuaalsesse ostukorvi tooteid, muuta veebilehe keelt või teistmoodi muuta veebilehte endale isikupärasemaks. Küpsiseid võib kasutada ka eelmiste külastuskordade eelistuste meelespidamiseks. Näiteks võib sisse logides olla valik jäta mind meelde (remember me), mida märkides saadetakse kasutajale lisaks ajutisele küpsisele ka alaline küpsis, mis sisaldab infot konto identifitseerimiseks. See küpsis jääb alles ning hiljem samale lehele minnes tunneb veebileht kasutaja ära ning logib ta automaatselt sisse.

Kas küpsistest  võib keelduda ja mis riskid kaasnevad küpsistega?

Juhul, kui kasutaja ei soovi küpsiseid salvestada, võib ta oma brauseri seadistada nii, et see keelaks automaatselt küpsiste salvestuse või informeeriks isikut alati, kui mõni veebileht küpsiseid salvestada soovib. Kuna teadlikkus nõusoleku küsimise vajadusest küpsiste kasutamisel on kasvanud ning nende kasutamine on üldlevinud, siis küsitakse kasutajatelt üha enam nõusolekut küpsiste salvestamiseks.  Siiski kuvatakse sageli kasutajatele palve nõustuda küpsiste kasutamisega, ilma, et kasutajad nende olemust üldse mõistaksid ning mõningatel juhtudel kasutatakse küpsiseid üldse ilma kasutajate nõusolekuta.

Üks taoline ilma nõusolekuta küpsiste kasutamise olukord ilmnes 30. novembril 2017, kui BBCs avaldatud uudise kohaselt esitati Google’i vastu hagi enam kui 5,4 miljoni inimese järel luuramise tõttu. Google’i vastu esitatud kaebus puudutab küpsiste kasutamist, mille abil sai Google ligipääsu miljonite iPhone’i kasutajate personaalsele informatsioonile. Hagi alustamiseks moodustasid inimesed, keda rikkumine mõjutas, grupi nimega Google You Owe Us, kelle esindaja Richard Lloydi poolt kohtusse esitatud hagi võetakse ilmselt kohtus esimest korda kuulamisele 2018. aasta kevadel. Küpsised aitavad reklaamitellijatel pakkuda suunatud reklaame ning tänu nendele on internetikasutajal väga lihtne aru saada, et tema liikumist veebis jälgitakse. Esitatud hagi järgi paigaldas Google aastatel 2011 ja 2012 Safari brauseri kaudu iPhone’desse küpsiseid, mis luurasid kasutajate järel personaalsete reklaamide pakkumiseks. Üldjuhul peaks Safari selliseid küpsised blokeerima, kuid Google puhul seda ei tehtud. Ettevõte pidi 2012. aastal juba maksma samal põhjusel esitatud hagi eest 16,8 miljonit naela valuraha, kuid on valmis selle teekonna taas ette võtma. Edu korral saaks iga kannatanu 700 naela, mis tähendab, et kokku tuleks Google'il välja maksta üsna kopsakas summa.

Kuidas küpsistele isikuandmete kaitse mõjub?

Küpsiste kasutamisel on äärmiselt suur roll isikuandmete kaitse reeglitel. 2016. aasta 14. aprillil kiitis Euroopa Parlament heaks GDPR-i, millega asendatakse senine andmekaitsedirektiiv. Uus määrus on otsekohalduv, mis tähendab, et selles kehtestatut ei pea eraldi siseriikliku õigusaktiga üle võtma ning liikmesriikidel on reeglite osas üsna väike otsustusõigus. Määruse kohaldamisel on vajalikud küll mõningad rakendusnormid, kuid üldiselt kehtib määruses ette nähtu kõikides liikmesriikides ühtmoodi. Uue andmekaitse määruse peamiseks eesmärgiks on anda nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul kodanikele parem kontroll oma andmete üle ning tagada suurem isikuandmete kaitse.

Nagu ka varasem isikuandmete regulatsioon, näeb GDPR ette õiguslikud alused, mis võivad õiguspärase isikuandmete töötluse aluseks olla. Nendele alustele tuleb tähelepanu pöörata ka küpsiste kasutamisel, kuivõrd nende kasutamise käigus isikuandmetega on puutumus. Isikuandmete õiguspärase töötlemise aluseks võib olla nii seadusest tuleneva kohustuse täitmine, isiku ja temaga sõlmitud või sõlmitava lepingu täitmine, isiku nõusolek konkreetseks töötluseks, andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või kui see on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral. Seega tuleb ka küpsiste puhul olukorda analüüsida ning tuvastada, millisel alusel nende kasutamine lubatud oleks.

Lisaks andmekaitse üldmäärusele, püütakse ka muude õigusaktidega anda isikuandmete kaitse tagamiseks isikutele veel suurem ülevaade nende andmete töötlemisest ning püütakse tagada valikuõigus isikuandmete kogumise osas. Euroopa Komisjon kavandab selles osas e-privaatsuse määruse kehtestamist. Küpsiste kasutamise reeglite erinevatel lähenemistel on aga nii plusse kui ka miinuseid, mistõttu kuldse kesktee leidmine on keerukas. Kui kasutajad hakkavad seadistama oma privaatsussätteid ja luuakse erandeid nõusoleku küsimise vajaduse osas, peaks suurel osal ettevõtjatest olema võimalik loobuda küpsiste kohta kuvatavatest teadaannetest. See võib tuua kaasa märkimisväärse kulude kokkuhoiu. Teisest küljest võib veebis konkreetsele sihtrühmale reklaami tegevatel ettevõtjatel olla keeruline saada nõusolekut, kui kasutaja on seadistanud oma seadme blokeerima kolmandate osapoolte küpsiseid. Lõppseadmesse salvestatud teabele juurdepääsu saamiseks nõusoleku hankimise kohustusest võib erandi teha ainult juhul, kui sellega ei rikuta kasutajate privaatsust või rikutakse seda ainult väga piiratud määral. Küpsised võivad olla õigustatud ja kasulikud vahendid just näiteks veebilehe külastajate arvu mõõtmiseks, kuid seejuures tuleb olla kindel, et küpsised midagi enamat sealt kõrvalt ei kogu.

Võttes arvesse küpsiste ja muude jälitamistehnikate üldlevinud kasutamist, peaksid teabe esitamiseks ja kasutaja nõusoleku saamiseks kasutatavad meetodid olema võimalikult kasutajasõbralikud.Enamikus praegu kasutatavates brauserites on küpsiste vaikeseadeks määratud kõigi küpsiste lubamine. Tagamaks inimeste võimalikult suur teadlikkus sellest, millised küpsised nende seadmetesse salvestuvad ja miks ning anda neile õigus selle vältimiseks, tuleks vastavad seadistused muuta lihtsaks ja kergesti märgatavaks.

Selleks, et brauserid saaksid hankida lõppkasutaja nõusoleku küpsiste salvestamise lubamiseks, peaksid need muu hulgas nõudma kasutaja selget kinnitust selle kohta, et ta on vabalt andnud konkreetse teadliku ja ühemõttelise nõusoleku selliste küpsiste salvestamiseks ja neile seal juurdepääsu lubamiseks. Selleks tuleb nõuda interneti kasutamist võimaldava tarkvara pakkujatelt, et lõppkasutajaid teavitataks installimise ajal võimalusest valida eri valikuvõimaluste seast privaatsuse seaded ja neil palutakse teha valik. Esitatud teave ei tohiks veenda kasutajaid loobuma kõrgema tasemega privaatsuse seadete valimisest. See peaks sisaldama asjakohast teavet riskide kohta, mis seostuvad sellega, kui lubatakse kolmandate osapoolte küpsiste salvestamine arvutisse. Sh., üksikisiku veebikasutuse ajaloo kohta pikaajaliste aruannete koostamine ja selliste aruannete kasutamine suunatud reklaami saatmiseks.

Kokkuvõtlikult on küpsistel nii positiivseid kui negatiivseid külgi, sõltuvalt vaatepunktist, kuid arvestades isikute, kelle andmeid kogutakse, õiguseid ja vabadusi, tuleb küpsiste kasutamisel olla tähelepanelik, et mitte minna vastuollu isikuandmete kaitse reeglitega. Vastasel juhul võib oodata märkimisväärne trahv, kahjuhüvitise nõue ning ka mainekahju.

Osale arutelus

  • Siiri Kuusik, NJORD Advokaadibüroo advokaat
    Gertrud Sein, NJORD Advokaadibüroo jurist

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

OG ELEKTRA AS otsib IT KASUTAJATOE KONSULTANTI

OG Elektra AS

29. detsember 2018

Arvamused

Teabevara