Sisukord
Mis on küpsised?
Õiguse kontekstis on niinimetatud küpsised („cookies“) väikesed tekstifailid, mida veebisaidid sirvimise ajal isiku seadmesse paigutavad. Neid faile töötleb ja salvestab veebilehitseja, mis täidab veebisaitide jaoks olulisi funktsioone. Küpsised on kahjutud ja seadmesse salvestatud küpsiseid saab üldjuhul hõlpsasti üle vaadata ja kustutada.
Küpsised salvestavad siiski hulgaliselt andmeid, millest võib piisata, et isikut ilma tema nõusolekuta tuvastada. Küpsised on peamine vahend, mida reklaamioperaatorid kasutavad inimeste veebitegevuse jälgimiseks, et sihtida meid just meile valitud reklaamidega. Arvestades küpsistes sisalduvate andmete hulka, võib neid andmeid teatud tingimustel pidada isikuandmeteks ja seetõttu kohaldatakse nende suhtes ELi isikuandmete kaitse üldmäärust (GDPR) ning e-privaatsuse direktiivi (EPD), mida ingliskeelses infosfääris nimetatakse vahel ka „cookie law“-ks.
Üldiselt saab küpsiseid liigitada kolme erineva tunnuse alusel: millist funktsiooni nad täidavad, kui kaua nad säilivad ja milline on nende päritolu. On ka küpsiseid, mis ei mahu puhtalt nende tunnuste alusel kategooriatesse või võivad kuuluda mitmesse kategooriasse korraga. Eesmärgi järgi liigitatud küpsised on veebilehtede sirvimiseks ja nende funktsioonide kasutamiseks hädavajalikud, kusjuures veebilehe kasutaja nõusolekut ei ole nende rakendamiseks vaja, kuid kohustuslik on selgesõnaliselt selgitada, mida sellised küpsised teevad ja miks. Küpsiste säilimine võib olla sessioonipõhine või püsiv. Sessioonipõhised küpsised on ajutised ja aeguvad pärast veebilehitseja sulgemist, samas kui püsiküpsised jäävad kõvakettale, kuni need kustutatakse käsitsi või veebilehitseja poolt automaatselt aegumiskuupäeval. Päritolu poolest võivad küpsised olla esimese või kolmanda osapoole küpsised. Esimese osapoole küpsised pannakse seadmesse otse veebisaidi poolt, samas kui kolmanda osapoole küpsised pannakse seadmesse reklaamioperaatorite või analüüsisüsteemide poolt.
Küpsised GDPRi ja EPD kohaselt
GDPR on kõige ulatuslikum andmekaitset reguleeriv õigusakt, mis kehtib alates 25. maist 2018 kõigis ELi liikmesriikides. Määruse eesmärk on ühtlustada andmekaitsealased õigusaktid kogu ELis. GDPRi põhjendus nr 30 on määruses ainsaks viiteks küpsistele ja selles on sätestatud, et küpsised, mida kasutatakse kasutajate tuvastamiseks, kvalifitseeruvad isikuandmeteks ja kuuluvad seega GDPRi kohaldamisalasse. Ettevõtetel on õigus töödelda oma kasutajate andmeid, kui nad saavad selleks nõusoleku või kui neil on õigustatud huvi.
EPD võeti vastu 2002. aastal, et käsitleda elektroonilise side (e-kommunikatsiooni) konfidentsiaalsuse ja laiemalt internetikasutajate jälgimise olulisi aspekte. Tegemist on GDPRi täiendava õigusaktiga, kuigi see võib mõnikord e-kommunikatsiooni osas GDPRi üle kaaluda. Elektroonilise side direktiivi võimalik asendaja, eraelu puutumatuse ja elektroonilise side (e-privaatsuse) määrus (EPR), saab tuginema direktiivile ja laiendab selle määratlust. EPR pidi vastu võetama 2018. aastal ehk samal ajal, kui jõustus GDPR, kuid EL on selle eesmärgi täitmisest pika puuga maha jäänud. EPR peaks valmima millalgi 2024. aastal, kuid selle rakendamise alguskuupäev ei ole veel teada. EPR lubab käsitleda veebilehitseja „sõrmejälgede“ kogumist sarnaselt küpsistele, kehtestada metaandmete tugevama kaitse ja kaaluda uusi kommunikatsioonimeetodeid.
Küpsiseid reguleerivate õigusaktide järgimiseks on tingimata vajalik saada kasutajate nõusolek enne küpsiste kasutamist veebilehel. Erandiks on rangelt vajalikud küpsised, millest veebilehtede toimimine sõltub. Isegi enne nõusoleku saamist on oluline anda lihtsas keeles täpset ja konkreetset teavet iga küpsise poolt jälgitavate andmete ja nende kasutamise eesmärgi kohta.
Lisaks peaks kasutajatel olema võimalik kasutada veebisaite või teenuseid ka ilma, et nad oleksid sunnitud nõustuma mittevajalike küpsistega, sest juurdepääsu keelamine küpsistest keeldumise tõttu ei ole kooskõlas GDPRi ja EPDga. Kui kasutaja otsustab küpsiste suhtes antud nõusoleku tagasi võtta, peaks see protsess olema lihtne ja kergesti kättesaadav – sarnane sellega, kuidas nõusolek algselt anti.
Google’i küpsisekeeld
4. jaanuaril 2024 alustas Google oma uute privaatsusfunktsioonide testimist ja lõpetas 1% kasutajate jaoks kolmandate osapoolte küpsiste kasutamise Google Chrome’i brauseris, ühinedes nii Safari ja Mozilla Firefoxiga, kes on sellistest jälgimistehnoloogiatest loobunud. Chrome’ile kuulub praegu märkimisväärselt suur osa veebibrauserite turust kogu maailmas ja Google kavatseb lõpetada kolmandate osapoolte jälgimisküpsiste kasutamise kõigi kasutajate puhul, kuigi selle lõpuleviimise tähtaega on seni edasi lükatud.
Kolmandate osapoolte küpsised ei teeni mitte ainult veebilehte, kuhu need on paigutatud, vaid ka küpsiste pakkujaid, ning kogu reklaamittehnoloogiaööstus keerleb massilise andmete kogumise, profileerimise ja reaalajas pakkumiste tegemise ümber. Vastutasuks veebisaitide optimeerimisteenuste eest koguvad paljud kolmanda osapoole küpsised lõppkasutajatelt tohutul hulgal isikuandmeid, mõnikord ilma nende nõusolekuta või isegi ilma nende teadmata. Selliseid andmeid saadetakse ja müüakse digitaalsetel turgudel. Probleem ei seisne mitte kogutud andmete koguses või andmete tundlikkuses, vaid andmete töötlemises lõppkasutajatest ulatuslike profiilide loomise eesmärgil. Google’i algatus kaotada Chrome’is kolmandate osapoolte küpsised on loomulikult leidnud vastuseisu reklaamitööstuselt.
Google’i otsus eemaldada Chrome’i kolmanda osapoole küpsised on osa suuremast algatuste sarjast nimega „Privacy Sandbox“, mis käivitati juba 2019. aasta augustis. See algatus on alternatiiv igasugusele saitide ja rakenduste vahelisele ristjälgimisele ning toimib sarnaselt kolmanda osapoole küpsistega.
Küpsiste tulevik
Kolmandate osapoolte küpsiste kadumine ei tähenda, et lõpeb vajadus kasutaja nõusoleku järele. Nõusolek on endiselt paljude maailma olulisemate andmekaitsealaste õigusaktide lahutamatu nõue. Kolmandate osapoolte küpsiste toetuse lõppemine ei tähenda kasutajate jälgimise lõppu, sest jälgimistehnoloogiad võivad olla veebilehtedel ja rakendustes kasutatavatesse teenustesse paigutatud mitmel muul viisil.
Google’i niinimetatud „Privacy Sandbox“ lahendus reklaamide sihtimiseks on rakendusprogrammimisliides (API) nimega „Topics“, mis loob äratuntavad kategooriad, millest veebilehitseja lähtub kasutajate külastatud lehekülgede põhjal. „Topics’i“ abil ei jagata kasutaja poolt külastatud konkreetseid veebisaite enam kogu veebis, nagu seda on tehtud kolmandate osapoolte küpsiste puhul. Veel üks „Privacy Sandboxi“ lahendus on „Protected Audience“ API, mis on mõeldud taasturunduse ja kohandatud sihtrühmade puhuks, võimaldamata kolmandatel isikutel jälgida kasutajate sirvimiskäitumist eri veebilehtedel. Selliselt pakutakse veebilehitsejale seadmes oksjonit valimaks asjakohaseid reklaame veebisaitidelt, mida kasutaja on varem külastanud.
Lisaks kolmanda osapoole andmete lõpule ja üleminekule privaatsussõbralikule reklaamitehnoloogiale on üks turundajate hirmudest ka üksikasjalike ja täpsete reklaami tulemuslikkuse mõõtmiste vähenemine. „Privacy Sandbox“ tegeleb selle murega oma „Attribution Reporting“ API abil, mis võimaldab reklaamijatel paigutada asjakohaseid reklaame ja analüüsida nende tõhusust ilma kolmanda osapoole küpsisteta, tagades privaatsuse ning takistades saidiülest kasutajate jälgimist.
Küpsistevaba maailm on peaaegu kohal ja turundajad on ärevad. Pärast mõningasi tagasilööke ja neist taastumist võib reklaamijatele olla kasulik kaaluda siiski esimese osapoole andmete kasutamist. Selliselt saadud teave (e-posti aadressid, ostuajalugu jne) on usaldusväärsem ja rikkalikum, sest seda annavad kasutajad vabatahtlikult või seda saab jälgida ilma jälgimisseadmeteta. Esimese osapoole andmebaasi täiustamiseks võivad turundajad pakkuda uudiskirja tellimist, käivitada lojaalsusprogramme, analüüsida klientide tagasisidet või luua küsitlusi ja kliendimänge. Sellise eksklusiivse juurdepääsu saamine esimese osapoole andmetele tähendab kindlat konkurentsieelist.
Sellest hoolimata reguleerivad Euroopa Liidu andmeid GDPR ja EPD. Samad isikuandmete töötlemise põhimõtted jäävad kehtima veel kaua pärast seda, kui kolmanda osapoole küpsised on kadunud. Kolmanda osapoole küpsised on tarninud töötlemata ja eraelu puutumatust rikkuvaid andmeid peaaegu triljonit USA dollarit väärt reklaamitööstusele, mis on aastaid tuginenud intensiivsele sekkumisele inimeste privaatsusesse, et ennustada kasutajate käitumist, ja reaalajas toimuvatele oksjonitele, mis on aluseks kogu mehhanismile, mille alusel kasutajatele veebisaitidel isikustatud reklaame näidatakse.
