Oktoobri alguses tegi Euroopa Liidu Kohus otsuse asjas Planet49, kus väljendab, et veebilehe kasutaja seadmesse küpsiste paigaldamiseks ja neile juurdepääsuks on vajalik kasutaja aktiivne nõusolek. See tähendab, et näiteks nõusolek, mis on antud eeltäidetud märkeruudu abil ja millest kasutaja peab keeldumiseks märgistuse eemaldama, ei ole kehtiv.
Lisaks leidis kohus, et nõusolek peab olema konkreetne ehk kasutaja peab teadma, millele ta nõusoleku andis. Tähtis on silmas pidada, et sama nõusoleku alla ei tohi koondada erinevaid töötlemise eesmärke.
Antud juhtumi puhul leidis kohus, et kasutaja klikk reklaamloteriil osalemiseks, ei anna alust järeldamaks kasutaja nõusolekut küpsiste salvestamiseks. Küpsistele nõusoleku saamisel tuleb esitada teave, mis selgitab küpsiste kasutamise eesmärgid ning erinevat tüüpi küpsiste jaoks tuleb võtta eraldi nõusolek.
Seega peaks kasutajal olema valik näiteks lubada analüütilised küpsised aga keelata reklaamiküpsised.
Kohus märkis, et nõusoleku küsimisel esitatud teave peab võimaldama kasutajal aru saada nõusoleku tagajärgedest ning see teave peab võimaldama kasutajal mõista küpsiste toimimist. Samuti peab selline teave sisaldama informatsiooni küpsiste kestuse ja kolmandate osapoolte ligipääsu kohta.
Euroopa Kohtu seisukohta toetab ka Hispaania andmekaitseameti hiljutine otsus trahvida lennufirmat Vueling 18 000 euroga, kuna ettevõte ei andnud kasutajatele küpsiste kohta piisavalt teavet ega saanud kehtivat nõusolekut küpsiste paigaldamiseks. Vuelingu veebilehe küpsiste hüpikaken eeldas kasutaja nõusolekut küpsiste paigaldamiseks kasutaja jätkuva veebilehe kasutamisega. Selline nõusolek ei ole informeeritud ega aktiivne ning ei vasta isikuandmete kaitse üldmääruse nõuetele.
Nõusoleku küsimise puhul ei oma tähtsust asjaolu, kas tegemist on isikuandmetega või mitte. Nõusolekut ei pea küsima tehnilistele küpsistele (mis on vajalikud, et kasutaja saaks veebilehel navigeerida ja veebilehe funktsioone kasutada) ning küpsistele, mis on vajalikud teenuse osutamiseks, mida kasutaja on selgelt taotlenud (nt ostukorvi täitmiseks).
Ülejäänud küpsised tohib paigaldada alles siis kui nõusolek on antud. Veebilehe omanik peab veebisaidi igakordsel külastusel tagama kasutajale võimaluse oma nõusolek küpsiste kasutamiseks tagasi võtta ning olema vajadusel valmis ka tõendama nõusoleku andmist.
Näited küpsiste hüpikakendest
Sellise hüpikaknaga antav nõusolek eeldab aktiivset klikki kasutaja poolt ning annab võimaluse küpsised keelata, kuid ei ole piisavalt läbipaistev ega anna kasutajale tegelikku vaba valikut otsustamaks, milliseid küpsiseid kasutada.
Erinevatele küpsistele, millel on erinev töötlemise eesmärk, tuleb saada eraldi nõusolek. Küpsiste teavitus, millele hüpikaken juhatab, peab sisaldama infot selle kohta, kas küpsiseid edastatakse kolmandatele osapooltele ning kui kaua küpsiseid säilitatakse.
Kuigi antud hüpikaknas on seletatud küpsiste kasutamise eesmärk, siis ei ole vaikimisi antud nõusolek sobiv. Nõusolek peab olema antud kasutajapoolse aktiivse tegevuse kaudu (nt linnukese märkimine märkeruudus).
Sellise ülesehitusega hüpikaken on kasutaja jaoks läbipaistev ja nõusoleku andmine aktiivne ja informeeritud. Nõusolek on antud eri tüüpi küpsiste jaoks. Tehnilised küpsised võivad olla eelmärgitud, kuna nende kasutamiseks nõusolekut vaja ei ole. Ülejäänud küpsiste jaoks on vaja aktiivset nõusolekut (märkeruut ei tohi olla eeltäidetud).
