Kas GDPR nõuab küpsiste kasutamise nõusolekut?

Teenus

GDPR nõuab ettevõtetelt teavet töödeldavate isikuandmete eesmärgi ja meetodi kohta. Ja inimene peab sellega nõustuma. Kas küpsistega nõustumist reguleerib ka GDPR? Või äkki piisab küpsiste jaoks lihtsalt teavitamisest (ilma nõusolekuta)?

Mis on küpsised ja milleks?

Küpsisefailid (nn "küpsised") Kas IT-andmed, eelkõige tähtede ja numbrite seeria kujul olevad tekstifailid, salvestatakse kasutaja arvutisse ja on mõeldud Veebilehe lehtede kasutamiseks. Küpsised sisaldavad tavaliselt selle veebisaidi nime, kust need pärinevad, nende salvestusaega kasutaja arvutis ja unikaalset numbrit.

Küpsiseid on kahte tüüpi:

  • istungil"(Seansiküpsised) – need on ajutised failid, mis salvestatakse kasutaja arvutisse kuni väljalogimiseni, veebisaidilt lahkumiseni või brauseri sulgemiseni,

  • Püsiv"(Püsiküpsised) – neid faile hoitakse kasutaja arvutis küpsiste parameetrites määratud aja jooksul või seni, kuni kasutaja need kustutab.

Sõltuvalt veebisaidist ja selle eesmärgist võib küpsiste kasutusviis olla erinev. Neid saab kasutada näiteks:

  • paroolide ja sisselogimiste meeldejätmine,

  • andmete meeldejätmine täidetud kujul (automaatne vormi täitmine),

  • lehel veedetud aja analüüs,

  • veebilehe kasutamise teabe meeldejätmine,

  • kasutaja valitud seadete ja eelistuste meeldejätmine,

  • koostada statistilisi andmeid selle kohta, milline alamleht/artikkel on populaarseim.

Paljudel juhtudel võimaldab veebisaitide sirvimiseks kasutatav tarkvara (veebibrauser) vaikimisi salvestada küpsiseid kasutaja arvutisse. Kasutajad saavad küpsiste seadeid igal ajal muuta või need blokeerida. Muudatused või blokeeringud tehakse brauseri seadetes.

Siiski tuleb meeles pidada, et küpsiste blokeerimisel ei jäta veebisait kasutaja seadeid, eelistusi ega paroole meelde. See hõlmab vajadust täita samad andmed iga kord, kui veebisaiti külastate.

Küpsised ja isikuandmed

Isikuandmed on teave, mis tuvastab konkreetse isiku. Mõnikord piisab selle tuvastamiseks ühest teabest (nt kõrgeim isik meeskonnas), mõnikord peab seda teavet olema rohkem (nt nimi, perekonnanimi ja sünniaeg). Juhtub, et samad andmed ühes kohas võimaldavad tuvastada konkreetse isiku (nt PESELi number vallakontoris), teises aga ei tähenda see midagi (nt paberile kirjutatud PESEL). Isikuandmed võivad olla ka IP-aadress, kuid ainult siis, kui neid saab kasutada konkreetse isiku tuvastamiseks.

Seega, kui IP-aadress ei tuvasta konkreetset isikut - seda ei saa käsitleda isikuandmetena. Ja kuna sellisel juhul ei saa IP-aadressi kaudu kedagi tuvastada - isikuandmete töötlemist ei toimu.

IP-aadressi käsitletakse isikuandmetena ainult siis, kui IP-aadressi töötleval üksusel on samal ajal juurdepääs andmetele, mis seovad IP-aadressi muude isikut tuvastavate andmetega. Kuni töötleja pole kindel, et ta ei suuda IP-aadressi teiste isikut tuvastavate andmetega kombineerida, peaks ta IP-aadressi kaitsma nii, nagu oleks tegemist isikuandmetega.

Seal on fikseeritud ja dünaamilised IP-aadressid. Püsi aadressi käsitletakse isikuandmetena, kuna seda saab kasutada konkreetse kasutaja tuvastamiseks.

Nõusolek enne GDPR-i küpsiseid

Küpsiste kasutamisega nõustumist reguleerivad eelkõige telekommunikatsiooniseadus ja EL side (e-privaatsus) direktiiv. Need eeskirjad on Poolas kehtinud mitu aastat. Eelnimetatud õigusaktid nõuavad veebilehtede omanikelt nõusoleku saamist küpsiste kasutamiseks ja salvestamiseks kasutajate arvutites.

Nõusoleku all mõistetakse tahte teadlikku ja selget näitamist. Seega on nõusolek tahtlik žest. Pole vaja koguda väljavõtteid, märkida linnukesi (väikesed, ruudukujulised väljad), piisab, kui inimene näitas teadlikku kinnitusliigutust, nt sisestas vastavasse välja e-kirja või sirvib endiselt veebisaiti pärast veebilehe lugemist. asjakohast teavet küpsiste kohta.

Kokkuvõttes võib küpsiste kasutamise nõusolekut väljendada lihtsalt brauseri seadistamise või selle seadete muutmisega. Loetakse, et kui kasutaja pärast kasutatud küpsiste kohta käiva info selgemat lugemist siiski veebilehte kasutab – on ta teinud teadliku žesti, s.t andnud nõusoleku küpsiste kasutamiseks (küpsistega nõustumine läbi teadliku žesti). Vastasel juhul lahkuks ta saidilt või muudaks brauseri sätteid (keelaks või blokeeriks küpsised).

Kasutajat tuleb selgelt teavitada küpsiste kasutamisest ja eesmärgist.

Millal pole nõusolek küpsiste kasutamiseks vajalik?

Sidedirektiiv (nagu ka Poola telekommunikatsiooniseadus) näeb ette mõned erandid, kui küpsiste kasutamiseks nõusolek pole vajalik. Seaduse järgi ei ole nõusolek vajalik, kui küpsis on:

  • kuritarvitatud"üksnes sõnumi edastamiseks elektroonilise sidevõrgu kaudu”,

  • 'oluline infoühiskonna teenuse osutamiseks, mida tellija või kasutaja selgesõnaliselt taotleb”.

Seega ei pea küpsiste kasutamiseks nõusolekut nõudma, kui küpsised täidavad ainult ühte ülalnimetatud eesmärkidest. Sellisteks eesmärkideks võib olla näiteks e-poes tellimus või kasutaja valitud keele meeldejätmine.

Alustage tasuta 30-päevast prooviperioodi ilma piiranguteta!

Töörühm 29 (st nõuandeorganiks määratud isikuandmete kaitse eksperdid) ütleb oma analüüsis, et teade ja küpsiste kasutamise nõusolek ei ole nõutavad, kui on täidetud vähemalt üks tingimus:

  • küpsiseid ei kasutata täiendavatel eesmärkidel, vaid ainult teenuse osutamiseks,

  • küpsised hõlmavad näiteks nn "kasutaja sisestatud küpsised"(Kasutatakse kasutaja sisestatud andmete sisu jälgimiseks veebivormide täitmisel või veebipoes tellimuse täitmisel [ostudega ostukorvi täitmine]), tuntud ka kui"seansi ID küpsised”; „multimeediumipleieri seansiküpsised" ja "kasutajaliidese kohandamise küpsised"(Näiteks" lkeeleeelistuste küpsised"Kasutaja valitud keele meeldejätmiseks),

  • küpsis on vajalik kasutajale (või tellijale) konkreetse funktsiooni pakkumiseks: funktsioon ei ole saadaval, kui küpsised on keelatud ja kasutaja (või tellija) on seda funktsiooni teenuse (infoühiskonna) osana sõnaselgelt taotlenud.

Lisaks kostub spetsialistide seas hääli, et kui Küpsiseid kasutatakse ainult analüüsiks ja reklaamiks, saab isikuandmete töötlemisel (kui isikuandmeid tegelikult küpsiste raames töödeldakse) lähtuda haldaja juriidiliselt põhjendatud eesmärgist. Ja sellel õiguslikul alusel töötlemine ei nõua nõusolekut.

Nõusolek küpsiste kasutamiseks pärast GDPR-i

Mis puudutab GDPR-i ja küpsistega nõustumist, on selles küsimuses kaks häält. Mõned eksperdid ütlevad, et nõusolek küpsiste kasutamiseks on vajalik selgete ja teadlike nõusolekute vormis, nt märgistades vastava kasti või klõpsates vastavat kinnitusnuppu, nn. toimingu sooritamine (sest ainult tehtud tegevus on teadlik tahteavaldus).

Teine ekspertpool aga väidab, et GDPR ei lisa küpsiste nõusolekule midagi uut. Need spetsialistid viitavad määruse artiklile 95, mis ütleb, et GDPR ei sea täiendavaid kohustusi sidedirektiivis (s.o küpsiste osas) reguleeritud küsimustes. Seega võib järeldada, et kui sidedirektiiv ei nõua küpsiste nõusolekuavalduste kogumist, ei nõua seda ka GDPR. Ja piisab sellest, kui selgelt teavitada kasutatud küpsistest.

Teiseks argumendiks on üha sagedamini viidatud GDPR-i artikkel 11, mis ütleb, et kui eesmärgid, milleks vastutav töötleja isikuandmeid töötleb, ei nõua isiku tuvastamist, siis selliseks töötlemiseks nõusolekut ei ole vaja.

Teine argument, millele ülaltoodud eksperdid viitavad, on seose puudumine GDPR-i teema ja küpsiste kasutamise vahel. GDPR on regulatsioon, mis käsitleb isikuandmete ehk andmete, mille abil saab tuvastada konkreetset isikut, kaitset. Küpsiseid seevastu kasutatakse pigem statistiliste andmete analüüsiks, need ei tuvasta ainsatki isikut. Seetõttu ei kehti GDPR küpsiste kohta.

Tekkivale küsimusele"milline peaks välja nägema nõusolek küpsiste kasutamiseks", vastab Agnieszka Świątek-Druś, GIODO (UODO) pressiesindaja" Seoses artikli rakendamise viisiga. 5 sek. Direktiivi 2002/58/EÜ artiklis 3, mida on muudetud direktiiviga 2009/136/EÜ (artikli 2 punkt 5), on õiguslikke kahtlusi selle üle, kas artiklis 2 osutatud nõusolek. Seaduse artikkel 173 – telekommunikatsiooniseadus [nõusolek brauseri sätete puudumise tõttu – toimetuse märkus] on GDPR-i tähenduses asjakohane nõusolek. See probleem on praegu GIODO üksikasjalikuma analüüsi objektiks.

Kuidas küpsistest teavitada?

Internetitööstuse tööandjate ühendus IAB Polska on välja töötanud juhised küpsiste teabenõuete täitmiseks. Selles dokumendis on soovitatav:

  • postitades veebisaidi lehtedele (mitte ainult avalehele, vaid ka teistele lehtedele, kui kasutaja hakkab veebisaiti / saiti alamlehtedelt kasutama) sobiva "kõva aken "/" riba "/" riba"/ Jne, mille alusel teavitatakse kasutajat - üldiselt, mõne sõna, maksimaalselt mitme lausega - küpsiseid puudutavatest reeglitest.

Küpsise sõnumi näidistekst "Oma veebisaidi osana kasutame küpsiseid, et pakkuda teile teenuseid kõrgeimal tasemel, sealhulgas individuaalsetele vajadustele kohandatud viisil. Veebisaidi kasutamine ilma küpsiste seadeid muutmata tähendab, et need salvestatakse teie lõppseadmesse. Küpsiste seadeid saate igal ajal muuta. Täpsem info meie omasKüpsiste poliitika”/”Privaatsuspoliitika”.

  • viide (nt lingi kaudu) "Privaatsuspoliitika"Või pühendunud"Küpsiste poliitika", kus kasutajal oleks võimalus saada selle kohta täpsemat teavet (ja soovitav lahendus oleks välja töötada eraldi"Küpsiste poliitika", Ilmselgelt seotud kindraliga"Privaatsuspoliitikaja ") ja kus ta saab teha konkreetseid valikuid (st nõusolek / tühjendage nõusolek teatud tüüpi küpsistega).

Poliitika kohase teabe miinimummaht (eraldi lehel) peaks sisaldama teavet järgmise kohta:

  • üksused, mis paigutavad lõppseadmetesse ja kasutavad küpsiseid,

  • küpsiste salvestamise eesmärk, st nende kasutamise eesmärgid / funktsioonid, mida nad täidavad,

  • kasutajal on võimalus määratleda tarkvaraseadete / teenuse konfiguratsiooni abil küpsiste salvestamise või juurdepääsu tingimused, st eelkõige veebilehitsejate seadistustega seotud reeglid, sealhulgas nende seadete muutmine - "kuidas saate küpsiseid keelata?", Jne.

PRIVAATSUSPOLIITIKA NÄIDIS – MALL

  1. Veebisait ei kogu automaatselt teavet, välja arvatud küpsistes sisalduv teave.

  2. Küpsisefailid (nn "küpsised") on IT-andmed, eelkõige tekstifailid, mis salvestatakse Veebilehe kasutaja lõppseadmesse ja on mõeldud Veebilehe lehtede kasutamiseks.Küpsised sisaldavad tavaliselt selle veebisaidi nime, kust need pärinevad, lõppseadmes salvestusaega ja kordumatut numbrit.

  3. Üksus, kes asetab küpsised veebisaidi kasutaja lõppseadmesse ja saab neile juurdepääsu, on veebisaidi operaator ... [üksuse nimi], mille registrijärgne asukoht on ....

  4. Küpsiseid kasutatakse järgmistel eesmärkidel:

    1. Veebilehe lehtede sisu kohandamine vastavalt Kasutaja eelistustele ja veebisaitide kasutamise optimeerimine; eelkõige võimaldavad need failid ära tunda Veebilehe kasutaja seadet ja kuvada veebisaiti õigesti, kohandatuna tema individuaalsetele vajadustele;

    2. statistika koostamine, mis aitab mõista, kuidas Veebilehe kasutajad veebisaite kasutavad, mis võimaldab parandada nende struktuuri ja sisu;

    3. Veebilehe kasutaja seansi pidamine (pärast sisselogimist), tänu millele ei pea Kasutaja igal Veebilehe alamlehel uuesti sisselogimist ja parooli sisestama;

    4. …………………………………………………………………………….

  5. Veebisaidi osana kasutatakse järgmist tüüpi küpsiseid:

    1. "Vajalikud" küpsised, mis võimaldavad kasutada veebisaidil saadaolevaid teenuseid, nt autentimisküpsised, mida kasutatakse teenuste jaoks, mis nõuavad veebisaidil autentimist;

    2. küpsised, mida kasutatakse turvalisuse tagamiseks, nt mida kasutatakse veebisaidi autentimise valdkonnas pettuste tuvastamiseks;

    3. "Performance" küpsised, mis võimaldavad koguda teavet veebisaidi lehtede kasutamise kohta;

    4. "Funktsionaalsed" küpsised, mis võimaldavad "jäta meelde" Kasutaja valitud seadistused ja isikupärastavad kasutajaliidest, nt kasutaja valitud keele või piirkonna, fondi suuruse, veebilehe välimuse jms osas;

    5. "Reklaamiküpsised", mis võimaldavad edastada kasutajatele nende huvidele paremini kohandatud reklaamisisu.

    6. …………………………………………………………………………….

  6. Paljudel juhtudel võimaldab veebisaitide sirvimiseks kasutatav tarkvara (veebibrauser) vaikimisi salvestada küpsiseid Kasutaja lõppseadmesse. Veebisaidi kasutajad saavad küpsiste seadeid igal ajal muuta. Neid seadeid saab muuta eelkõige selliselt, et blokeerida küpsiste automaatne töötlemine veebilehitseja seadetes või teavitada nende igast postitamisest Veebilehe kasutaja seadmesse. Üksikasjalik teave küpsiste käsitlemise võimaluste ja meetodite kohta on saadaval tarkvara (veebibrauseri) seadetes.

  7. Veebilehe haldaja teatab, et küpsiste kasutamise piiramine võib mõjutada mõningaid veebilehtedel saadaolevaid funktsioone.

  8. Veebilehe kasutaja lõppseadmesse paigutatud küpsiseid võivad kasutada ka reklaamijad ja veebisaidi operaatoriga koostööd tegevad partnerid.