ePrivaatsuse direktiiv
Direktiiv privaatsuse ja elektroonilise side kohta
Ülevaade
ePrivaatsuse direktiiv (ePD), mida sageli nimetatakse "küpsise seaduseks", täiendab GDPR-i, pakkudes spetsiifilisi reegleid privaatsuse kohta elektroonilises sidevõrgus. See hõlmab side konfidentsiaalsust, jälgimistehnoloogiate kasutamist ja otseturundust.[1]
Kuna tegemist on direktiiviga, varieerub selle rakendamine liikmesriikide lõikes. Pakutud ePrivaatsuse määrus tagastati ametlikult tagasi 2025. aasta veebruaris, mis tähendab, et direktiiv jääb kehtivaks õigusaktiks.
Suhe GDPR-iga
- ePD on lex specialis: Eelneb GDPR-ile elektroonilise side puhul
- Kehtivad GDPR põhimõtted: ePD alusel peab nõusolek vastama GDPR standarditele
- Ühine jõustamine: Mõlemaid reeglistikke jõustavad andmekaitseasutused
Põhinõuded
Küpsiste nõusolek (artikkel 5(3))[2]
Nõusolek on vajalik enne, kui kasutaja seadmesse paigaldatakse või sealt loetakse teavet:
| Küpsise tüüp | Kas nõusolek on vajalik? |
|---|---|
| Range vajalik | Ei (v.a erandid) |
| Eelistused/funktsionaalsus | Jah |
| Analüütika/statistika | Jah (mõnes jurisdiktsioonis lubatud erandid) |
| Reklaam | Jah |
| Kolmanda osapoole jälgimine | Jah |
Nõusoleku nõuded
Kehtiv nõusolek peab olema:
- Enne: Saadud enne küpsiste paigaldamist
- Vabatahtlik: Tõeline valik ilma tagajärgedeta keeldumisel
- Spetsiifiline: Selge eesmärkide ja küpsiste tüüpide osas
- Informeeritud: Kasutajad mõistavad, milliseid andmeid kogutakse
- Ühemõtteline: Nõutav selge ja positiivne tegevus
- Tagasivõetav: Kasutajad saavad eelistusi hõlpsasti muuta
Küpsiste bänneri parimad tavad
| Tee nii | Ära tee |
|---|---|
| Paku detailseid valikuid | Ära eelvalikuga märgi nõusoleku kastikesi |
| Muuda "Lükka kõik tagasi" sama nähtavaks | Ära peida tagasilükkamist mitme kliki taha |
| Säilita nõusoleku tõendid | Ära sea küpsiseid enne nõusolekut |
| Võimalda lihtne tagasivõtmine | Ära tee tagasivõtmist raskemaks kui nõusolekut |
| Selge, lihtne keel | Tehniline žargoon |
Side konfidentsiaalsus (artikkel 5)
- Peatamine ja jälgimine on keelatud
- Tehniline salvestus, mis on vajalik edastamiseks, on lubatud
- Sisu ja metaandmed on võrdselt kaitstud
Otseturundus (artikkel 13)
| Tüüp | Nõue |
|---|---|
| E-posti/SMS turundus | Vajalik eelnev nõusolek |
| Olemasolevad kliendid | Pehme nõusolek sarnaste toodete puhul (lihtne loobumine) |
| B2B turundus | Liikmesriikide reeglid erinevad |
Soovimatud sidekanalid
- Saatja identiteet ei tohi olla varjatud
- Kehtiv loobumisvõimalus peab olema olemas
- Riiklikke "ära helista" registrit tuleb austada
Pakutud Digital Omnibus muudatused (2025)
Euroopa Komisjon on pakkunud välja küpsiseruulide lihtsustamise "Digital Omnibus" paketis:[3]
- Teatud ePD sätted viiakse GDPR-i
- Laiendatakse erandeid analüütika ja turvaküpsiste jaoks
- Võimaldatakse tsentraliseeritud nõusoleku signaalid, et vähendada "nõusoleku väsimust"
Märkus: Need ettepanekud ei ole veel vastu võetud. Praegused ePD nõuded kehtivad edasi.
Jõustamise näited
| Asutus | Organisatsioon | Trahv | Põhjus |
|---|---|---|---|
| CNIL (Prantsusmaa) | 150 miljonit € | Küpsiste nõusoleku rikkumised | |
| CNIL (Prantsusmaa) | 60 miljonit € | Raske küpsiste tagasilükkamine | |
| ICO (Suurbritannia) | Mitmed | Hoiatused | Peidetud tagasilükkamise nupud |
| AEPD (Hispaania) | Erinevad | 10 000–100 000 € | Ebapiisav nõusoleku kogumine |
Arendaja rakendamise kontrollnimekiri
Küpsiste nõusoleku bänner
- Hangi nõusolek enne mitteoluliste küpsiste seadistamist
- Paku detailseid kategooriate valikuid
- Muuda "Lükka kõik tagasi" sama kättesaadavaks
- Säilita ja aja märgi nõusoleku kirjed
- Võimalda lihtne nõusoleku tagasivõtmine
- Blokeeri kolmanda osapoole skriptid kuni nõusolekuni
Tehnilised nõuded
- Audit kõigi küpsiste ja jälgimistehnoloogiate üle
- Kategooriasta eesmärgi ja vajalikkuse järgi
- Dokumenteeri küpsiste eesmärgid ja säilitusaeg
- Tagada skriptide vastavus nõusoleku signaalidele
- Rakenda nõusoleku sünkroonimine alamdomeenide jaoks