EU veebiküpsiste hirmutav hind - 15 miljardit € aastas!

KÕIKIDE liikmesriikide juhtide (s.h Eesti) ühehäälsel nõusolekul kehtestati 2018 GDPR-i EU "veebiküpsiste nõue" - et iga veebilehte avades pead klikiga bännerile andma nõusoleku... GDPR 5-nda aastapäeva konverentsil pandi Tallinnas hääletusele - kas tuleks GDPR selle nõude kaotamiseks avada? Ei, Ei, Ei - kogu saalitäis bürokraate oli avamise vastu. Avamist toetasid küpsiste nõude kaotamiseks ainult MINA, Riigikohtu halduskolleegiumi esimees Ivo Pilving ja veel üks osaleja!

Miks küpsiste poliitika kedagi ei aita?

Kuigi eesmärk on kaitsta privaatsust, ei täida see oma ülesannet. Nõusoleku väsimus viib selleni, et kasutajad ei tee teadlikke valikuid – enamik aktsepteerib kõike, võimaldades andmete kogumist edasi. Uuringud kinnitavad, et bännerid ei suurenda privaatsust oluliselt, vaid häirivad sirvimist ja vähendavad tootlikkust. Ettevõtted kannatavad kulude all, ilma et tarbijad tunneksid end turvalisemalt. Ja ega kasutajal polegi valikut - mittenõustumisel talle veebilehte ei avata!

Paremaid alternatiive on olemas.

Näiteks USA-s puudub föderaalne "küpsiste seadus", kuid osariikide seadused nagu California CCPA/CPRA nõuavad lihtsalt teavitust andmete müügist ja opt-out-võimalust – ilma kohustuslike pop-up'ideta. See tähendab, et ettevõtted peavad avaldama, kas ja kellele nad isikuandmeid müüvad, võimaldades kasutajatel keelduda linkide kaudu, mitte iga lehekülje bänneritega. Tulemus? Vähem häirivaid elemente, parem kasutajakogemus ja siiski privaatsuskaitse, eriti tundlike andmete puhul. Hiinas (PIPL) on samuti rõhk teavitamisel, mitte pop-up'idel, mis tagab efektiivsuse ilma lisakuludeta.

Probleemi ulatus ja kulud – hinnangud Euroopas
Küpsiste nõude rakendamine on tekitanud mitut tüüpi kulusid:

• kasutajate aja kulu ja kaudne tootlikkuse langus;
• ettevõtete arendus-, õigus- ja halduskulud ning consent management platformide (CMP) tellimused;
• reklaani- ja sihtimistegevuse efektiivsuse vähenemine ning seeläbi tulu kahanemine;
• energiatarve ja süsinikujäljega seotud mõjud (serverid, andmeedastus, kasutajaseadmete tarbimine).

Hinnanguline kokkuvõte, tuginedes viidatud analüüsidele ja mastaapsete eelduste skaleerimisele:

• Keskmine ajakulu kasutaja kohta: ligikaudu 1–1,5 tundi aastas (sõltuvalt eeldustest 3–5 sek/teade ja 1 000+ külastust/aastas).
• EU-s kokku: 500–600 miljonit tundide kaod aastas, mis kui seda väärtustada ~€20–€25/tund, võib tähendada ligikaudu €10–€15 miljardit aastas kasutajate aja kaotust.
• Ettevõtete otsesed kulud (alginvesteeringud, tarkvara, õigusnõustamine): miljardite eurode suurusjärgus esmaste aastakuludena, pidevad kulud CMP-tellimustena ja uuendustena iga-aastaselt sadu miljoneid kuni paar miljardit eurot.
• Energia- ja keskkonnakulu: hinnanguliselt miljardieurose taseme lähedal aastas (sõltuvalt hinnast/kWh), mis tuleneb skriptide laadimisest ja täiendavast andmemahtudest.

Need numbrid on hinnangulised, kuid illustreerivad kulude suurt mastaapi: küpsiste nõuete rakendamine ei ole ainult privaatsuse küsimus, vaid ka majandus- ja keskkonnaprobleem.

Eesti-spetsiifiline hinnang
Eesti suurusjärk on väike, kuid mitte tühine: Eesti ~1,2 miljonit internetikasutajat (ligikaudu 0,3% EL kasutajaskonnast) tähendab proportsioneerides:

• kasutajate aja kulu: ligikaudu 1,5–2 miljonit tund aastas, mis Eesti palkade arvestusel (~€12–€20/tund) tekitab hinnanguliselt €20–€40 miljoni suuruse majandusliku efekti kaotuse aastas.
• lisanduvad ettevõtete kulud: kümned miljonid eurod kogukuludena (alginvesteeringud, igakuised CMP-tasud, õigusnõustamine), sõltuvalt sellest, kui palju väikeettevõtted kasutavad tellitavaid lahendusi või teenuseid.
  Eesti puhul võivad mastaapsed arenduskulud olla väiksemad, kuna e-riigi lahendused ja digitaalsed standardid toetavad koondlahendusi ning õiguslikud tõlgendused on kohati ühtsemad.

EPILOOG

Peamised probleemid rakendamisel

• Consent fatigue ja info üleküllus: kasutajad klikkavad kiiresti “nõustu”, ilma sisulist arusaamist omamata, mis vähendab kaitse tõhusust.
• UX ja ligipääsetavuse kitsaskohad: bannerid segavad ligipääsu, mõjutavad navigeerimist ja võivad rikkuda kättesaadavuse nõudeid.
• Dark patterns: suunavad eelistatult “nõustuma” ja peidavad täpseid seadistusi.
• Õiguslik ebakindlus: lai tõlgendamisruum ePrivacy direktiivis ja viivitus uue ePrivacy määruse vastuvõtmisel jätavad ettevõtted ettevaatlikkusele.
• Keskkonna- ja majanduslik kulu: puhul, kus eelistatakse lahendusi, mis pakuvad aastaringset järelvalvet ja skriptide kuhjumist.

Praktilised lahendused ja soovitused (kui USA eeskuju ei sobi)
Soovitused on suunatud kolmel tasandil: poliitika, tehnoloogia ja ettevõtlus.

Poliitikatele:

• EPrivacy määruse kiire ja selge vastuvõtt, mis võimaldab tehniliselt mõistlikke erandeid mittehädavajalike, kuid mittetundlike küpsiste jaoks (nt toimivuse või analüütika puhul anonüümsetandmete erandid).
• Ühtsed standardid ja interoperatiivsus brauserite ning CMP-de vahel — suunata nõusolek brauseri tasandile (browser-based consent), et vältida korduvat hüpikut.
• Keskendu tegelikule jälgimisele ja õigusrikkumistele, mitte formaalsetele reklaampaneelidele.

Tehnilised lahendused:

• Sõltumatud brauseri- või operatsioonisüsteemi tasandi õigused, kus kasutaja saab globaalse vaikeseaded, mis vähendavad iga lehe eraldi nõusoleku vajadust.
• Privaatsemad, serveripoolsed analüütika- ja mõõtemudelid, mis vähendavad kolmandate osapoolte skriptide tarbimist.
• Standarditud, lihtsad ja ligipääsetavad nõusoleku UI-d, mis ei kasuta dark patterns ning pakuvad selgeid valikuid.