KÕIKIDE liikmesriikide juhtide (s.h Eesti) ühehäälsel heakskiidul jõustus 2018 GDPR-i EU "veebiküpsiste nõue" - iga veebilehte avades pead klikiga bännerile andma nõusoleku. GDPR 5-nda aastapäeva konverentsil Tallinnas pandi hääletusele - kas tuleks GDPR selle nõude muutmiseks avada? Ei, Ei, Ei - kogu saalitäis bürokraate oli avamise vastu. Avamist toetasid ainult MINA, Riigikohtu halduskolleegiumi esimees Ivo Pilving ja veel üks osaleja.
Miks küpsiste poliitika kedagi ei aita?
Kuigi eesmärk on kaitsta privaatsust, ei täida see oma ülesannet. Nõusoleku väsimus viib selleni, et kasutajad ei tee teadlikke valikuid – enamik aktsepteerib kõike, võimaldades andmete kogumist edasi. Uuringud kinnitavad, et bännerid ei suurenda privaatsust oluliselt, vaid häirivad sirvimist ja vähendavad tootlikkust. Ettevõtted kannatavad kulude all, ilma et tarbijad tunneksid end turvalisemalt. Ja ega kasutajal polegi valikut - mittenõustumisel talle veebilehte ei näidata ja ta peab vägisi nõustuma või arvuti sulgema!
Aga kas ja kellele tema veebilehel käitumise andmeid edasi müüakse - seda talle erinevalt USA-st ei antagi teada (lehe külastamise andmete müük olemuselt pole üldse paha - see võimaldab külastajale pakkuda just teda huvitavaid valikuid ja tooteid ning mitte kõigile ühtmoodi Pamperseid - näiteks kui ma tahan veebist midagi osta - otsin lihtsalt ühel päeval seda ja järgmistel näidatakse mulle just sellise toote paremaid ja odavamaid pakkumisi). Massiivne EU Cookie Consent on asi, mis kehtestati arvutit ilmselt mitteoskavate isikute poolt arvutikasutajatele.
Paremaid alternatiive on olemas.
Näiteks USA-s puudub föderaalne "küpsiste seadus", kuid osariikide seadused nagu California CCPA/CPRA nõuavad lihtsalt teavitust andmete müügist ja opt-out-võimalust – ilma kohustuslike pop-up'ideta. See tähendab, et ettevõtted peavad avaldama, kas ja kellele nad isikuandmeid müüvad, võimaldades kasutajatel keelduda linkide kaudu, mitte iga lehekülje bänneritega. Tulemus? Vähem häirivaid elemente, parem kasutajakogemus ja siiski privaatsuskaitse, eriti tundlike andmete puhul. Hiinas (PIPL) on samuti rõhk teavitamisel, mitte pop-up'idel, mis tagab efektiivsuse ilma lisakuludeta.
Probleemi ulatus ja kulud – hinnangud Euroopas
Küpsiste nõude rakendamine on tekitanud mitut tüüpi kulu:
- kasutajate aja kulu ja kaudne tootlikkuse langus;
- ettevõtete arendus-, õigus- ja halduskulud ning consent management platformide (CMP) tellimused;
- reklaani- ja sihtimistegevuse efektiivsuse vähenemine ning seeläbi tulu kahanemine;
- energiatarve ja süsinikujäljega seotud mõjud (serverid, andmeedastus, kasutajaseadmete tarbimine).
Hinnanguline kokkuvõte, tuginedes viidatud analüüsidele ja mastaapsete eelduste skaleerimisele:
- Keskmine ajakulu kasutaja kohta: ligikaudu 1–1,5 tundi aastas (sõltuvalt eeldustest 3–5 sek/teade ja 1 000+ külastust/aastas).
- EU-s kokku: 500–600 miljonit tundide kaod aastas, mis kui seda väärtustada ~€20–€25/tund, võib tähendada ligikaudu €10–€15 miljardit aastas kasutajate aja kaotust.
- Ettevõtete otsesed kulud (alginvesteeringud, tarkvara, õigusnõustamine): miljardite eurode suurusjärgus esmaste aastakuludena, pidevad kulud CMP-tellimustena ja uuendustena iga-aastaselt sadu miljoneid kuni paar miljardit eurot.
- Energia- ja keskkonnakulu: hinnanguliselt miljardieurose taseme lähedal aastas (sõltuvalt hinnast/kWh), mis tuleneb skriptide laadimisest ja täiendavast andmemahtudest.
Need numbrid on hinnangulised, kuid illustreerivad kulude suurt mastaapi: küpsiste nõuete rakendamine ei ole ainult privaatsuse küsimus, vaid ka majandus- ja keskkonnaprobleem.
Eesti-spetsiifiline hinnang
Eesti suurusjärk on väike, kuid mitte tühine: Eesti ~1,2 miljonit internetikasutajat (ligikaudu 0,3% EL kasutajaskonnast) tähendab proportsioneerides:
- kasutajate aja kulu: ligikaudu 1,5–2 miljonit tundi aastas, mis Eesti palkade arvestusel (~€12–€20/tund) tekitab hinnanguliselt €20–€40 miljoni suuruse majandusliku efekti kaotuse aastas.
- lisanduvad ettevõtete kulud: kümned miljonid eurod kogukuludena (alginvesteeringud, igakuised CMP-tasud, õigusnõustamine), sõltuvalt sellest, kui palju väikeettevõtted kasutavad tellitavaid lahendusi või teenuseid.
Eesti puhul võivad mastaapsed arenduskulud olla väiksemad, kuna e-riigi lahendused ja digitaalsed standardid toetavad koondlahendusi ning õiguslikud tõlgendused on kohati ühtsemad.
EPILOOG
Peamised probleemid rakendamisel
- Consent fatigue ja info üleküllus: kasutajad klikivad kiiresti “nõustun”, ilma sisulist arusaamist omamata, mis vähendab kaitse tõhusust.
- UX ja ligipääsetavuse kitsaskohad: bannerid segavad ligipääsu, mõjutavad navigeerimist ja võivad rikkuda kättesaadavuse nõudeid.
- Dark patterns: suunavad eelistatult “nõustuma” ja peidavad täpseid seadistusi.
- Õiguslik ebakindlus: lai tõlgendamisruum ePrivacy direktiivis ja viivitus uue ePrivacy määruse vastuvõtmisel.
- Keskkonna- ja majanduslik kulu: puhul, kus eelistatakse lahendusi, mis pakuvad aastaringset järelvalvet ja skriptide kuhjumist.
Praktilised lahendused ja soovitused (***kui USA eeskuju ei sobi***)
Soovitused on suunatud kolmele tasandile: poliitika, tehnoloogia ja ettevõtlus.
Poliitikatele:
- EPrivacy määruse kiire ja selge vastuvõtt, mis võimaldab tehniliselt mõistlikke erandeid mittehädavajalike, kuid mittetundlike küpsiste jaoks (nt toimivuse või analüütika puhul anonüümsete andmete erandid).
- Ühtsed standardid ja interoperatiivsus brauserite ning CMP-de vahel — suunata nõusolek brauseri tasandile (browser-based consent), et vältida korduvat hüpikut.
- Keskendu tegelikule jälgimisele ja õigusrikkumistele, mitte formaalsetele reklaampaneelidele.
Tehnilised lahendused:
- Sõltumatud brauseri- või operatsioonisüsteemi tasandi õigused, kus kasutaja saab globaalse vaikeseaded, mis vähendavad iga lehe eraldi nõusoleku vajadust.
- Privaatsemad, serveripoolsed analüütika- ja mõõtemudelid, mis vähendavad kolmandate osapoolte skriptide tarbimist.
- Standarditud, lihtsad ja ligipääsetavad nõusoleku UI-d, mis ei kasuta dark patterns ning pakuvad selgeid valikuid.
Kommentaare ei ole:
Postita kommentaar