Ülemaailmselt tuntud privaatsusõiguste aktivist, Austria jurist Max Schrems ja tema organisatsioon noyb (non of your business) on nüüd – pärast EL ja USA mõlema andmevahetuslahenduse “Safe Harbour” (2015) ja “Privacy Shield” (2020) edukat “uputamist” Euroopa Kohtus võtnud eesmärgiks lõpetada ka nö. “küpsisteterror” Euroopa veebilehtedel.

31. mail 2021 saatis noyb.eu välja ligikaudu 500 kaebuste projekti eri ettevõtetele Euroopas, kelle küpsiseteavitused (cookie banners) ei vasta GDPR nõuetele.

GDPR24.ee juht Tõnu Metsäär on organisatsiooni noyb sponsorliige.

Milles seisneb rikkumine?

Veebilehe kasutajatele tuleb anda selge valikuvõimalus “küpsistega” kas nõustuda või nendest oma arvutis keelduda. noyb  arendas välja tarkvara, mis tuvastab seadusevastased küpsiseteavitused ning saadab automaatselt välja seda käsitleva kaebuse projekti. Siiski jätab noyb ettevõtetele 1 kuu aega, et nad saaksid oma küpsiseteavituse veebis korda teha. Kui seda ei juhtu, saadetakse välja ametlik kaebus. Aasta jooksul kavatsetakse kontrollida 10 000 enim külastatavat Euroopa veebilehte. Kui ka seda algatust peaks saatma edu, on veebikasutajatel edaspidi võimalik külastada lihtsa ja selgesõnalise küpsiseteavitusega lehti.

GDPR-i eesmärk on tagada kasutajate täielik kontroll oma andmete üle, kuid tegelikkuses tekitab veebilehtedel surfamine inimestes frustratsiooni. Veebilehele minnes „hüppavad näkku“ tüütud teavitused, millest on samahästi kui võimatu pääseda mööda ilma „nõustun“ –  väljale klõpsamata . Ettevõtjad on avalikult tunnistanud, et nad kasutavad ohtralt nn „tumedaid võtteid“, mille abil sunnitakse enam kui 90% kasutajatest „nõustuma“, kuigi vastav statistika näitab, et tegelikult soovib “küpsistega” nõustuda vaevalt 3% kasutajatest.

Max Schrems märgib, et kasutajate jaoks konstrueeritakse pööraseid labürinte, mis tagavad näiliselt suure nõusolekute hulga. Inimese sundimine nõusolekut andma on aga otsene GDPR rikkumine. Ettevõtjad peaksid laskma ehitada endile õiglaselt toimivad infosüsteemid.

Kas GDPR on süüdi? Paljud internetikasutajad arvavad, et olukord on GDPR-i rakendamise otsene tagajärg kuigi tegelikult on tegu ettevõtjate poolse väärpraktikaga. GDPR nõuab mõistlikult arusaadavat eitavat või jaatavat vastust.

Max Schrems kritiseerib ettevõtjaid, kes privaatsuse kaitsmise lihtsustamise asemel ajavad veebilehtede külastajaid veel suuremasse segadusse. Tihti on luupainajalikud privaatsussätted nende endi konstrueeritud, kuid süüdistavad nad kõiges hoopis GDPR-i. Ühte ja sama narratiivi korrutatakse üha uuesti – kuni kasutajatel tekib veendumus, et seadus nõuabki selliseid kummalisi küpsiseteavitusi.

Robot koostab 10 000 kaebust aastas. Laialtlevinud probleemiga tegelemiseks on noyb ehitanud rikkumiste tuvastamise roboti. Organisatsiooni õigusteenistus kontrollib veebilehti ning robot koostab kaebuse. Ettevõtjale saadetakse kõigepealt mitteametlik kaebuse eelnõu ning juhend, kuidas oma tarkvara GDPR – ga kooskõlla viia. Kui ettevõtja seda ühe kuu jooksul ei tee, saadab robot kaebuse andmekaitse järelevalveasutusele menetlemiseks .