Kasutaja nõusolek ja selle vorm küpsiste paigaldamiseks kasutaja arvutisse

Allikas: Vikipeedia
Mine navigeerimisribale Mine otsikasti

Kasutaja ehk andmesubjekti nõusolek küpsiste paigaldamiseks kasutaja arvutisse või muusse nutiseadmesse on etteantud vormis ja aktiivse nõusolekuna antud nõusolek, mille kasutaja annab andmete vastutavale töötlejale ja mille vormi nõuded sätestab Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679.[1]

Mõisted[muuda | muuda lähteteksti]

Kasutaja kui andmesubjekt[muuda | muuda lähteteksti]

Kasutaja, ehk isikuandmete töötlemise puhul andmesubjekt, on isik, kes kasutab teenust, toodet või seadet ning selle tegevuse raames saavad andmete töötlejale kättesaadavaks andmesubjekti isikuandmed. Selle tegevuse raames on võimalik, et kasutajal tekib õigustatud soov eraelu puutumatuse kui inimõiguse kaitseks.[2] See tagab õiguse inimesel endal otsustada, kas ja millises mahus tema isikuandmeid kogutakse, säilitatakse ja kasutatakse. Tuleb meeles pidada, et selline õigus ei ole absoluutne. Andmesubjektina on isikul õigus teha kokkuleppeid ja omada tingimusi töötleja ja kasutaja vahel isikuandmete töötlemiseks.[3]

Kasutaja kui andmesubjekti nõusolek[muuda | muuda lähteteksti]

Andmesubjekti nõusolekuks loetakse iga konkreetset, vabatahtlikult ja teadlikult tehtud tahteavaldust, millega andmesubjekt annab nõusoleku tema kohta käivaid andmeid töödelda. Selleks, et isikuandmete töötlemine oleks seaduslik, peab andmesubjekt andma oma nõusoleku. Ilma andmesubjekti nõusolekuta saab seaduslikuks lugeda isikuandmete töötlemist, mis on vajalik seoses andmesubjektiga siduva kokkuleppega ning selle täitmisega. Samuti juhul, kui tegemist on seadusest tuleneva kohustuse, üldiste huvidega seotud ülesande täitmise, avaliku võimu teostamise või mõne füüsilise või juriidilise isiku õigustatud huvidega. Sellistel juhtudel peab meeles pidama, et andmesubjekti huvid, õigused ja vabadused ei ole viimastel juhtudel ülimuslikud.[4] Andmesubjekti nõusolekut saab jagada vabatahtlikuks ja teadlikuks nõusolekuks, aktiivseks ja passiivseks nõusolekuks.[5]

Euroopa Kohus on sisustanud nõusoleku nõuded järgmiselt:

Vabatahtlik nõusolek

Vabatahtliku nõusoleku puhul peab andmesubjekti tahteavaldus olema selgelt aktiivse tegevuse tagajärg. See eeldab, et andmesubjektil on vabadus märkimisväärselt otsustada selle üle, kas ta soovib anda sellise nõusoleku või mitte. Vaadates Euroopa Kohtu lahendit nr C‑673/17 ning seal analüüsimist leidnud olukorda, mille puhul oli tegemist veebisaidil toimunud loosimise ja selleks puhuks isikuandmete kasutamisega, on leidnud Euroopa Kohus, et aktiivse nõusoleku puhul ei piisa eeltäidetud märkeruudu kuvamisest kasutajale ehk andmesubjektile. Sellisel puhul ei saa lugeda nõusoleku andmist kasutaja aktiivseks käitumiseks.[6]

Teadlik nõusolek

Teadliku nõusoleku puhul ei tohi tekkida vähimatki kahtlust selles, et andmesubjekti on teavitatud piisavalt. Seejuures on oluline märkida, et andmesubjekti tuleb teavitada kõikidest andmete töötlemisega seotud asjaoludest ja nendest tulenevatest tagajärgedest. Andmesubjekti on kohustus teavitada, milliseid andmeid töödeldakse, mis on andmete töötlemise eesmärk, mil viisil ja millise kehtivusega andmeid töödeldakse. Andmete töötleja peab informeerima andmesubjekti töötlejast endast ja faktist, kas andmeid töötleb ainult tema või on kavatsus andmeid edastada ka kolmandatele osapooltele. Juhul, kui andmesubjekt keeldub andmete töötlemiseks nõusoleku andmisest, on andmetöötleja kohustatud informeerima kasutajat ehk andmesubjekti ja keeldumisega seotud tagajärgedest.[7]

Aktiivne ehk sõnaselge nõusolek

Vastavalt Euroopa Liidu direktiivile number 95/46 peab andmesubjekti poolt antav nõusolek olema väljendatud aktiivselt. Aktiivset nõusolekut nimetatakse ka sõnaselgeks nõusolekuks. Aktiivne nõusoleku väljendamine tähendab, et tahteavaldusena saab käsitleda andmesubjekti aktiivset käitumist. Kuivõrd nõusolek peab olema antud muuhulgas ühemõtteliselt, siis selline tegevus saab olla läbi viidud ainult andmesubjekti aktiivse käitumisega. Samuti saab mitmemõttelisust kõrvaldada ainult andmesubjekti aktiivse nõusoleku andmisega. Aktiivse nõusoleku puhul on oluline, et andmesubjekti tegevuste tulemuseks on nõusoleku kinnitamine mitte eelnevalt formuleeritud kinnitusega mittenõustumine[8]

Passiivne ehk vaikimisi nõusolek

Andmesubjekti nõusolekut, mis ei ole antud aktiivselt nimetatakse passiivseks ehk vaikimisi nõusolekuks. Andmesubjekti isikuandmete töötlemiseks nõusoleku andmine ei saa olla kunagi passiivne, kasutaja peab alati andma oma aktiivse nõusoleku.[9]

Kasutaja nõusoleku vorm[muuda | muuda lähteteksti]

Isikuandmete töötlemiseks kasutaja ehk andmesubjekti poolt antava vorminõude paneb paika Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, mis ütleb, et nõusolek peab olema selgesõnaline ja konkreetne kinnitus kirjalikus, elektroonilises või suulises vormis, tema sõnastus peab olema arusaadav ja lihtsas sõnastuses ning samuti kasutajale kergesti kättesaadav.[1]

Küpsised[muuda | muuda lähteteksti]

Küpsiseid, mis kujutavad endast teksti kujul olevaid andmeblokke, mis on kasutaja ehk andmesubjekti nõusolekul paigaldatud kasutaja arvuti või mõne muu nutiseadme veebilehitsejasse.Küpsiseid kasutatakse teabe kogumise vahendina. Selle genereerib kasutaja poolt külastatav veebisait.[10] Juriidilisest perspektiivist lähtudes on kasutaja nõusolekut vaja küsida siis, kui küpsisesse salvestatakse infot, mida isikuandmete kaitse üldmääruse alusel.[11] peetakse isikut tuvastavaks või profileerivaks.

Küpsiste kasutamise reguleerimise vajadus[muuda | muuda lähteteksti]

Küpsiste kaudu saab kasutaja isiku tuvastada ilma nende teadmata.[12]Kuna küpsiste kasutamine puudutab isikuandmete kaitset, peab teabe saamine ja kasutaja nõusoleku saamiseks kasutatavad meetodid olema üheselt arusaadavad. Jälgimisküpsiseid (tracking cookie) kasutatakse reklaamimise eesmärgil, et vaadata, mis tooteid kasutaja vaatab või ostab, et selle alusel kasutajale väljavalitud reklaame pakkuda. Internetilehekülgede omanikud saavad küpsiste abil valida just kasutajale sobilikud reklaamid. Küpsised muudavad kasutaja veebis liikumise ja sirvimisajaloo kasutamise veebilehe omanikele lihtsamaks.[13] Lisaks sellele võimaldavad osad küpsised saada ligipääsu kasutajate isiklikule informatsioonile, vaata nt Facebooki-Cambridge analüütiliste andmete skandaali. Kuigi küpsised on ettevõtja seisukohast olulised, võivad need põhjustada ohtu kasutaja privaatsusele ja eraelu puutumatusele.

Eraelu puutumatus elektroonilise side sektoris[muuda | muuda lähteteksti]

Küpsiste kaudu kogutud isikustatud andmed kuuluvad õiguslikult eraelu puutumatuse alla ja on kaitstud Eesti Vabariigi põhiseadusega, konkreetsemalt isikuandmete kaitse seadusega. Isikuandmete kaitsel on ühisvastutus nii andmete kogujal (data controller) kui andmete kasutajal (data processor) - mõlemad peavad olema veendunud või omavahel kokku leppinud, et isikustatud andmete kasutamisel on võetud kõik vajalikud nõusolekud.[14]

Õiguslik raamistik[muuda | muuda lähteteksti]

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV 2002/58/EÜ[15], milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris.

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV 2009/136/EÜ[16], millega muudetakse direktiivi 2002/22/EÜ universaalteenuse ning kasutajate õiguste kohta elektrooniliste sidevõrkude ja -teenuste puhul, direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris, ning määrust (EÜ) nr 2006/2004 tarbijakaitseseaduse jõustamise eest vastutavate siseriiklike asutuste vahelise koostöö kohta.

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679[1] füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.

Kasutaja nõusolek ja selle vorm[muuda | muuda lähteteksti]

Just jälgimisküpsised on need, mille puhul on nõutav andmesubjekti nõusolek ning ainult teadliku nõusoleku puhul on küpsisel lubatud kasutaja andmeid hallata, koguda ja töödelda.[17] Andmesubjekt peab andma vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku selge kinnitusena (sh elektroonilisel teel) teda puudutavate isikuandmete töötlemiseks. Tegevusetust või eelnevalt märgistatud lahtrite kasutamist ei tohi pidada nõusolekuks. Nähtuma peab andmesubjekti konkreetne tahe. Mitme eesmärgiga töötlemisel tuleb eesmärgid eraldi välja tuua ja nende kohta ka eraldi nõusolekud küsida. Taotlus peab olema selge ja kokkuvõtlik.[1] Nõusoleku tagasivõtmine peab olema lihtne, peale mida ei saa enam andmeid töödelda ja peab tagama andmete kustutamise.[18]


Kriitika[muuda | muuda lähteteksti]

Eraelu puutumatuse ja andmekaitse traditsioonilised õigusmõisted võitlevad igapäevaselt täiustatud tehnoloogilise arenguga, mistõttu on praegune õigusraamistik moodsa andmetöötluse jaoks halvasti varustatud ja kasutajate isikuandmete kaitse tõhusaks tagamiseks on vaja lähenemisviisi muuta. Euroopa Komisjon on ekslikult keskendunud nõusoleku andmisele ja peaks oma fookuse suunama tulevaste jälgimistehnoloogiate arendamisele - kui tarkvarainseneridelt nõutaks kaitse sisseviimist kohe, võimaldaks see kasutajate tõhusamat kaitset.[19]

Euroopa Kohtu kohtupraktika[muuda | muuda lähteteksti]

Kohtuasi C‑673/17, Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderatsioon vs Planet49 GmbH.[muuda | muuda lähteteksti]

Eelotsusetaotluse keskne küsimus on kuidas tõlgendada direktiivi 2002/58/EÜ kasutaja nõusolekut koosmõjus direktiivi 95/46/EÜ isikuandmete töötlemise ning määruse (EL) 2016/679 kasutaja nõusolekuga ühel või mitmel konkreetsel eesmärgil.[20]

Asjaolude kirjeldus[muuda | muuda lähteteksti]

Planet49 korraldas müügiedendusliku auhinnamängu, kus mängus osalenute nõusolekuga edastati nende isikuandmeid äriühingu sponsoritele ja partneritele ning salvestati teavet nende kasutajate lõppseadmesse ja saadi juurdepääs sinna juba salvestatud teabele.

Auhinnamängus osalemiseks oli veebilehel kaks märkeruutu – üks teavitas, et kasutaja nõustub oma andmete edastamisega sponsoritele ja koostööpartneritele ning teine märkeruut oli küpsiste paigaldamise kohta arvutisse. Auhinnamängus osalemiseks oli vaja märgistada vähemalt üks märkeruut, kusjuures teine märkeruut (küpsiste paigaldamise nõusolek) oli eeltäidetud. Küpsiste paigaldamisega nõustumisel oli kasutajale selgitatud kellega infot jagatakse, kuid polnud märgitud kaua infot kogutakse ja kas kolmandatele isikutele antakse ka juurdepääs infole.

Euroopa Kohtu põhjendused ja seisukoht[muuda | muuda lähteteksti]

Õiguslik raamistik, millele kohus toetub on esiteks, direktiiv 95/46, mis on isikuandmekaitse üldmäärus, milles on defineeritud isikuandmed, nende töötlemine ja andmesubjekti nõusolek teabe töötlemisele. Direktiiv 95/46 tunnistati alates 25. maist 2018 kehtetuks ja asendati määrusega 2016/679. Kuna kohtuasja ese leidis aset direktiivi kehtetuks tunnistamise ja määruse jõustumise ajal, vastati esitatud küsimustele nii direktiivi kui ka määruse põhjal.[21]Teiseks toetub kohus direktiivile 2002/58 muudetuna direktiiviga 2009/136, mis käsitleb eraelu puutumatust ja elektroonilist sidet. Selle direktiiviga nähakse ette, et liidu liikmesriikide sätted oleks ühtlustatud, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse oleks võrdväärselt tagatud isikuandmete töötlemise puhul elektroonilise side sektoris ning tagatud elektrooniliste sideseadmete ja -teenuste vaba liikumine. Sealjuures tuuakse välja direktiivi põhjendus 17, milles on märgitud, et kasutaja nõusolek peab olema väljendatult vabatahtlikult, konkreetselt ja teadliku tahteavaldusega (nagu näiteks vajaliku lahtri märgistamisega).[15]Kolmandaks, täpsema vormi nõusolekule annab määrus 2016/679, mis on füüsiliste isikute kaitse isikuandmete töötlemisel ja selliste andmete vaba liikumise direktiiv. Selle määruse põhjenduses 32 on märgitud, et nõusolek peab olema selge kinnitus, kas kirjalik või suuline, see peab olema antud vabatahtlikult, teadlikult ja ühemõtteliselt oma isikuandmete töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks määruse alusel nõusolekuks pidada.[1]

Kohus on seisukohal, et kui kasutaja jätab märkeruudu tühjendamata, ei ole võimalik objektiivselt kindlaks teha, kas ta on seda teinud teadlikult ning andnud nõusoleku isikuandmete töötlemiseks. Nõusoleku avaldamine eeldab, et andmesubjektil on märkimisväärne vabadus otsustada selle üle, kas ta annab nõusoleku või mitte. Nõusoleku andmine peab olema aktiivne tegevus, mitte passiivne. Eeltäidetud märkeruudu abil nõusoleku andmiseks ei ole aga vaja kasutaja aktiivset tegevust. Sellest tulenevalt ei saa lugeda nõusolek antuks kehtivalt, kui kasutaja peab oma nõusolekust keeldumiseks märgistuse eemaldama.[22]Teise lahendamist vajanud küsimusega, andmesubjekti teavitamine küpsiste kasutamise kestuse kohta ja asjaolu, kas kolmandatele isikutele antakse ligipääs tema isikuandmetele, leidis kohus, et see info peab olema kasutajale ka teada antud ning vastava teabe edastamist loetakse teenusepakkuja kohustuseks.[23]

Kohtujurist on teinud sama ettepaneku kohtule, et nõusolekut ei ole antud kehtivalt tegevusetusega ning teenuseosutaja peab kasutajale andma igakülgse info küpsiste kasutamise kohta, sealhulgas selle kestuse ja kas informatsioon tehakse kättesaadavaks kolmandatele isikutele. Kohtujurist toob välja ning kohus viitab ka kohtujuristi argumentidele, et tahte avaldamine viitab aktiivsele tegevusele, mitte passiivsele, rõhutades, et nõusoleku andmine eeldab vabadust ka sellest keelduda.[24]

Kohtuasi C-61/19 Orange România SA vs Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) kohtujuristi M. Szpunar ettepanek[muuda | muuda lähteteksti]

Kohtuasi käsitleb teenuseosutaja ja riikliku andmekaitseasustuse vaidluses, mis puudutab lepingu sõlmimisel kliendi nõusoleku küsimist isikutunnistuse koopia tegemise ja säilitamisega.

Kohtujurist on seisukohal, et kohtuasi annab võimaluse Euroopa Kohtul täpsustada ELi keskset andmekaitseõiguse mõistet „nõusolek“.

Asjaolud[muuda | muuda lähteteksti]

Kliendilt, kes kavatseb telekommunikatsiooniteenuste saamise eesmärgil astuda lepingulisse suhtesse ettevõtjaga, küsitakse nõusolekut tema isikut tõendavate dokumentide kopeerimiseks ja säilitamiseks Orange Romania SA-le. Kohtuasja keskne küsimus on kas klient annab vabatahtliku, konkreetse ja teadliku tahteavalduse tema kohta käivate andmete töötlemiseks. Nõusoleku andmiseks peab klient tegema risti märkeruutu, samas pole Orange Romania võimeline tõendama, et klienti teavitatakse piisavalt, millele ta nõusoleku annab, mis on tagajärjed, kuidas nõusolekut muuta saab ning ei informeerita, et nõusoleku andmine ei ole lepingu sõlmimise eeldus. Nõusolekust keeldumiseks tuleb kliendil käsitsi lepingusse juurde lisada, et ta ei anna nõusolekut.

Kohtujuristi põhjendused ja seisukoht.[muuda | muuda lähteteksti]

Ettepanekus tuuakse välja, et nõusolek on isikuandmete töötlemise eeldus ning isikuandmete töötlemine tervikuna peab olema kooskõlas direktiivi 95/46 või määrusega 2016/679, laiemas tähenduses peab isikuandmeid töötlema õiglaselt ja seaduslikult.

Nõusolek on ELi andmekaitseõiguse aluspõhimõte ja hõlmab isiku iseseisvat otsust oma andmete kasutamise ja töötlemise kohta. Nõusolek vastab direktiivi 95/46 ja määruse 2016/679 nõuetele üksnes siis, kui see on antud vabalt, konkreetselt ja teadlikult. Kohtujurist leiab, et nõusoleku andmise vabatahtlikkus on aktiivne tegevus, milles nõusoleku avaldamine on kliendi poolt tehtav tegevus (nt märkeruutu märkimine). Nõusolek on teadlik ainult siis, kui andmesubjektile on avaldatud andmete töötlemise kestus, viis ja eesmärk. Samuti leiab kohtujurist, et kui kliente ei teavitata, et nõusoleku andmine ei ole lepingu sõlmimise eeldus, ei saa lugeda nõusolekut teadlikuks.[25] Kohtujurist juhib ka tähelepanu tõendamiskohustusele, tuues välja, et vastutav töötleja peab olema võimeline tõestama, et klient oli olukorras, kus ta sai aru, millele ta nõusoleku andis.[26] Antud kaasuses teenusepakkuja seda tõestada ei suutnud. Kohtujurist on teinud kohtule ettepaneku, lugeda nõusolek mittekehtivalt antud, kui klient peab muidu standardiseeritud lepingus käsitsi kirjutades deklareerima, et ta keeldub andmast nõusolekut oma isikut tõendavate dokumentide kopeerimiseks ja säilitamiseks.[27]

Rakendus Eesti praktikas[muuda | muuda lähteteksti]

Eestis puudub märtsiks 2020.a kohtupraktika, kus oleks lahendatud andmesubjekti nõusoleku andmise ja küpsiste paigaldamise küsimust. Küsimustel lahendamisel tuleb lähtuda ELi andmekaitse üldmäärusest 2016/679, mis on otsekohalduv. Küll aga on Andmekaitse Inspektsioon teinud ettekirjutus-hoiatuse elektroonilise side seaduse asjas nr. 2.1.-6/19/3. Kaebuse sisuks on isiku soov lõpetada veebilehe www.jokerstars.win turustavate pakkumiste saatmine e-postile. Isik on väljendanud korduvalt soovi pakkumiste lõpetamise kohta, kuid otseturustuspakkumisi edastatakse jätkuvalt. EL-i üldmäärus 2016/679 artikkel 7 punkti 3 kohaselt on andmesubjektil õigus igal ajal nõusolek tagasi võtta. Nõusoleku andmine peab olema sama lihtne kui selle tagasivõtmine. Swiss Transport OÜ esindaja ei ole inspektsiooni korduvate järelpärimistele vastanud. Vastavalt isikuandmete kaitse seaduse § 58 lõikele 1 ning isikuandmete kaitse üldmääruse artikkel 58 lõike 1 punktile a ning e, saab Andmekaitse Inspektsioon nõuda selgitusi ja muud teavet, sh järelevalvemenetluse läbiviimiseks vajalike dokumentide esitamist.

Viited[muuda | muuda lähteteksti]

  1. 1,0 1,1 1,2 1,3 1,4 "Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679". 27.04.2016. Vaadatud 18.03.2020.
  2. "Isikuandmete töötleja üldjuhendi veebitekst". Andmekaitse Inspektsioon, 02.12.2019. Vaadatud 07.04.2020.
  3. "Eraelu kaitse". Andmekaitse Inspektsioon, 31.10.2019. Vaadatud 17.03.2020.
  4. "Euroopa Parlamendi ja Nõukogu direktiiv 95/46/EÜ p 30.". Euroopa Liidu Teataja, 24.10.1995. Vaadatud 16.03.2020.
  5. "Euroopa Kohtu kohtuasi C‑673/17 kokkuvõte". Vaadatud 08.04.2020.
  6. Kohtujuristi ettepanek. Kohtuasi C-673/17 Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderatsioon vs. Planet49 GmbH, p 61.
  7. Kohtujuristi ettepanek.Kohtuasi C-673/17, punkt 81.
  8. Kohtujuristi ettepanek. Kohtuasi C-673/17, p 60, 61.
  9. Artikli 29 alusel asutatud andmekaitse töörühm. "Arvamus 15/2011 nõusoleku määratluse kohta". 13.07.2011. Vaadatud 08.04.2020.
  10. Kohtujuristi ettepanek. Kohtuasi C-673/17, p 36.
  11. 27. aprilli 2016. aasta Euroopa Parlamendi ja nõukogu määrus (EL) nr 2016/679, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) – ELT L 119, lk 1-88, p 30.
  12. Koch Richie. "Cookies, the GDPR, and the ePrivacy Directive". Vaadatud 14.03.2020.
  13. "Ultimate Guide to EU Cookie Laws". 30.08.2019. Vaadatud 11.03.2020.
  14. R. Mahiey, J.v. Hoboken, H. Asghari, Responsibility for Data Protection in Networked World, 10/2019 JIPITEC, lk. 98.
  15. 15,0 15,1 "Euroopa Parlamendi ja nõukogu direktiiv 2002/58/EÜ". 12.07.2002. Vaadatud 18.03.2020.
  16. "Euroopa Parlamendi ja nõukogu direktiiv 2009/136/EÜ". 25.11.2009. Vaadatud 18.03.2020.
  17. "Tracking cookies and the GDPR". 21.08.2019. Vaadatud 15.03.2020.
  18. "Mida teha, kui keegi võtab oma nõusoleku tagasi?". Euroopa Liidu ametlik veebisait. Vaadatud 07.04.2020.
  19. D. Clifford, EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster - Tracking the crumbs of online user behaviour 5 (2014) JIPITEC, lk. 208-209.
  20. Euroopa Kohtu otsus C‑673/17, Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderatsioon vs. Planet49 GmbH, punkt 1.
  21. Euroopa Kohtu otsus C‑673/17, p 43.
  22. Euroopa Kohtu otsus C-673/17, p 71.
  23. Euroopa Kohtu otsus C-673/17, p 81.
  24. Kohtujuristi ettepanek. Kohtuasi C-673/17, p 122.
  25. Kohtujuristi ettepanek. Maciej Szpunar. Kohtuasi C-61/19. Orange România SA vs Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), p 60.
  26. Kohtujuristi ettepanek. Kohtuasi C61/19, p 54.
  27. Kohtujuristi ettepanek. Kohtuasi C61/19, p 63.