SKAIDROJUMI
>
Zini savas tiesības un iespējas!
TĒMAS
Inese Helmane
LV portāls
11. oktobrī, 2022
Lasīšanai: 16 minūtes
RUBRIKA: Skaidrojums
TĒMA: Personas dati
19
19

Kas jāņem vērā, izmantojot sīkdatnes

Publicēts pirms gada. Izvērtē satura aktualitāti! >>

Kad atver tīmekļvietni, parasti parādās paziņojums, ka šajā vietnē tiek izmantotas sīkdatnes. Ja sīkdatnes nav nepieciešamas, var gan piekrist, gan nepiekrist sīkdatņu izmantošanai, kā arī var pielāgot izvēli. Ko nozīmē “sīkdatnes” un kā tās drīkst izmantot? Vai vienmēr ir vajadzīga lietotāja piekrišana sīkdatņu izmantošanai? Par to šajā LV portāla skaidrojumā.

īsumā
  • Sīkdatņu un līdzīgu tehnoloģiju galvenais nolūks ir saglabāt informāciju, identifikācijas failu lietotāja datorā vai pārlūkprogrammā, sasaistīt to ar lietotāja sociālā tīkla kontu, lai identificētu konkrētu lietotāju un tā darbības attiecīgās lapās.
  • Sīkdatnes tiek iedalītas dažādās kategorijās. Daļa no tām ir nepieciešamas, lai nodrošinātu tīmekļvietnes funkcionēšanu. Tādām sīkdatnēm nevajag lietotāja piekrišanu, tās ir vienas no tīmekļvietnes “ķieģeļiem”.
  • Savukārt analītisko un mārketinga sīkdatņu izmantošanai vajag piekrišanu, kuru lietotājs sniedz, izmantojot reklāmkarogu.
  • Lietotājiem ir jābūt reālai izvēles iespējai par piekrišanu sīkdatnēm bez nelabvēlīgām sekām. Tas nozīmē, ka reklāmkaroga logā ir jāparādās iespējai piekrist vai nepiekrist dažādu veidu sīkdatnēm.
  • Reklāmkarogs nedrīkst mudināt izdarīt izvēli, piemēram, ar krāsām, šifru, novietojumu, un rosināt lietotāju piekrist sīkdatnēm.
  • Ņemot vērā pēdējo uzraudzības iestāžu praksi, kā arī pārlūkprogrammu attieksmi pret trešo pušu sīkdatņu izmantošanu, daudzi sākuši apsvērt iespējamās alternatīvas trešo pušu sīkdatnēm.
  • Fizisko personu datu apstrādes un aizsardzības uzraudzību Latvijā veic Datu valsts inspekcija.

Sīkdatņu lietošanu regulē Vispārīgā datu aizsardzības regula (VDAR) un Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē, kas transponēta Informācijas sabiedrības pakalpojuma likumā.

Zvērinātu advokātu biroja “Cobalt” vecākā speciāliste, sertificēta datu aizsardzības speciāliste Anna Vladimirova-Krjukova vebinārā par sīkdatņu lietošanu skaidroja, ka sīkdatņu un līdzīgu tehnoloģiju galvenais nolūks ir saglabāt informāciju, identifikācijas failu lietotāja datorā vai pārlūkprogrammā, sasaistīt to ar lietotāja sociālā tīkla kontu, lai identificētu konkrētu lietotāju un tā darbības attiecīgās lapās. “Nolūks ir izsekot, kādas mājaslapas apmeklējat, ko nopirkāt internetā, cik ilgu laiku pavadījāt, apskatot kādu reklāmu, tā pat nav obligāti jāatver,” uzsvēra eksperte.

Nevajag piekrišanu

Sīkdatnes tiek iedalītas dažādās kategorijās. Daļa no tām ir nepieciešamas, lai nodrošinātu tīmekļvietnes funkcionēšanu. Piemēram, lai parādītu video, kas ir tīmekļvietnes fonā, lai atskaņotu skaņu, palaistu čatu, iestatītu konkrētu valodu, sakārtotu preces pēc cenas u. c., bez kurām vietne nevarēs funkcionēt vai kuras nodrošina pakalpojumu, kuru pieprasa lietotājs. Tādām sīkdatnēm nevajag lietotāja piekrišanu, tās ir vienas no tīmekļvietnes “ķieģeļiem”.

Jautājums: Vai sīkdatņu reklāmkarogā (angliski – “banner”) obligāti jābūt piekrišanai par nepieciešamajām sīkdatnēm, bez kurām mājaslapa nevar funkcionēt?

Atbilde: Tīmekļvietnē ir obligāti jāsniedz informācija par nepieciešamajām sīkdatnēm, bet lietotāja piekrišanai tām nav jābūt.

Mārketinga sīkdatnes

Ir daudz dažādu veidu analītisko un mārketinga sīkdatņu, un parasti to izmantošanai ir nepieciešama piekrišana, kuru lietotājs sniedz, izmantojot reklāmkarogu, stāstīja A. Vladimirova-Krjukova. Šāda veida sīkdatnes ir tās, kuras caur tīmekļvietni uzņēmumam vai iestādei ļauj saprast lietotāju plūsmu, proti, no kurienes viņi nāk, ko tieši meklē.

Mārketinga sīkdatnes ļauj piedāvāt tīmekļa apmeklētājam reklāmas, izseko viņa pieredzi.

Mārketinga sīkdatnes var būt divējādas – gan tās, kuras izstrādātas un uzglabājas vienā tīmekļvietnē, gan tās, kuras nonāk trešās puses, piemēram, sociālā tīkla “Facebook” lietošanā, kas ļauj sasaistīt “Facebook” lietotāju ar cilvēku, kurš apmeklēja, piemēram, konkrētu interneta veikalu. Līdz ar to, ieejot savā “Facebook” profilā, lietotājs redzēs šī interneta veikala reklāmu.

Ja nepiekrīt, saglabājas tikai tehniskās sīkdatnes

Dažāda veida sīkdatnēm vajadzīga arī atšķirīga piekrišana. Tīmekļvietnē ir jābūt ne tikai izvēlnei par piekrišanu sīkdatnēm, bet arī izvēlnei, kādas sīkdatnes lietotājs atļauj izmantot, skaidroja “Cobalt” eksperte.

Ja lietotājs nevēlas piekrist analītiskajām un mārketinga sīkdatnēm, tad tīmekļvietnē saglabājas tikai tehniskās sīkdatnes, kuras ir nepieciešamas, lai nodrošinātu tīmekļvietnes darbību vai pieprasīta pakalpojuma sniegšanu lietotājam (piemēram, “grozu”), un kuru izmantošanai nav nepieciešams iegūt lietotāja piekrišanu.

A.Vladimirova-Krjukova akcentēja, ka nevar būt situācija, ka tehniski tīmekļvietnē paliek visas lietotāja “pēdas” internetā, ja lietotājs nav sniedzis savu piekrišanu sīkdatnēm. Ir jāpaliek tikai tām sīkdatnēm, kuras ir nepieciešamas, lai lietotu vietni. Tomēr ar šādiem pārkāpumiem nākas saskarties gandrīz katrā tīmekļa lapā.

Izstrādi pasūta trešajai pusei

“Cobalt” eksperte pieļāva, ka, iespējams, tīmekļvietnes turētājs pasūta sīkdatņu vai tīmekļvietnes izstrādi trešajām pusēm un nezina, kas ar tām tehniski notiek. Taču to ir svarīgi zināt un kontrolēt, jo tīmekļvietnes īpašnieks ir atbildīgs par sīkdatņu lietošanu pareizajā apjomā un piekrišanas saņemšanu.

“Ja lietotājs tikko apmeklēja interneta veikala lapu, tomēr nav sniedzis piekrišanu sīkdatnēm interneta veikala tīmekļvietnē, tomēr uzreiz “Facebook” profilā redzam veikalu reklāmas, tas, visticamāk, ir pārkāpums,” uzsvēra A. Vladimirova-Krjukova. “Ar dažādu tehnisko risinājumu palīdzību var noskaidrot un pārbaudīt, kas tehniski notiek ar sīkdatnēm.”

Vienīgais pamats ir piekrišana

Zvērināta advokāta palīdze, sertificēta datu aizsardzības speciāliste Gabriela Šantare vebinārā skaidroja, kam ir jāpievērš uzmanība no juridiskā aspekta, tīmekļvietnē izvietojot sīkdatnes. “Šobrīd vienīgais pamats sīkdatņu izvietošanai ir piekrišana, ja runājam par tām sīkdatnēm, kuras nav nepieciešamas,” akcentēja G. Šantare.

“Piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei.

G. Šantare norādīja, kādas ir svarīgākās lietas, kas jāievēro datu pārziņiem. Lietotājiem ir jābūt reālai izvēles iespējai par piekrišanu sīkdatnēm bez nelabvēlīgām sekām. Tas nozīmē, ka reklāmkaroga logā ir jāparādās iespējai piekrist vai nepiekrist dažādu veidu sīkdatnēm. Ir jābūt “logam” uz vairāk informācijas, kur būs pieejama visa nepieciešamā informācija. Tas nozīmē, ka nevar būt reklāmkarogi, kur ir tikai uzrakstīts “piekrist”, “saprotu”, “pieņemu”.

Nevar būt reklāmkarogi, kur ir tikai uzrakstīts “piekrist”, “saprotu”, “pieņemu”.

Datu subjektam ir jābūt iespējai tīmekļa lapā atteikties no sīkdatņu izvietošanas, un atteikšanās var būt noformulēta arī tā, ka lietotājs piekrīt tikai nepieciešamajām sīkdatnēm, kas faktiski nozīmē, ka nepiekrīt pārējām sīkdatnēm.

“Vairākos gadījumos, ja datu subjekts nepiekrīt sīkdatņu izvietošanai, tas viņam nevar radīt nekādas negatīvas sekas, piemēram, nevar būt tā, ka tālāk nevar apmeklēt mājaslapu vai pabeigt pirkumu,” norādīja “Cobalt” eksperte.

Jāsegmentē sīkdatņu kategorijas

Lietotāja piekrišanai ir jābūt sniegtai attiecībā uz noteiktu datu apstrādes mērķi, kas nozīmē, ka ir jāsegmentē sīkdatņu kategorijas. Viena piekrišana tiek sniegta analītiskajām, otra – mārketinga sīkdatnēm. Ja ir vēl kādas citas sīkdatnes, tad arī tām ir nepieciešama atsevišķa piekrišana.

“Respektīvi, nav pieļaujams reklāmkarogs, kurā ir dažāda veida sīkdatnes, bet vajadzīga tikai viena piekrišana. Tomēr nav jābūt galējībām un datu subjektam nav jāpiekrīt katrai sīkdatnei,” tā G. Šantare.

Lietotāja piekrišanai ir jābūt sniegtai pirms sīkdatņu apstrādes tīmekļvietnē. Personai ir arī jābūt informētai par to, kā tiks izmantoti dati, un apstrādes sekām.

Piekrišanas tekstam ir jābūt tādam, kas nerada pārpratumus, kādam nolūkam datu subjekts to sniedz. Tekstam ir jābūt viegli saprotamam, pārskatāmam, vienkāršā valodā un skaidri nošķiramam no citiem jautājumiem.

Nedrīkst mudināt izdarīt izvēli

Reklāmkarogs nedrīkst mudināt izdarīt izvēli, piemēram, ar krāsām, šifru, novietojumu, un rosināt lietotāju piekrist sīkdatnēm. Tam visam vajadzētu būt neitrālam, vienādam attiecībā uz “lodziņiem”, kuros norādīts “piekrīt”, “atsakos”, “vairāk informācijas”. Tomēr nereti “podziņa”, uz kuras rakstīts “piekrīt”, ir spilgtākā krāsā un atrodas kreisajā pusē, kur lietotājs automātiski piekritīs, neizlasot tekstu. G. Šantare iesaka izvairīties no šādas prakses, jo tas tiek uzskatīts par lietotāja pamudināšanu, traucēkli lietotājiem sniegt brīvu piekrišanu.

Datu pārzinim piekrišana ir jāspēj uzskatāmi pierādīt – tas ir iemesls, kāpēc tiek izvietoti reklāmkarogi. Lietotājam piekrišana ir jāvar atsaukt jebkurā laikā, turklāt tikpat vienkārši, kā tā ir sniegta.

Regulai neatbildīs situācija, ja datu pārzinis savā sīkdatņu politikā norādīs, ka, lai tajā netiktu izmantotas mārketinga vai konkrēta veida sīkdatnes vai lai atteiktos no sīkdatnēm, lietotājam pašam ir jāveic noteiktas darbības interneta pārlūkprogrammā. Tas ir uzskatāms par pārkāpumu, jo atteikšanās datu subjektam ir daudz sarežģītāka nekā piekrišana. Līdz ar to sīkdatņu politikā reklāmkarogā vai citur tīmekļa lapā, pieejamā vietā, ir jābūt podziņām, kā maina vai atsaka piekrišanu.

Ir situācijas, īpaši trešo valstu interneta mājaslapās, ka tiek pielietotas sīkdatņu sienas (angliski – “cookie wall”), t. i., lietotājs nevar izmantot šo lapu, ja nesniedz piekrišanu sīkdatnēm. Šāda sīkdatņu izmantošana ir aizliegta.

Sīkdatņu reklāmkaroga minimums

Datu subjektam ir jābūt informētam par to, kādas sīkdatnes tiks izvietotas, un ar tām jāiepazīstas, pirms viņš sniedz piekrišanu izmantot sīkdatnes.

Informācija, kurai obligāti jābūt sīkdatņu reklāmkarogā:

  • informācija par pārzini (ja vien tas nav atrodams citās tīmekļvietnes sadaļās);
  • vietnē izmantoto sīkdatņu izmantošanas nolūki;
  • informācija par to, vai izmantotās sīkdatnes ir tikai pārziņa sīkdatnes vai trešo pušu sīkdatnes;
  • informācija par lietotāju profilēšanu;
  • informācija par to, kā lietotāji var pieņemt, iestatīt un noraidīt sīkdatņu lietošanu;
  • skaidri redzama saite, kas savieno ar otro informatīvo līmeni, kur ir detalizētāka informācija (sīkdatņu politiku).

Informācija ir jāsniedz pirms sīkdatņu izmantošanas formātā, kas ir redzams lietotājiem un kas jāsaglabā, līdz lietotājs sniedz piekrišanu vai atteikumu paredzētajā veidā.

Sīkdatņu politikas minimums

Sīkdatņu politikas minimums ir noteikts Vispārējās datu aizsardzības regulas 3. pantā.

Jautājums: Vai privātuma politikai obligāti jābūt pieejamai katrā mājaslapā?

Atbilde: Jā, obligāti. Tas ir efektīvākais un vieglākais veids, kā nodrošināt, ka datu subjekti ir informēti.

Informācija, kurai obligāti jābūt sīkdatņu politikā:

  • sīkdatņu definīcija un vispārējā funkcija;
  • informācija par izmantoto sīkdatņu veidiem un to nolūkiem;
  • identificēti sīkdatņu saņēmēji;
  • informācija, kā apstiprināt, atteikties vai atsaukt piekrišanu;
  • informācija par sīkdatņu glabāšanas ilgumu;
  • informācija par datu nosūtīšanu uz trešo valsti;
  • informācija par profilēšanu.

Alternatīvas trešo pušu sīkdatnēm

Ņemot vērā pēdējo uzraudzības iestāžu praksi, kā arī pārlūkprogrammu attieksmi pret trešo pušu sīkdatņu izmantošanu, daudzi sākuši apsvērt iespējamās alternatīvas trešo pušu sīkdatnēm, klāstīja A. Vladimirova-Krjukova.

Kā alternatīva ir iespējamas “first–party” (latviski – “pirmās puses”) sīkdatnes vai citi identifikatori. Tas nozīmē tādu sīkdatņu vai līdzīgu identifikatoru izmantošana, kuru pārvalda tikai tīmekļa lapas turētājs.

Otra alternatīva sīkdatnēm ir “zero–party” informācija, t. i., kad pats lietotājs atstāj informāciju, piemēram, aizpildot kādu formu tīmekļa lapā. Var arī viņu ievilināt to darīt, piemēram, ar reģistrācijas iespēju.

Vēl iespējama kontekstuālā reklāma – reklāmas satura pielāgošana mājaslapas saturam, kā arī citu mērķētu risinājumu izmantošana, kas ir vērsta nevis uz katra konkrēta lietotāja identificēšanu, bet uz grupas identificēšanu, kurai lietotājs pieder. Šādus risinājumus šobrīd izstrādā, piemēram, informācijas meklēšanas tīkls internetā “Google”, izmantojot “privacy sandbox” (latviski “privātuma smilšu kasti”).

Veica pārbaudes

Fizisko personu datu apstrādes un aizsardzības uzraudzību Latvijā veic Datu valsts inspekcija (DVI). Institūcijas prevencijas nodaļas sabiedrisko attiecību speciāliste Agita Silniece informēja, ka DVI pērn veica preventīvas pārbaudes par sīkdatņu izmantošanas atbilstību lielāko Latvijas e-komersantu tīmekļvietnēs.

Privātajā sektorā visvairāk neatbilstību tika konstatēts gadījumos, kad ir vajadzīga obligāta piekrišanas iegūšana no tīmekļvietnes lietotāja.

Savukārt publiskajā sektorā visvairāk neatbilstību tika konstatēts, izvērtējot tīmekļvietnē pieejamo sīkdatņu politiku/lietošanas noteikumus attiecībā uz minimāli nepieciešamās informācijas saistībā ar sīkdatņu izmantošanu, kas papildus jānorāda sākotnēji sniegtajai informācijai, iekļaušanu.

Preventīvajās pārbaudēs tika piemērots “Konsultē vispirms” princips, un pārziņi tika aicināti novērst konstatētās neatbilstības. Vienlaikus, lai vairotu izpratni par sīkdatņu izmantošanu tīmekļvietnē, DVI izstrādāja praktiskas vadlīnijas sīkdatņu izmantošanai tīmekļvietnē, kuras pieejamas šeit.

Kādi ir sodi

Tā kā sīkdatņu izmantošana tiek uzskatīta par personas datu apstrādi, par pārkāpumiem, kas saistīti ar sīkdatņu neatbilstošu izmantošanu tīmekļvietnē, tiek piemēroti Vispārīgā datu aizsardzības regulā noteiktie korektīvie līdzekļi, proti, brīdinājums, rīkojums novērst neatbilstības, kā arī var tikt piemērots korektīvais līdzeklis – naudas sods.

Naudas soda lielumu nosaka, ņemot vērā vairākus kritērijus, un tas var būt no viena eiro līdz 10 000 000 vai 20 000 000 eiro, uzņēmuma gadījumā līdz 2% vai 4% no tā iepriekšējā finanšu gadā visā pasaulē gūtā kopējā apgrozījuma. Soda apmērs tiek noteikts, ņemot vērā arī pārkāpuma smagumu, nozīmīgumu, apstrādāto personas datu apjomu, ietekmi uz datu subjektiem un citus kritērijus.

Labs saturs
19
Pievienot komentāru
LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI