Publicēts pirms 2 gadiem. Izvērtē satura aktualitāti! >>
Kad atver tīmekļvietni, parasti parādās paziņojums, ka šajā vietnē tiek izmantotas sīkdatnes. Ja sīkdatnes nav nepieciešamas, var gan piekrist, gan nepiekrist sīkdatņu izmantošanai, kā arī var pielāgot izvēli. Ko nozīmē “sīkdatnes” un kā tās drīkst izmantot? Vai vienmēr ir vajadzīga lietotāja piekrišana sīkdatņu izmantošanai? Par to šajā LV portāla skaidrojumā.
Sīkdatņu lietošanu regulē Vispārīgā datu aizsardzības regula (VDAR) un Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē, kas transponēta Informācijas sabiedrības pakalpojuma likumā.
Zvērinātu advokātu biroja “Cobalt” vecākā speciāliste, sertificēta datu aizsardzības speciāliste Anna Vladimirova-Krjukova vebinārā par sīkdatņu lietošanu skaidroja, ka sīkdatņu un līdzīgu tehnoloģiju galvenais nolūks ir saglabāt informāciju, identifikācijas failu lietotāja datorā vai pārlūkprogrammā, sasaistīt to ar lietotāja sociālā tīkla kontu, lai identificētu konkrētu lietotāju un tā darbības attiecīgās lapās. “Nolūks ir izsekot, kādas mājaslapas apmeklējat, ko nopirkāt internetā, cik ilgu laiku pavadījāt, apskatot kādu reklāmu, tā pat nav obligāti jāatver,” uzsvēra eksperte.
Sīkdatnes tiek iedalītas dažādās kategorijās. Daļa no tām ir nepieciešamas, lai nodrošinātu tīmekļvietnes funkcionēšanu. Piemēram, lai parādītu video, kas ir tīmekļvietnes fonā, lai atskaņotu skaņu, palaistu čatu, iestatītu konkrētu valodu, sakārtotu preces pēc cenas u. c., bez kurām vietne nevarēs funkcionēt vai kuras nodrošina pakalpojumu, kuru pieprasa lietotājs. Tādām sīkdatnēm nevajag lietotāja piekrišanu, tās ir vienas no tīmekļvietnes “ķieģeļiem”.
Jautājums: Vai sīkdatņu reklāmkarogā (angliski – “banner”) obligāti jābūt piekrišanai par nepieciešamajām sīkdatnēm, bez kurām mājaslapa nevar funkcionēt?
Atbilde: Tīmekļvietnē ir obligāti jāsniedz informācija par nepieciešamajām sīkdatnēm, bet lietotāja piekrišanai tām nav jābūt.
Ir daudz dažādu veidu analītisko un mārketinga sīkdatņu, un parasti to izmantošanai ir nepieciešama piekrišana, kuru lietotājs sniedz, izmantojot reklāmkarogu, stāstīja A. Vladimirova-Krjukova. Šāda veida sīkdatnes ir tās, kuras caur tīmekļvietni uzņēmumam vai iestādei ļauj saprast lietotāju plūsmu, proti, no kurienes viņi nāk, ko tieši meklē.
Mārketinga sīkdatnes ļauj piedāvāt tīmekļa apmeklētājam reklāmas, izseko viņa pieredzi.
Mārketinga sīkdatnes var būt divējādas – gan tās, kuras izstrādātas un uzglabājas vienā tīmekļvietnē, gan tās, kuras nonāk trešās puses, piemēram, sociālā tīkla “Facebook” lietošanā, kas ļauj sasaistīt “Facebook” lietotāju ar cilvēku, kurš apmeklēja, piemēram, konkrētu interneta veikalu. Līdz ar to, ieejot savā “Facebook” profilā, lietotājs redzēs šī interneta veikala reklāmu.
Dažāda veida sīkdatnēm vajadzīga arī atšķirīga piekrišana. Tīmekļvietnē ir jābūt ne tikai izvēlnei par piekrišanu sīkdatnēm, bet arī izvēlnei, kādas sīkdatnes lietotājs atļauj izmantot, skaidroja “Cobalt” eksperte.
Ja lietotājs nevēlas piekrist analītiskajām un mārketinga sīkdatnēm, tad tīmekļvietnē saglabājas tikai tehniskās sīkdatnes, kuras ir nepieciešamas, lai nodrošinātu tīmekļvietnes darbību vai pieprasīta pakalpojuma sniegšanu lietotājam (piemēram, “grozu”), un kuru izmantošanai nav nepieciešams iegūt lietotāja piekrišanu.
A.Vladimirova-Krjukova akcentēja, ka nevar būt situācija, ka tehniski tīmekļvietnē paliek visas lietotāja “pēdas” internetā, ja lietotājs nav sniedzis savu piekrišanu sīkdatnēm. Ir jāpaliek tikai tām sīkdatnēm, kuras ir nepieciešamas, lai lietotu vietni. Tomēr ar šādiem pārkāpumiem nākas saskarties gandrīz katrā tīmekļa lapā.
“Cobalt” eksperte pieļāva, ka, iespējams, tīmekļvietnes turētājs pasūta sīkdatņu vai tīmekļvietnes izstrādi trešajām pusēm un nezina, kas ar tām tehniski notiek. Taču to ir svarīgi zināt un kontrolēt, jo tīmekļvietnes īpašnieks ir atbildīgs par sīkdatņu lietošanu pareizajā apjomā un piekrišanas saņemšanu.
“Ja lietotājs tikko apmeklēja interneta veikala lapu, tomēr nav sniedzis piekrišanu sīkdatnēm interneta veikala tīmekļvietnē, tomēr uzreiz “Facebook” profilā redzam veikalu reklāmas, tas, visticamāk, ir pārkāpums,” uzsvēra A. Vladimirova-Krjukova. “Ar dažādu tehnisko risinājumu palīdzību var noskaidrot un pārbaudīt, kas tehniski notiek ar sīkdatnēm.”
Zvērināta advokāta palīdze, sertificēta datu aizsardzības speciāliste Gabriela Šantare vebinārā skaidroja, kam ir jāpievērš uzmanība no juridiskā aspekta, tīmekļvietnē izvietojot sīkdatnes. “Šobrīd vienīgais pamats sīkdatņu izvietošanai ir piekrišana, ja runājam par tām sīkdatnēm, kuras nav nepieciešamas,” akcentēja G. Šantare.
“Piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei.
G. Šantare norādīja, kādas ir svarīgākās lietas, kas jāievēro datu pārziņiem. Lietotājiem ir jābūt reālai izvēles iespējai par piekrišanu sīkdatnēm bez nelabvēlīgām sekām. Tas nozīmē, ka reklāmkaroga logā ir jāparādās iespējai piekrist vai nepiekrist dažādu veidu sīkdatnēm. Ir jābūt “logam” uz vairāk informācijas, kur būs pieejama visa nepieciešamā informācija. Tas nozīmē, ka nevar būt reklāmkarogi, kur ir tikai uzrakstīts “piekrist”, “saprotu”, “pieņemu”.
Nevar būt reklāmkarogi, kur ir tikai uzrakstīts “piekrist”, “saprotu”, “pieņemu”.
Datu subjektam ir jābūt iespējai tīmekļa lapā atteikties no sīkdatņu izvietošanas, un atteikšanās var būt noformulēta arī tā, ka lietotājs piekrīt tikai nepieciešamajām sīkdatnēm, kas faktiski nozīmē, ka nepiekrīt pārējām sīkdatnēm.
“Vairākos gadījumos, ja datu subjekts nepiekrīt sīkdatņu izvietošanai, tas viņam nevar radīt nekādas negatīvas sekas, piemēram, nevar būt tā, ka tālāk nevar apmeklēt mājaslapu vai pabeigt pirkumu,” norādīja “Cobalt” eksperte.
Lietotāja piekrišanai ir jābūt sniegtai attiecībā uz noteiktu datu apstrādes mērķi, kas nozīmē, ka ir jāsegmentē sīkdatņu kategorijas. Viena piekrišana tiek sniegta analītiskajām, otra – mārketinga sīkdatnēm. Ja ir vēl kādas citas sīkdatnes, tad arī tām ir nepieciešama atsevišķa piekrišana.
“Respektīvi, nav pieļaujams reklāmkarogs, kurā ir dažāda veida sīkdatnes, bet vajadzīga tikai viena piekrišana. Tomēr nav jābūt galējībām un datu subjektam nav jāpiekrīt katrai sīkdatnei,” tā G. Šantare.
Lietotāja piekrišanai ir jābūt sniegtai pirms sīkdatņu apstrādes tīmekļvietnē. Personai ir arī jābūt informētai par to, kā tiks izmantoti dati, un apstrādes sekām.
Piekrišanas tekstam ir jābūt tādam, kas nerada pārpratumus, kādam nolūkam datu subjekts to sniedz. Tekstam ir jābūt viegli saprotamam, pārskatāmam, vienkāršā valodā un skaidri nošķiramam no citiem jautājumiem.
Reklāmkarogs nedrīkst mudināt izdarīt izvēli, piemēram, ar krāsām, šifru, novietojumu, un rosināt lietotāju piekrist sīkdatnēm. Tam visam vajadzētu būt neitrālam, vienādam attiecībā uz “lodziņiem”, kuros norādīts “piekrīt”, “atsakos”, “vairāk informācijas”. Tomēr nereti “podziņa”, uz kuras rakstīts “piekrīt”, ir spilgtākā krāsā un atrodas kreisajā pusē, kur lietotājs automātiski piekritīs, neizlasot tekstu. G. Šantare iesaka izvairīties no šādas prakses, jo tas tiek uzskatīts par lietotāja pamudināšanu, traucēkli lietotājiem sniegt brīvu piekrišanu.
Datu pārzinim piekrišana ir jāspēj uzskatāmi pierādīt – tas ir iemesls, kāpēc tiek izvietoti reklāmkarogi. Lietotājam piekrišana ir jāvar atsaukt jebkurā laikā, turklāt tikpat vienkārši, kā tā ir sniegta.
Regulai neatbildīs situācija, ja datu pārzinis savā sīkdatņu politikā norādīs, ka, lai tajā netiktu izmantotas mārketinga vai konkrēta veida sīkdatnes vai lai atteiktos no sīkdatnēm, lietotājam pašam ir jāveic noteiktas darbības interneta pārlūkprogrammā. Tas ir uzskatāms par pārkāpumu, jo atteikšanās datu subjektam ir daudz sarežģītāka nekā piekrišana. Līdz ar to sīkdatņu politikā reklāmkarogā vai citur tīmekļa lapā, pieejamā vietā, ir jābūt podziņām, kā maina vai atsaka piekrišanu.
Ir situācijas, īpaši trešo valstu interneta mājaslapās, ka tiek pielietotas sīkdatņu sienas (angliski – “cookie wall”), t. i., lietotājs nevar izmantot šo lapu, ja nesniedz piekrišanu sīkdatnēm. Šāda sīkdatņu izmantošana ir aizliegta.
Datu subjektam ir jābūt informētam par to, kādas sīkdatnes tiks izvietotas, un ar tām jāiepazīstas, pirms viņš sniedz piekrišanu izmantot sīkdatnes.
Informācija, kurai obligāti jābūt sīkdatņu reklāmkarogā:
Informācija ir jāsniedz pirms sīkdatņu izmantošanas formātā, kas ir redzams lietotājiem un kas jāsaglabā, līdz lietotājs sniedz piekrišanu vai atteikumu paredzētajā veidā.
Sīkdatņu politikas minimums ir noteikts Vispārējās datu aizsardzības regulas 3. pantā.
Jautājums: Vai privātuma politikai obligāti jābūt pieejamai katrā mājaslapā?
Atbilde: Jā, obligāti. Tas ir efektīvākais un vieglākais veids, kā nodrošināt, ka datu subjekti ir informēti.
Informācija, kurai obligāti jābūt sīkdatņu politikā:
Ņemot vērā pēdējo uzraudzības iestāžu praksi, kā arī pārlūkprogrammu attieksmi pret trešo pušu sīkdatņu izmantošanu, daudzi sākuši apsvērt iespējamās alternatīvas trešo pušu sīkdatnēm, klāstīja A. Vladimirova-Krjukova.
Kā alternatīva ir iespējamas “first–party” (latviski – “pirmās puses”) sīkdatnes vai citi identifikatori. Tas nozīmē tādu sīkdatņu vai līdzīgu identifikatoru izmantošana, kuru pārvalda tikai tīmekļa lapas turētājs.
Otra alternatīva sīkdatnēm ir “zero–party” informācija, t. i., kad pats lietotājs atstāj informāciju, piemēram, aizpildot kādu formu tīmekļa lapā. Var arī viņu ievilināt to darīt, piemēram, ar reģistrācijas iespēju.
Vēl iespējama kontekstuālā reklāma – reklāmas satura pielāgošana mājaslapas saturam, kā arī citu mērķētu risinājumu izmantošana, kas ir vērsta nevis uz katra konkrēta lietotāja identificēšanu, bet uz grupas identificēšanu, kurai lietotājs pieder. Šādus risinājumus šobrīd izstrādā, piemēram, informācijas meklēšanas tīkls internetā “Google”, izmantojot “privacy sandbox” (latviski – “privātuma smilšu kasti”).
Fizisko personu datu apstrādes un aizsardzības uzraudzību Latvijā veic Datu valsts inspekcija (DVI). Institūcijas prevencijas nodaļas sabiedrisko attiecību speciāliste Agita Silniece informēja, ka DVI pērn veica preventīvas pārbaudes par sīkdatņu izmantošanas atbilstību lielāko Latvijas e-komersantu tīmekļvietnēs.
Privātajā sektorā visvairāk neatbilstību tika konstatēts gadījumos, kad ir vajadzīga obligāta piekrišanas iegūšana no tīmekļvietnes lietotāja.
Savukārt publiskajā sektorā visvairāk neatbilstību tika konstatēts, izvērtējot tīmekļvietnē pieejamo sīkdatņu politiku/lietošanas noteikumus attiecībā uz minimāli nepieciešamās informācijas saistībā ar sīkdatņu izmantošanu, kas papildus jānorāda sākotnēji sniegtajai informācijai, iekļaušanu.
Preventīvajās pārbaudēs tika piemērots “Konsultē vispirms” princips, un pārziņi tika aicināti novērst konstatētās neatbilstības. Vienlaikus, lai vairotu izpratni par sīkdatņu izmantošanu tīmekļvietnē, DVI izstrādāja praktiskas vadlīnijas sīkdatņu izmantošanai tīmekļvietnē, kuras pieejamas šeit.
Tā kā sīkdatņu izmantošana tiek uzskatīta par personas datu apstrādi, par pārkāpumiem, kas saistīti ar sīkdatņu neatbilstošu izmantošanu tīmekļvietnē, tiek piemēroti Vispārīgā datu aizsardzības regulā noteiktie korektīvie līdzekļi, proti, brīdinājums, rīkojums novērst neatbilstības, kā arī var tikt piemērots korektīvais līdzeklis – naudas sods.
Naudas soda lielumu nosaka, ņemot vērā vairākus kritērijus, un tas var būt no viena eiro līdz 10 000 000 vai 20 000 000 eiro, uzņēmuma gadījumā līdz 2% vai 4% no tā iepriekšējā finanšu gadā visā pasaulē gūtā kopējā apgrozījuma. Soda apmērs tiek noteikts, ņemot vērā arī pārkāpuma smagumu, nozīmīgumu, apstrādāto personas datu apjomu, ietekmi uz datu subjektiem un citus kritērijus.
