Ar jau atzīmētu izvēles rūtiņu (checkbox) nepietiks, lai uzskatītu, ka tīmekļa lietotājs ir devis atļauju sīkdatņu (cookies) glabāšanai un piekļuvei savam datoram vai mobilajam telefonam. Tādēļ uzņēmumiem ir jāmaina sava pašreizējā prakse.
Pie šāda secinājuma 2019. gada 1. oktobrī nonāca Eiropas Savienības Tiesa lietā C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV v Planet49 GmbH.
Sīkdatņu glabāšanai ir nepieciešama aktīva piekrišana
Galvenais lietā apskatītais jautājums ir – vai interneta lietotājiem ir aktīvi jāpiekrīt, ka sīkdatnes tiek glabātas to ierīcēs, lai uz to pamata sūtītu mērķtiecīgu reklāmu.
Tiesai bija jāanalizē, vai pietiekama piekrišana sīkdatņu glabāšanai ierīcē sniegta arī tad, ja persona tieši nepiekrīt, bet arī neiebilst pret viņai piedāvātajiem sīkdatņu glabāšanas iestatījumiem. Respektīvi: vai ir pieņemami, ka interneta tīmekļa vietnē ir iekļauta jau iezīmēta izvēles rūtiņa, ar kuru vietnes apmeklētāji piekrīt sīkdatņu izmantošanai mērķtiecīgas reklāmas nolūkā, un personai ir jāveic papildus darbības, lai noraidītu tādu sīkdatņu izmantošanu. Šāda situācija bija izraisījusi strīdu starp Vācijas Federālo apvienību “Patērētāju centrāle” un uzņēmēju Planet49, kas vēlāk noveda pie Vācijas Federatīvās tiesas pieprasījuma sniegt prejudiciālo nolēmumu.
Tiesas secinājumi
Pirmais jautājums, uz kuru lūgts atbildēt prejudiciālajā nolēmumā, bija, vai tīmekļa vietnes lietotāja piekrišana, kas tiek dota augstāk aprakstītajā veidā, ir pietiekama. Atbildes pamatā ir Direktīvas 2002/58/EK un 95/46/EK, kas norāda, ka sīkdatnes drīkst saglabāt un izmantot tikai ar interneta lietotāja skaidri izteiktu piekrišanu. Ja sīkdatņu apstiprinājums ir automātiski ieklikšķināts pēc noklusējuma, nav iespējams objektīvi noteikt, vai vietnes apmeklētājs ir piekritis savu personas datu apstrādei, apzināti atstājot izvēles rūtiņu iezīmētu. Nevar izslēgt, ka lietotājs nav izlasījis vai pat nav pamanījis rūtiņā ietverto papildu informāciju par izvēles veikšanas iespējām. Tiesa secināja, ka subjekts var dot skaidri izteiktu piekrišanu tikai tad, ja tas aktīvi pauž savu piekrišanu.
Otrais jautājums attiecas uz informāciju, kāda būtu sniedzama tīmekļa vietnes apmeklētājiem. Proti, tiesa vērtēja, vai ir nepieciešams iekļaut informāciju par sīkdatņu derīguma termiņu un informāciju par trešajām personām, kurām ir piekļuve šīm sīkdatnēm. Lai gan ne visas sīkdatnes apstrādā personas datus, tika konstatēts, ka Vispārīgā datu aizsardzības regula (GDPR) ir jāpiemēro visos gadījumos. No tā izriet, ka pārzinim jāspēj sniegt datu subjektiem informācija, cik ilgi dati tiks glabāti vai kādi kritēriji tiks ņemti vērā, lai noteiktu šo termiņu, un jāiekļauj ziņas par trešajām personām, kurām ir piekļuve tādām sīkdatnēm.
Sekas, ar ko nāksies saskarties uzņēmumiem
Minētie secinājumi nozīmē to, ka uzņēmumiem, kuri līdz šim ir izmantojuši jau atzīmētas izvēles rūtiņas, ir jāmaina sava pašreizējā prakse. Nereti šādi sīkdatņu iestatījumi redzami arī Latvijā pieejamās mājaslapās, neļaujot patērētājiem atteikties no sīkdatņu automātiskas glabāšanas nekādā citā veidā kā tikai ar papildu programmu – sīkdatņu bloķētāju – starpniecību. Tas nav pieļaujams.
Sabiedrībām jānodrošina, ka to interneta mājaslapu lietotāji spēj sniegt savu piekrišanu sīkdatņu glabāšanai pietiekoši informētā veidā. Lietotājiem jāsaprot, kā sīkdatnes darbojas, un jāapzinās savas piekrišanas sekas. Ir jābūt pieejamai alternatīvai atteikties dot piekrišanu šādai sīkdatņu glabāšanai.
Tiesa nav norādījusi, ka pakalpojumu sniedzējiem jāidentificē trešās personas, kurām tiek nodoti personas dati, pēc nosaukuma. Tātad būs pietiekami, ja tiek sniegta detalizēta informācija par datu saņēmējiem vai saņēmēju kategorijām. Protams, īpaši jānorāda arī informācija par termiņu, cik ilgi dati tiks glabāti vai, ja tas nav iespējams, kritēriji termiņa noteikšanai.
Ir svarīgi norādīt, ka lēmums var attiekties ne tikai uz mārketinga sīkdatnēm, bet arī uz visu citu veidu sīkdatnēm – respektīvi, informēšanas pienākums ir plašs. Tajā pašā laikā jāatceras, ka piekrišana var arī nebūt vienīgais tiesiskais pamats sīkdatņu izmantošana, un tiesa nav aizliegusi citas opcijas. Piekrišana nav nepieciešama, ja sīkdatnes ir absolūti nepieciešamas tehniskās funkcionalitātes vai piekļuves nodrošināšanai ar mērķi pārraidīt saziņu elektronisko sakaru tīklā, vai, ja informācijas sabiedrības pakalpojuma sniedzējam šīs sīkdatnes ir obligāti vajadzīgas, lai sniegtu abonentam vai lietotājam tā skaidri pieprasītu pakalpojumu.
Nekas vēl nav beidzies
Planet49 lēmums jau ir izraisījis netiešu ietekmi. Tikai pāris nedēļas pēc ES Tiesas lēmuma Spānijas datu aizsardzības iestāde lidsabiedrībai Vueling uzlika sodu 30 000 EUR apmērā par tīmekļa vietnē izvietotās sīkdatņu politikas neatbilstību. Šis ir viens no lielākajiem sodiem, kas piemērots par neatbilstību sīkdatņu piekrišanas prasībām. Tas nozīmē, ka uzraudzības iestādes sākušas pievērst īpašu uzmanību sīkdatņu atbilstībai.
Līdz šim ES Tiesai ir bijis jāstrādā kā interneta lietotāju tiesību aizstāvim, un tas ir redzams arī šajā lēmumā. Tomēr drīzumā varam sagaidīt lielāku skaidrību sīkdatņu regulējumā. Tuvākajā nākotnē tiks pieņemta jauna ES regula, kas noteiks prasības privātuma aizsardzībai elektroniskajā vidē (tā sauktā “E-privātuma regula”). E-privātuma regula aizstās iepriekšējo Direktīvu 2002/58/EK, kura pēdējoreiz tika atjaunināta 2009. gadā.
Kā norādījusi Eiropas Komisija, jaunais regulējums paredzēs stingrākas un detalizētākas prasības personas datu apstrādei, lai novērstu trūkumus, kurus pašreizējais regulējums nespēj aptvert straujās tehnoloģiju attīstības dēļ. Viena no problēmām, ar kuru plānots cīnīties, ir datu subjektu neinformētība par sīkdatņu izmantošanu, kā rezultātā sīkdatnes tiek izmantotas pat bez subjektu informētas piekrišanas.
Regulā būtisks uzsvars tiks likts uz personas piekrišanas datu apstrādei nosacījumiem. Jaunais regulējums atsaucas uz VDAR, kas paredz, ka datu subjekta piekrišanai ir jābūt skaidrai, pierādāmai un viennozīmīgai.
Turklāt papildus datu subjekta tiesībām jebkurā laikā atsaukt savu piekrišanu datu apstrādei par šādu iespēju datu subjektiem būs jāatgādina ik pēc 6 mēnešiem. Šis pienākums datu apstrādātājiem būs jāpilda visu laiku, kamēr tiek apstrādāti konkrētie dati.