Ar sīkdatnēm jeb cookies saskaramies katru dienu, apmeklējot visdažādākās mājaslapas. Ikvienam mājaslapas lietotājam ir iespējams izvēlēties, kādas sīkdatnes akceptēt, bet kādas – nē. Kas jāņem vērā, saskaroties ar sīkdatņu politiku?
Raksta autors: Krišjānis Knodze, SIA “Sorainen ZAB” , jurista palīgs
Līdzautore: Gunta Bambāne, SIA “ ZAB” zvērināta palīdze
Sīkdatnes ir nelieli teksta faili, kas tiek saglabāti ierīcē (datorā, mobilajā telefonā vai citā ierīcē), personai pārlūkojot vietni. Tās apstrādā un saglabā tīmekļa pārlūkprogramma. Sīkdatnēs saglabātā informācija var ietvert interneta protokola (IP) adreses, lietotājvārdus, unikālos ierīču identifikatorus, e-pasta adreses, valodas iestatījumus, ierīču veidus un cita veida informāciju.
Sīkdatņu regulējums
Galvenokārt, sīkdatņu izmantošanu Latvijā regulē Informācijas sabiedrības pakalpojumu likuma 7.1pants, kas piemēro direktīvas 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē prasības, un regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula).
Tā kā ar konkrētu sīkdatņu izmantošanu tiek apstrādāti personas dati, tad Vispārīgās datu aizsardzības regulas nosacījumi ir piemērojami attiecībā uz personas datu juridisko apstrādi, proti, konkrēti sīkdatņu veidi var tikt izmantoti vien gadījumos, kad persona sniegusi savu piekrišanu.
Direktīva par privāto dzīvi un elektronisko komunikāciju nosaka, ka ir jāsaņem lietotāja piekrišana jebkādu sīkfailu iestatīšanai, kas nav nepieciešami vietnes darbības nodrošināšanai. Tā kā ar konkrētu sīkdatņu izmantošanu tiek apstrādāti personas dati, tad piekrišanai ir jāatbilst Vispārīgās datu aizsardzības regulas nosacījumiem.
Kā iedalās sīkdatnes?
Sīkdatnes var klasificēt atkarībā no to pārvaldības struktūras, nolūka un glabāšanas veida. Tieši nolūks ir izšķirošs, vērtējot, vai konkrētu sīkdatņu izmantošanai nepieciešama lietotāja piekrišana.
Pēc nolūka sīkdatnes iedala:
- tehniskajās;
- personalizētajās;
- analītiskajās.
Tehniskās sīkdatnes
Tās nodrošina, ka lietotāji tehniski var piekļūt vietnei, platformai vai lietojumprogrammai un izmantot šo tehnisko risinājumu iekļautās iespējas.
Tehniskās sīkdatnes nepieciešamas, lai funkcionāli nodrošinātu visas vajadzīgās darbības saistībā ar tīmekļa vietnes darbību un pārvaldību, piemēram, kontrolētu datu plūsmu un saziņu, identificētu sesiju, saglabātu pirkuma grozam pievienotos elementus, pabeigtu maksājumu procesu, atklātu un novērstu krāpnieciskas darbības un tā tālāk.
Parasti tās ir pirmās puses sīkdatnes. Šāda veida sīkdatnēm piekrišana nav nepieciešama.
Personalizētās sīkdatnes
Šīs sīkdatnes saglabā informāciju, lai lietotāji varētu piekļūt pakalpojumam, ievērojot nosacījumus, kas ir svarīgi. Piemēram, informācija uz kā pamata lietotāji piekļūst personalizētam saturam – izvēlētā valoda, pieprasīto meklēšanas rezultātu skaits, pakalpojuma aspekti vai saturs atkarībā no pārlūkprogrammas un tās pieejamības konkrētajā reģionā.
Arī šāda veida sīkdatnēm nav nepieciešama piekrišana, bet ar nosacījumu, ka tās tiek izmantotas tikai šim nolūkam.
Analītiskās sīkdatnes
Tās ļauj sīkdatņu pārvaldniekam vērot un izvērtēt lietotāju uzvedību vietnēs. Šajā kategorijā ietilpst sīkdatnes, kuras parasti izmanto reklāmdevēji, analizējot vietnes pārlūkošanas paradumus un attiecīgi pielāgojot reklāmas atbilstoši novērojumiem par lietotāja interesēm.
Tās ir arī sīkdatnes, kas ļauj iegūt statistisko informāciju par vietnes apmeklētājiem.
Sīkdatņu politikai jābūt pārredzamai
Saskaņā ar Vispārīgās datu aizsardzības regulas 5.panta 1.punkta a) apakšpunktu un 39.apsvērumu, veicot personas datu apstrādi, nepieciešams ievērot pārredzamības principu. Proti, datu pārziņiem ir pienākums savā privātuma politikā vai atsevišķā sīkdatņu politikā nodrošināt pārskatāmu, saprotamu un vispusīgu informāciju par sīkdatņu izmantošanu.
Saskaņā ar Datu valsts inspekcijas (DVI) izdotajām vadlīnijām par sīkdatņu izmantošanu tīmekļa vietnē, izmantojot sīkdatnes, fiziskām personām jāsniedz informācija vismaz par:
- sīkdatņu definīciju un vispārējām funkcijām;
- izmantoto sīkdatņu veidiem un nolūkiem (piemēram, analītiskās sīkdatnes);
- sīkdatņu saņēmējiem, kuri saņem sīkdatnēs saglabāto informāciju;
- sīkdatņu izmantošanas apstiprināšanu, atteikšanos vai atsaukšanu;
- sīkdatņu glabāšanas laikposmu;
- pārziņa nolūku nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju;
- profilēšanu (jebkura veida automatizēta personas datu apstrādi).
Kāda piekrišana ir derīga?
Saskaņā ar Vispārīgās datu aizsardzības regulas 32.apsvērumu piekrišanai jābūt dotai ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par fiziskas personas piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tāpat saskaņā ar Vispārīgās datu aizsardzības regulas 32.apsvērumu par piekrišanu nebūtu jāuzskata klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības.
Kā skaidrots DVI vadlīnijās, tīmekļa vietnē ir jānodrošina, ka informatīvajā brīdinājuma logā lietotājam ir iespēja “Piekrist” vai “Nepiekrist” sīkdatnēm, un jānorāda sadaļa, kur var iepazīties ar papildu informāciju par tīmekļa vietnē izmantotajām sīkdatnēm “Vairāk informācijas”.
Tas, ka lietotājs izlemj aizvērt uzlecošo informatīvo brīdinājumu, nevar tikt uzskatīta par piekrišanu sīkdatņu izmantošanai. Tāpat par piekrišanu nevar uzskatīt gadījumus, kad lietotājam nemaz nav opcijas atteikties no sīkdatņu izmantošanas.
Piekrīti vai maksā
Arvien izplatītāki kļūst modeļi, kur lietotājiem tiek sniegtas izvēles iespējas vai nu piekrist visām sīkdatnēm, vai maksāt par piekļuvi saturam. Nepiekrišanas gadījumā piekļuve tiek liegta. Tas ir saistīts ar to, ka bieži vien tieši ieņēmumi no reklāmām ir galvenie vietņu finansēšanas avoti. Vietnes saturs kļūst pieejams tikai tad, kad lietotājs sniedzis piekrišanu visām sīkdatnēm.
Vadlīnijās skaidrots, ka neatkarīgi no tā, kādu izvēli lietotājs veic, noraidot visas vai tikai dažas sīkdatnes, šāda lietotāja izvēle nedrīkst viņam radīt nelabvēlīgas sekas – aizliegumu turpināt pārlūkot tīmekļa vietni vai apmeklēt konkrētu sadaļu tīmekļa vietnē.
Taču nevar uzskatīt, ka atbilde uz šo jautājumu ir viennozīmīga, jo viedokļi Eiropas Savienības (ES) līmenī atšķiras. Piemēram, saskaņā ar Eiropas Savienības Tiesas 2023.gada 4.jūlija spriedumu lietā C-252/21 šāda modeļa atbilstība Vispārējai datu aizsardzības regulai netiek izslēgta. Tāpat direktīvas 2019/770 par dažiem digitālā satura un digitālo pakalpojumu piegādes līgumu aspektiem 24.apsvērums nosaka, ka digitālo saturu vai digitālos pakalpojumus bieži piegādā arī situācijās, kurās patērētājs nemaksā cenu, bet sniedz tirgotājam personas datus. Šādi uzņēmējdarbības modeļi jau tiek izmantoti dažādās formās ievērojamā tirgus daļā. Tātad arī direktīva šādus uzņēmējdarbības modeļus neizslēdz.
Savukārt pretēju viedokli ir paudis pazīstamais austriešu aktīvists un jurists Maksimilians Šrems (Max Schrem), sakot, ka pamattiesības nevar pārdot un nav pieļaujams, ka tās var izmantot tikai bagātie. Paredzams, ka drīzumā Eiropas Datu aizsardzības kolēģija sniegs savu viedokli par šādu modeļu atbilstību, kas, iespējams, sniegs svarīgas norādes attiecībā uz šāda modeļa izmantošanu ES.
Kā noteikumus ievēro Latvijā?
DVI 2021.gadā veikusi preventīvās pārbaudes attiecībā uz sīkdatņu izmantošanu e-veikalu vietnēs Latvijā. Pārbaužu laikā DVI pārbaudīja 26 komersantus, kopumā pārbaudot 29 tīmekļa vietnes. Tika analizēts patieso izmantoto sīkdatņu daudzumu, to tipi, nolūki un informācijas pieejamība. DVI konstatēja, ka lielākā daļa pārkāpumu izpaudās gadījumos, kad komersanti neieguva piekrišanu no lietotājiem par sīkdatņu izmantošanu, kad tas bija obligāti, ņemot vērā izmantoto sīkdatņu specifiku. Vismazāk pārkāpumu tika konstatēts gadījumos par sīkdatņu izmantošanas noteikumu / sīkdatņu politikas pieejamību.
Sīkdatnes sniedz daudzveidīgas iespējas gan vietņu īpašniekiem, gan lietotājiem. Tomēr ir būtiski atcerēties, ka sīkdatnes jāizmanto atbilstoši normatīvo aktu prasībām. Sevišķi svarīgi ir saņemt lietotāju piekrišanu, ja to nosaka normatīvo aktu prasības, kā arī sniegt pārskatāmu, saprotamu un vispusīgu informāciju par sīkdatņu izmantošanu.