Skip to main content

Sīkdatņu un privātuma noteikumi: globāls pārskats

Sīkdatņu atbilstību nenosaka viens vienīgs likums. To veido dažādu nacionālo un reģionālo noteikumu kopums, kas būtiski atšķiras pēc darbības jomas, prasībām un izpildes. Jebkurai vietnei ar starptautisku auditoriju — un atklātajā internetā tā ir gandrīz katra vietne — ir būtiski saprast, kuri likumi attiecas uz to un ar ko tie atšķiras.

Šī rokasgrāmata iezīmē sīkdatņu un tiešsaistes izsekošanas globālo regulējuma ainu — no ES pieejas, kur pirmajā vietā ir piekrišana, līdz ASV paziņošanas un izvēles modelim un jaunattīstības regulējumiem citviet.

Globālais likumu mozaīka

Nepastāv viens vienīgs "sīkdatņu likums". Sīkdatņu atbilstība atrodas privātuma noteikumu, elektronisko sakaru direktīvu un patērētāju aizsardzības likumu krustpunktā. Rezultāts ir sarežģīta, dažkārt pretrunīga aina, kurā uz vienu un to pašu vietni var attiekties dažādi noteikumi atkarībā no tā, kur atrodas tās apmeklētāji.

Ir izveidojušies divi plaši modeļi:

  • ES modelis (piekrišana pirmajā vietā): Nebūtiskas sīkdatnes drīkst iestatīt tikai pēc tam, kad lietotājs ir sniedzis informētu, konkrētu un brīvi izteiktu piekrišanu. Noklusējums ir izsekošanas neesamība. Lietotājam ir jāpiekrīt aktīvi.
  • ASV modelis (paziņošana un izvēle): Uzņēmumiem ir jāatklāj savas datu vākšanas prakses un jādod lietotājiem iespēja atteikties no noteiktiem izmantošanas veidiem (jo īpaši no personas informācijas pārdošanas vai kopīgošanas). Noklusējums ir izsekošana, kurai lietotājs var atteikties.

Lielākā daļa jaunu privātuma noteikumu visā pasaulē tuvinās ES modelim, kaut arī ar vietējām variācijām. Izpratne par abiem modeļiem — un konkrētajiem likumiem to ietvaros — ir nepieciešama jebkurai vietnei, kas darbojas pāri robežām.

ES regulējums: e-privātuma direktīva + GDPR

Eiropas Savienības pieeja sīkdatņu regulējumam ir balstīta uz diviem tiesību aktiem, kas darbojas kopā:

E-privātuma direktīva (2002/58/EK)

E-privātuma direktīva — bieži saukta par "sīkdatņu direktīvu" — ir galvenais ES likums, kas regulē sīkdatņu un līdzīgu izsekošanas tehnoloģiju izmantošanu. Tās galvenais noteikums, 5. panta 3. punkts, nosaka:

Dalībvalstis nodrošina, ka informācijas glabāšana vai piekļuve informācijai, kas jau ir uzglabāta abonenta vai lietotāja galiekārtā, ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu, saņēmis skaidru un vispusīgu informāciju.

Vienīgais izņēmums attiecas uz sīkdatnēm, kas ir "absolūti nepieciešamas", lai sniegtu lietotāja skaidri pieprasītu pakalpojumu — piemēram, sesijas sīkdatnes iepirkumu grozam vai pieteikšanās statusam.

Svarīgi: e-privātuma direktīva ir direktīva, nevis regula. Tas nozīmē, ka katra ES dalībvalsts to ir transponējusi valsts tiesību aktos ar vietējām variācijām. Pamatprincips (nepieciešama piekrišana nebūtiskām sīkdatnēm) ir konsekvents, taču ieviešanas detaļas atšķiras. Piemēram:

  • Francija (CNIL): Ir izdevusi detalizētas sīkdatņu vadlīnijas, tostarp ierobežotu atbrīvojumu noteiktiem auditorijas mērīšanas rīkiem, kas atbilst stingriem nosacījumiem (anonimizācija, nav starpvietņu izsekošanas, ierobežota glabāšana).
  • Vācija: Ieviesta caur TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), kas stājās spēkā 2021. gada decembrī un skaidri kodificēja piekrišanas prasību.
  • Itālija (Garante): 2021. gadā publicēja detalizētas sīkdatņu vadlīnijas, kas prasa noraidīšanas pogu pirmajā slānī un aizliedz sīkdatņu sienas.
  • Nīderlande (AP): Ir ieņēmusi nedaudz pieļaujošāku nostāju attiecībā uz sīkdatņu sienām, norādot, ka tās var būt pieņemamas, ja lietotājam ir patiess alternatīvs veids, kā piekļūt saturam.

GDPR (Regula (ES) 2016/679)

Vispārīgā datu aizsardzības regula īpaši nepiemin sīkdatnes, taču tā regulē personas datu apstrādi — un sīkdatnes bieži ietver personas datus. GDPR attiecas uz sīkdatņu atbilstību vairākos veidos:

  • Piekrišanas standarts (4. panta 11. punkts, 7. pants): GDPR definē, kas ir spēkā esoša piekrišana: brīvi sniegta, konkrēta, informēta, nepārprotama, izteikta ar skaidru apliecinošu darbību. Šis standarts attiecas uz sīkdatņu piekrišanu, kas iegūta saskaņā ar e-privātuma direktīvu.
  • Pārredzamība (12.–14. pants): Kad sīkdatnes apstrādā personas datus, piemērojamas GDPR pārredzamības prasības. Tas nozīmē, ka jūsu sīkdatņu politikai ir jāsniedz konkrēta informācija par iesaistīto datu apstrādi.
  • Juridiskais pamats (6. pants): Personas datu apstrādei ar sīkdatņu palīdzību ir nepieciešams juridisks pamats. Nebūtiskām sīkdatnēm šis pamats ir piekrišana. Daži pārziņi mēģina balstīties uz leģitīmajām interesēm (6. panta 1. punkta f) apakšpunkts), taču datu aizsardzības iestādes arvien vairāk noraida leģitīmās intereses kā pamatu reklāmas un analītikas izsekošanai.
  • Datu subjekta tiesības (15.–22. pants): Lietotājiem ir tiesības uz piekļuvi, labošanu, dzēšanu un savu datu pārnesamību — tostarp datus, kas savākti ar sīkdatņu palīdzību.
  • Ekstrateritoriāla darbība (3. pants): GDPR attiecas uz jebkuru organizāciju, kas apstrādā ES esošu personu personas datus, neatkarīgi no tā, kur organizācija ir reģistrēta. ASV uzņēmumam, kas orientējas uz ES klientiem, tas ir jāievēro.

Gaidāmā e-privātuma regula

Eiropas Komisija 2017. gadā ierosināja e-privātuma regulu, lai aizstātu e-privātuma direktīvu, saskaņotu noteikumus starp dalībvalstīm un atjauninātu tos atbilstoši mūsdienu tehnoloģijām. 2026. gada sākumā regula vēl nav pabeigta. Sarunas ir bijušas ilgstošas, jo pastāv domstarpības par leģitīmo interešu izņēmumiem, sīkdatņu sienu noteikumiem un pārlūkprogrammas līmeņa piekrišanas mehānismiem.

Kad tā beigumā tiks pieņemta, e-privātuma regula būs tieši piemērojama visās dalībvalstīs (atšķirībā no pašreizējās direktīvas, kurai nepieciešama transponēšana valsts līmenī). Līdz tam pašreizējā e-privātuma direktīva un tās nacionālās ieviešanas paliek spēkā esošie tiesību akti.

ASV regulējums: štatu līmeņa privātuma likumi

Amerikas Savienotajās Valstīs nav federāla sīkdatņu likuma un nav federāla visaptveroša privātuma likuma (2026. gada sākumā). Tā vietā privātuma regulējums ir izveidojies štatu līmenī, radot prasību mozaīku.

Kalifornija: CCPA un CPRA

Kalifornijas Patērētāju privātuma likums (CCPA), kas grozīts ar Kalifornijas Privātuma tiesību likumu (CPRA), ir visaptverošākais ASV štata privātuma likums. Galvenie noteikumi, kas attiecas uz sīkdatnēm:

  • Tiesības atteikties no pārdošanas/kopīgošanas. Patērētājiem ir tiesības atteikties no savas personas informācijas "pārdošanas" vai "kopīgošanas". Saskaņā ar CPRA "kopīgošana" ietver datu kopīgošanu ar trešajām pusēm konteksta pārrobežu uzvedības reklāmai — kas ir tieši tas, ko dara vairums reklāmas sīkdatņu.
  • Nav nepieciešama iepriekšēja piekrišana. Atšķirībā no ES modeļa, CCPA/CPRA neprasa iepriekšēju piekrišanu sīkdatnēm. Noklusējums ir tāds, ka izsekošana ir atļauta, un lietotājiem ir aktīvi jāatsakās.
  • Saite "Nepārdot un nekopīgot". Uzņēmumiem savā vietnē ir jānodrošina redzama saite "Nepārdot un nekopīgot manu personas informāciju".
  • Global Privacy Control (GPC). Uzņēmumiem ir jāievēro GPC pārlūkprogrammas signāls kā spēkā esošs atteikšanās pieprasījums. Ja lietotāja pārlūkprogramma sūta GPC signālu, uzņēmumam tas jāuztver tā, it kā lietotājs būtu noklikšķinājis "Nepārdot un nekopīgot".
  • Paziņojums vākšanas brīdī. Uzņēmumiem vākšanas brīdī vai pirms tā ir jāatklāj savāktās personas informācijas kategorijas un mērķi, kādiem tā tiks izmantota.

Citi ASV štatu likumi

Sekojot Kalifornijas piemēram, daudzi ASV štati ir pieņēmuši visaptverošus privātuma likumus. 2026. gada sākumā štati ar spēkā esošiem privātuma likumiem ietver:

Štats Likums Spēkā stāšanās datums Ar sīkdatnēm saistītas iezīmes
Virdžīnija VCDPA 2023. gada janvāris Atteikšanās no mērķtiecīgas reklāmas, datu pārdošanas
Kolorādo CPA 2023. gada jūlijs Atteikšanās no mērķtiecīgas reklāmas, datu pārdošanas; jāievēro universālie atteikšanās signāli
Konektikuta CTDPA 2023. gada jūlijs Atteikšanās no mērķtiecīgas reklāmas, datu pārdošanas; jāievēro universālie atteikšanās signāli
Jūta UCPA 2023. gada decembris Atteikšanās no mērķtiecīgas reklāmas, datu pārdošanas
Teksasa TDPSA 2024. gada jūlijs Atteikšanās no mērķtiecīgas reklāmas, datu pārdošanas; jāievēro universālie atteikšanās signāli
Oregona OCPA 2024. gada jūlijs Atteikšanās no mērķtiecīgas reklāmas, datu pārdošanas; jāievēro universālie atteikšanās signāli
Montāna MCDPA 2024. gada oktobris Atteikšanās no mērķtiecīgas reklāmas, datu pārdošanas; jāievēro universālie atteikšanās signāli

Papildu štati ir pieņēmuši likumus ar spēkā stāšanās datumiem 2025. un 2026. gadā. Tendence ir skaidra: štatu līmeņa privātuma regulējums paplašinās, un lielākā daļa jaunu likumu ietver atteikšanās tiesības no mērķtiecīgas reklāmas, kas tieši ietekmē sīkdatņu prakses.

Citi ievērojami noteikumi

Apvienotā Karaliste: UK GDPR un PECR

Pēc Brexit Apvienotā Karaliste saglabāja GDPR kā "UK GDPR" un turpina izpildīt Privātuma un elektronisko sakaru noteikumus (PECR), kas ievieš e-privātuma direktīvu. Prasības sīkdatnēm būtībā ir identiskas ES prasībām: nebūtiskām sīkdatnēm ir nepieciešama iepriekšēja piekrišana ar šauru izņēmumu absolūti nepieciešamām sīkdatnēm. Informācijas komisāra birojs (ICO) izpilda šos noteikumus un ir publicējis detalizētas sīkdatņu vadlīnijas.

Brazīlija: LGPD

Brazīlijas Lei Geral de Protecao de Dados (LGPD), kas ir spēkā kopš 2020. gada, ir stipri iedvesmots no GDPR. Tas prasa juridisku pamatu personas datu apstrādei, tostarp datiem, kas savākti ar sīkdatnēm. Lai gan LGPD nav tiešs e-privātuma direktīvas sīkdatnēm specifiskā noteikuma ekvivalents, sīkdatņu balstītai datu apstrādei ir jānosaka piekrišana vai leģitīmās intereses. ANPD (nacionālā datu aizsardzības iestāde) pakāpeniski izdod vadlīnijas par sīkdatnēm un piekrišanu.

Kanāda: PIPEDA un likumprojekts C-27

Kanādas Personas informācijas aizsardzības un elektronisko dokumentu likums (PIPEDA) prasa "jēgpilnu piekrišanu" personas informācijas vākšanai, izmantošanai un izpaušanai. Sīkdatnēm, kas vāc personas informāciju, organizācijām ir jāsaņem piekrišana un jāsniedz skaidra informācija par savām praksēm. Likumprojekts C-27, ierosinātais Patērētāju privātuma aizsardzības likums, modernizētu Kanādas regulējumu ar stingrākām piekrišanas prasībām, taču tā pieņemšana ir aizkavēta.

Japāna: APPI

Japānas Personas informācijas aizsardzības likums (APPI), kas grozīts 2022. gadā, ieviesa jēdzienu "personiski attiecināma informācija", kas noteiktos kontekstos var ietvert sīkdatņu identifikatorus. Kad sīkdatņu dati tiek apvienoti ar citu informāciju, lai identificētu personu, piemērojamas piekrišanas prasības.

Dienvidkoreja: PIPA

Dienvidkorejas Personas informācijas aizsardzības likums (PIPA), kas grozīts 2023. gadā, prasa piekrišanu personas informācijas vākšanai un izmantošanai, kas var ietvert sīkdatņu datus, kad tie identificē vai var identificēt personu.

Tuvināšanās tendence

Neraugoties uz pašreizējo mozaīku, ir vērojama skaidra tendence: lielākā daļa jaunu privātuma likumu seko ES modelim, kur piekrišana ir pirmajā vietā un regulējums stiprina lietotāju iespējas. Pat ASV štatu likumi, kaut arī tehniski balstīti uz atteikšanos, nevis piekrišanu, virzās uz stingrākām prasībām ar universāliem atteikšanās signāliem (GPC), datu minimizēšanas principiem un paplašinātām "personas informācijas" definīcijām, kas ietver sīkdatņu identifikatorus.

Praktiskā nozīmē šī tuvināšanās nozīmē, ka vietnes, kas ievieš ES līmeņa sīkdatņu atbilstību (iepriekšēja piekrišana, skaidra pieņemšana/noraidīšana, detalizētas kategorijas, pārredzamas politikas), ir labi sagatavotas atbilstībai lielākajai daļai citu jurisdikciju. ES standarts ir augstākais kopsaucējs.

Riska novērtējums: kuri likumi attiecas uz jūsu vietni?

Galvenais jautājums jebkuram vietnes operatoram ir: kuri likumi attiecas uz mani? Atbilde ir atkarīga no diviem faktoriem:

  1. Kur ir reģistrēta jūsu organizācija. Uz jums attiecas to jurisdikciju privātuma likumi, kurās jūsu organizācijai ir uzņēmums (birojs, meitasuzņēmums, filiāle).
  2. Kur atrodas jūsu lietotāji. Saskaņā ar GDPR ekstrateritoriālo darbību (3. panta 2. punkts) uz jums attiecas ES privātuma likums, ja jūs piedāvājat preces vai pakalpojumus personām ES vai ja jūs uzraugāt ES esošo personu uzvedību. Līdzīgi ekstrateritoriāli noteikumi pastāv UK GDPR, Brazīlijas LGPD un citos likumos.

Praksē, ja jūsu vietne ir pieejama lietotājiem ES — un jums ir jebkāda ES trafika, kāda ir gandrīz visām vietnēm — jums vajadzētu ievērot e-privātuma direktīvu un GDPR. Ja jums ir ASV trafika, jums vajadzētu risināt CCPA/CPRA (Kalifornija) un citus piemērojamos štatu likumus.

Pragmatiska pieeja:

  • Ieviesiet ES standarta piekrišanu visiem ES/EEZ/AK apmeklētājiem (iepriekšēja aktīva piekrišana nebūtiskām sīkdatnēm).
  • Ieviesiet atteikšanās mehānismus ASV apmeklētājiem (saite Nepārdot/nekopīgot, GPC atbalsts).
  • Pēc noklusējuma izmantojiet augstāko standartu, ja ģeogrāfiskā noteikšana ir nepraktiska. ES līmeņa piekrišana atbilst praktiski visām jurisdikcijām.

Ekstrateritoriālā darbība

Viens no nozīmīgākajiem mūsdienu privātuma regulējuma aspektiem ir tā ekstrateritoriālā darbība. GDPR (3. panta 2. punkts) attiecas uz organizācijām ārpus ES, kas:

  • Piedāvā preces vai pakalpojumus personām ES (pat ja bez maksas — vietne, kas pieejama ES un orientējas uz ES lietotājiem, atbilst kritērijiem), vai
  • Uzrauga ES esošo personu uzvedību (analītikas un reklāmas izsekošana ir uzraudzība).

Tas nozīmē, ka ASV uzņēmums, kas darbina Google Analytics vietnē, kura saņem ES trafiku, tehniski ir pakļauts GDPR un e-privātuma direktīvas sīkdatņu prasībām. Izpilde pret ārpus ES esošām organizācijām vēsturiski ir bijusi ierobežota, taču pieaug, jo īpaši lielām kompānijām. Praktiskais risks mazākām organizācijām ir atkarīgs no redzamības un sūdzību apjoma, taču juridiskais pienākums pastāv neatkarīgi no lieluma.

Izpildes aina

Sīkdatņu atbilstības izpilde ir dramatiski pastiprinājusies kopš 2020. gada. Galvenās tendences:

Kas izpilda

ES nacionālās datu aizsardzības iestādes (DPA) izpilda gan e-privātuma direktīvu, gan GDPR. Ievērojamas aktīvas izpildes iestādes ietver CNIL (Francija), Garante (Itālija), Datatilsynet (Dānija un Norvēģija), BfDI (Vācija federālā līmenī) un APD (Beļģija). EDPB koordinē pārrobežu izpildi.

ASV Kalifornijas ģenerālprokurors un Kalifornijas Privātuma aizsardzības aģentūra izpilda CCPA/CPRA. Štatu ģenerālprokurori izpilda citus štatu likumus.

Kā tie izpilda

  • Uz sūdzībām balstītas izmeklēšanas. Lielākā daļa izpildes sākas ar lietotāja sūdzību DPA. Sūdzība izraisa vietnes sīkdatņu prakses izmeklēšanu.
  • Pārbaudes izmeklēšanas. DPA periodiski veic visas nozares pārbaudes, skenējot simtiem vietņu sīkdatņu atbilstībai. CNIL, Itālijas Garante un Dānijas Datatilsynet ir veikuši publicētas pārbaudes.
  • NVO sūdzības. Privātuma aizstāvības organizācijas, piemēram, noyb (vada Makss Šremss), ir iesniegušas masveida sūdzības pret simtiem vietņu, radot ievērojamu izpildes apjomu. Noyb sīkdatņu baneru sūdzības vien ir izraisījušas desmitiem izpildes darbību visā ES.

Sodi

GDPR naudas sodi par sīkdatņu pārkāpumiem var sasniegt līdz 20 miljoniem EUR vai 4 % no gada globālā apgrozījuma atkarībā no tā, kas ir lielāks. Praksē naudas sodi par sīkdatņu pārkāpumiem svārstās no brīdinājumiem (mazām organizācijām ar nelieliem pārkāpumiem) līdz 150 miljoniem EUR (Google, CNIL, 2022). Tendence ir uz lielākiem naudas sodiem un biežāku izpildi.

Papildus naudas sodiem neatbilstība nes reputācijas risku, patērētāju uzticības zaudēšanu un ārkārtas korekciju darbības izmaksas saskaņā ar regulatīvo rīkojumu.

Passiro palīdz jums orientēties šajā regulējuma sarežģītībā ar automatizētu atbilstību, kas pielāgojas jūsu apmeklētājiem piemērojamajiem likumiem. Uzziniet, kā Passiro vienkāršo sīkdatņu atbilstību dažādās jurisdikcijās.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas