Skip to main content

ePrivacy direktīva: skaidrojums par ES sīkdatņu likumu

Kad cilvēki runā par "ES sīkdatņu likumu", parasti ir domāta ePrivacy direktīva — konkrētāk, tās 5. panta 3. punkts. Lai gan GDPR nonāk lielākajā daļā virsrakstu, tieši ePrivacy direktīva ir tiesību akts, kas tieši regulē sīkdatņu un līdzīgu izsekošanas tehnoloģiju izmantošanu. Šīs direktīvas, tās saiknes ar GDPR un topošās ePrivacy regulas izpratne ir būtiska ikvienam, kurš ir atbildīgs par sīkdatņu atbilstību Eiropas tīmekļa vietnē.

Kas ir ePrivacy direktīva?

ePrivacy direktīva (oficiāli Direktīva 2002/58/EK) tika pieņemta 2002. gada 12. jūlijā kā daļa no ES telekomunikāciju privātuma regulējuma. Sākotnēji tā bija vērsta uz privātumu elektroniskajos sakaros — aptverot tādus jautājumus kā sakaru konfidencialitāte, informācija par datu plūsmu, mēstules un zvanītāja identifikācija.

2009. gadā direktīva tika būtiski grozīta ar Direktīvu 2009/136/EK (kas bieži tiek dēvēta par "Pilsoņu tiesību direktīvu"). Ar šo grozījumu tika ieviesta prasība par piekrišanu sīkdatnēm, kādu pazīstam šodien, aizstājot iepriekšējo atteikšanās (opt-out) režīmu ar piekrišanas (opt-in) modeli. Pirms 2009. gada tīmekļa vietnēm bija tikai jāinformē lietotāji par sīkdatnēm un jāpiešķir viņiem tiesības atteikties. Pēc 2009. gada iepriekšēja piekrišana kļuva obligāta visām neobligātajām sīkdatnēm.

Atšķirībā no GDPR, kas ir regula (tieši piemērojama visās dalībvalstīs), ePrivacy direktīva ir direktīva (katrai dalībvalstij tā jātransponē savos nacionālajos tiesību aktos). Tas nozīmē, ka konkrētie sīkdatņu noteikumi dažādās valstīs atšķiras, pat ja pamatprasības ir vienādas.

5. panta 3. punkts: sīkdatņu piekrišanas noteikums

ePrivacy direktīvas 5. panta 3. punkts ir tā norma, kas tieši regulē sīkdatnes. Grozītajā redakcijā tas nosaka:

"Dalībvalstis nodrošina, ka informācijas uzglabāšana vai piekļuve informācijai, kas jau ir uzglabāta abonenta vai lietotāja galiekārtā, ir atļauta vienīgi ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu, saņēmis skaidru un vispusīgu informāciju saskaņā ar [Datu aizsardzības direktīvu, tagad GDPR], cita starpā par apstrādes mērķiem."

Šī norma nosaka vairākas galvenās prasības:

  1. Piemērošanas joma: Tā aptver jebkādu informācijas uzglabāšanu lietotāja ierīcē vai piekļuvi lietotāja ierīcē uzglabātai informācijai. Tas ietver sīkdatnes, taču arī lokālo krātuvi, IndexedDB, ierīces pirkstu nospiedumu noteikšanu, izsekošanas pikseļus un jebkuru citu tehnoloģiju, kas nolasa vai raksta lietotāja ierīcē.
  2. Iepriekšēja piekrišana: Piekrišana ir jāsaņem pirms informācijas uzglabāšanas vai piekļuves tai — nevis pēc tam.
  3. Informēta piekrišana: Lietotājam ir jāsaņem skaidra un vispusīga informācija par uzglabāšanas vai piekļuves mērķiem.
  4. Piekrišanas standarts: Atsauce uz GDPR (sākotnēji Datu aizsardzības direktīvu) nozīmē, ka piemēro GDPR definīciju un nosacījumus attiecībā uz piekrišanu. Piekrišanai jābūt brīvi sniegtai, konkrētai, informētai un nepārprotamai.

Izņēmums "noteikti nepieciešamām" sīkdatnēm

5. panta 3. punkts otrajā teikumā ietver svarīgu izņēmumu:

"Tas neliedz nekādu tehnisku uzglabāšanu vai piekļuvi, kuras vienīgais mērķis ir veikt sakaru pārraidi elektronisko sakaru tīklā vai kura ir noteikti nepieciešama, lai informācijas sabiedrības pakalpojuma sniedzējs sniegtu pakalpojumu, ko nepārprotami pieprasījis abonents vai lietotājs."

Šis izņēmums aptver divas sīkdatņu kategorijas, kurām piekrišana nav nepieciešama:

  1. Sīkdatnes, kas nepieciešamas sakaru pārraidei (piem., slodzes līdzsvarošanas sīkdatnes).
  2. Sīkdatnes, kas noteikti nepieciešamas, lai sniegtu lietotāja nepārprotami pieprasītu pakalpojumu (piem., iepirkumu groza sīkdatnes, autentifikācijas sesijas sīkdatnes, lietotāja iestatījumu sīkdatnes pakalpojumam, ko lietotājs aktīvi izmanto).

Eiropas Datu aizsardzības kolēģijas priekštecis, 29. panta darba grupa, sniedza detalizētas vadlīnijas par to, kuras sīkdatnes uzskatāmas par noteikti nepieciešamām, Atzinumā 04/2012. Piemēri:

  • Atbrīvotas (piekrišana nav nepieciešama): sesijas sīkdatnes lietotāja ievadei (vairākposmu veidlapas), autentifikācijas sīkdatnes, iepirkumu groza sīkdatnes, drošības sīkdatnes (CSRF žetoni), multivides atskaņotāja sesijas sīkdatnes, slodzes līdzsvarošanas sīkdatnes, saskarnes pielāgošanas sīkdatnes (valodas izvēle) pašreizējai sesijai.
  • Nav atbrīvotas (piekrišana nepieciešama): analītikas sīkdatnes (tostarp Google Analytics), reklāmas sīkdatnes, sociālo mediju kopīgošanas/izsekošanas sīkdatnes, pastāvīgas iestatījumu sīkdatnes, kas saglabājas pēc sesijas, jebkuras trešo pušu izsekošanas sīkdatnes.

Būtiskā atšķirība ir starp sīkdatnēm, kas kalpo lietotāja nepārprotamam pieprasījumam, un sīkdatnēm, kas kalpo tīmekļa vietnes operatora interesēm. Valodas izvēles sīkdatne, kas iestatīta tāpēc, ka lietotājs noklikšķināja uz valodas izvēlnes, ir noteikti nepieciešama. Analītikas sīkdatne, kas iestatīta, lai palīdzētu tīmekļa vietnes operatoram izprast apmeklējumu, tāda nav — pat ja operators to uzskata par svarīgu.

Kā ePrivacy un GDPR darbojas kopā

Saikne starp ePrivacy direktīvu un GDPR ir lex specialis (speciālā tiesību norma) un lex generalis (vispārīgā tiesību norma) attiecības. ePrivacy direktīva ir speciālā tiesību norma, kas regulē privātumu elektroniskajos sakaros, savukārt GDPR ir vispārīgais datu aizsardzības regulējums.

Praktiski runājot:

  • ePrivacy direktīva regulē to, vai jūs drīkstat izvietot sīkdatni lietotāja ierīcē. Tā prasa piekrišanu neobligātajām sīkdatnēm neatkarīgi no tā, vai sīkdatne satur personas datus.
  • GDPR regulē to, kas veido derīgu piekrišanu un kā jūs drīkstat apstrādāt jebkurus personas datus, kas savākti, izmantojot sīkdatnes. Tas arī nodrošina izpildes ietvaru, tostarp tiesības iesniegt sūdzības datu aizsardzības iestādēm (DPA) un ievērojamo naudas sodu režīmu.

Tas nozīmē, ka pat sīkdatnei, kas nesatur personas datus (piemēram, nejauši ģenerēts analītikas identifikators bez saiknes ar jebkādiem citiem datiem), joprojām nepieciešama piekrišana saskaņā ar ePrivacy direktīvu, jo 5. panta 3. punkts attiecas uz jebkādu uzglabāšanu lietotāja ierīcē — ne tikai uz personas datu uzglabāšanu.

Un otrādi, ja apstrādājat personas datus, izmantojot sīkdatnes, jums ir jāievēro pilns GDPR ietvars: tiesiskais pamats, pārredzamība, datu subjekta tiesības, datu aizsardzības ietekmes novērtējumi un visi pārējie pienākumi.

Nacionālās ieviešanas

Tā kā ePrivacy direktīva ir direktīva, nevis regula, katra ES dalībvalsts to ir transponējusi savos nacionālajos tiesību aktos ar zināmām atšķirībām. Lai gan pamatprasība — piekrišana pirms neobligātajām sīkdatnēm — ir vienāda visās dalībvalstīs, ir vērā ņemamas atšķirības šādos aspektos:

  • Izpildes intensitāte: Francija (CNIL) un Itālija (Garante) ir bijušas visaktīvākās sīkdatņu izpildē, savukārt citas valstis savus resursus ir novirzījušas citur.
  • Konkrēti izņēmumi: Dažas valstis ir pieņēmušas nedaudz plašāku vai šaurāku "noteikti nepieciešamo" sīkdatņu izņēmuma interpretāciju.
  • Analītikas sīkdatnes: Dažas DPA ir izpētījušas, vai pareizi konfigurēti, privātumu saudzējoši analītikas rīki (piem., anonimizēta analītika bez starpvietņu izsekošanas) varētu kvalificēties leģitīmo interešu pamatam. Francijas CNIL izņēmums auditorijas mērīšanas rīkiem noteiktos apstākļos ir visievērojamākais piemērs, lai gan tas joprojām ir pretrunīgs.
  • Sīkdatņu sienas: Sīkdatņu sienu (cookie walls) — kad piekļuvei tīmekļa vietnei nepieciešama piekrišana — likumība atšķiras atkarībā no jurisdikcijas. Nīderlandes DPA un EDPB ir ieņēmušas stingru nostāju pret tām, savukārt Francijas Valsts padome (Conseil d'Etat) tās atzina par pieļaujamām noteiktos apstākļos.

Ierosinātā ePrivacy regula

Eiropas Komisija publicēja ePrivacy regulas priekšlikumu 2017. gada janvārī, plānojot ar to aizstāt ePrivacy direktīvu un saskaņot sīkdatņu noteikumus ar GDPR. Vairāk nekā deviņus gadus vēlāk regula joprojām tiek apspriesta, padarot to par vienu no visilgāk noritošajiem likumdošanas procesiem ES vēsturē.

Galvenās izmaiņas ierosinātajā regulā

Lai gan galīgais teksts vēl nav saskaņots, priekšlikumā un turpmākajās Padomes nostājās ir norādītas vairākas būtiskas izmaiņas:

  • Tieša piemērojamība: Būdama regula, nevis direktīva, ePrivacy regula tiktu vienoti piemērota visās dalībvalstīs, novēršot pašreizējo sadrumstalotību.
  • Uz pārlūkprogrammu balstīta piekrišana: Agrīnajos priekšlikumos bija ietvertas normas, kas ļautu lietotājiem iestatīt savus sīkdatņu iestatījumus pārlūkprogrammas līmenī, nevis atbildēt uz atsevišķiem sīkdatņu paziņojumiem katrā tīmekļa vietnē. Tas krasi vienkāršotu lietotāja pieredzi, lai gan tehniskie un politiskie izaicinājumi ir ievērojami.
  • Paplašināta piemērošanas joma: Regula tiktu attiecināta arī uz t.s. over-the-top (OTT) sakaru pakalpojumiem, piemēram, WhatsApp un Skype, kurus pašreizējā direktīva neaptver.
  • Skaidrāki izņēmumi: Regula tiecas precizēt, kuri sīkdatņu veidi ir atbrīvoti no piekrišanas prasības, potenciāli paplašinot izņēmumu, iekļaujot noteiktus auditorijas mērīšanas veidus.
  • Metadatu noteikumi: Jaunas normas, kas regulē sakaru metadatu (atrašanās vietas dati, savienojuma laiki) apstrādi, kas pārsniedz pašreizējās direktīvas tvērumu.
  • Saskaņota izpilde: Regula izveidotu konsekventu izpildes mehānismu, kas, visticamāk, tiktu veidots pēc GDPR vienas pieturas aģentūras principa.

Pašreizējais statuss un grafiks

2026. gada sākumā ePrivacy regula joprojām atrodas trīspusējās (trialogue) sarunās starp Eiropas Parlamentu, ES Padomi un Eiropas Komisiju. Progress ir bijis lēns fundamentālu domstarpību dēļ vairākos jautājumos, tostarp par uz pārlūkprogrammu balstīto piekrišanas mehānismu, "noteikti nepieciešamo" sīkdatņu izņēmuma tvērumu un metadatu apstrādes noteikumiem.

Reālistiskākais scenārijs ir tāds, ka regula netiks pabeigta ātrāk par 2027. gadu, ar papildu pārejas periodu 12–24 mēnešu garumā pirms tās stāšanās spēkā. Tīmekļa vietņu operatoriem jāturpina ievērot pašreizējo ePrivacy direktīvu, kā tā ir transponēta nacionālajos tiesību aktos, papildinot to ar GDPR piekrišanas ietvaru.

Praktiskās sekas tīmekļa vietņu īpašniekiem

Neatkarīgi no regulējuma nenoteiktības saistībā ar topošo ePrivacy regulu, pašreizējie noteikumi ir skaidri un tiek aktīvi īstenoti. Tīmekļa vietņu īpašniekiem vajadzētu:

  1. Uzskatīt pašreizējo režīmu par pamatu. Prasība par piekrišanu neobligātajām sīkdatnēm ir spēkā esoša likumdošanas norma visā ES. Negaidiet ePrivacy regulu, lai īstenotu atbilstību.
  2. Bloķēt neobligātās sīkdatnes pirms piekrišanas. Šis ir tehniski visgrūtākais atbilstības aspekts, taču tas nav apspriežams. Jūsu sīkdatņu piekrišanas mehānismam ir jānovērš, ka skripti iestata sīkdatnes, pirms lietotājs ir aktīvi piekritis.
  3. Piemērot GDPR piekrišanas standartu. Kad ePrivacy direktīva runā par "piekrišanu", tā domā GDPR piekrišanu: brīvi sniegtu, konkrētu, informētu, nepārprotamu un apliecinātu ar skaidru apstiprinošu darbību.
  4. Dokumentēt savas noteikti nepieciešamās sīkdatnes. Uzturiet skaidru uzskaiti par to, kuras sīkdatnes uzskatāt par noteikti nepieciešamām un kāpēc. Esiet gatavi pamatot šo klasifikāciju, ja to apstrīdētu kāda DPA.
  5. Sekot līdzi nacionālajām norisēm. Tā kā ePrivacy direktīva katrā valstī tiek ieviesta atšķirīgi, sekojiet līdzi to valstu DPA vadlīnijām un izpildes darbībām, kurās atrodas jūsu lietotāji.
  6. Sagatavoties ePrivacy regulai. Lai gan grafiks ir nenoteikts, virziens ir skaidrs: saskaņotāki noteikumi, potenciāli plašāki piekrišanas mehānismi un pastāvīgs uzsvars uz lietotāju privātumu. Stabilas piekrišanas pārvaldības sistēmas izveide jau tagad padarīs pāreju vienmērīgāku, kad tā pienāks.

ePrivacy direktīva var būt vairāk nekā divas desmitgades veca, taču tā joprojām ir sīkdatņu likuma stūrakmens Eiropā. Apvienojumā ar GDPR piekrišanas ietvaru un nacionālo DPA aktīvajām izpildes programmām tā rada regulējuma vidi, kurā atbilstība sīkdatņu prasībām nav izvēles jautājums — tas ir juridisks pienākums ar reālām finansiālām sekām neatbilstības gadījumā.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas