Skip to main content

Sīkdatņu piekrišana: ko likums patiešām pieprasa

Piekrišana sīkdatņu izmantošanai ir viena no vismaz pārprastajām prasībām digitālās privātuma jomā. Daudzi uzņēmumi uzskata, ka atbilst noteikumiem tikai tāpēc, ka rāda sīkdatņu paziņojumu. Taču paziņojums nav piekrišana. Piekrišana ir konkrēts juridisks jēdziens ar precīzām prasībām, un šo prasību neizpilde var nozīmēt, ka visa jūsu datu vākšana ir nelikumīga.

Juridiskais pamats

Sīkdatņu piekrišana balstās uz diviem juridiskiem pīlāriem:

ePrivacy direktīvas 5. panta 3. punkts nosaka prasību: informācijas glabāšanai vai piekļuvei tai lietotāja ierīcē ir nepieciešama lietotāja piekrišana, ja vien glabāšana nav absolūti nepieciešama pakalpojumam, ko lietotājs ir tieši pieprasījis. Tieši šis noteikums regulē sīkdatnes.

GDPR 4. panta 11. punkts definē, ko piekrišana nozīmē: "datu subjekta 'piekrišana' ir jebkura brīvi sniegta, konkrēta, apzināta un nepārprotama norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā pauž piekrišanu savu personas datu apstrādei."

Šie divi noteikumi darbojas kopā. ePrivacy direktīva nosaka, kad piekrišana ir nepieciešama (par neobligātām sīkdatnēm). GDPR nosaka, izskatās derīga piekrišana. Abas prasības ir jāizpilda.

Piecas derīgas piekrišanas prasības

Balstoties uz GDPR 4. panta 11. punktu, 7. pantu un EDPB Vadlīnijām 05/2020 par piekrišanu, derīgai sīkdatņu piekrišanai jāatbilst pieciem kritērijiem:

1. Brīvi sniegta

Lietotājam jābūt patiesai izvēlei. Piekrišana nav brīva, ja:

  • Piekļuve ir atkarīga no piekrišanas. Ja lietotājs nevar izmantot vietni, nepieņemot visas sīkdatnes ("sīkdatņu siena"), piekrišana nav sniegta brīvi. EDPB šo nostāju ir apstiprinājusi, lai gan dažas nacionālās datu aizsardzības iestādes atļauj ierobežotas sīkdatņu sienas konkrētos apstākļos, īpaši, ja pastāv patiesa alternatīva (piemēram, maksas versija bez sīkdatnēm).
  • Pastāv būtiska varas nelīdzsvarotība. Darba devēja–darba ņēmēja vai valsts–pilsoņa attiecībās piekrišana var nebūt patiesi brīva. Vairumam vietņu tas ir mazāk aktuāli, taču svarīgi valsts pakalpojumiem un iekšējiem tīkla platformām.
  • Atteikums ir ievērojami grūtāks nekā piekrišana. Ja "Pieņemt visas" ir izcelta poga, bet "Noraidīt visas" prasa pārvietošanos pa iestatījumiem, piekrišana nav sniegta brīvi. Gan Itālijas Garante, gan Francijas CNIL ir izdevušas konkrētas vadlīnijas, kas prasa, lai sīkdatņu noraidīšana būtu tikpat vienkārša kā to pieņemšana.

2. Konkrēta

Piekrišana jāsniedz atsevišķi katram konkrētam mērķim. Tieši tāpēc pastāv sīkdatņu kategorijas. Derīgam piekrišanas mehānismam jāļauj lietotājiem pieņemt analītikas sīkdatnes, vienlaikus noraidot mārketinga sīkdatnes, vai otrādi. Visu sīkdatņu apvienošana vienā "pieņemt" vai "noraidīt" neatbilst konkrētības prasībai, lai gan "Pieņemt visas" un "Noraidīt visas" piedāvāšana kā saīsnes līdzās katras kategorijas vadīklām ir pieņemama.

3. Apzināta

Pirms piekrišanas sniegšanas lietotājam jāsaņem informācija:

  • Kas iestata sīkdatnes (vietnes operators un jebkādas trešās puses)
  • Ko katra sīkdatņu kategorija dara
  • Cik ilgi sīkdatnes darbojas
  • Kā atsaukt piekrišanu

Šī informācija jāsniedz skaidri un vienkāršā valodā. 5000 vārdu gara sīkdatņu politika, kas paslēpta aiz trim klikšķiem, nekādā jēgpilnā ziņā nepadara piekrišanu par "apzinātu". Jūsu piekrišanas mehānisma pirmajā slānī jābūt pietiekami daudz informācijas, lai lietotājs varētu pieņemt apzinātu lēmumu.

4. Nepārprotama

Piekrišanai nepieciešama skaidra apstiprinoša darbība. Lietotājam aktīvi kaut kas jādara, lai norādītu piekrišanu — jānospiež poga, jāatzīmē lodziņš, jāpārslēdz slēdzis.

Kas NAV nepārprotama piekrišana:

  • Iepriekš atzīmēti lodziņi. EST galīgi nolēma lietā Planet49 (lieta C-673/17, 2019. gada oktobris), ka iepriekš atzīmēti lodziņi nav derīga piekrišana. Tas attiecas uz sīkdatņu piekrišanas iestatījumiem, kur kategorijas ir atzīmētas pēc noklusējuma.
  • Turpināta pārlūkošana. "Turpinot lietot šo vietni, jūs piekrītat sīkdatnēm" nav derīga piekrišana. Vienkārša ritināšana vai saites nospiešana nav "nepārprotama norāde". Vairākas datu aizsardzības iestādes to ir apstiprinājušas, un EDPB vadlīnijas šajā jautājumā ir nepārprotamas.
  • Pārlūka iestatījumi. Regulatori ir noraidījuši paļaušanos uz lietotāja pārlūka iestatījumiem kā piekrišanas veidu. Vietnes operatoram piekrišana jāiegūst tieši.
  • Klusēšana vai bezdarbība. Ja lietotājs ignorē paziņojumu un turpina pārlūkošanu, tā nav piekrišana. Sīkdatnes nedrīkst izvietot, kamēr lietotājs nav izdarījis aktīvu izvēli.

5. Iepriekšēja

Lai gan tas nav minēts kā atsevišķs elements GDPR 4. panta 11. punktā, ePrivacy direktīva skaidri nosaka, ka piekrišana jāiegūst pirms sīkdatņu izvietošanas. Šo prasību daudzas vietnes joprojām neizpilda. Skripti, kas tiek palaisti lapas ielādes laikā — iestatot analītikas un mārketinga sīkdatnes, pirms lietotājs vispār ir redzējis piekrišanas paziņojumu — pārkāpj šo pamatprasību.

Tehniski tas nozīmē, ka neobligātie skripti jābloķē, līdz piekrišana ir sniegta. Tikai paziņojuma rādīšana, kamēr sīkdatnes jau tiek iestatītas, neatbilst iepriekšējas piekrišanas prasībai.

Kā derīga piekrišana izskatās praksē

Atbilstoša sīkdatņu piekrišanas ieviešana:

  1. Bloķē visas neobligātās sīkdatnes, pirms lietotājs mijiedarbojas ar piekrišanas mehānismu.
  2. Piedāvā skaidru pirmo slāni, kas izskaidro izmantoto sīkdatņu kategorijas, ar iespējām pieņemt vai noraidīt katru kategoriju.
  3. Piedāvā "Pieņemt visas" un "Noraidīt visas" vienādā izcēluma līmenī — vienādā izmērā, vienādā vizuālā svarā, ar vienādu nepieciešamo klikšķu skaitu.
  4. Neizmanto tumšos rakstus — bez maldinošām pogu krāsām, bez paslēptām noraidīšanas iespējām, bez mulsinošas valodas, bez virzīšanas uz piekrišanu.
  5. Saistās ar detalizētu sīkdatņu politiku, kurā uzskaitīta katra sīkdatne pēc nosaukuma, mērķa, darbības ilguma un pakalpojuma sniedzēja.
  6. Reģistrē piekrišanu ar laika zīmogu un konkrētajām kategorijām, kuras lietotājs pieņēma vai noraidīja.
  7. Palaiž tikai attiecīgos skriptus pēc tam, kad ir sniegta piekrišana šai konkrētajai kategorijai.

Piekrišanas dzīves cikls

Piekrišana nav vienreizējs notikums. Tai ir dzīves cikls, kas jūsu ieviešanai jāatbalsta:

Iegūšana

Pirmais apmeklējums: parādiet piekrišanas mehānismu, bloķējiet neobligātās sīkdatnes, gaidiet lietotāja darbību.

Glabāšana

Kad piekrišana ir sniegta, saglabājiet lietotāja izvēli absolūti nepieciešamā sīkdatnē (šai sīkdatnei piekrišana nav nepieciešama, jo tā ir vajadzīga, lai ievērotu lietotāja privātuma preferences). Saglabājiet arī ierakstu servera pusē kā piekrišanas pierādījumu.

Piemērošana

Turpmākajās lapas ielādēs nolasiet piekrišanas sīkdatni un palaidiet tikai tos skriptus, kas atbilst lietotāja pieņemtajām kategorijām. Nerādiet paziņojumu atkārtoti — ievērojiet saglabāto izvēli.

Atsaukšana

GDPR 7. panta 3. punkts ir nepārprotams: "Piekrišanu ir tikpat viegli atsaukt, kā to dot." Jūsu vietnei jānodrošina pastāvīgs, viegli pieejams veids, kā lietotāji jebkurā laikā var mainīt savas sīkdatņu preferences. Izplatīta pieeja ir neliela ikona vai saite kājenē, kas atkārtoti atver piekrišanas pārvaldības saskarni.

Atjaunošana

Piekrišana neilgst mūžīgi. CNIL iesaka atjaunot piekrišanu ik pēc 13 mēnešiem. EDPB nav noteicis konkrētu ilgumu, taču prasa, lai piekrišana paliktu derīga un lai lietotāja izvēle joprojām atspoguļotu viņa faktiskās vēlmes. Labākā prakse ir atkārtoti prasīt piekrišanu vismaz reizi gadā vai ikreiz, kad jūsu sīkdatņu izmantošana būtiski mainās.

Izmaiņas

Ja pievienojat jaunas sīkdatnes, jaunus trešo pušu pakalpojumus vai jaunus mērķus, esošā piekrišana tos vairs var nesegt. No lietotājiem atkārtoti jāprasa piekrišana (vai atteikums) jaunajai apstrādei.

Piekrišanas ieraksti un pierādījumi

GDPR 7. panta 1. punkts nosaka: "Ja apstrāde pamatojas uz piekrišanu, pārzinim jāspēj pierādīt, ka datu subjekts ir piekritis." Sīkdatņu piekrišanas gadījumā tas nozīmē, ka jums jāuztur ieraksti par:

  • Kad piekrišana tika sniegta (laika zīmogs)
  • Kam lietotājs piekrita (kuras kategorijas tika pieņemtas, kuras noraidītas)
  • piekrišana tika iegūta (kā piekrišanas mehānisms izskatījās tobrīd — versijas identifikators vai ekrānuzņēmums)
  • Kurš deva piekrišanu (parasti anonimizēts identifikators, nevis lietotāja vārds)

Ja regulators lūdz pierādīt, ka konkrēta sīkdatne tika izvietota ar derīgu piekrišanu, šie ieraksti ir jūsu aizstāvība. Bez tiem jums nav pierādījumu, ka jūsu piekrišanas mehānisms darbojas — un pierādīšanas pienākums ir uz jums, nevis uz regulatoru.

Biežākās piekrišanas kļūdas

Pamatojoties uz izpildes pasākumiem visā Eiropā, šīs ir visbiežāk sodītās piekrišanas kļūdas:

  1. Sīkdatnes izvietotas pirms piekrišanas. Analītikas un mārketinga skripti, kas tiek palaisti lapas ielādes laikā, pirms lietotājs mijiedarbojas ar paziņojumu.
  2. Nav noraidīšanas iespējas pirmajā slānī. Prasība lietotājiem noklikšķināt uz "Iestatījumi" vai "Pārvaldīt preferences", lai noraidītu sīkdatnes, kamēr "Pieņemt visas" ir uzreiz pieejama.
  3. Iepriekš atzīmētas kategorijas. Piekrišanas slēdži, kas pēc noklusējuma ir "ieslēgti" analītikai un mārketingam.
  4. Nav veida, kā atsaukt piekrišanu. Kad paziņojums ir aizvērts, lietotājam nav iespēju mainīt savu izvēli.
  5. Piekrišanas siena / sīkdatņu siena. Piekļuves bloķēšana saturam, ja vien netiek pieņemtas visas sīkdatnes.
  6. Maldinošs dizains. Zaļās krāsas izmantošana "Pieņemt" un pelēkas "Noraidīt", pieņemšanas pogas padarīšana lielāku vai mulsinošas valodas lietošana, piemēram, "Turpināt bez pieņemšanas" pret "Pieņemt un turpināt".

Passiro skenē jūsu vietnes sīkdatņu piekrišanas ieviešanu un pārbauda šīs biežākās kļūdas, palīdzot jums identificēt un novērst atbilstības trūkumus, pirms to izdara regulators.

Tālāk: kad tieši ir nepieciešama piekrišana? Atbilde ietver dažas svarīgas nianses, tostarp absolūti nepieciešamo izņēmumu un pastāvīgās diskusijas par pirmās puses analītiku.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas