Skip to main content

Slapukų ir privatumo reguliavimas: pasaulinė apžvalga

Atitiktis slapukų srityje nėra reglamentuojama vienu įstatymu. Ją formuoja įvairių nacionalinių ir regioninių teisės aktų mozaika, kuri gerokai skiriasi savo taikymo apimtimi, reikalavimais ir vykdymo užtikrinimu. Bet kuriai svetainei, turinčiai tarptautinę auditoriją — o atviro interneto sąlygomis tai beveik kiekviena svetainė — būtina suprasti, kurie įstatymai taikomi ir kuo jie skiriasi.

Šiame vadove apžvelgiama pasaulinė slapukų ir sekimo internete reguliavimo aplinka — nuo ES sutikimu grįsto modelio iki JAV pranešimo ir pasirinkimo požiūrio bei besiformuojančių sistemų kitur.

Pasaulinė mozaika

Vieno „slapukų įstatymo“ nėra. Vietoj to atitiktis slapukų srityje atsiduria privatumo reglamentų, elektroninių ryšių direktyvų ir vartotojų apsaugos įstatymų sankirtoje. Rezultatas — sudėtinga, kartais prieštaringa aplinka, kurioje tai pačiai svetainei gali būti taikomos skirtingos taisyklės, priklausomai nuo to, kur yra jos lankytojai.

Susiformavo du platūs modeliai:

  • ES modelis (sutikimas pirmiausia): Nebūtinieji slapukai gali būti nustatomi tik po to, kai vartotojas davė informuotą, konkretų ir laisvai išreikštą sutikimą. Numatytoji nuostata — jokio sekimo. Vartotojas privalo aktyviai sutikti.
  • JAV modelis (pranešimas ir pasirinkimas): Įmonės privalo atskleisti savo duomenų rinkimo praktiką ir suteikti vartotojams galimybę atsisakyti tam tikrų naudojimo būdų (visų pirma asmens informacijos pardavimo ar bendrinimo). Numatytoji nuostata — sekimas, o vartotojas gali jo atsisakyti.

Dauguma naujų privatumo reglamentų visame pasaulyje krypsta link ES modelio, nors ir su vietinėmis variacijomis. Suprasti abu modelius — ir konkrečius jų teisės aktus — būtina bet kuriai per sienas veikiančiai svetainei.

ES sistema: ePrivatumo direktyva + GDPR

Europos Sąjungos požiūris į slapukų reguliavimą grindžiamas dviem kartu veikiančiais teisiniais dokumentais:

ePrivatumo direktyva (2002/58/EB)

ePrivatumo direktyva — dažnai vadinama „Slapukų direktyva“ — yra pagrindinis ES įstatymas, reglamentuojantis slapukų ir panašių sekimo technologijų naudojimą. Pagrindinė jos nuostata, 5 straipsnio 3 dalis, teigia:

Valstybės narės užtikrina, kad informacijos saugojimas arba prieigos prie jau saugomos informacijos gavimas abonento ar naudotojo galiniuose įrenginiuose būtų leidžiamas tik su sąlyga, kad atitinkamas abonentas ar naudotojas davė sutikimą po to, kai jam buvo pateikta aiški ir išsami informacija.

Vienintelė išimtis taikoma slapukams, kurie yra „griežtai būtini“ teikiant paslaugą, kurios vartotojas aiškiai paprašė — pavyzdžiui, seanso slapukams pirkinių krepšeliui ar prisijungimo būsenai.

Svarbu: ePrivatumo direktyva yra direktyva, o ne reglamentas. Tai reiškia, kad kiekviena ES valstybė narė perkėlė ją į nacionalinę teisę su vietinėmis variacijomis. Pagrindinis principas (reikalingas sutikimas dėl nebūtinųjų slapukų) yra nuoseklus, tačiau įgyvendinimo detalės skiriasi. Pavyzdžiui:

  • Prancūzija (CNIL): Paskelbė išsamias slapukų gaires, įskaitant ribotą išimtį tam tikroms auditorijos matavimo priemonėms, atitinkančioms griežtas sąlygas (anonimizavimas, jokio tarpsvetainio sekimo, ribotas saugojimas).
  • Vokietija: Įgyvendinta per TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), kuris įsigaliojo 2021 m. gruodį ir aiškiai kodifikavo sutikimo reikalavimą.
  • Italija (Garante): 2021 m. paskelbė išsamias slapukų gaires, reikalaujančias atmetimo mygtuko pirmajame sluoksnyje ir draudžiančias slapukų sienas.
  • Nyderlandai (AP): Užėmė kiek nuolaidesnę poziciją slapukų sienų atžvilgiu, teigdami, kad jos gali būti priimtinos, jei vartotojas turi tikrą alternatyvų būdą pasiekti turinį.

GDPR (Reglamentas (ES) 2016/679)

Bendrasis duomenų apsaugos reglamentas konkrečiai neminimi slapukų, tačiau jis reglamentuoja asmens duomenų tvarkymą — o slapukai dažnai apima asmens duomenis. GDPR yra svarbus atitikčiai slapukų srityje keliais aspektais:

  • Sutikimo standartas (4 straipsnio 11 dalis, 7 straipsnis): GDPR apibrėžia, kas laikoma galiojančiu sutikimu: laisvai duotas, konkretus, informuotas, nedviprasmiškas, išreikštas aiškiu patvirtinančiu veiksmu. Šis standartas taikomas sutikimui dėl slapukų, gaunamam pagal ePrivatumo direktyvą.
  • Skaidrumas (12–14 straipsniai): Kai slapukai tvarko asmens duomenis, taikomi GDPR skaidrumo reikalavimai. Tai reiškia, kad jūsų slapukų politika privalo pateikti konkrečią informaciją apie susijusį duomenų tvarkymą.
  • Teisinis pagrindas (6 straipsnis): Asmens duomenų tvarkymui per slapukus reikalingas teisinis pagrindas. Nebūtiniesiems slapukams šis pagrindas yra sutikimas. Kai kurie duomenų valdytojai bando remtis teisėtu interesu (6 straipsnio 1 dalies f punktas), tačiau duomenų apsaugos institucijos vis dažniau atmeta teisėtą interesą kaip pagrindą reklamai ir analitiniam sekimui.
  • Duomenų subjekto teisės (15–22 straipsniai): Vartotojai turi teisę susipažinti su savo duomenimis, juos ištaisyti, ištrinti ir perkelti — įskaitant per slapukus surinktus duomenis.
  • Ekstrateritorinis taikymas (3 straipsnis): GDPR taikomas bet kuriai organizacijai, tvarkančiai ES esančių asmenų duomenis, nepriklausomai nuo to, kur organizacija įsteigta. JAV įmonė, orientuota į ES klientus, privalo laikytis reikalavimų.

Būsimasis ePrivatumo reglamentas

Europos Komisija 2017 m. pasiūlė ePrivatumo reglamentą, kuris pakeistų ePrivatumo direktyvą, suderintų taisykles tarp valstybių narių ir jas atnaujintų atsižvelgiant į šiuolaikines technologijas. 2026 m. pradžioje reglamentas dar nebuvo galutinai patvirtintas. Derybos užsitęsė dėl nesutarimų dėl teisėto intereso išimčių, slapukų sienų nuostatų ir naršyklės lygmens sutikimo mechanizmų.

Galutinai priimtas ePrivatumo reglamentas bus tiesiogiai taikomas visose valstybėse narėse (skirtingai nei dabartinė direktyva, kurią reikia perkelti į nacionalinę teisę). Iki tol galiojantis įstatymas išlieka esama ePrivatumo direktyva ir jos nacionaliniai įgyvendinimai.

JAV sistema: valstijų lygmens privatumo įstatymai

Jungtinės Valstijos neturi federalinio slapukų įstatymo ir neturi federalinio išsamaus privatumo įstatymo (2026 m. pradžioje). Vietoj to privatumo reguliavimas susiformavo valstijų lygmeniu, sukurdamas reikalavimų mozaiką.

Kalifornija: CCPA ir CPRA

Kalifornijos vartotojų privatumo aktas (CCPA), pataisytas Kalifornijos privatumo teisių aktu (CPRA), yra išsamiausias JAV valstijos privatumo įstatymas. Pagrindinės su slapukais susijusios nuostatos:

  • Teisė atsisakyti pardavimo/bendrinimo. Vartotojai turi teisę atsisakyti savo asmens informacijos „pardavimo“ ar „bendrinimo“. Pagal CPRA „bendrinimas“ apima duomenų dalijimąsi su trečiosiomis šalimis tarpkontekstinės elgesio reklamos tikslais — o būtent tai daro dauguma reklaminių slapukų.
  • Išankstinis sutikimas nereikalingas. Skirtingai nei ES modelyje, CCPA/CPRA nereikalauja išankstinio sutikimo dėl slapukų. Numatytoji nuostata — sekimas leidžiamas, o vartotojai privalo aktyviai jo atsisakyti.
  • Nuoroda „Neparduoti ir nebendrinti“. Įmonės privalo savo svetainėje pateikti gerai matomą nuorodą „Neparduoti ir nebendrinti mano asmens informacijos“.
  • Global Privacy Control (GPC). Įmonės privalo gerbti GPC naršyklės signalą kaip galiojantį atsisakymo prašymą. Jei vartotojo naršyklė siunčia GPC signalą, įmonė privalo jį traktuoti taip, tarsi vartotojas paspaudė „Neparduoti ir nebendrinti“.
  • Pranešimas renkant. Įmonės privalo atskleisti renkant duomenis ar prieš jį renkant, kokių kategorijų asmens informacija renkama ir kokiais tikslais ji bus naudojama.

Kiti JAV valstijų įstatymai

Sekdamos Kalifornijos pavyzdžiu, daugybė JAV valstijų priėmė išsamius privatumo įstatymus. 2026 m. pradžioje valstijos su galiojančiais privatumo įstatymais yra:

Valstija Įstatymas Įsigaliojimo data Su slapukais susijusios ypatybės
Virdžinija VCDPA 2023 m. sausis Tikslinės reklamos, duomenų pardavimo atsisakymas
Koloradas CPA 2023 m. liepa Tikslinės reklamos, duomenų pardavimo atsisakymas; privalo gerbti universalius atsisakymo signalus
Konektikutas CTDPA 2023 m. liepa Tikslinės reklamos, duomenų pardavimo atsisakymas; privalo gerbti universalius atsisakymo signalus
Juta UCPA 2023 m. gruodis Tikslinės reklamos, duomenų pardavimo atsisakymas
Teksasas TDPSA 2024 m. liepa Tikslinės reklamos, duomenų pardavimo atsisakymas; privalo gerbti universalius atsisakymo signalus
Oregonas OCPA 2024 m. liepa Tikslinės reklamos, duomenų pardavimo atsisakymas; privalo gerbti universalius atsisakymo signalus
Montana MCDPA 2024 m. spalis Tikslinės reklamos, duomenų pardavimo atsisakymas; privalo gerbti universalius atsisakymo signalus

Papildomos valstijos priėmė įstatymus, kurių įsigaliojimo datos numatytos 2025 ir 2026 metais. Tendencija aiški: valstijų lygmens privatumo reguliavimas plečiasi, o dauguma naujų įstatymų apima teisę atsisakyti tikslinės reklamos, kuri tiesiogiai veikia slapukų praktiką.

Kiti svarbūs reglamentai

Jungtinė Karalystė: UK GDPR ir PECR

Po „Brexit“ JK išlaikė GDPR kaip „UK GDPR“ ir toliau užtikrina Privatumo ir elektroninių ryšių reglamentų (PECR), įgyvendinančių ePrivatumo direktyvą, vykdymą. Reikalavimai slapukams iš esmės identiški ES: nebūtiniesiems slapukams reikalingas išankstinis sutikimas su siaura išimtimi griežtai būtiniems slapukams. Informacijos komisaro biuras (ICO) užtikrina šių taisyklių vykdymą ir paskelbė išsamias slapukų gaires.

Brazilija: LGPD

Brazilijos Lei Geral de Protecao de Dados (LGPD), galiojantis nuo 2020 m., yra stipriai įkvėptas GDPR. Jis reikalauja teisinio pagrindo asmens duomenų tvarkymui, įskaitant per slapukus surinktus duomenis. Nors LGPD neturi tiesioginio ePrivatumo direktyvos slapukams skirtos nuostatos atitikmens, slapukais grįstam duomenų tvarkymui turi būti nustatytas sutikimas arba teisėtas interesas. ANPD (nacionalinė duomenų apsaugos institucija) palaipsniui skelbia gaires dėl slapukų ir sutikimo.

Kanada: PIPEDA ir įstatymo projektas C-27

Kanados Asmens informacijos apsaugos ir elektroninių dokumentų aktas (PIPEDA) reikalauja „prasmingo sutikimo“ asmens informacijos rinkimui, naudojimui ir atskleidimui. Slapukams, renkantiems asmens informaciją, organizacijos privalo gauti sutikimą ir pateikti aiškią informaciją apie savo praktiką. Įstatymo projektas C-27, siūlomas Vartotojų privatumo apsaugos aktas, modernizuotų Kanados sistemą su griežtesniais sutikimo reikalavimais, tačiau jo priėmimas buvo atidėtas.

Japonija: APPI

Japonijos Asmens informacijos apsaugos aktas (APPI), pataisytas 2022 m., įvedė „asmeniškai priskirtinos informacijos“ sąvoką, kuri tam tikrais atvejais gali apimti slapukų identifikatorius. Kai slapukų duomenys derinami su kita informacija asmeniui identifikuoti, taikomi sutikimo reikalavimai.

Pietų Korėja: PIPA

Pietų Korėjos Asmens informacijos apsaugos aktas (PIPA), pataisytas 2023 m., reikalauja sutikimo asmens informacijos rinkimui ir naudojimui, kuris gali apimti slapukų duomenis, kai jie identifikuoja asmenį arba gali jį identifikuoti.

Konvergencijos tendencija

Nepaisant dabartinės mozaikos, aiškiai ryškėja tendencija: dauguma naujų privatumo įstatymų seka ES modeliu — sutikimu grįstu, vartotoją įgalinančiu reguliavimu. Net JAV valstijų įstatymai, nors techniškai grįsti atsisakymu, o ne sutikimu, krypsta link griežtesnių reikalavimų su universaliais atsisakymo signalais (GPC), duomenų minimizavimo principais ir išplėstiniais „asmens informacijos“ apibrėžimais, apimančiais slapukų identifikatorius.

Praktiniu požiūriu ši konvergencija reiškia, kad svetainės, įgyvendinančios ES lygmens atitiktį slapukų srityje (išankstinis sutikimas, aiškus priėmimas/atmetimas, detalios kategorijos, skaidri politika), yra gerai pasirengusios atitikčiai daugumoje kitų jurisdikcijų. ES standartas yra aukščiausias bendras vardiklis.

Rizikos vertinimas: kokie įstatymai taikomi jūsų svetainei?

Pagrindinis klausimas bet kuriam svetainės operatoriui: kokie įstatymai man taikomi? Atsakymas priklauso nuo dviejų veiksnių:

  1. Kur įsteigta jūsų organizacija. Jums taikomi tų jurisdikcijų privatumo įstatymai, kuriose jūsų organizacija turi buveinę (biurą, dukterinę įmonę, filialą).
  2. Kur yra jūsų vartotojai. Pagal GDPR ekstrateritorinį taikymą (3 straipsnio 2 dalis) jums taikomas ES privatumo įstatymas, jei siūlote prekes ar paslaugas ES esantiems asmenims arba jei stebite ES esančių asmenų elgesį. Panašios ekstrateritorinės nuostatos egzistuoja UK GDPR, Brazilijos LGPD ir kituose įstatymuose.

Praktiškai, jei jūsų svetainė yra prieinama ES vartotojams — ir turite bet kokį ES srautą, o tai turi beveik visos svetainės — turėtumėte laikytis ePrivatumo direktyvos ir GDPR. Jei turite JAV srautą, turėtumėte atsižvelgti į CCPA/CPRA (Kalifornija) ir kitus taikomus valstijų įstatymus.

Pragmatiškas požiūris:

  • Įgyvendinkite ES standarto sutikimą visiems ES/EEE/JK lankytojams (išankstinis sutikimas dėl nebūtinųjų slapukų).
  • Įgyvendinkite atsisakymo mechanizmus JAV lankytojams (nuoroda „Neparduoti/nebendrinti“, GPC palaikymas).
  • Numatytuoju atveju pasirinkite aukštesnį standartą, jei geografinis aptikimas nepraktiškas. ES lygmens sutikimas tenkina beveik visas jurisdikcijas.

Ekstrateritorinis taikymas

Vienas svarbiausių šiuolaikinio privatumo reguliavimo aspektų yra jo ekstrateritorinis taikymas. GDPR (3 straipsnio 2 dalis) taikomas organizacijoms už ES ribų, kurios:

  • Siūlo prekes ar paslaugas ES esantiems asmenims (net jei nemokamai — ES prieinama svetainė, orientuota į ES vartotojus, atitinka kriterijus), arba
  • Stebi ES esančių asmenų elgesį (analitinis ir reklaminis sekimas laikomi stebėjimu).

Tai reiškia, kad JAV įmonė, naudojanti Google Analytics svetainėje, kuri gauna ES srautą, techniškai laikosi GDPR ir ePrivatumo direktyvos slapukų reikalavimų. Vykdymo užtikrinimas prieš ne ES organizacijas istoriškai buvo ribotas, tačiau didėja, ypač didelėms įmonėms. Praktinė rizika mažesnėms organizacijoms priklauso nuo matomumo ir skundų kiekio, tačiau teisinė prievolė egzistuoja nepriklausomai nuo dydžio.

Vykdymo užtikrinimo aplinka

Atitikties slapukų srityje vykdymo užtikrinimas nuo 2020 m. dramatiškai suintensyvėjo. Pagrindinės tendencijos:

Kas užtikrina vykdymą

ES nacionalinės duomenų apsaugos institucijos (DAI) užtikrina tiek ePrivatumo direktyvos, tiek GDPR vykdymą. Tarp žymių aktyvių vykdytojų — CNIL (Prancūzija), Garante (Italija), Datatilsynet (Danija ir Norvegija), BfDI (Vokietija federaliniu lygmeniu) ir APD (Belgija). EDPB koordinuoja tarpvalstybinį vykdymo užtikrinimą.

JAV Kalifornijos generalinis prokuroras ir Kalifornijos privatumo apsaugos agentūra užtikrina CCPA/CPRA vykdymą. Valstijų generaliniai prokurorai užtikrina kitų valstijų įstatymų vykdymą.

Kaip jie užtikrina vykdymą

  • Skundais grįsti tyrimai. Dauguma vykdymo veiksmų prasideda vartotojui pateikus skundą DAI. Skundas inicijuoja svetainės slapukų praktikos tyrimą.
  • Masiniai patikrinimai. DAI periodiškai atlieka viso sektoriaus patikrinimus, skenuodamos šimtus svetainių dėl atitikties slapukų srityje. CNIL, Italijos Garante ir Danijos Datatilsynet atliko viešai paskelbtus patikrinimus.
  • NVO skundai. Privatumo gynybos organizacijos, tokios kaip noyb (vadovaujama Maxo Schremso), pateikė masinius skundus prieš šimtus svetainių, sukurdamos didelį vykdymo užtikrinimo krūvį. Vien noyb skundai dėl slapukų juostų lėmė dešimtis vykdymo veiksmų visoje ES.

Sankcijos

GDPR baudos už slapukų pažeidimus gali siekti iki 20 mln. eurų arba 4 % metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma didesnė. Praktikoje baudos už slapukų pažeidimus svyravo nuo įspėjimų (mažoms organizacijoms su nedideliais pažeidimais) iki 150 mln. eurų (Google, CNIL, 2022 m.). Tendencija — link didesnių baudų ir dažnesnio vykdymo užtikrinimo.

Be baudų, neatitiktis kelia reputacinę riziką, žalą vartotojų pasitikėjimui ir skubaus ištaisymo pagal reguliuotojo nurodymą veiklos sąnaudas.

Passiro padeda jums naviguoti šiame reguliavimo sudėtingume su automatizuota atitiktimi, kuri prisitaiko prie jūsų lankytojams taikomų įstatymų. Sužinokite, kaip Passiro supaprastina atitiktį slapukų srityje įvairiose jurisdikcijose.

Ar jūsų svetainė atitinka slapukų taisykles?

Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.

Nuskenuokite savo slapukus nemokamai