Skip to main content

Kada reikalingas sutikimas dėl slapukų?

Bendra taisyklė paprasta: sutikimas reikalingas visiems slapukams, išskyrus tuos, kurie yra griežtai būtini. Tačiau svarbios ir detalės. Tikslus žinojimas, kada sutikimo reikia, o kada ne, padeda išvengti tiek perteklinio atitikties (erzinant naudotojus nereikalingais sutikimo langais), tiek nepakankamo atitikties (talpinant slapukus be teisinio pagrindo).

Bendra taisyklė

ePrivacy direktyvos 5 straipsnio 3 dalis nustato pagrindinį principą:

Valstybės narės užtikrina, kad informacijos saugojimas arba prieiga prie jau saugomos informacijos abonento ar naudotojo galiniame įrenginyje būtų leidžiami tik su sąlyga, jei atitinkamas abonentas ar naudotojas davė sutikimą, gavęs aiškią ir išsamią informaciją [...] apie duomenų tvarkymo tikslus.

Tai apima visus slapukus, visą vietinę saugyklą, visą saugojimą ar prieigą įrenginio lygmeniu. Jei jūsų svetainė ką nors įrašo į naudotojo įrenginį, sutikimas yra numatytasis reikalavimas.

Griežtai būtinų slapukų išimtis

Tas pats straipsnis numato vienintelę išimtį:

Tai netrukdo techniniam saugojimui ar prieigai, kurių vienintelis tikslas – perduoti pranešimą elektroninių ryšių tinklu, arba kurie yra griežtai būtini, kad informacinės visuomenės paslaugos teikėjas galėtų teikti paslaugą, kurios abonentas ar naudotojas aiškiai paprašė.

Šią išimtį sudaro dvi dalys:

  1. Techninis perdavimas: slapukai, kurie techniškai būtini ryšiui įvykti. Ši sritis siaura – iš esmės apima tik apkrovos balansavimo slapukus ir panašius tinklo lygmens būtinumus.
  2. Griežtai būtini paslaugai: slapukai, kurie yra esminiai paslaugai, kurios naudotojas aiškiai paprašė. Esminė frazė – „kurios abonentas ar naudotojas aiškiai paprašė". Paslauga turi būti tai, ko naudotojas prašė, o slapukas turi būti nepakeičiamas jai teikti.

Slapukai, kurie yra griežtai būtini (sutikimo nereikia)

  • Seanso autentifikavimo slapukai. Kai naudotojas prisijungia, seanso slapukas, palaikantis jo autentifikuotą būseną, yra griežtai būtinas jo prašomai paslaugai (prieigai prie paskyros).
  • Pirkinių krepšelio slapukai. El. parduotuvėje slapukas, sekantis krepšelyje esančias prekes, yra griežtai būtinas naudotojo naudojamai apsipirkimo paslaugai.
  • CSRF apsaugos žetonai. Jie yra griežtai būtini saugiam formų pateikimui.
  • Sutikimo dėl slapukų nustatymų slapukai. Slapukas, saugantis naudotojo sutikimo pasirinkimus, yra griežtai būtinas – be jo negalėtumėte gerbti jo privatumo nustatymų.
  • Su įvestimi susiję slapukai. Slapukai, prisimenantys formos įvestį per kelių žingsnių procesą (pavyzdžiui, atsiskaitymo formą), kurį naudotojas pats pradėjo.
  • Apkrovos balansavimo slapukai. Techniniai slapukai, nukreipiantys užklausas į tinkamą serverį. Jie patenka į išimties „perdavimo" dalį.
  • Vartotojo sąsajos pritaikymo slapukai. Kai naudotojas aiškiai pasirenka kalbą ar temą per puslapio valdiklį, tą pasirinkimą saugantis slapukas yra griežtai būtinas jo prašomai paslaugai. Tačiau tai priklauso nuo konteksto – žr. toliau.

Slapukai, kurie NĖRA griežtai būtini (reikia sutikimo)

  • Analitikos slapukai. Svetainės lankomumo matavimas naudingas svetainės operatoriui, o ne naudotojui. Naudotojas neprašė lankomumo analizės paslaugos.
  • Reklamos ir pakartotinio nukreipimo slapukai. Jie tarnauja reklamuotojų ir svetainės operatoriaus interesams, niekada – naudotojo.
  • Socialinių tinklų dalijimosi slapukai. Juos nustato trečiųjų šalių socialiniai tinklai, o ne naudotojo prašoma paslauga.
  • A/B testavimo slapukai. Jie tarnauja operatoriaus optimizavimo tikslams.
  • Partnerių sekimo slapukai. Jie seka, kuris partneris nukreipė naudotoją, ir tarnauja operatoriaus verslo interesams.
  • Nuolatinio prisijungimo („prisiminti mane") slapukai. EDPB pažymėjo, kad nors seanso slapukas dabartiniam prisijungimui yra būtinas, nuolatinis slapukas, palaikantis naudotojo prisijungimą tarp seansų, viršija tai, kas griežtai būtina. Naudotojas galėtų prisijungti iš naujo.
  • Našumo stebėsenos slapukai. Slapukai, naudojami puslapio įkėlimo laikui, klaidų dažniui ir panašioms techninėms metrikoms stebėti, tarnauja operatoriui, o ne naudotojui.

Diskusija dėl pirmosios šalies analitikos

Viena labiausiai ginčijamų slapukų atitikties sričių – ar pirmosios šalies analitikos slapukai gali būti naudojami be sutikimo. Atsakymas priklauso nuo jurisdikcijos ir nuolat kinta.

CNIL pozicija (Prancūzija)

Prancūzijos CNIL paskelbė konkrečias gaires, teigiančias, kad tam tikri auditorijos matavimo slapukai gali būti atleisti nuo sutikimo reikalavimo, jei:

  1. Tikslas griežtai apribotas auditorijos matavimu (jokio sekimo tarp svetainių)
  2. Duomenys nesidalijami su trečiosiomis šalimis
  3. Slapukai yra tik pirmosios šalies
  4. Duomenys naudojami tik anoniminei statistikai kurti
  5. Slapukai turi ribotą galiojimo laiką (daugiausia 13 mėnesių)
  6. Naudotojai informuojami apie jų naudojimą
  7. Naudotojai gali atsisakyti

Šiomis sąlygomis CNIL laiko, kad tam tikri įrankiai (pavyzdžiui, Matomo, sukonfigūruotas privatumą gerbiančiu režimu) atitinka išimties reikalavimus. Google Analytics neatitinka, visų pirma todėl, kad Google tvarko duomenis savo infrastruktūroje ir gali juos naudoti savo tikslais.

Nyderlandų AP pozicija (Nyderlandai)

Nyderlandų Autoriteit Persoonsgegevens taip pat nurodė, kad minimalų poveikį privatumui darantys analitikos slapukai gali būti naudojami be sutikimo, tačiau nustatė sąlygas, panašias į CNIL.

Kitos jurisdikcijos

Dauguma kitų Europos duomenų apsaugos institucijų nepriėmė aiškios analitikos išimties. ICO (JK) pareiškė, kad analitikos slapukams reikalingas sutikimas. Vokietijos duomenų apsaugos institucijos paprastai reikalauja sutikimo visiems nebūtiniems slapukams. Ispanijos AEPD pozicija taip pat reikalauja sutikimo.

Praktinė rekomendacija

Jei nedirbate išimtinai Prancūzijoje ar Nyderlanduose ir negalite įvykdyti visų CNIL/AP sąlygų, saugiausias būdas – laikyti, kad analitikos slapukams reikalingas sutikimas. Jei vis dėlto remiatės analitikos išimtimi, dokumentuokite savo pagrindimą, įsitikinkite, kad įvykdote kiekvieną sąlygą, ir stebėkite reguliavimo pokyčius – ši sritis vis dar kinta.

Sutikimo išimtys pagal slapukų tikslą: sprendimo schema

Kiekvienam savo svetainės slapukui pereikite šiuos klausimus:

  1. Ar slapukas techniškai būtinas pranešimui perduoti? (pvz., apkrovos balansavimas) Jei taip – sutikimo nereikia. Jei ne – tęskite.
  2. Ar naudotojas aiškiai paprašė paslaugos, kuriai reikalingas šis slapukas? (pvz., prisijungimas, prekių įdėjimas į krepšelį) Jei taip – tęskite. Jei ne – reikalingas sutikimas.
  3. Ar prašoma paslauga neveiktų be šio konkretaus slapuko? Jei taip – sutikimo nereikia (griežtai būtinas). Jei paslauga veiktų, bet būtų mažiau patogi – reikalingas sutikimas.
  4. Ar slapukas yra pirmosios šalies, apsiriboja apibendrinta analitika, duomenys nesidalijami su trečiosiomis šalimis, ir ar esate jurisdikcijoje su analitikos išimtimi? Jei taip į visus – galimai atleistas, bet dokumentuokite savo pagrindimą. Jei bent į vieną ne – reikalingas sutikimas.
  5. Visais kitais atvejais: reikalingas sutikimas.

Ypatingos situacijos

Slapukų sienos

Slapukų siena blokuoja prieigą prie svetainės, kol naudotojas nepriima slapukų. EDPB pozicija yra tokia, kad slapukų sienos paprastai neleidžia sutikimo laikyti „laisvai duotu", todėl neatitinka reikalavimų. Tačiau kai kurios duomenų apsaugos institucijos (pirmiausia Nyderlandų AP, remdamasi teismo sprendimu) nurodė, kad slapukų sienos gali būti priimtinos, jei siūloma tikra, lygiavertė alternatyva – pavyzdžiui, mokama paslaugos versija be slapukų. Ši sritis vis dar ginčijama.

Mokamas turinys ar slapukų siena

Kai kurie leidėjai siūlo „sutik arba mokėk" modelį: priimk sekimo slapukus nemokamai prieigai arba mokėk už patirtį be slapukų. EDPB 2024 m. pateikė nuomonę dėl šios praktikos, pripažindama, kad tam tikromis sąlygomis ji gali būti leistina, tačiau išreikšdama susirūpinimą, kad „mokėjimo" alternatyva turi būti iš tiesų pagrįsta ir nenustatyta tokia kaina, kuri būtų sukurta sutikimui išgauti prievarta.

Vaikai

Pagal BDAR 8 straipsnį sutikimas dėl vaikams skirtų informacinės visuomenės paslaugų reikalauja patikrinimo, o vaikams iki tam tikro amžiaus (nuo 13 iki 16 metų, priklausomai nuo valstybės narės) – tėvų sutikimo. Jei jūsų svetainė skirta vaikams, sutikimo dėl slapukų reikalavimai yra griežtesni.

Darbuotojų ir B2B kontekstai

ePrivacy direktyva taikoma „abonentui ar naudotojui" – ne tik vartotojams. Jei jūsų B2B SaaS platforma naudoja nebūtinus slapukus, sutikimas iš individualaus naudotojo vis tiek reikalingas, net ir verslo kontekste.

Kas nutinka be galiojančio sutikimo

Jei talpinate nebūtinus slapukus be galiojančio sutikimo:

  • Jūsų renkami duomenys gali būti neteisėti tiek pagal ePrivacy direktyvą, tiek pagal BDAR.
  • Jums gresia baudos pagal BDAR iki 20 milijonų eurų arba 4 % pasaulinės metinės apyvartos, priklausomai nuo to, kuri suma didesnė (83 straipsnio 5 dalis).
  • Jums gali būti nurodyta ištrinti neteisėtai surinktus duomenis.
  • Jūsų analitikos ir reklamos duomenys gali būti nebegaliojantys – jei rinkimo teisinis pagrindas negalioja, duomenų negalima naudoti teisėtai.
  • Šių duomenų vėlesni gavėjai (reklamos tinklai, analitikos teikėjai) taip pat gali būti atsakingi.

Tai nėra hipotetinės rizikos. CNIL skyrė Google 150 milijonų eurų, o Facebook – 60 milijonų eurų baudas būtent už sutikimo dėl slapukų pažeidimus. Mažesnės įmonės už panašius pažeidimus susidūrė su dešimčių tūkstančių eurų baudomis.

Passiro identifikuoja kiekvieną jūsų svetainės slapuką ir pažymi tuos, kuriems reikalingas sutikimas, todėl galite būti tikri, kad jūsų sutikimo mechanizmas apima būtent tuos slapukus, kuriuos reikia – nei daugiau, nei mažiau.

Toliau palyginkime du pagrindinius sutikimo modelius: sutikimą iš anksto (opt-in) ir atsisakymą (opt-out), bei kur kuris iš jų taikomas.

Ar jūsų svetainė atitinka slapukų taisykles?

Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.

Nuskenuokite savo slapukus nemokamai