GDPR ir slapukai: išsamus atitikties vadovas
Bendrasis duomenų apsaugos reglamentas (GDPR), įsigaliojęs 2018 m. gegužės 25 d., iš esmės pakeitė tai, kaip svetainės tvarko slapukus. Nors pagrindinis ES teisės aktas, reglamentuojantis slapukus, yra ePrivacy direktyva, GDPR taikomas kiekvieną kartą, kai slapukai tvarko asmens duomenis — o praktikoje tai reiškia beveik visada. Suprasti, kaip GDPR taikomas slapukams, būtina kiekvienai svetainei, veikiančiai Europos ekonominėje erdvėje arba orientuotai į joje esančius vartotojus.
Kaip GDPR taikomas slapukams
GDPR slapukų tiesiogiai nemini. Vietoj to jis reglamentuoja asmens duomenų tvarkymą, kurie 4 straipsnio 1 dalyje apibrėžiami kaip bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba gali būti nustatyta. GDPR 30 konstatuojamojoje dalyje aiškiai nurodyta, kad internetiniai identifikatoriai — įskaitant slapukų identifikatorius — gali būti naudojami fizinių asmenų profiliams sudaryti ir jų tapatybei nustatyti. Tai reiškia, kad bet kuris slapukas, turintis unikalų identifikatorių arba su juo susietas, pagal GDPR laikomas asmens duomenimis.
Praktikoje tai apima beveik visus slapukus, išskyrus pačius elementariausius funkcinius. Analitikos slapukai, priskiriantys unikalų lankytojo ID, reklamos slapukai, sekantys naršymo elgseną, ir netgi sesijos slapukai, susieti su vartotojo paskyra, tvarko asmens duomenis ir todėl patenka į GDPR reikalavimų taikymo sritį.
6 straipsnis: teisėtas tvarkymo pagrindas
Pagal GDPR 6 straipsnį kiekvienam asmens duomenų tvarkymo atvejui reikalingas teisėtas pagrindas. Su slapukais susijusiam tvarkymui dažniausiai remiamasi dviem pagrindais:
- Sutikimas (6 straipsnio 1 dalies a punktas): duomenų subjektas davė sutikimą tvarkyti duomenis vienu ar keliais konkrečiais tikslais. Tai yra pagrindinis teisėtas pagrindas daugumai slapukų tvarkymo atvejų, ypač analitikos, rinkodaros ir reklamos slapukams.
- Teisėtas interesas (6 straipsnio 1 dalies f punktas): tvarkymas būtinas dėl duomenų valdytojo teisėtų interesų, jei šie interesai neviršija duomenų subjekto teisių ir laisvių.
Teisėto intereso pagrindas slapukų kontekste sukėlė nemažai diskusijų. Kai kurie svetainių operatoriai teigė, kad analitikos sekimas atitinka teisėtą interesą. Tačiau daugelis duomenų apsaugos institucijų šį argumentą atmetė kalbant apie slapukus, kurie nėra griežtai būtini. Prancūzijos CNIL, Austrijos DSB ir Europos duomenų apsaugos valdyba (EDPB) laikosi pozicijos, kad analitikos slapukams reikalingas sutikimas, o teisėtas interesas negali būti teisėtu pagrindu nebūtiniems slapukams įrašyti į vartotojo įrenginį.
EDPB gairėse 05/2020 dėl sutikimo vienareikšmiškai teigiama: „Slinkimas arba tolesnis svetainės naršymas nelaikomas galiojančiu sutikimu.“ Numanomo sutikimo dėl slapukų era baigėsi.
7 straipsnis: galiojančio sutikimo sąlygos
7 straipsnyje nustatytos sąlygos, kurias turi atitikti sutikimas. Kad slapukų sutikimas galiotų pagal GDPR, jis turi būti:
- Duotas laisva valia: vartotojas turi turėti tikrą pasirinkimą. Sutikimas nelaikomas duotu laisva valia, jei vartotojas negali atsisakyti ar atšaukti sutikimo be neigiamų pasekmių. Slapukų sienelės, blokuojančios prieigą prie svetainės, jei nepriimami visi slapukai, kelių DPA buvo pripažintos neatitinkančiomis reikalavimų, nors teisinė situacija skiriasi priklausomai nuo jurisdikcijos.
- Konkretus: sutikimas turi būti duodamas kiekvienam atskiram tikslui. Vien tik „Priimti viską“ be galimybės sutikti su konkrečiomis kategorijomis šio reikalavimo neatitinka.
- Informuotas: vartotojui turi būti aiškiai pasakyta, su kuo jis sutinka. Tai reiškia, kad reikia nurodyti slapukus, jų tikslus, renkamus duomenis ir visas dalyvaujančias trečiąsias šalis.
- Vienareikšmis: sutikimas turi būti duodamas aiškiu patvirtinamuoju veiksmu. Iš anksto pažymėti žymimieji langeliai, tylėjimas ar neveikimas galiojančiu sutikimu nelaikomi.
7 straipsnio 3 dalis prideda esminį reikalavimą: atšaukti sutikimą turi būti taip pat paprasta, kaip jį duoti. Jei vartotojas gali priimti slapukus vienu paspaudimu, jis turi turėti galimybę atšaukti tą sutikimą taip pat lengvai. Slapukų juosta, kurioje mygtukas „Priimti“ yra ryškus, o atsisakymo galimybė paslėpta nustatymų puslapyje už kelių paspaudimų, reikalavimų neatitinka.
4 straipsnio 11 dalis: sutikimo apibrėžimas
4 straipsnio 11 dalyje sutikimas apibrėžiamas kaip „bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys“.
Šį apibrėžimą sustiprina 32 konstatuojamoji dalis, kurioje teigiama:
„Sutikimas turėtų būti duodamas aiškiais patvirtinančiais veiksmais, kuriais išreiškiamas laisvas, konkretus, informuotas ir vienareikšmis duomenų subjekto sutikimas. Tai galėtų būti, pavyzdžiui, atitinkamo langelio pažymėjimas interneto svetainėje. Tylėjimas, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu.“
2019 m. spalį priimtas Europos Sąjungos Teisingumo Teismo (ESTT) precedentinis sprendimas Planet49 (byla C-673/17) patvirtino šį aiškinimą, nusprendęs, kad iš anksto pažymėti žymimieji langeliai nelaikomi galiojančiu sutikimu dėl slapukų.
Skaidrumo pareigos: 12–14 straipsniai
12–14 straipsniai reikalauja, kad duomenų valdytojai pateiktų informaciją apie duomenų tvarkymą glausta, skaidria, suprantama ir lengvai prieinama forma, naudodami aiškią ir paprastą kalbą. Slapukų atžvilgiu tai reiškia:
- Jūsų slapukų politika turi būti parašyta kalba, kurią supranta paprasti vartotojai — ne teisiniu žargonu.
- Informacija turi būti pateikta duomenų rinkimo metu (t. y. prieš įrašant slapukus).
- Vartotojams turi būti nurodyta duomenų valdytojo tapatybė, tvarkymo tikslai, duomenų kategorijos, gavėjai, saugojimo laikotarpiai ir jų teisės.
- Jei slapukais dalijamasi su trečiosiomis šalimis (pavyzdžiui, Google Analytics, Facebook Pixel arba reklamos tinklais), šios trečiosios šalys turi būti nurodytos.
17 straipsnis: teisė reikalauti ištrinti duomenis
17 straipsnis suteikia duomenų subjektams teisę reikalauti, kad jų asmens duomenys būtų ištrinti. Slapukų kontekste tai reiškia, kad jei vartotojas prašo ištrinti jo duomenis, turi būti ištrinti visi per slapukus surinkti asmens duomenys. Tai apima analitikos profilius, reklamos identifikatorius ir bet kokius kitus duomenis, susietus su slapukų identifikatoriais.
Svetainių operatoriams, naudojantiems trečiųjų šalių analitikos ar reklamos paslaugas, tai gali būti ypač sudėtinga, nes duomenis gali laikyti trečioji šalis. Jūsų duomenų tvarkymo sutartyse su trečiųjų šalių slapukų teikėjais turėtų būti numatytos nuostatos dėl duomenų ištrynimo prašymų tvarkymo.
GDPR ir ePrivacy: kada kuris taikomas?
Ryšys tarp GDPR ir ePrivacy direktyvos gali kelti painiavos. Štai kaip jie sąveikauja:
- ePrivacy direktyva (5 straipsnio 3 dalis) reglamentuoja informacijos saugojimą ar prieigą prie jos vartotojo įrenginyje. Ji reikalauja sutikimo visiems slapukams, išskyrus griežtai būtinus. Tai yra lex specialis (specialusis įstatymas) slapukams.
- GDPR reglamentuoja tolesnį bet kokių per slapukus surinktų asmens duomenų tvarkymą. Jis nustato sistemą, kas laikoma galiojančiu sutikimu, kokios yra duomenų subjektų teisės ir kokios duomenų valdytojų pareigos.
Praktiškai: ePrivacy direktyva nurodo, kad slapukui įrašyti reikia sutikimo. GDPR nusako, kaip atrodo galiojantis sutikimas, ką galima daryti su duomenimis ir kokias teises vartotojai turi dėl tų duomenų. Abu taikomi vienu metu.
Duomenų apsaugos institucijos ir vykdymas
Kiekviena ES valstybė narė turi duomenų apsaugos instituciją (DPA), atsakingą už GDPR ir nacionalinių ePrivacy direktyvos įgyvendinimo nuostatų vykdymo užtikrinimą. Šios institucijos turi įgaliojimus tirti skundus, atlikti auditus ir skirti baudas iki 4 % pasaulinės metinės apyvartos arba 20 mln. eurų, priklausomai nuo to, kuri suma didesnė.
Su slapukais susijusio reikalavimų vykdymo mastas nuo 2020 m. smarkiai išaugo. DPA visoje Europoje nuo gairių ir įspėjimų perėjo prie didelių baudų, todėl slapukų atitiktis tapo tikra verslo rizika, o ne teoriniu rūpesčiu.
Didžiausios su slapukais susijusios GDPR baudos
Toliau pateikti reikalavimų vykdymo atvejai rodo realias slapukų atitikties nesilaikymo finansines pasekmes:
| Įmonė | Bauda | Institucija | Metai | Pagrindinė problema |
|---|---|---|---|---|
| Amazon Europe | 746 mln. eurų | CNPD (Liuksemburgas) | 2021 | Reikalavimų neatitinkantys reklamos sekimo ir sutikimo mechanizmai |
| Google LLC | 150 mln. eurų | CNIL (Prancūzija) | 2022 | Atsisakyti slapukų buvo ne taip paprasta, kaip juos priimti |
| Facebook (Meta) | 60 mln. eurų | CNIL (Prancūzija) | 2022 | Nebuvo paprasto mechanizmo atsisakyti slapukų |
| Microsoft (Bing) | 60 mln. eurų | CNIL (Prancūzija) | 2022 | Slapukai įrašyti be sutikimo, nebuvo paprasto atsisakymo mechanizmo |
| TikTok | 5 mln. eurų | CNIL (Prancūzija) | 2023 | Atsisakyti slapukų reikėjo daugiau paspaudimų nei juos priimti |
| Criteo | 40 mln. eurų | CNIL (Prancūzija) | 2023 | Negautas galiojantis sutikimas dėl sekimo slapukų |
| Vueling Airlines | 30 000 eurų | AEPD (Ispanija) | 2020 | Nebuvo galimybės atmesti slapukų, tik juos „priimti“ |
Šios baudos taikomos ne tik didelėms korporacijoms. Su reikalavimų vykdymu susidūrė ir mažos bei vidutinės įmonės, ypač Prancūzijoje, Italijoje ir Vokietijoje. Vien CNIL 2021 m. dėl slapukų atitikties visų dydžių svetainėms išsiuntė daugiau nei 100 oficialių įspėjimų.
Praktinis GDPR slapukų atitikties kontrolinis sąrašas
Naudokite šį kontrolinį sąrašą, kad patikrintumėte, ar jūsų svetainė atitinka GDPR reikalavimus dėl slapukų:
- Nustatykite visus slapukus, kuriuos įrašo jūsų svetainė, įskaitant tuos, kuriuos deda trečiųjų šalių scenarijai, pavyzdžiui, analitikos, reklamos ir socialinių tinklų valdikliai.
- Suskirstykite kiekvieną slapuką į kategorijas: griežtai būtini, funkciniai, analitikos arba rinkodaros / reklamos.
- Įdiekite išankstinį sutikimą visiems nebūtiniems slapukams. Jokie analitikos ar rinkodaros slapukai neturėtų būti aktyvuoti, kol vartotojas nedavė sutikimo.
- Pateikite sutikimo pasirinkimus sąžiningai. Galimybė atsisakyti slapukų turi būti tokia pat ryški ir prieinama, kaip ir galimybė juos priimti.
- Suteikite detalų sutikimą. Vartotojai turi galėti sutikti su konkrečiomis slapukų kategorijomis, o ne būti verčiami rinktis principu „viskas arba nieko“.
- Nenaudokite iš anksto pažymėtų langelių. Visos pasirenkamos slapukų kategorijos pagal numatytuosius nustatymus turi būti nepažymėtos.
- Pateikite aiškią informaciją apie kiekvieno slapuko paskirtį, jo renkamus duomenis, kas turi prieigą prie duomenų ir kiek laiko slapukas galioja.
- Nurodykite trečiąsias šalis. Įvardykite trečiųjų šalių paslaugas, kurios įrašo slapukus jūsų svetainėje (Google Analytics, Facebook Pixel, HubSpot ir kt.).
- Padarykite atšaukimą paprastą. Suteikite nuolatinį, lengvai prieinamą būdą vartotojams keisti slapukų nustatymus po pirminio sutikimo. Įprasti sprendimai — nuoroda poraštėje arba plaukiojanti piktograma.
- Saugokite sutikimo įrašus. Registruokite, kada kiekvienas vartotojas davė sutikimą, su kuo jis sutiko ir kokia slapukų politikos versija galiojo tuo metu.
- Techniškai gerbkite sutikimo pasirinkimus. Užtikrinkite, kad sutikimo atsisakymas iš tiesų neleistų įrašyti atitinkamų slapukų. Tam reikia blokuoti scenarijus prieš gaunant sutikimą, o ne tik ištrinti slapukus po fakto.
- Palaikykite slapukų politiką, kuri būtų aktuali, tiksli ir parašyta paprasta kalba. Atnaujinkite ją kaskart, kai pridedate naujų slapukų ar trečiųjų šalių paslaugų.
- Tvarkykite duomenų subjektų prašymus. Turėkite procesą, kaip atsakyti į ištrynimo prašymus, apimantį per slapukus surinktus duomenis.
- Reguliariai skenuokite. Atlikite automatinius slapukų skenavimus bent kartą per mėnesį ir po kiekvieno diegimo, kad aptiktumėte naujus slapukus, atsiradusius dėl atnaujintų scenarijų ar papildinių.
Slapukų atitiktis pagal GDPR nėra vienkartinė užduotis. Ji reikalauja nuolatinio dėmesio, kai jūsų svetainė vystosi, pridedami nauji scenarijai ir atnaujinamos reguliavimo gairės. Organizacijos, kurios tai traktuoja kaip nenutrūkstamą procesą, o ne kaip formalumą, yra tos, kurios išvengia reikalavimų vykdymo priemonių — ir kartu kuria pasitikėjimą su savo vartotojais.
Ar jūsų svetainė atitinka slapukų taisykles?
Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.
Nuskenuokite savo slapukus nemokamai