Skip to main content

ePrivacy direktyva: paaiškinta ES slapukų teisė

Kai žmonės kalba apie „ES slapukų teisę“, jie paprastai turi omenyje ePrivacy direktyvą — konkrečiai jos 5 straipsnio 3 dalį. Nors GDPR sulaukia daugiausia dėmesio, būtent ePrivacy direktyva tiesiogiai reglamentuoja slapukų ir panašių sekimo technologijų naudojimą. Suprasti šią direktyvą, jos ryšį su GDPR bei būsimą ePrivacy reglamentą būtina kiekvienam, kuris atsakingas už slapukų atitiktį Europos svetainėje.

Kas yra ePrivacy direktyva?

ePrivacy direktyva (oficialiai – Direktyva 2002/58/EB) buvo priimta 2002 m. liepos 12 d. kaip ES telekomunikacijų privatumo reguliavimo sistemos dalis. Iš pradžių ji buvo skirta privatumui elektroniniuose ryšiuose — apėmė tokias temas kaip ryšių konfidencialumas, srauto duomenys, brukalas ir skambinančiojo identifikavimas.

2009 m. direktyva buvo iš esmės pakeista Direktyva 2009/136/EB (dažnai vadinama „Piliečių teisių direktyva“). Šiuo pakeitimu buvo įtvirtintas šiandien mums žinomas reikalavimas gauti sutikimą dėl slapukų, ankstesnį atsisakymo (opt-out) modelį pakeičiant sutikimo (opt-in) modeliu. Iki 2009 m. svetainės tik privalėjo informuoti naudotojus apie slapukus ir suteikti jiems teisę atsisakyti. Po 2009 m. išankstinis sutikimas tapo privalomas visiems nebūtiniems slapukams.

Skirtingai nei GDPR, kuris yra reglamentas (tiesiogiai taikomas visose valstybėse narėse), ePrivacy direktyva yra direktyva (kiekviena valstybė narė turi ją perkelti į nacionalinę teisę). Tai reiškia, kad konkrečios slapukų taisyklės kiekvienoje šalyje šiek tiek skiriasi, nors pagrindiniai reikalavimai išlieka tie patys.

5 straipsnio 3 dalis: sutikimo dėl slapukų taisyklė

ePrivacy direktyvos 5 straipsnio 3 dalis yra nuostata, tiesiogiai reglamentuojanti slapukus. Jos pakeista redakcija skelbia:

„Valstybės narės užtikrina, kad informacijos saugojimas arba prieigos prie jau saugomos informacijos gavimas abonento ar naudotojo galiniame įrenginyje būtų leidžiamas tik su sąlyga, kad atitinkamas abonentas ar naudotojas davė sutikimą, prieš tai gavęs aiškią ir išsamią informaciją pagal [Duomenų apsaugos direktyvą, dabar – GDPR], inter alia, apie tvarkymo tikslus.“

Šia nuostata įtvirtinami keli pagrindiniai reikalavimai:

  1. Taikymo sritis: ji apima bet kokį informacijos saugojimą naudotojo įrenginyje arba prieigą prie jame saugomos informacijos. Tai apima slapukus, taip pat vietinę saugyklą (local storage), IndexedDB, įrenginio pirštų atspaudų ėmimą, sekimo taškelius ir bet kurią kitą technologiją, kuri skaito iš naudotojo įrenginio ar į jį rašo.
  2. Išankstinis sutikimas: sutikimas turi būti gautas prieš saugant ar pasiekiant informaciją — ne po to.
  3. Informuotas sutikimas: naudotojui turi būti pateikta aiški ir išsami informacija apie saugojimo ar prieigos tikslus.
  4. Sutikimo standartas: nuoroda į GDPR (iš pradžių – į Duomenų apsaugos direktyvą) reiškia, kad taikomas GDPR nustatytas sutikimo apibrėžimas ir sąlygos. Sutikimas turi būti duotas laisva valia, būti konkretus, informuotas ir nedviprasmiškas.

„Griežtai būtinų“ slapukų išimtis

5 straipsnio 3 dalyje, jos antrame sakinyje, įtvirtinta svarbi išimtis:

„Tai nedraudžia atlikti jokio techninio saugojimo ar prieigos, kurių vienintelis tikslas – perduoti ryšį elektroninių ryšių tinklu, arba kurie yra griežtai būtini, kad informacinės visuomenės paslaugos teikėjas galėtų suteikti paslaugą, kurios abonentas ar naudotojas aiškiai paprašė.“

Ši išimtis apima dvi slapukų kategorijas, kurioms sutikimas nereikalingas:

  1. Slapukai, būtini ryšiui perduoti (pvz., apkrovos balansavimo slapukai).
  2. Slapukai, griežtai būtini teikti paslaugą, kurios naudotojas aiškiai paprašė (pvz., pirkinių krepšelio slapukai, autentifikavimo seanso slapukai, naudotojo nustatymų slapukai, skirti paslaugai, kuria naudotojas aktyviai naudojasi).

Europos duomenų apsaugos valdybos pirmtakas – 29 straipsnio darbo grupė – 2012 m. Nuomonėje 04/2012 pateikė išsamias gaires, kurie slapukai laikomi griežtai būtinais. Pavyzdžiui:

  • Neapmokestinami (sutikimo nereikia): seanso slapukai naudotojo įvestims saugoti (kelių žingsnių formos), autentifikavimo slapukai, pirkinių krepšelio slapukai, saugumo slapukai (CSRF žetonai), multimedijos grotuvo seanso slapukai, apkrovos balansavimo slapukai, sąsajos pritaikymo slapukai (kalbos nustatymas) esamam seansui.
  • Neįtraukti į išimtį (sutikimas būtinas): analitikos slapukai (įskaitant Google Analytics), reklamos slapukai, socialinių tinklų dalijimosi / sekimo slapukai, ilgalaikiai nustatymų slapukai, kurie galioja pasibaigus seansui, bet kokie trečiųjų šalių sekimo slapukai.

Esminis skirtumas yra tarp slapukų, tarnaujančių aiškiam naudotojo prašymui, ir slapukų, tarnaujančių svetainės operatoriaus interesams. Kalbos nustatymo slapukas, nustatytas dėl to, kad naudotojas paspaudė kalbos parinkiklį, yra griežtai būtinas. Analitikos slapukas, nustatytas siekiant padėti svetainės operatoriui suprasti srautą, tokiu nelaikomas — net jei operatorius jį laiko svarbiu.

Kaip ePrivacy ir GDPR veikia kartu

ePrivacy direktyvos ir GDPR santykis yra lex specialis (specialiosios teisės) ir lex generalis (bendrosios teisės) santykis. ePrivacy direktyva yra speciali teisė, reglamentuojanti privatumą elektroniniuose ryšiuose, o GDPR – bendroji duomenų apsaugos sistema.

Praktiškai tai reiškia:

  • ePrivacy direktyva reglamentuoja, ar galite įrašyti slapuką į naudotojo įrenginį. Ji reikalauja sutikimo dėl nebūtinų slapukų, nepriklausomai nuo to, ar slapuke yra asmens duomenų.
  • GDPR reglamentuoja, kas laikoma galiojančiu sutikimu ir kaip galite tvarkyti bet kokius per slapukus surinktus asmens duomenis. Jis taip pat nustato vykdymo užtikrinimo sistemą, įskaitant teisę teikti skundus duomenų apsaugos institucijoms (DAI) bei didelių baudų režimą.

Tai reiškia, kad net slapukui, kuriame nėra asmens duomenų (pavyzdžiui, atsitiktinai sugeneruotam analitikos identifikatoriui, nesusietam su jokiais kitais duomenimis), pagal ePrivacy direktyvą vis tiek reikia sutikimo, nes 5 straipsnio 3 dalis taikoma bet kokiam saugojimui naudotojo įrenginyje — ne tik asmens duomenų saugojimui.

Ir atvirkščiai – jei per slapukus tvarkote asmens duomenis, privalote laikytis visos GDPR sistemos: teisinio pagrindo, skaidrumo, duomenų subjektų teisių, poveikio duomenų apsaugai vertinimų ir visų kitų prievolių.

Nacionalinis įgyvendinimas

Kadangi ePrivacy direktyva yra direktyva, o ne reglamentas, kiekviena ES valstybė narė ją perkėlė į nacionalinę teisę su tam tikrais skirtumais. Nors pagrindinis reikalavimas — gauti sutikimą prieš nebūtinus slapukus — visose valstybėse narėse yra vienodas, esama pastebimų skirtumų šiose srityse:

  • Vykdymo užtikrinimo intensyvumas: Prancūzija (CNIL) ir Italija (Garante) buvo aktyviausios užtikrinant slapukų taisyklių laikymąsi, o kitos šalys savo išteklius skyrė kitiems dalykams.
  • Konkrečios išimtys: kai kurios šalys taiko šiek tiek platesnį arba siauresnį „griežtai būtinų“ slapukų išimties aiškinimą.
  • Analitikos slapukai: kai kurios DAI svarstė, ar tinkamai sukonfigūruoti, privatumą tausojantys analitikos įrankiai (pvz., anonimizuota analitika be sekimo skirtingose svetainėse) galėtų atitikti teisėto intereso pagrindą. Ryškiausias pavyzdys – Prancūzijos CNIL taikoma auditorijos matavimo įrankių išimtis tam tikromis sąlygomis, nors ji tebėra prieštaringa.
  • Slapukų sienos (cookie walls): slapukų sienų (kai norint pasiekti svetainę reikia sutikimo) teisėtumas priklauso nuo jurisdikcijos. Nyderlandų DAI ir EDPB laikosi griežtos pozicijos prieš jas, o Prancūzijos Valstybės Taryba (Conseil d'Etat) nusprendė, kad tam tikromis sąlygomis jos leidžiamos.

Siūlomas ePrivacy reglamentas

Europos Komisija ePrivacy reglamento pasiūlymą paskelbė 2017 m. sausį, siekdama pakeisti ePrivacy direktyvą ir suderinti slapukų taisykles su GDPR. Praėjus daugiau nei devyneriems metams, dėl reglamento vis dar deramasi, todėl tai vienas ilgiausiai trunkančių teisėkūros procesų ES istorijoje.

Pagrindiniai siūlomo reglamento pokyčiai

Nors galutinis tekstas dar nesuderintas, pasiūlymas ir vėlesnės Tarybos pozicijos leidžia numatyti keletą reikšmingų pokyčių:

  • Tiesioginis taikymas: būdamas reglamentu, o ne direktyva, ePrivacy reglamentas būtų vienodai taikomas visose valstybėse narėse, pašalinant dabartinį susiskaldymą.
  • Sutikimas naršyklės lygmeniu: ankstyvieji pasiūlymai apėmė nuostatas, leidžiančias naudotojams nustatyti slapukų nuostatas naršyklės lygmeniu, o ne reaguoti į atskirus slapukų pranešimus kiekvienoje svetainėje. Tai gerokai supaprastintų naudotojo patirtį, nors techniniai ir politiniai iššūkiai yra dideli.
  • Išplėsta taikymo sritis: reglamentas apimtų ir vadinamąsias OTT (over-the-top) ryšio paslaugas, tokias kaip WhatsApp ir Skype, kurių dabartinė direktyva neapima.
  • Aiškesnės išimtys: reglamentu siekiama patikslinti, kurie slapukų tipai atleidžiami nuo sutikimo reikalavimo, galimai išplečiant išimtį tam tikroms auditorijos matavimo priemonėms.
  • Metaduomenų taisyklės: naujos nuostatos, reglamentuojančios ryšių metaduomenų (vietos duomenų, prisijungimo laikų) tvarkymą plačiau, nei numato dabartinė direktyva.
  • Suderintas vykdymo užtikrinimas: reglamentu būtų įtvirtintas nuoseklus vykdymo užtikrinimo mechanizmas, tikėtina, paremtas GDPR „vieno langelio“ principu.

Dabartinė būklė ir laiko juosta

2026 m. pradžioje dėl ePrivacy reglamento vis dar vyksta trišalės (trilogo) derybos tarp Europos Parlamento, ES Tarybos ir Europos Komisijos. Pažanga lėta dėl esminių nesutarimų keliais klausimais, įskaitant naršyklės lygmens sutikimo mechanizmą, „griežtai būtinų“ slapukų išimties apimtį ir metaduomenų tvarkymo taisykles.

Realistiškiausias scenarijus – reglamentas nebus baigtas anksčiau nei 2027 m., o iki jo įsigaliojimo bus taikomas papildomas 12–24 mėnesių pereinamasis laikotarpis. Svetainių operatoriai turėtų ir toliau laikytis dabartinės ePrivacy direktyvos, perkeltos į jų nacionalinę teisę, papildytos GDPR sutikimo sistema.

Praktinės pasekmės svetainių savininkams

Nepaisant reguliavimo neapibrėžtumo dėl būsimo ePrivacy reglamento, dabartinės taisyklės yra aiškios ir aktyviai užtikrinamos. Svetainių savininkai turėtų:

  1. Dabartinę tvarką laikyti atspirties tašku. Sutikimo reikalavimas dėl nebūtinų slapukų yra įtvirtinta teisė visoje ES. Nelaukite ePrivacy reglamento, kad pradėtumėte užtikrinti atitiktį.
  2. Blokuoti nebūtinus slapukus iki sutikimo. Tai techniškai sudėtingiausias atitikties aspektas, tačiau dėl jo negalima derėtis. Jūsų sutikimo dėl slapukų mechanizmas turi neleisti skriptams nustatyti slapukų, kol naudotojas aktyviai nesutinka.
  3. Taikyti GDPR sutikimo standartą. Kai ePrivacy direktyva mini „sutikimą“, turimas omenyje GDPR sutikimas: duotas laisva valia, konkretus, informuotas, nedviprasmiškas ir išreikštas aiškiu patvirtinamuoju veiksmu.
  4. Dokumentuoti savo griežtai būtinus slapukus. Tvarkykite aiškų sąrašą, kuriuos slapukus laikote griežtai būtinais ir kodėl. Būkite pasirengę pagrįsti šį priskyrimą, jei DAI jį užginčytų.
  5. Stebėti nacionalinius pokyčius. Kadangi ePrivacy direktyva kiekvienoje šalyje įgyvendinama skirtingai, sekite DAI gaires ir vykdymo užtikrinimo veiklą tose šalyse, kuriose yra jūsų naudotojai.
  6. Ruoštis ePrivacy reglamentui. Nors laiko juosta neaiški, kryptis akivaizdi: labiau suderintos taisyklės, galimai platesni sutikimo mechanizmai ir tolesnis dėmesys naudotojų privatumui. Patikimos sutikimo valdymo sistemos sukūrimas jau dabar padarys perėjimą sklandesnį, kai jis įvyks.

ePrivacy direktyvai gali būti daugiau nei du dešimtmečiai, tačiau ji tebėra slapukų teisės kertinis akmuo Europoje. Kartu su GDPR sutikimo sistema ir aktyviomis nacionalinių DAI vykdymo užtikrinimo programomis ji sukuria reguliavimo aplinką, kurioje slapukų atitiktis nėra pasirenkama — tai teisinė prievolė, turinti realių finansinių pasekmių jos nesilaikant.

Ar jūsų svetainė atitinka slapukų taisykles?

Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.

Nuskenuokite savo slapukus nemokamai