Skip to main content

Kad ir nepieciešama piekrišana sīkfailu lietošanai?

Vispārējais princips ir vienkāršs: piekrišana ir nepieciešama visiem sīkfailiem, izņemot tos, kas ir strikti nepieciešami. Taču detaļām ir nozīme. Precīza izpratne par to, kad piekrišana ir un kad nav vajadzīga, palīdz izvairīties gan no pārmērīgas atbilstības (kaitinot lietotājus ar nevajadzīgiem piekrišanas paziņojumiem), gan no nepietiekamas atbilstības (izvietojot sīkfailus bez juridiskā pamata).

Vispārējais princips

ePrivacy direktīvas 5. panta 3. punkts nosaka pamatprasību:

Dalībvalstis nodrošina, ka informācijas glabāšana vai piekļuve informācijai, kas jau ir saglabāta abonenta vai lietotāja galiekārtā, ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu, saņemot skaidru un vispusīgu informāciju [...] par apstrādes mērķiem.

Tas attiecas uz visiem sīkfailiem, visu lokālo glabāšanu, visu glabāšanu vai piekļuvi ierīces līmenī. Ja jūsu vietne ieraksta lietotāja ierīcē jebko, piekrišana ir pamatprasība pēc noklusējuma.

Strikti nepieciešamo sīkfailu izņēmums

Tas pats pants paredz vienīgo izņēmumu:

Tas neliedz veikt jebkādu tehnisku glabāšanu vai piekļuvi, kuras vienīgais mērķis ir veikt saziņas pārraidīšanu elektronisko sakaru tīklā, vai kas ir strikti nepieciešama, lai informācijas sabiedrības pakalpojuma sniedzējs, kuru lietotājs vai abonents ir tieši pieprasījis, varētu sniegt pakalpojumu.

Šim izņēmumam ir divas daļas:

  1. Tehniskā pārraide: sīkfaili, kas ir tehniski nepieciešami saziņas nodrošināšanai. Tas ir šaurs izņēmums — būtībā aprobežojas ar slodzes līdzsvarošanas sīkfailiem un līdzīgām tīkla līmeņa nepieciešamībām.
  2. Strikti nepieciešami pakalpojumam: sīkfaili, kas ir būtiski pakalpojumam, kuru lietotājs ir tieši pieprasījis. Būtiskākā frāze ir "kuru lietotājs vai abonents ir tieši pieprasījis." Pakalpojumam jābūt tādam, ko lietotājs pieprasījis, un sīkfailam jābūt neaizstājamam tā sniegšanā.

Sīkfaili, kas ir strikti nepieciešami (piekrišana nav nepieciešama)

  • Sesijas autentifikācijas sīkfaili. Kad lietotājs pieslēdzas, sesijas sīkfails, kas uztur viņa autentificēto statusu, ir strikti nepieciešams pieprasītajam pakalpojumam (piekļuvei savam kontam).
  • Iepirkumu groza sīkfaili. E-komercijas vietnē sīkfails, kas seko līdzi groza saturam, ir strikti nepieciešams iepirkšanās pakalpojumam, kuru lietotājs izmanto.
  • CSRF aizsardzības marķieri. Tie ir strikti nepieciešami veidlapu iesniegšanas drošai darbībai.
  • Sīkfailu piekrišanas iestatījumu sīkfaili. Sīkfails, kas glabā lietotāja piekrišanas izvēles, ir strikti nepieciešams — bez tā jūs nevarat ievērot lietotāja privātuma iestatījumus.
  • Ar ievadi saistīti sīkfaili. Sīkfaili, kas atceras veidlapā ievadītos datus vairāku soļu procesā (piemēram, pasūtījuma noformēšanas veidlapā), kad lietotājs ir uzsācis šo procesu.
  • Slodzes līdzsvarošanas sīkfaili. Tehniskie sīkfaili, kas maršrutē pieprasījumus uz pareizo serveri. Tie ietilpst izņēmuma "pārraides" daļā.
  • Lietotāja saskarnes pielāgošanas sīkfaili. Kad lietotājs tieši izvēlas valodu vai tēmu, izmantojot lapā esošu vadīklu, sīkfails, kas glabā šo izvēli, ir strikti nepieciešams pieprasītajam pakalpojumam. Tomēr tas ir atkarīgs no konteksta — skatiet zemāk.

Sīkfaili, kas NAV strikti nepieciešami (piekrišana ir nepieciešama)

  • Analītikas sīkfaili. Vietnes datplūsmas mērīšana sniedz labumu vietnes operatoram, nevis lietotājam. Lietotājs nav pieprasījis datplūsmas analīzes pakalpojumu.
  • Reklāmas un atkārtotas mērķauditorijas sīkfaili. Tie kalpo reklāmdevēju un vietnes operatora interesēm, nekad ne lietotāja interesēm.
  • Sociālo mediju kopīgošanas sīkfaili. Tos iestata trešo pušu sociālie tīkli, nevis lietotāja pieprasīts pakalpojums.
  • A/B testēšanas sīkfaili. Tie kalpo operatora optimizācijas mērķiem.
  • Partneru izsekošanas sīkfaili. Tie izseko, kurš partneris novirzīja lietotāju, kalpojot operatora biznesa interesēm.
  • Pastāvīgas pieteikšanās ("atcerēties mani") sīkfaili. EDPB ir norādījusi, ka, lai gan sesijas sīkfails pašreizējai pieteikšanās reizei ir nepieciešams, pastāvīgs sīkfails, kas notur lietotāju pieteiktu vairākās sesijās, pārsniedz to, kas ir strikti nepieciešams. Lietotājs var pieteikties vēlreiz.
  • Veiktspējas uzraudzības sīkfaili. Sīkfaili, ko izmanto lapas ielādes laika, kļūdu īpatsvara un līdzīgu tehnisko rādītāju uzraudzībai, kalpo operatoram, nevis lietotājam.

Debates par pirmās puses analītiku

Viena no visstrīdīgākajām jomām sīkfailu atbilstībā ir jautājums, vai pirmās puses analītikas sīkfailus var izmantot bez piekrišanas. Atbilde atšķiras atkarībā no jurisdikcijas un joprojām attīstās.

CNIL nostāja (Francija)

Francijas CNIL ir izdevusi īpašas vadlīnijas, nosakot, ka atsevišķi mērķauditorijas mērīšanas sīkfaili var būt atbrīvoti no piekrišanas prasības, ja:

  1. mērķis ir strikti ierobežots ar mērķauditorijas mērīšanu (bez izsekošanas starp vietnēm);
  2. dati netiek koplietoti ar trešajām pusēm;
  3. sīkfaili ir tikai pirmās puses sīkfaili;
  4. dati tiek izmantoti tikai anonīmas statistikas veidošanai;
  5. sīkfailiem ir ierobežots darbības laiks (ne vairāk kā 13 mēneši);
  6. lietotāji tiek informēti par to lietošanu;
  7. lietotāji var atteikties.

Ar šiem nosacījumiem CNIL uzskata, ka atsevišķi rīki (piemēram, Matomo, kas konfigurēts privātumu respektējošā režīmā) atbilst izņēmumam. Google Analytics tam neatbilst galvenokārt tāpēc, ka Google apstrādā datus savā infrastruktūrā un var izmantot tos saviem mērķiem.

Nīderlandes AP nostāja (Nīderlande)

Nīderlandes Autoriteit Persoonsgegevens līdzīgi ir norādījusi, ka analītikas sīkfailus ar minimālu ietekmi uz privātumu var izmantot bez piekrišanas, taču ir noteikusi nosacījumus, kas ir salīdzināmi ar CNIL noteiktajiem.

Citas jurisdikcijas

Vairākums citu Eiropas datu aizsardzības iestāžu nav pieņēmušas skaidru analītikas izņēmumu. ICO (Apvienotā Karaliste) ir norādījusi, ka analītikas sīkfailiem ir nepieciešama piekrišana. Vācijas datu aizsardzības iestādes parasti pieprasa piekrišanu visiem nebūtiskajiem sīkfailiem. Spānijas AEPD nostāja saskan ar piekrišanas nepieciešamību.

Praktisks ieteikums

Ja vien jūs nedarbojaties tikai Francijā vai Nīderlandē un nespējat izpildīt visus CNIL/AP nosacījumus, drošākā pieeja ir uzskatīt, ka analītikas sīkfailiem ir nepieciešama piekrišana. Ja jūs paļaujaties uz analītikas izņēmumu, dokumentējiet savu argumentāciju, pārliecinieties, ka izpildāt katru nosacījumu, un sekojiet līdzi regulatoru attīstībai — šī joma joprojām attīstās.

Piekrišanas izņēmumi pēc sīkfaila mērķa: lēmumu pieņemšanas shēma

Katram sīkfailam savā vietnē izejiet cauri šiem jautājumiem:

  1. Vai sīkfails ir tehniski nepieciešams saziņas pārraidīšanai? (piemēram, slodzes līdzsvarošana) Ja jā: piekrišana nav vajadzīga. Ja nē: turpiniet.
  2. Vai lietotājs ir tieši pieprasījis pakalpojumu, kuram šis sīkfails ir nepieciešams? (piemēram, pieteikšanās, preču pievienošana grozam) Ja jā: turpiniet. Ja nē: piekrišana ir nepieciešama.
  3. Vai pieprasītais pakalpojums nedarbotos bez šī konkrētā sīkfaila? Ja jā: piekrišana nav vajadzīga (strikti nepieciešams). Ja pakalpojums darbotos, bet būtu mazāk ērts: piekrišana ir nepieciešama.
  4. Vai sīkfails ir pirmās puses sīkfails, kas aprobežojas ar apkopotu analītiku, ar datiem, kas netiek koplietoti ar trešajām pusēm, un vai atrodaties jurisdikcijā ar analītikas izņēmumu? Ja uz visiem jā: potenciāli atbrīvots, bet dokumentējiet savu argumentāciju. Ja uz kādu nē: piekrišana ir nepieciešama.
  5. Visos pārējos gadījumos: piekrišana ir nepieciešama.

Īpašas situācijas

Sīkfailu barjeras

Sīkfailu barjera bloķē piekļuvi vietnei, ja vien lietotājs nepiekrīt sīkfailiem. EDPB nostāja ir tāda, ka sīkfailu barjeras parasti liedz piekrišanu sniegt "brīvi" un tāpēc neatbilst prasībām. Tomēr dažas datu aizsardzības iestādes (jo īpaši Nīderlandes AP, sekojot tiesas nolēmumam) ir norādījušas, ka sīkfailu barjeras var būt pieņemamas, ja tiek piedāvāta patiesa, līdzvērtīga alternatīva — piemēram, maksas versija bez sīkfailiem. Šī joma joprojām ir strīdīga.

Maksas siena pret sīkfailu barjeru

Daži izdevēji piedāvā modeli "piekrītu vai maksāju": pieņemt izsekošanas sīkfailus par bezmaksas piekļuvi vai maksāt par pieredzi bez sīkfailiem. EDPB 2024. gadā izdeva atzinumu, kas attiecas uz šo praksi, atzīstot, ka tā var būt pieļaujama noteiktos apstākļos, bet paužot bažas, ka "maksas" alternatīvai jābūt patiešām saprātīgai un noteiktai tādā cenā, kas nav paredzēta piekrišanas piespiešanai.

Bērni

Saskaņā ar GDPR 8. pantu piekrišana informācijas sabiedrības pakalpojumiem, kas paredzēti bērniem, prasa pārbaudi un — bērniem, kas jaunāki par noteiktu vecumu (kas mainās no 13 līdz 16 gadiem atkarībā no dalībvalsts) — vecāku piekrišanu. Ja jūsu vietne ir paredzēta bērniem, sīkfailu piekrišanas prasības ir stingrākas.

Darbinieku un B2B konteksti

ePrivacy direktīva attiecas uz "abonentu vai lietotāju" — ne tikai uz patērētājiem. Ja jūsu B2B SaaS platforma izmanto nebūtiskus sīkfailus, piekrišana joprojām ir jāsaņem no individuālā lietotāja, pat biznesa kontekstā.

Kas notiek bez derīgas piekrišanas

Ja jūs izvietojat nebūtiskus sīkfailus bez derīgas piekrišanas:

  • jūsu savāktie dati var būt nelikumīgi gan saskaņā ar ePrivacy direktīvu, gan GDPR;
  • jums draud iespējami naudas sodi saskaņā ar GDPR līdz 20 miljoniem EUR vai 4 % no globālā gada apgrozījuma atkarībā no tā, kas ir lielāks (83. panta 5. punkts);
  • jums var likt dzēst nelikumīgi savāktos datus;
  • jūsu analītikas un reklāmas dati var būt kompromitēti — ja datu vākšanas juridiskais pamats nav derīgs, datus nevar likumīgi izmantot;
  • arī turpmākie šo datu saņēmēji (reklāmas tīkli, analītikas pakalpojumu sniedzēji) var būt pakļauti atbildībai.

Šie nav hipotētiski riski. CNIL uzlika Google naudas sodu 150 miljonu EUR apmērā un Facebook 60 miljonu EUR apmērā tieši par sīkfailu piekrišanas pārkāpumiem. Mazāki uzņēmumi ir saņēmuši naudas sodus desmitiem tūkstošu eiro apmērā par līdzīgiem pārkāpumiem.

Passiro identificē katru sīkfailu jūsu vietnē un atzīmē tos, kuriem nepieciešama piekrišana, lai jūs varētu būt drošs, ka jūsu piekrišanas mehānisms aptver tieši pareizos sīkfailus — ne vairāk, ne mazāk.

Tālāk salīdzināsim divus fundamentālos piekrišanas modeļus: opt-in pret opt-out, un to, kurš no tiem kur ir piemērojams.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas