Skip to main content

GDPR un sīkdatnes: pilnīga rokasgrāmata atbilstības nodrošināšanai

Vispārīgā datu aizsardzības regula (GDPR) būtiski mainīja veidu, kā tīmekļa vietnes rīkojas ar sīkdatnēm, kad tā stājās spēkā 2018. gada 25. maijā. Lai gan e-privātuma direktīva ir galvenais ES tiesību akts, kas regulē sīkdatnes, GDPR ir piemērojama vienmēr, kad sīkdatnes apstrādā personas datus — kas praksē nozīmē gandrīz vienmēr. Izpratne par to, kā GDPR attiecas uz sīkdatnēm, ir būtiska ikvienai tīmekļa vietnei, kas darbojas Eiropas Ekonomikas zonā vai orientējas uz tās lietotājiem.

Kā GDPR attiecas uz sīkdatnēm

GDPR sīkdatnes tieši nepiemin. Tā vietā tā regulē personas datu apstrādi, kas 4. panta 1. punktā definēti kā jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. GDPR 30. apsvērumā skaidri norādīts, ka tiešsaistes identifikatori — tostarp sīkdatņu identifikatori — var tikt izmantoti, lai izveidotu fizisku personu profilus un tās identificētu. Tas nozīmē, ka jebkura sīkdatne, kas satur unikālu identifikatoru vai ir ar to saistīta, saskaņā ar GDPR ir uzskatāma par personas datiem.

Praksē tas attiecas uz gandrīz visām sīkdatnēm, izņemot vispamatvienkāršākās funkcionālās. Analītikas sīkdatnes, kas piešķir unikālu apmeklētāja ID, reklāmas sīkdatnes, kas izseko pārlūkošanas uzvedību, un pat sesijas sīkdatnes, kas piesaistītas lietotāja kontam, — visas tās apstrādā personas datus un tādēļ uz tām attiecas GDPR prasības.

6. pants: apstrādes juridiskais pamats

Saskaņā ar GDPR 6. pantu katrai personas datu apstrādes darbībai ir nepieciešams juridiskais pamats. Ar sīkdatnēm saistītajai apstrādei visbiežāk izmanto divus pamatus:

  • Piekrišana (6. panta 1. punkta a) apakšpunkts): datu subjekts ir devis piekrišanu apstrādei vienam vai vairākiem konkrētiem mērķiem. Šis ir galvenais juridiskais pamats lielākajai daļai sīkdatņu apstrādes, jo īpaši analītikas, mārketinga un reklāmas sīkdatnēm.
  • Leģitīmās intereses (6. panta 1. punkta f) apakšpunkts): apstrāde ir nepieciešama pārziņa leģitīmo interešu īstenošanai, ar nosacījumu, ka šīs intereses neatsver datu subjekta tiesības un brīvības.

Leģitīmo interešu pamats sīkdatņu kontekstā ir izraisījis būtiskas diskusijas. Daži tīmekļa vietņu operatori ir apgalvojuši, ka analītikas izsekošana kalpo leģitīmai interesei. Tomēr vairākas datu aizsardzības iestādes šo argumentu attiecībā uz sīkdatnēm, kas nav absolūti nepieciešamas, ir noraidījušas. Francijas CNIL, Austrijas DSB un Eiropas Datu aizsardzības kolēģija (EDPB) — visas ir ieņēmušas nostāju, ka analītikas sīkdatnēm ir nepieciešama piekrišana un ka leģitīmās intereses nevar būt juridiskais pamats nebūtisku sīkdatņu izvietošanai lietotāja ierīcē.

EDPB Vadlīnijas 05/2020 par piekrišanu nepārprotami nosaka: "Ritināšana vai turpināta tīmekļa vietnes pārlūkošana nav uzskatāma par derīgu piekrišanu." Netiešas piekrišanas laikmets sīkdatnēm ir beidzies.

7. pants: derīgas piekrišanas nosacījumi

7. pantā ir izklāstīti nosacījumi, kas piekrišanai ir jāizpilda. Lai piekrišana sīkdatņu izmantošanai saskaņā ar GDPR būtu derīga, tai jābūt:

  1. Brīvi dotai: lietotājam ir jābūt patiesai izvēlei. Piekrišana nav brīvi dota, ja lietotājs nevar atteikties vai atsaukt piekrišanu bez negatīvām sekām. Sīkdatņu sienas, kas bloķē piekļuvi tīmekļa vietnei, ja vien netiek pieņemtas visas sīkdatnes, vairākas datu aizsardzības iestādes ir atzinušas par neatbilstošām, lai gan tiesiskā vide dažādās jurisdikcijās atšķiras.
  2. Konkrētai: piekrišana ir jādod katram atsevišķam mērķim. Vienkārša poga "Pieņemt visu" bez iespējas piekrist konkrētām kategorijām neatbilst šai prasībai.
  3. Informētai: lietotājam ir skaidri jāzina, kam viņš piekrīt. Tas nozīmē norādīt sīkdatnes, to mērķus, savāktos datus un jebkuras iesaistītās trešās puses.
  4. Nepārprotamai: piekrišana ir jādod ar skaidru apstiprinošu darbību. Iepriekš atzīmētas izvēles rūtiņas, klusēšana vai bezdarbība nav uzskatāma par derīgu piekrišanu.

7. panta 3. punkts pievieno būtisku prasību: piekrišanas atsaukšanai jābūt tikpat vienkāršai kā tās sniegšanai. Ja lietotājs var pieņemt sīkdatnes ar vienu klikšķi, viņam jāspēj tikpat viegli atsaukt šo piekrišanu. Sīkdatņu baneris, kas padara pogu "Pieņemt" izcilu, bet noslēpj atteikšanās iespēju iestatījumu lapā vairāku klikšķu dziļumā, neatbilst prasībām.

4. panta 11. punkts: piekrišanas definīcija

4. panta 11. punkts definē piekrišanu kā "jebkuru brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā izsaka piekrišanu savu personas datu apstrādei."

Šo definīciju pastiprina 32. apsvērums, kurā teikts:

"Piekrišana būtu jādod ar skaidri apstiprinošu darbību, ar ko brīvā gribā tiek dota konkrēta, apzināta un viennozīmīga norāde par datu subjekta piekrišanu. Tā varētu ietvert rūtiņas atzīmēšanu, apmeklējot interneta tīmekļa vietni. Klusēšana, iepriekš atzīmētas rūtiņas vai bezdarbība tādēļ nebūtu jāuzskata par piekrišanu."

Eiropas Savienības Tiesas (EST) nozīmīgais spriedums Planet49 lietā 2019. gada oktobrī (lieta C-673/17) apstiprināja šo interpretāciju, nospriežot, ka iepriekš atzīmētas izvēles rūtiņas nav uzskatāmas par derīgu piekrišanu sīkdatnēm.

Pārredzamības pienākumi: 12.–14. pants

No 12. līdz 14. pantam datu pārziņiem ir pienākums sniegt informāciju par datu apstrādi kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Attiecībā uz sīkdatnēm tas nozīmē:

  • Jūsu sīkdatņu politikai jābūt uzrakstītai valodā, ko saprot parastie lietotāji, — nevis juridiskā žargonā.
  • Informācija jāsniedz datu vākšanas brīdī (t.i., pirms sīkdatņu izvietošanas).
  • Lietotājiem jābūt informētiem par pārziņa identitāti, apstrādes mērķiem, datu kategorijām, jebkuriem saņēmējiem, glabāšanas periodiem un viņu tiesībām.
  • Ja sīkdatnes tiek koplietotas ar trešajām pusēm (piemēram, Google Analytics, Facebook Pixel vai reklāmas tīkliem), šīs trešās puses ir jānorāda.

17. pants: tiesības uz dzēšanu

17. pants dod datu subjektiem tiesības uz savu personas datu dzēšanu. Sīkdatņu kontekstā tas nozīmē, ka, ja lietotājs pieprasa savu datu dzēšanu, ir jādzēš visi personas dati, kas savākti ar sīkdatņu palīdzību. Tas ietver analītikas profilus, reklāmas identifikatorus un jebkurus citus datus, kas saistīti ar sīkdatņu identifikatoriem.

Tīmekļa vietņu operatoriem, kuri izmanto trešo pušu analītikas vai reklāmas pakalpojumus, tas var būt īpaši sarežģīti, jo datus var glabāt trešā puse. Jūsu datu apstrādes līgumiem ar trešo pušu sīkdatņu pakalpojumu sniedzējiem vajadzētu ietvert noteikumus par dzēšanas pieprasījumu apstrādi.

GDPR vai e-privātums: kas un kad ir piemērojams?

Attiecības starp GDPR un e-privātuma direktīvu var mulsināt. Lūk, kā tās mijiedarbojas:

  • E-privātuma direktīva (5. panta 3. punkts) regulē informācijas glabāšanu vai piekļūšanu tai lietotāja ierīcē. Tā pieprasa piekrišanu visām sīkdatnēm, izņemot tās, kas ir absolūti nepieciešamas. Tas ir lex specialis (speciālais likums) attiecībā uz sīkdatnēm.
  • GDPR regulē to personas datu turpmāku apstrādi, kas savākti, izmantojot sīkdatnes. Tā nodrošina ietvaru tam, kas ir uzskatāms par derīgu piekrišanu, datu subjektu tiesībām un datu pārziņu pienākumiem.

Praktiski runājot: e-privātuma direktīva jums saka, ka sīkdatnes izvietošanai ir nepieciešama piekrišana. GDPR jums saka, kā izskatās derīga piekrišana, ko jūs varat darīt ar datiem un kādas tiesības ir lietotājiem attiecībā uz šiem datiem. Abas ir piemērojamas vienlaikus.

Datu aizsardzības iestādes un izpilde

Katrai ES dalībvalstij ir sava datu aizsardzības iestāde (DPA), kas atbild par GDPR un e-privātuma direktīvas nacionālo īstenojumu izpildi. Šīm iestādēm ir pilnvaras izmeklēt sūdzības, veikt auditus un uzlikt naudas sodus līdz 4% no globālā gada apgrozījuma vai 20 miljoniem eiro, atkarībā no tā, kura summa ir lielāka.

Ar sīkdatnēm saistītā izpilde kopš 2020. gada ir strauji pastiprinājusies. Datu aizsardzības iestādes visā Eiropā ir pārgājušas no vadlīnijām un brīdinājumiem uz ievērojamiem naudas sodiem, padarot atbilstību sīkdatņu jomā par patiesu biznesa risku, nevis teorētisku bažu.

Nozīmīgākie ar sīkdatnēm saistītie GDPR naudas sodi

Turpmāk minētie izpildes pasākumi parāda reālās finansiālās sekas neatbilstībai sīkdatņu jomā:

Uzņēmums Naudas sods Iestāde Gads Galvenā problēma
Amazon Europe 746 miljoni eiro CNPD (Luksemburga) 2021 Neatbilstoša reklāmas izsekošana un piekrišanas mehānismi
Google LLC 150 miljoni eiro CNIL (Francija) 2022 Sīkdatņu noraidīšana nebija tikpat vienkārša kā pieņemšana
Facebook (Meta) 60 miljoni eiro CNIL (Francija) 2022 Nebija vienkārša mehānisma sīkdatņu atteikšanai
Microsoft (Bing) 60 miljoni eiro CNIL (Francija) 2022 Sīkdatnes izvietotas bez piekrišanas, nav vienkārša atteikšanās mehānisma
TikTok 5 miljoni eiro CNIL (Francija) 2023 Sīkdatņu atteikšanai bija nepieciešams vairāk klikšķu nekā pieņemšanai
Criteo 40 miljoni eiro CNIL (Francija) 2023 Nespēja iegūt derīgu piekrišanu izsekošanas sīkdatnēm
Vueling Airlines 30 000 eiro AEPD (Spānija) 2020 Nebija iespējas noraidīt sīkdatnes, tikai "pieņemt"

Šie naudas sodi neaprobežojas tikai ar lielām korporācijām. Arī mazie un vidējie uzņēmumi ir saskārušies ar izpildes pasākumiem, jo īpaši Francijā, Itālijā un Vācijā. Tikai CNIL vien 2021. gadā izdeva vairāk nekā 100 oficiālu paziņojumu par sīkdatņu atbilstību tīmekļa vietnēm dažādu izmēru.

Praktisks kontrolsaraksts GDPR atbilstībai sīkdatņu jomā

Izmantojiet šo kontrolsarakstu, lai pārbaudītu, vai jūsu tīmekļa vietne atbilst GDPR prasībām attiecībā uz sīkdatnēm:

  1. Identificējiet visas sīkdatnes, ko jūsu tīmekļa vietne izvieto, tostarp tās, ko izvieto trešo pušu skripti, piemēram, analītika, reklāma un sociālo mediju logrīki.
  2. Klasificējiet katru sīkdatni kā absolūti nepieciešamu, funkcionālu, analītisku vai mārketinga/reklāmas sīkdatni.
  3. Ieviesiet iepriekšēju piekrišanu visām nebūtiskajām sīkdatnēm. Nevienai analītikas vai mārketinga sīkdatnei nevajadzētu aktivizēties, pirms lietotājs ir devis piekrišanu.
  4. Sniedziet piekrišanas izvēles godīgi. Iespējai atteikties no sīkdatnēm jābūt tikpat izceltai un pieejamai kā iespējai tās pieņemt.
  5. Piedāvājiet detalizētu piekrišanu. Lietotājiem jāspēj piekrist konkrētām sīkdatņu kategorijām, nevis tikt piespiestiem izdarīt izvēli "viss vai nekas".
  6. Neizmantojiet iepriekš atzīmētas rūtiņas. Visām neobligātajām sīkdatņu kategorijām pēc noklusējuma jābūt neatzīmētām.
  7. Sniedziet skaidru informāciju par katras sīkdatnes mērķi, tās savāktajiem datiem, kam ir piekļuve šiem datiem un cik ilgi sīkdatne saglabājas.
  8. Identificējiet trešās puses. Nosauciet trešo pušu pakalpojumus, kas jūsu vietnē izvieto sīkdatnes (Google Analytics, Facebook Pixel, HubSpot u.c.).
  9. Padariet atsaukšanu vienkāršu. Nodrošiniet pastāvīgu, viegli pieejamu veidu, kā lietotāji var mainīt savus sīkdatņu iestatījumus pēc sākotnējās piekrišanas. Bieži izmantoti risinājumi ir saite kājenē vai peldoša ikona.
  10. Glabājiet piekrišanas ierakstus. Uzturiet žurnālu par to, kad katrs lietotājs deva piekrišanu, kam viņš piekrita un kāda sīkdatņu politikas versija bija spēkā tajā brīdī.
  11. Ievērojiet piekrišanas izvēles tehniski. Nodrošiniet, ka atteikšanās no piekrišanas patiešām novērš attiecīgo sīkdatņu izvietošanu. Tas prasa skriptu bloķēšanu pirms piekrišanas, nevis tikai sīkdatņu dzēšanu pēc fakta.
  12. Uzturiet sīkdatņu politiku, kas ir aktuāla, precīza un uzrakstīta vienkāršā valodā. Atjauniniet to ikreiz, kad pievienojat jaunas sīkdatnes vai trešo pušu pakalpojumus.
  13. Apstrādājiet datu subjektu pieprasījumus. Izveidojiet procesu dzēšanas pieprasījumu apstrādei, kas ietver ar sīkdatnēm savāktos datus.
  14. Skenējiet regulāri. Veiciet automātisku sīkdatņu skenēšanu vismaz reizi mēnesī un pēc katras izvietošanas, lai atklātu jaunas sīkdatnes, ko ieviesuši atjaunināti skripti vai spraudņi.

Atbilstība sīkdatņu jomā saskaņā ar GDPR nav vienreizējs pasākums. Tā prasa nepārtrauktu uzmanību, jūsu tīmekļa vietnei attīstoties, pievienojot jaunus skriptus un atjauninot regulējuma vadlīnijas. Organizācijas, kas to uztver kā nepārtrauktu procesu, nevis vienkāršu ķeksīša atzīmēšanu, ir tās, kas izvairās no izpildes pasākumiem — un šajā procesā veido uzticību ar saviem lietotājiem.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas