IP

Vai ar Tavām sīkdatnēm viss kārtībā?

Nikola Megne

In IP Posted

Iespējams, pēdējo reizi par sīkdatnēm savā mājaslapā aizdomājāties pirms vairākiem gadiem, kad Eiropu pārņēma privātuma un sīkdatņu politiku izstrādes bums. Taču nu ir pienācis laiks pārskatīt savas mājaslapas un veikt nepieciešamos atjauninājumus – gan funkcionāli, gan juridiski. Šī gada 16. februārī Datu valsts inspekcija (DVI) publicēja ziņojumu par konstatēto attiecībā uz sīkdatņu atbilstīgu izmantošanu Latvijas lielāko e komersantu tīmekļa vietnēs. DVI pārbaudīja 29 tīmekļa vietnes, kas pieder 26 Latvijas lielākajiem e-komersantiem un atrada neatbilstības katrā no tām.

Ziņojumā tiek atkārtoti atgādināts, ka sīkdatnes ir personas dati un digitālā pasaulē ir būtiski tās ieviest atbilstoši privātuma prasībām. Būtiskākā nepilnība, uz ko DVI norāda savā ziņojumā, ir apstāklis, ka netiek iegūta atbilstoša datu subjekta piekrišana tajos gadījumos, kad tas ir obligāti. Šeit ir neatbilstību apkopojums:

• piekrišana tiek iegūta pasīvi, t.i., “Ja Jūs turpināt izmantot šo tīmekļa vietni, Jūs piekrītas sīkdatņu izmantošanai” – šāda pieeja ir neatbilstoša Vispārīgās datu aizsardzības regulas (VDAR) prasībām, jo piekrišana ir definēta kā nepārprotams aktīvs gribas izpaudums;
• nav iespējas atturēties no sīkdatnēm, t.i., nav iespējas izvēlēties starp “pieņemt sīkdatnes” vai “atteikties no sīkdatnēm”, ir tikai “pieņemt sīkdatnes” – rezultātā datu subjektam ir atņemtas izvēles tiesības;
• sīkdatnes tiek iespējotas pirms tiek saņemta datu subjekta piekrišana, kā rezultātā tiek veikta datu apstrāde bez datu subjekta piekrišanas, kas ir pretrunā ar VDAR;
• vārdiskais noformējums mudina datu subjektu piekrist sīkdatnēm – piekrišanai ir jābūt brīvi sniegtai, bez ārēja mudinājuma;
• nav iespējams izvēlēties, kuras sīkdatnes atļaut – datu subjektam ir jāspēj izvēlēties atļaut vienas, bet ierobežot citas sīkdatnes, ja šo sīkdatņu izmantošanas mērķi ir atšķirīgi (piemēram, izsekošanas un analītiskās sīkdatnes būtiski atšķiras, un datu subjektam nebūtu jāpiekrīt abām, bet gan jābūt iespējai to darīt);
• piekrišanas atsaukšana ir sasaistīta ar pārlūka iestatījumiem un nav viegli izdarāma – VDAR expressis verbis nosaka, ka atsaukt piekrišanu ir jābūt tikpat viegli kā to dot;
• iepriekš atzīmēta piekrišana analītiskajām vai mārketinga sīkdatnēm arī ir pārkāpums, jo datu subjekts pats nav atzīmējis, ka vēlas piekrist attiecīgajām sīkdatnēm;
• mājaslapā neparādās paziņojums par sīkdatnēm – šeit ir vairāku neatbilstību kopums, jo tiek atņemta iespēja piekrist sīkdatnēm, kā arī tiek ignorētas datu subjekta tiesības tikt informētam par datu apstrādi.

Papildus minētajam, DVI norāda, ka ir arī problēmas ar informācijas sniegšanu datu subjektam. Galvenokārt, sīkdatņu paziņojumi nesatur nepieciešamo sākotnējo informāciju, kā arī sīkdatņu politikās tika atrasti trūkumi, piemēram, nav norādīts sīkdatnes saglabāšanas termiņš, vai sīkdatnes funkcija nav pietiekami labi izskaidrota.

Tomēr šīs neatbilstības var tikt samērā vienkārši novērstas un nav nepieciešams veikt fundamentālas pārmaiņas sīkdatņu iestatījumos vai politikās, ar atrunu, ka vismaz minimāli tiek jau ievērotas datu subjektu tiesības.

Tāpēc mēs jautājam vēlreiz – vai ar Tavām sīkdatnēm viss ir kārtībā? Šaubu gadījumā vienmēr ir noderīgi iesaistīt profesionāli, kurš spēj pārskatīt esošos sīkdatņu iestatījumus un attiecīgās politikas. Ideāli, ja tas tiek darīts regulāri, jo datu aizsardzības pasaule ir plūstoša un prasības mainīgas.

Droši sazinieties ar mums un mēs ar lielāko prieku palīdzēsim pārskatīt esošo sīkdatņu izmantošanas praksi un ieteiksim risinājumus kā novērst neatbilstības.

[1] DVI ziņojums pieejams šeit: DVI ziņojums.

[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK.