Naujienos
Teisininko komentaras: Kaip valgyti sausainius, kad neužkluptų GDPR? Dar kartą apie slapukų naudojimą suprantamesne kalba
Nors jau ne kartą kalbėta apie tai, kaip turėtų būti naudojami slapukai (angl. cookies), tačiau ir toliau masiškai kartojamos arba tiesiog netaisomos jau žinomos klaidos. Kaip daugeliui jau žinoma, tokia situacija ne vienam gali baigtis milijonine bauda, o ypatingai tiems, kurių interneto svetainės* yra itin populiarios. Todėl verta prisiminti, kaip turėtų būti valgomi sausainiai, kad jie neapkarstų.
*Siekiant neapsunkinti teksto „interneto svetainė“ bus vartojama ir kaip duomenų valdytojo sinonimas.
Beveik bet kurioje interneto svetainėje lankydamasis žmogus informuojamas, kad joje yra naudojami slapukai (angl. cookies), tačiau nėra suprantamai paaiškinama, nei kas tie slapukai, nei kam jie naudojami. Neretai šalia informacinės žinutės apie slapukų naudojimą pateikiamas tik mygtukas „nesutinku“ ir, kol žmogus jo nenuspaudžia, renkami jo asmens duomenys. Taip pat neretai nurodoma, jog asmuo, toliau naršydamas svetainėje, sutinka su slapukų naudojimu. Šie atvejai gali būti pripažinti Bendrojo duomenų apsaugos reglamento (BDAR, angl. GDPR) pažeidimais.
Visų pirma, reikėtų paaiškinti, kodėl atsidarius interneto svetainę, informuojama (turėtų būti informuojama) apie slapukų naudojimą. Labai supaprastintai tariant, slapukai yra įrankis asmens duomenims rinkti. Slapukais renkama informacija, pavyzdžiui, apie tai, kokiomis prekėmis domimasi, tai, kaip naršoma vienoje ar kitoje svetainėje, kaip dažnai joje lankomasi ar net informacija apie buvimo vietą. Vienas iš tokios informacijos tvarkymo tikslų yra pateikti asmeniui kuo labiau pritaikytą turinį. Teisės aktai nustato, kad asmuo privalo būti informuotas apie jo asmens duomenų rinkimą ar kitokį tvarkymą, todėl atsidarius interneto svetainę ir privaloma informuoti apie slapukų naudojimą.
Dalis slapukų yra būtini tam, kad būtų užtikrintas tinkamas interneto svetainės veikimas. Kitaip tariant, be jų interneto svetainė nefunkcionuotų. Tačiau kitų slapukų naudojimas, pavyzdžiui, tokių kuriais analizuojami asmens įpročiai ir juos nustačius, siūlomas atitinkamas turinys, nėra neišvengiamai būtini tam, kad veiktų interneto svetainė. Būtent tokių slapukų naudojimui interneto svetainės ir siekia gauti asmens sutikimą. Neturint sutikimo, nebūtinų slapukų naudojimas yra neteisėtas.
Dažniausiai, sąmoningai ar nesąmoningai, daromos šios klaidos:
1. Asmuo informuojamas apie slapukų naudojimą neretai tik vienu sakiniu. Tik informuoti apie slapukų naudojimą nepakanka. Visų pirma, turėtų būti aiškiai nurodoma, kokia informacija apie žmogų renkama pasitelkus slapukus. Tik aiškiai suvokdamas, kokią informaciją apie save atskleidžia, asmuo gali sąmoningai nuspręsti, ar apskritai ją nori atskleisti. Jau po to turėtų būti nurodoma kam renkama atitinkama informacija, kam ji bus panaudota, kas ją naudos ir kita teisės aktuose nustatyta informacija.
Be to, labai svarbu, nurodyti, kokiu teisiniu pagrindu renkama asmeninė informacija. Vienas iš tokių pagrindų ir yra asmens sutikimas rinkti ar kitaip tvarkyti jo duomenis, tačiau jis dažnai gaunamas nesilaikant reikalavimų.
2. Sukuriamos tokios sąlygos, kai asmeniui iš esmės nelieka kito pasirinkimo kaip tik sutikti su slapukų naudojimu. Tokios situacijos, kai, pavyzdžiui, pranešimas apie slapukų naudojimą užima pusę kompiuterio monitoriaus ir jis nedingsta tol, kol nenuspaudžiamas mygtukas „sutinku“, negali būti vertinamos kaip atitinkančios teisės aktų reikalavimus, nes asmeniui beveik nepaliekama jokia kita galimybė kaip tik sutikti su slapukų naudojimu.
3. Nėra sudaroma galimybė pasirinkti, su kurių slapukų naudojimu asmuo nori sutikti, o su kurių – ne. Pavyzdžiui, apsilankius interneto svetainėje atsiranda pranešimas apie tai, kad naudojami slapukai, ir šalia du mygtukai „sutinku“ ir „nesutinku“. Tokia situacija taip pat neatitinka sutikimui keliamų reikalavimų. Slapukais surinkta informacija gali būti naudojama ne vienu, o keliais tikslais. Jei asmuo turi tik vieną pasirinkimą sutikti ar nesutikti su slapukų naudojimu, gali būti, kad paspausdamas „sutinku“, jis duos sutikimą naudoti informaciją labai įvairiais tikslais, nors realiai sutiktų, kad jo informacija būtų panaudota tik, pavyzdžiui, vienu iš trijų skirtingų tikslų, o ne visiems trims. Taigi, negali būti sudaroma situacija, kai duodamas sutikimą žmogus negali pasirinkti, kokiems tikslams jis leidžia naudoti savo asmens duomenis ir kokiais tikslais tokios informacijos neleidžia naudoti.
4. Iš anksto pažymimos „varnelės“ – „sutinku su slapukų naudojimu“. Asmuo sutikimą su slapukų naudojimu turi išreikšti aktyviais veiksmais, laisva valia. Situacijos, kai iš anksto yra pažymimi langeliai „sutinku“ ir žmogus turi nuimti tokį žymėjimą, kad išreikštų savo nesutikimą, neatitinka teisės aktų reikalavimų.
5. Kai nebūtini slapukai pradedami naudoti iš karto tik įėjus į interneto svetainę dar prieš sutinkant su slapukų naudojimu. Bet koks asmens duomenų tvarkymas, įskaitant tvarkymą pasitelkiant slapukus, turi turėti teisinį pagrindą. Jei žmogus tiesiog naršo interneto svetainėje, interneto svetainės tinkamam funkcionavimui užtikrinti būtini slapukai gali būti naudojami ir be asmens sutikimo. Toks slapukų naudojimo teisinis pagrindas – teisėtas interesas. Tačiau nebūtinų slapukų naudojimas, pavyzdžiui, tokių, kurių pagalba siekiama nustatyti asmens polinkius, įpročius, negali būti grindžiami teisėtu interesu ir prieš naudojant tokius slapukus, privaloma gauti asmens sutikimą.
6. Nenurodomas slapukais surinktos informacijos saugojimo terminas. Reikalavimas prieš gaunant informaciją (asmens duomenis) nurodyti, kiek laiko ji bus saugoma, taikomas nepriklausomai nuo priemonių, kuriomis ji surinkta. Taigi, ir slapukais surinkta informacija turi būti saugoma apibrėžtą terminą ir asmuo apie jį privalo būti informuotas.
7. Sutikimą galima duoti per sekundę, o jį atšaukti trunka nepalyginamai ilgiau. Žmogus turi teisę atšaukti duotą sutikimą ir jam privalo būti sudaryta tokia galimybė. Sutikimo atšaukimas turi būti toks pats paprastas kaip ir sutikimo davimas. Ar patys bandėte atšaukti sutikimą?
8. Kaip asmens duomenų tvarkymo pagrindas nurodomas teisėtas interesas. Šiuo atveju neretai pamirštama, kad teisėtas interesas gali būti pagrindu tvarkyti asmens duomenims tik tada, kai paties žmogaus interesai nėra viršesni už interneto svetainės interesus. Būtent dėl šios priežasties slapukai, kuriais renkama informacija apie žmogaus įpročius, negali būti renkami negavus asmens sutikimo, o remiantis vien interneto svetainės interesu. Šiuo atveju negali būti laikoma, kad pastarosios interesas yra viršesnis už duomenų subjekto interesą.
Nurodytos asmens duomenų tvarkymo klaidos tikrai yra ne visos, kurias galima rasti interneto svetainėse, o tik dalis grubiausių ir tos, su kuriomis susiduriame kiekvienas kone kasdien. Jas ištaisę, sumažinsite riziką, kad būsite pripažinti pažeidusiais teisės aktus. Ar nedaro minėtų klaidų, ypatingai dėmesį turėtų atkreipti populiarios interneto svetainės, nes populiarumas reiškia ir tai, kad asmens duomenis jos, tikėtina, tvarko dideliu mastu. Tai atitinkamai išaugina riziką gauti didesnę baudą.
Justinas Leita
LEADELL Balčiūnas ir Grajauskas advokatų kontoros vyr. teisininkas
Kategorijos
Prenumeruoti LEADELL naujienlaiškį
