7 slapukų sienų trūkumai, į kuriuos verslai turi atkreipti dėmesį savo interneto svetainėse

Benjamin Kolyško
Aktualu
2023-02-02

Duomenų apsauga
Data protection

Slapukai (angl. cookies) yra nedideli iš raidžių ir skaitmenų sudaryti failai, kurie yra įrašomi į interneto naudotojo įrenginio naršyklę arba standųjį diską, kai jis lankosi interneto svetainėje, siekiant skirtingų tikslų, pvz. įsiminti pasirinktus kalbos ir valiutos nustatymus, išsaugoti el. parduotuvės apsipirkimo krepšelį, personalizuoti reklamą ir t.t.

Kadangi slapukai yra įrašomi interneto naudotojo sutikimu, dažnu atveju naudojamos slapukų sienos, kurių pagalba yra gaunamas šis sutikimas, ne tik erzina ir neigiamai veikia interneto svetainės naudotoją, bet ir neatitinka BDAR reikalavimų. Reaguojant į tokią situaciją, už duomenų subjektų teises kovojanti organizacija NOYB (angl. none of your business) pateikė virš 700 skundų duomenų apsaugos priežiūros institucijoms dėl ES teritorijoje veikiančių interneto svetainių slapukų sienų prieštaravimų BDAR. Šiems skundams tirti Europos duomenų apsaugos valdyba (EDAV) sukūrė specialią darbo grupę (Darbo grupė), kuri 2023-01-17 pateikė bendrą ataskaitą apie dažniausiai pasitaikančius slapukų sienų neatitikimus. Nors ši ataskaita yra preliminari, tačiau verslams yra patartina atkreipti dėmesį į darbo grupės nustatytus 7 slapukų sienų trūkumus, kurie yra pateikiami žemiau.

1. Slapukų siena pirmajame sluoksnyje neturi mygtuko „atsisakyti slapukų“. 

Bene problematiškiausia ir daugiausia neigiamų reakcijų sulaukianti slapukų siena yra ta, kurios pirmajame sluoksnyje nėra mygtuko „atsisakyti slapukų“. Kaip pažymėjo Darbo grupė, mygtukas, kurį paspaudus interneto svetainės naudotojui turi būti suteikta galimybė nepriimti / nesutikti / atsisakyti nebūtinų slapukų, turi būti įdiegtas tame pačiame slapukų sienos sluoksnyje kaip ir sutikimo mygtukas, nes priešingu atveju yra pažeidžiamas ePrivatumo direktyvos 5(3) str.

Tokiu būdu, geriausias sprendimas šuo atveju yra slapukų siena, turinti tris mygtukus: i) priimti visus slapukus; ii) atmesti visus slapukus; iii) išsaugoti pasirinktus slapukus (analitinius, rinkodaros), kuriuos pažymėti būtų galima tame pačiame slapukų sienos sluoksnyje.

2.  Nebūtini slapukai yra iš anksto pažymėti. 

Pasitaiko slapukų sienų, kuriose nebūtini slapukai yra iš anksto pažymėti, todėl jeigu interneto svetainės naudotojas nenori, kad jie būtų įrašyti, jis turi šiuos žymėjimus nuimti rankiniu būdu. Aptariamu atveju, Darbo grupė aiškiai pažymėjo, kad šiuo atveju pagal nutylėjimą duotas sutikimas dėl nebūtinų slapukų neatitinka teisėto sutikimo pagal duomenų apsaugos teisės aktus.

Atitinkamai, slapukų sienoje negali būti pagal nutylėjimą pažymėtų slapukų, išskyrus būtinus slapukus, kurių išjungimas sąlygotų interneto svetainės veikimo sutrikimus.

3. Atsisakymas nuo slapukų yra „paslėptas“ slapukų sienos aktyvioje nuorodoje arba jo ten nėra. 

Darbo grupė savo ataskaitoje atkreipė dėmesį ir į tokią ydingą praktiką, kai vietoj atsisakymo nuo slapukų mygtuko yra pateikiama aktyvioji nuorodą kur nors slapukų sienos tekste, jos vizualiai neišskiriant, dėl ko duomenų subjektui yra sudėtingiau ją pastebėti. Be to, aptariama aktyvioji nuoroda gali būti už slapukų sienos vėlgi be jokių vizualiai ją išskiriančių bruožų, kas apsunkina jos aptikimo galimybę.

Taigi, atsisakymo nuo slapukų mygtukas neturi vizualiai skirtis nuo slapukų priėmimo mygtuko, nes tai leidžia internetinės svetainės naudotojui duoti laisvą ir informuotą sutikimą dėl slapukų naudojimo, arba atitinkamai atsisakyti slapukų.

4. Netinkama slapukų sienos mygtuko spalva ir kontrastas. 

Panašiai kaip ir aukščiau paminėtas atsisakymo nuo slapukų mygtuko „paslėpimas“ tekste ar už slapukų sienos ribų, slapukų sienos vizualizacija taip pat gali turėti įtakos sutikimo dėl slapukų gavimui. Kaip konstatavo Darbo grupė, kiekvienu atveju turi būti įvertinta, ar slapukų sienos teksto ir spalvų kontrastas neklaidina duomenų subjektų, dėl ko jie galėtų per klaidą duoti sutikimą. Taipogi, Darbo grupė priėjo išvadą, kad pažeidimas bus tuo atveju, kai mygtuko, siūlančio alternatyvų veiksmą negu priimti slapukus (pvz. atsisakyti slapukų), teksto ir fono kontrastas yra toks minimalus, kad tekstas tampa „neįskaitomas“ duomenų subjektui.

Atsižvelgiant į paminėtas aplinkybes, interneto svetainės valdytojas turi naudoti tokį slapukų sienos tekstą, spalvą ir foną, kad kontrastas tarp mygtuko ir teksto būtų kuo didesnis, o tai leistų duomenų subjektui pateikti laisvą ir informuotą sutikimą bei sumažinti klaidos atsiradimo riziką.

5. Teisėtas interesas negali būti laikomas nebūtinų slapukų įrašymo teisiniu pagrindu. 

Pasitaiko atvejų, kai interneto svetainių valdytojai, galimai nenorėdami rinkti sutikimų dėl slapukų, nurodo, kad nebūtini slapukai yra renkami organizacijos teisėtų interesų pagrindu. Nors teisėtas interesas, kaip ir sutikimas, yra pripažįstamas duomenų tvarkymo teisiniu pagrindu, tačiau slapukų įrašymo atveju, šis teisinis pagrindas negali būti panaudotas, nes anot Darbo grupės, tai reikštų duomenų apsaugos teisės aktų pažeidimą.

Dėl aukščiau nurodytos priežasties, duomenų subjekto sutikimas lieka vieninteliu galimu slapukų pagalba surinktų asmens duomenų tvarkymo teisiniu pagrindu.

6. Nebūtini slapukai yra klaidingai priskiriami prie būtinų slapukų. 

Paminėtina, kad BDAR nereikalauja gauti duomenų subjekto sutikimo dėl būtinų slapukų, kurių pagalba nėra renkami asmens duomenys, o jų naudojimas yra neišvengiamas naudojantis interneto svetaine, pvz. slapukai saugantys apsipirkimo krepšelį el. parduotuvėje arba naudotojui įvedus prisijungimo duomenys, slapukai leidžiantys identifikuoti tą naudotoją. Savo ataskaitoje Darbo grupė atkreipė dėmesį į tai, kad kai kurie duomenų valdytojai nebūtinus slapukus priskiria prie būtinų, dėl ko nepagrįstai yra apeinamas reikalavimas dėl sutikimo gavimo. Pavyzdžiui, slapukai personalizuojantys svetainės turinio kalbą bus laikomi būtinais slapukais, tačiau slapukai renkantys kalbos pasirinkimą tam, kad būtų personalizuota reklama, jau nebebus laikomi būtinais slapukais ir tokių slapukų įrašymui yra reikalingas sutikimas.

Tokiu būdu, duomenų valdytojui kiekvienu atveju reikia išsamiai išanalizuoti, kokius slapukus naudoja jo interneto svetainė, kokius duomenis tokie slapukai renka ir kokiems tikslams yra naudojami. Tik atlikus šiuos veiksmus bus galima sugrupuoti naudojamus slapukus į būtinus ir nebūtinus.

7. Nėra lengvai prieinamo sprendimo atšaukti duotą sutikimą. 

Duomenų apsaugos teisės aktai numato, kad tam, jog duotas sutikimas būtų galiojantis, trys privalomos sąlygos turi būti tenkinamos: i) turi būti galimybė atšaukti duotą sutikimą; ii) galimybė atšaukti sutikimą turi egzistuoti bet kuriuo metu; iii) atšaukti sutikimą turi būti taip pat lengva kaip ir jį duoti.

Tačiau daugybėje interneto svetainių nėra lengvai prieinamo sprendimo atšaukti duotą sutikimą dėl slapukų. Atitinkamai, Darbo grupė pažymėjo, kad lengvai pasiekiami sprendimai turi būti įdiegti interneto svetainėse, tokie kaip, pavyzdžiui, ikonos arba aktyviosios nuorodos matomoje ir standartizuotoje vietoje.

Reziumuojant visas aukščiau nurodytas aplinkybes, slapukų įdiegimas interneto svetainėje neretai reikalauja ne tik techninių, bet ir teisinių žinių. Fondia duomenų apsaugos ekspertai visada yra pasiruošę atsakyti į visus Jūsų rūpimus klausimus dėl slapukų bei parengti susijusius dokumentus, pvz., slapukų pranešimą.

Kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasitarti su vienu iš mūsų teisininkų. teisininku. Pokalbį galite paskirti Jums patogiu laiku paspaudę  Calendly nuorodą.

Jei norite gauti praktinius teisininkų patarimus ir daugiau sužinoti apie teisės aktų naujoves, kviečiame prenumeruoti mūsų naujienlaiškį!

Kaip mes galime Jums padėti?

Norėtume daugiau sužinoti apie Jūsų teisinius poreikius. Rezervuokite nemokamą pokalbį arba susisiekite su mumis el. laišku ar skambučiu!