Slapukų naudojimas Duomenų apsaugos reglamento įsigaliojimo kontekste
Slapukai, plačiau žinomi kaip cookies, tikrai nėra naujiena tiek paprastam interneto vartotojui, tiek pažengusiam internetinių svetainių kūrėjui. Dabar jau turbūt kiekvienas yra įpratęs prie bene kiekvieno internetinio tinklapio viršuje matomo pranešimo apie slapukų naudojimą, tačiau kyla klausimas, ar tokio pranešimo užteks ir po GDPR įsigaliojimo?
Slapukas – kas tai?
Slapukai iš tiesų yra labai maži failai, kurie yra įdiegiami į įrenginį apsilankymo internetiniame puslapyje metu. Svarbu tai, kad vieni slapukai yra būtini ir neišvengiami, jie reikalingi tam, kad tinklapis sklandžiai veiktų, kai tuo tarpu kiti nėra būtini tinklapio veikimui ir yra skirti informacijos apie vartotoją surinkimui ar kitiems tikslams. Pagal tai visi slapukai gali būti skirstomi į dvi grupes: būtinus ir papildomus.
Slapukų naudojimo reguliavimas nėra naujiena, kadangi ir iki dabar galiojanti Europos Sąjungos e-privatumo direktyva nustatė tam tikras jų naudojimo taisykles, kurias valstybės perkėlė į savo teisinę sistemą. Lietuvos Valstybinė duomenų apsaugos inspekcija yra išleidusi rekomendaciją, kuri nustato, kad asmens sutikimas yra būtinas, kai naudojami papildomi slapukai, tačiau teisinis reguliavimas nenustato griežtų reikalavimų sutikimui bei jo davimo formai. Gegužės 25 d., įsigaliojus GDPR, visose Europos Ekonominės Bendrijos valstybės galioja vienodas teisinis reguliavimas, nustatantis griežtesnes taisykles papildomų slapukų naudojimui.
Kas turės keistis?
GDPR tekste slapukai yra minimi tik vieną kartą, tačiau aišku, kad jei slapukų pagalba galima identifikuoti asmenį ar jų grupę, tuomet tai yra laikoma asmens duomenimis, kuriems, žinoma, taikomi reglamento reikalavimai, o tame tarpe ir duomenų subjekto sutikimas dėl jo asmens duomenų tvarkymo.
Žinoma, kaip ir dabar, taip ir po GDPR įsigaliojimo, ne visais atvejais slapukų naudojimui bus taikomas duomenų subjekto sutikimo reikalavimas, kadangi reglamentavimas nepalies jau anksčiau minėtų būtinųjų slapukų, užtikrinančių tinkamą internetinės svetainės veikimą. Taigi, asmens sutikimas dėl slapukų naudojimo nėra būtinas, o asmenį užteks informuoti apie jų naudojimą tais atvejais, kai:
- Vienintelė slapuko paskirtis yra perduoti komunikaciją el. tinklų ryšiais;
- Vartotojas aiškiai paprašė savo veiksmu suteikti paslaugą ir slapukas būtinas paslaugai suteikti.
Na, o jei, vis dėlto, svetainėje yra naudojami papildomi slapukai, kurių pagalba gali būti identifikuojamas asmuo ar jų grupė, prieš parsiunčiant slapukus būtina:
- Suteikti interneto tinklapio lankytojui pasirinkimą. Tai reškia, kad vien faktas, jog asmuo apsilankė puslapyje nėra pakankamas pagrindas slapuko naudojimui. Šiuo metu įprasti pranešimai dažnu atveju taip pat neužtikrins atitikties GDPR.
- Kaip ir visi kiti sutikimai dėl asmens duomenų tvarkymo, sutikimas dėl slapukų naudojimo turi būti aiškiai išreikštas, informatyvus bei duodamas kiekvienam duomenų tvarkymo tikslui atskirai. Jis turi būti duodamas pažymint varnelę prie kiekvieno slapukų naudojimo tikslo ar kitu būdu, tačiau svarbu atkreipti dėmesį į tai, kad negali būti naudojamas jokios iš anksto pažymėtos formos. Sutikimo formoje asmeniui turi būti pateikiama informacija apie tai, kokie duomenys bus renkami ir kam jie bus naudojami bei nuoroda į privatumo politikos puslapį. Naujasis reglamentas numato duomenų valdytojų bei tvarkytojų pareigą įrodyti, kad sutikimas, atitinkantis visus aptartus reikalavimus, tikrai buvo gautas, todėl duomenų valdytojams kyla pareiga užtikrinti, kad asmenų sutikimai būtų saugomi ir prireikus būtų galima įrodyti, jog sutikimas buvo duotas, kada ir kaip tai buvo padaryta. Tiesa, įdomu bus pamatyti ar toks reikalavimas bus taikomas praktikoje, kadangi toks sutikimo įrodymas, gali būti ypač sunkiai įgyvendinamas ir neturintis labai didelės prasmės.
- Papildomai, bus būtina suteikti asmeniui galimybę tą sutikimą bet kada atšaukti ir tai padaryti taip pat lengvai, kaip tas sutikimas buvo duotas. Taigi jei asmuo sutikimą davė pažymėdamas varneles tam tikroje formoje, jam turi būti suteikta galimybė lengvai rasti tą formą ir atšaukti duotą sutikimą. Slapukų atveju, kadangi varnelės nuėmimas formoje neturėtų įtakos slapukų veikimui, bus būtina privatumo politikoje pateikti instrukcijas kaip ištrinti jau įdiegtus slapukus.
Svarbu atkreipti dėmesį į tai, kad asmens sutikimas dėl slapukų naudojimo turi būti gautas dar iki slapukų pasiuntimo, o tai reiškia, kad slapukai, kuriems reikalingas sutikimas, negali būti įdiegiami tik įėjus į puslapį. Slapukas turėtų būti įdiegiamas tik tada, kai asmuo interneto puslapyje išreikš sutikimą dėl naudojamų slapukų.
Taigi, siekiant užtikrinti interneto svetainėje naudojamų slapukų atitiktį GDPR, svarbu:
- Nustatyti, kokie slapukai naudojami: būtini (reikalingi sklandžiai tinklapio veiklai) ar papildomi (renkantys duomenis ir pan.);
- Užtikrinti visiems tinklapio vartotojams galimybę pasirinkti, ar jie sutinka su papildomų slapukų parsiuntimu ir tik gavus sutikimą parsiųsti slapukus;
- Pasirūpinti, jog informacija apie naudojamus slapukus būtų pateikiama aiškiai, trumpai, o sutikimas duodamas kiekvienam slapukų naudojimo tikslui atskirai;
- Suteikti puslapio lankytojams galimybę bet kada atšaukti sutikimą dėl slapukų naudojimo.