Google ir Meta (Facebook) paskirtos 150 ir 60 milijonų eurų baudos už netinkamą slapukų sutikimo rinkimą. Koks turi būti sutikimas dėl slapukų?

Prancūzijos asmens duomenų apsaugos institucija (CNIL) 2021 metus pabaigė skirdama solidžias baudas Google ir Meta (Facebook). Atitinkamai 150 ir 60 milijonų eurų baudos skirtos už netinkamus slapukų sutikimo rinkimus, tiksliau, už nepakankamai paprastą galimybę nesutikti.

CNIL nustatė, kad interneto svetainėse google.fr, youtube.com ir facebook.com įdiegti informavimo apie naudojamus slapukus ir sutikimų rinkimo įrankiai leidžia lankytojams nedelsiant sutikti su visų slapukų įdiegimu, tačiau, priešingai, norint nesutikti su slapukų įdiegimu reikia atlikti keletą papildomų veiksmų. CNIL nustatė, kad toks informavimo apie slapukus ir jų įdiegimo įrankis pažeidžia Prancūzijos įstatymus ir CNIL rekomendacijas dėl slapukų. CNIL aktyviai vykdo savo rekomendacijų dėl slapukų sutikimo įgyvendinimo priežiūrą ir nuolatos tikrina skirtingus interneto tinklalapius, kurie veiklą yra nukreipę į Prancūzijos duomenų subjektus.

CNIL jau 2020 metų gruodžio 12 d. Google skyrė 100 milijonų eurų baudą už netinkamą slapukų sutikimo rinkimą. Google šį sprendimą apskundė. Tikėtina, jog tiek Google, tiek Meta (Facebook) apskųs ir šiuos sprendimus.

Europos Sąjungoje slapukų įdiegimas interneto tinklalapio lankytojų įrenginiuose yra reguliuojamas vadinamosios E. privatumo (ePrivacy) direktyvos, kuri į Lietuvos teisę yra perkelta Elektroninių ryšių įstatyme, o Prancūzijoje – į jos nacionalinį įstatymą, todėl Google ir Facebook (Meta) gavo baudas už Prancūzijos teisės, o ne Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Direktyva leidžia naudoti techninius (būtinus) slapukus, kurie būtini interneto svetainės veikimo užtikrinimui be interneto tinklalapio lankytojų sutikimo, o kitiems slapukams (sekimo, analitiniams) reikia gauti lankytojų sutikimus. Tačiau Direktyva pateikia nuorodas į BDAR reikalavimus dėl sutikimo, tad sutikimas dėl slapukų įdiegimo turi atitikti BDAR keliamus reikalavimus.

Vartotojus slapukų sutikimai erzina ir jie teigia nesuprantantys nei slapukų paskirties, nei kam reikalingi sutikimai dėl jų naudojimo. Tačiau tam tikri slapukai (analitiniai, trečiųjų šalių), be to, kad nėra būtini interneto svetainės veikimui, dar ir renka asmens duomenis, todėl jų įdiegimui reikia gauti interneto tinklalapio lankytojų sutikimus.

Problema yra nepatogūs technologiniai sprendimai, taikomi siekiant tuos sutikimus susirinkti bet kokia kaina. Būtent dėl siekio vartotojų sutikimą gauti bet kokia kaina ir apsunkinti jiems galimybę nesutikti su nebūtinų slapukų įdiegimu, Google ir Meta (Facebook) gavo baudas iš CNIL.

Taigi koks sutikimas dėl slapukų (cookies) įdiegimo yra tinkamas?

Apie visus naudojamus slapukus (tiek būtinuosius, tiek kitus) interneto svetainės lankytojai turi būti tinkamai informuojami. Vienas iš informavimo apie slapukus būdų yra informacijos nurodymas svetainės privatumo politikoje arba atskiro slapukų politikos ar slapukų sąrašo pateikimas. Tačiau geroji praktika būtų slapukų valdymo įrankio įdiegimas. Slapukų įrankiai padeda tiek informuoti apie naudojamus slapukus, tiek surinkti reikiamus sutikimus.

Jeigu naudojami ne tik būtinieji, bet ir trečiųjų šalių (pavyzdžiui, Facebook „dalintis“ ar „mėgti“), sekimo ar analitiniai (kurie renka statistinę informaciją, pavyzdžiui, Google Analytics) slapukai, turi būti gauti lankytojų sutikimai dėl jų naudojimo. Slapukų negalima įdiegti remiantis teisėtu duomenų valdytojo interesu.

Sutikimas dėl slapukų turi atitikti BDAR numatytas sąlygas:

• Sutikimas duodamas laisva valia. Negalima naudoti slapukų sienų ar riboti prieigos prie tinklalapyje skelbiamos informacijos.
• Sutikimas turi būti konkretus ir nedviprasmiškas. Kiekvienai slapukų grupei (analitiniams, reklamos) reikia atskiro sutikimo.
• Lankytojas turi būti informuotas. Lankytojui reikia paaiškinti, kas yra slapukai, kokius duomenis jie renka bei jo teisę ir būdą atšaukti sutikimą.
• Sutikimas turi būti duotas aiškiais ir vienareikšmiais (aktyviais) veiksmais. Interneto tinklalapio lankytojui turi būti suteikta galimybė sutikti arba nesutikti. Galimybė nesutikti turi būti tokia pat paprasta, kaip ir sutikti. Jeigu leidžiama sutikti su visais slapukais, tai turi būti galimybė ir atsisakyti visų slapukų. Be to, tolesnis aktyvus interneto tinklalapio naršymas nereiškia, kad lankytojas sutiko su slapukais, tad jų negalima įdiegti.

Dar svarbu, kad slapukų sutikimų rinkimo ir atšaukimo įrankis veiktų, t. y. negalima įdiegti nebūtinų slapukų interneto tinklalapio lankytojo įrenginyje, kol jis / ji dar neišreiškė sutikimo, ar palikti slapukus po to, kai jis / ji atšaukė sutikimą.

Dažnai tenka girdėti verslo atstovų nusivylimą išgirdus, kad analitinius slapukus (pvz., Google Analytics) galima rinkti tik turint sutikimą. Suprantama, kad informacija apie lankytojus, jų elgesį interneto svetainėje jos valdytojui yra būtina, siekiant vertinti savo rezultatus, pasiūlyti paklausias prekes ar paslaugas ir pan. Galima tikėtis, jog ateityje, jeigu Europos Sąjungos valstybės narės ir institucijos sutars dėl E. privatumo reglamento (E-Privacy Regulation), reikalavimai gauti sutikimus dėl analitinių slapukų nebus reikalingi. Kol kas, norint išvengti baudų dėl BDAR pažeidimų, reikia rinkti vartotojų sutikimus visiems slapukams, išskyrus būtinus, o analitiniai prie jų nepriskiriami.

Publikaciją parengė teisininkė, duomenų apsaugos ekspertė Raminta Bučiūtė