I. VISPĀRĪGĀ INFORMĀCIJA
Sīkdatnes ir jebkāda veida datu kopas jeb mazi teksta faili, kas saglabāti ierīcē, piemēram, personālajā datorā, mobilajā ierīcē vai jebkurā citā ierīcē, kas var uzglabāt informāciju. Ar sīkdatnes palīdzību serveris var identificēt lietotāju, pārbaudot lietotāja atsūtīto sīkdatni.
Sīkdatnes pilda vairākas svarīgas funkcijas, tostarp saglabā informāciju par lietotāju un viņa iepriekšējām darbībām tīmekļa vietnē. Sīkdatnes saglabātā informācija var ietvert tādus personas datus kā: IP adresi, lietotājvārdu, unikālu identifikatoru vai e-pasta adresi. Tāpat sīkdatnes satur informāciju par valodas iestatījumiem, informāciju par ierīces veidu, kuru lietotājs izmanto tīmekļa vietnes pārlūkošanai, kā arī lietotāja ID (identifikators), reklāmu ID un citu izsekošanas tehnoloģiju ID.
Sīkdatnes var izmantot, piemēram, lai izsekotu tiešsaistes darbības ar iepirkumu grozu un precēm, izsekotu informācijai, kad tiešsaistes pieteikuma veidlapā ievadīta informācija, lai identificētu lietotāju, kad lietotājs piesakās bankas vai citiem tiešsaistes pakalpojumiem, lai palīdzētu tīmekļa vietnēm ātrāk ielādēt un pārraidīt informāciju tīklā.
Pakalpojumu sniedzēji sīkdatnes izmanto, lai iegūtu datus par lietotāja paradumiem, kā rezultātā ar lietotāju saistītie dati tiek izmantoti tādiem nolūkiem, kā piemēram, klientam pielāgota pakalpojuma piedāvāšana, klientam pielāgotu reklāmu rādīšana, esošā pakalpojuma pilnveidošana, jaunu produktu izstrāde u.c.
Digitālās attīstības priekšnosacījums ir gala lietotāja uzticība pakalpojuma sniedzējam, kas cita starpā nozīmē, ka pakalpojuma sniedzējam ir jāgarantē, ka tai skaitā, izmantojot sīkdatnes vai citus rīkus, ar kuru starpniecību var tikt novērots galalietotājs, tiek ievērotas lietotāja tiesības uz personas datu aizsardzību un privātās dzīves neaizskaramību.
Inspekcijas pārbaudes tvērums tika ierobežots ar šādu aspektu atbilstības noteikšanu:
1. tiek ievēroti nosacījumi sīkdatņu izmantošanai tīmekļa vietnē, tostarp tiek sniegta skaidra, visaptveroša informācija par sīkdatņu izmantošanu un tiek iegūta atbilstoša tīmekļa vietnes lietotāja piekrišana (Informācijas uzglabāšana abonenta vai lietotāja galiekārtā vai piekļuves iegūšana galiekārtā uzglabātajai informācijai ir atļauta tikai izpildoties abiem minētajiem nosacījumiem);
2. tiek ievērota Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 EK (Vispārīgā datu aizsardzības regula), Informācijas sabiedrības pakalpojumu likums, kas regulē sīkdatņu izmantošanu tīmekļa vietnēs.
Pārbaudīto komersantu atlase. Pārbaudē iekļauto 26 komersantu atlase ir veikta atbilstoši sekojošiem kritērijiem:
1. Latvijas Republikā reģistrēts, aktīvs uzņēmums;
2. uzņēmums ir iekļauts Lursoft statistikā “Uzņēmumi ar lielāko gada apgrozījumu 2020.gadā”;
3. uzņēmums veic preču un pakalpojumu tirdzniecību globālajā tīmeklī, izmantojot ekomerciju (ir internetveikals), kā arī piedāvāto preču un pakalpojumu būtība ļauj prezumēt, ka e-komercijas sadaļa uzņēmuma kopējā komercdarbībā ieņem būtisku lomu;
4. preces un pakalpojumi galvenokārt paredzēti fiziskām personām (uzskatāms, ka pakalpojums paredzēts fiziskām personām, ja uzņēmuma piedāvāto pakalpojumu vai tirgoto preču galvenais saņēmējs ir fiziskas personas).
II. KOPSAVILKUMS
Pārbaudes ietvaros tika analizēta sīkdatņu izmantošana 26 komersantu 29 tīmekļa vietnēs, konstatējot, vai:
a) tajās tiek apstrādātas sīkdatnes, kurām nepieciešams iegūt tīmekļa vietnes lietotāja piekrišanu;
b) ir nodrošināta atbilstoša piekrišanas iegūšana no tīmekļa vietnes lietotāja gadījumos, kad tās iegūšana ir obligāta;
c) atverot pārbaudāmo tīmekļa vietni tiek sniegta obligātā informācija par sīkdatņu izmantošanu (parādās informatīvais brīdinājuma logs (baneris) par sīkdatņu izmantošanu un tajā ir iekļauta nepieciešamā informācija);
d) tīmekļa vietnei ir pieejama sīkdatņu politika/lietošanas noteikumi un tajos ir iekļauta visa minimāli nepieciešamā informācija saistībā ar sīkdatņu izmantošanu, kura norādāma papildus sākotnēji sniegtajai informācijai;
e) tīmekļa vietnes lietotājam sniegtā informācija par veikto personas datu apstrādi ir skaidra un visaptveroša.
Vismazāk nepilnību Inspekcija ir atklājusi “d)” kritērija izpildē, kurš noteic, ka tīmekļa vietnei ir pieejama sīkdatņu politika/lietošanas noteikumi un tajos ir iekļauta visa minimāli nepieciešamā informācija saistībā ar sīkdatņu izmantošanu, kura norādāma papildus sākotnēji sniegtajai informācijai.
Visvairāk nepilnību Inspekcija ir atklājusi “b)” kritērija izpildē, kurš noteic, ka tīmekļa vietnei ir jānodrošina atbilstoša piekrišanas iegūšana no tīmekļa vietnes lietotāja gadījumos, kad tās iegūšana ir obligāta.
Pārbaudes metode.
Katra tīmekļa vietne tika pārbaudīta pirms tās apmeklējuma izdzēšot darbstacijā iepriekš uzstādītās sīkdatnes, lai pārliecinātos, vai konkrētā komersanta tīmekļa vietnē sniegtā informācija (piemēram, informatīvajā brīdinājuma logā un sīkdatņu politikā/lietošanas noteikumos) tīmekļa vietnes lietotājam atbilst faktiskajiem apstākļiem (vai arī tīmekļa vietnē tiek uzstādīts vairāk sīkdatņu kā norādīts).
Pirmreizējā tīmekļa vietnes apmeklējuma laikā tika pārbaudīta sniegtās informācijas pieejamība, uztveramība un tās atbilstība faktiskajai situācijai. Tika identificēti komersantu izmantotie sīkdatņu tipi (pirmās personas sīkdatne, trešās personas sīkdatne), kā arī norādītie sīkdatņu izmantošanas nolūki, balstoties uz šo informāciju tika noteikts, kuru sīkdatņu izmantošanai nepieciešams iegūt piekrišanu, un vai tas paveikts atbilstoši normatīvajos aktos noteiktajam.
Izvērtējot 26 komersantu, kuri nodarbojas ar e-komerciju, 29 tīmekļa vietnes konstatēts turpmāk norādītais.
Pārbaudes ietvaros konstatēts, ka 4 gadījumos, atverot tīmekļa vietni, neizlec informatīvais brīdinājuma logs (baneris) par sīkdatņu izmantošanu, kaut arī tiek izmantotas sīkdatnes, kurām nepieciešams iegūt tīmekļa vietnes lietotāja piekrišanu (piemēram, analītiskās sīkdatnes, reklāmas sīkdatnes u.c.).
Vismaz 7 gadījumos konstatēts, ka ir uzstādītas sīkdatnes pirms tīmekļa vietnes lietotāja piekrišanas iegūšanas (piemēram, analītiskās sīkdatnes, mārketinga sīkdatnes u.c.), kuras nemaz nav attiecināmas uz piekrišanas saņemšanas izņēmuma gadījumiem.
Konstatēts, ka 25 gadījumos tikai daļēji tiek iegūta atbilstoša piekrišana no tīmekļa vietnes lietotāja, savukārt 4 gadījumos uzskatāms, ka piekrišana netiek iegūta pilnībā, jo tostarp tīmekļa vietnē nemaz nav izveidots informatīvais brīdinājuma logs (baneris) par sīkdatņu izmantošanu tās sniegšanai.
6 gadījumos, atverot konkrētās e-komercijas tīmekļa vietni, izlec informatīvais brīdinājuma logs (baneris) par sīkdatņu izmantošanu un tajā ir iekļauta nepieciešamā informācija. Turklāt 19 gadījumos tajos ietverta tikai daļa no nepieciešamās informācijas.
Tāpat konstatēts, ka 2 gadījumos no 29 tīmekļa vietnēm nav sīkdatņu politikas/lietošanas noteikumu. 15 tīmekļa vietņu sīkdatņu politikā/lietošanas noteikumos ir iekļauta tikai daļa no obligāti iekļaujamās informācijas pa nepieciešamajiem veidiem saistībā ar sīkdatņu izmantošanu. Tikai 1 gadījumā uzskatāms, ka ir nodrošināta pilnīga kritērija, ka tīmekļa vietnes lietotājam ir sniegta skaidra un visaptveroša informācija, izpilde. Pārējos gadījumos kritērijs izpildīts tikai daļēji.
Pārbaudes ietvaros konstatēts, ka tīmekļa vietņu prakse,sniedzot lietotājiem informāciju attiecībā uz sīkdatņu izmantošanu, ir ļoti atšķirīga – dažas tīmekļa vietnes sniedz ļoti detalizētu un plašu informāciju par izmantotajām sīkdatnēm, bet citas sniedza maz vai vispārēju informāciju par sīkdatņu izmantošanas niansēm.
Kopumā visās pārbaudītajās 26 komersantu tīmekļa vietnēs (29 tīmekļa vietnes) ir konstatēta vismaz 1 vai vairākas neatbilstības izvirzītajiem kritērijiem par sīkdatņu uzstādīšanas un izmantošanas prasībām informācijas iegūšanai, un komersantiem ir nepieciešams veikt pasākumus, lai nodrošinātu sīkdatņu izmantošanu atbilstoši normatīvajā regulējumā noteiktajām prasībām.
Pamatojoties uz minēto, secināms, ka atsevišķos gadījumos nav ievērota Vispārīgā datu aizsardzības regula un Informācijas sabiedrības pakalpojumu likums, kas regulē sīkdatņu izmantošanu tīmekļa vietnēs, un ir nepieciešams veikt labojumus, lai nodrošinātu sīkdatņu izmantošanu tajās atbilstoši normatīvajā regulējumā noteiktajām prasībām.
III. PĀRBAUDES REZULTĀTI
Detalizētāki Inspekcijas novērojumi, secinājumi un ieteikumu rezultātā izvirzītie nepieciešamie uzlabojumi atbilstoši vērtēšanas kritērijiem.
3.1. Vai tīmekļa vietnē vispār tiek apstrādātas sīkdatnes, kurām nepieciešams iegūt tīmekļa vietnes lietotāja piekrišanu?
Novērojumi.
Inspekcija ir konstatējusi, ka visās 29 norādītajās tīmekļa vietnēs tiek izmantotas sīkdatnes, kurām nepieciešams iegūt tīmekļa vietnes lietotāja piekrišanu (piemēram, analītiskās sīkdatnes, reklāmas sīkdatnes u.c.).
Secinājumi un ieteikumi.
Tīmekļa vietnēs ir jāievēro normatīvo aktu prasības saistībā ar sīkdatņu izmantošanu, proti, tostarp jāsniedz skaidra, visaptveroša informācija par sīkdatņu izmantošanu un jāiegūst atbilstoša tīmekļa vietnes lietotāja piekrišana.
3.2. Vai tīmekļa vietnē tiek nodrošināta atbilstoša piekrišanas iegūšana no tīmekļa vietnes lietotāja gadījumos, kad tās iegūšana ir obligāta?
Novērojumi.
E-privātuma direktīvas 2.panta f) apakšpunktā norādīts, ka “lietotāja vai abonenta “piekrišana”” atbilst datu subjekta piekrišanai Direktīvā 95/46/EK. E-privātuma direktīvas 17.apsvērumā skaidrots “Šajā direktīvā jēdzienam lietotāja vai abonenta piekrišana, neatkarīgi no tā, vai tas ir fiziska vai juridiska persona, jābūt tādai pašai nozīmei, kāda tā ir jēdzienam informācijas objekta piekrišana, kā noteikts un precizēts Direktīvā 95/46/EK. Piekrišanu var
sniegt ar jebkuru pienācīgu metodi, kas ļauj lietotājam brīvi sniegt konkrētu un informētu norādi par savu vēlmi, tostarp atzīmēšanu ar ķeksīti interneta tīmekļa vietnē.”
Ievērojot Vispārīgās datu aizsardzības regulas 94.pantā noteikto, ka atsauces uz atcelto direktīvu 95/46/EK uzskata par atsaucēm uz šo regulu, uzskatāms, ka E-privātuma direktīvas transponējošo tiesību aktu kontekstā jēdziens “piekrišana” ir analogs Vispārīgās datu aizsardzības regulas 4.panta 11.punktā definētajam “piekrišanas” jēdzienam.
Saskaņā ar Vispārīgās datu aizsardzības regulas 4.panta 11.punktu datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei. Līdz ar to piekrišana ir jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu.
Tāpat jāpievērš uzmanība Vispārīgās datu aizsardzības regulas 32.apsvērumam, kurš noteic, ka piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu.
Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei.
Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts.
25 gadījumos tikai daļēji tiek iegūta atbilstoša piekrišana no tīmekļa vietnes lietotāja, savukārt 4 gadījumos uzskatāms, ka piekrišana netiek iegūta pilnībā.
Tīmekļa vietnēm jānodrošina, ka ir saņemta atbilstoša tīmekļa vietnes lietotāja piekrišana, ievērojot to, ka piekrišana ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta (abonenta/lietotāja) vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei.
Jāievēro, ka informatīvajā brīdinājuma logā lietotājam ir jānodrošina iespēja “Piekrist” vai “Nepiekrist” sīkdatnēm, un jānorāda sadaļa, kur var iepazīties ar papildu informāciju par tīmekļa vietnē izmantotajām sīkdatnēm “Vairāk informācijas”. Konstatēts, ka visās 29 pārbaudītajās tīmekļa vietnēs ir uzstādītas sīkdatnes, kurām tostarp nepieciešams iegūt tīmekļa vietnes lietotāja piekrišanu, tomēr 13 gadījumos informatīvais brīdinājuma logs (baneris) nemaz nesatur opcijas “Piekrist” vai “Nepiekrist” sīkdatnēm. Turklāt 4 gadījumos, atverot tīmekļa vietni, vispār neizlec informatīvais brīdinājuma logs (baneris) par sīkdatņu izmantošanu.
Papildus iepriekš minētajam, neizpildās arī citi nepieciešamie kritēriji piekrišanas sniegšanai, jo, piemēram, teksta noformējums “pamudina” lietotāju pieņemt sīkdatnes, nevis tās noraidīt.
Savukārt jautājumā par izmantotajiem piekrišanas rīkiem konstatēts, ka praksē tiek izmantots risinājums sīkdatņu informatīvajā logā (banerī) izceļot pogu/as “Apstiprināt visu”, “Apstiprināt visu un aizvērt”, “Atļaut visus sīkfailus” u.tml. vai vienkārši iekļauta un izcelta tikai poga sīkdatņu apstiprināšanai. Tie uzskatāmi par sliktās prakses piemēriem.
Tāpat komersantiem jānodrošina, ka piekrišana sniegta ar jebkuru pienācīgu metodi, kas ļauj lietotājam brīvi sniegt konkrētu un informētu norādi par savu vēlmi, tostarp atzīmēšanu ar ķeksīti interneta tīmekļa vietnē. 13 gadījumos uzskatāms, ka piekrišana nav sniegta ar pienācīgu metodi, kas ļauj tīmekļa vietnes lietotājam brīvi sniegt konkrētu un informētu norādi par savu vēlmi, jo informatīvais brīdinājuma logs (baneris) tīmekļa vietnē tostarp nesatur izvēles atzīmēšanu ar ķeksīti.
Attiecībā uz piekrišanas iegūšanu no nepilngadīgām personām, konstatēts, ka pārbaudīto tīmekļa vietņu mērķauditorija nav nepilngadīgas personas, līdz ar to neatbilstības nav konstatētas.
Komersantiem jānodrošina atsaucama piekrišana, proti, tīmekļa vietnes lietotājs var jebkurā laikā atsaukt savu piekrišanu tikpat viegli, kā to sniedzis. Šim nolūkam tīmekļa vietnē ir jānorāda informācija par to, kā atsaukt piekrišanu un noņemt sīkdatnes. Pārbaudes ietvaros konstatēts, ka 16 gadījumos jāmaina pārlūkprogrammas iestatījumi, lai atteiktos no sīkdatņu izmantošanas, taču lietotāja pārlūkprogrammas iestatījumi kā metode piekrišanas iegūšanai netiek uzskatīta par atbilstošu Vispārīgās datu aizsardzības regulas prasībām.
Vispārīgā datu aizsardzības regula nenosaka, ka piekrišanas sniegšana un atsaukšana vienmēr ir jāveic, izmantojot vienu un to pašu rīcību. Tomēr, ja piekrišana tiek iegūta, izmantojot elektroniskus līdzekļus un tikai ar vienu peles klikšķi, pavilkšanas žestu vai taustiņsitienu, datu subjektiem praksē ir jābūt iespējai tikpat viegli atsaukt šo piekrišanu. Kā jau norādīts iepriekš, 16 gadījumos atteikties no sīkdatnēm var tikai mainot pārlūkprogrammas iestatījumus, turklāt tas nebūtu uzskatāms par tikpat vienkāršu veidu kā piekrišanas sniegšana, piemēram, sniedzot piekrišanu, atzīmējot savu izvēli ar ķeksīti informatīvajā brīdinājuma logā (banerī).
Turklāt lietotāja pārlūkprogrammas iestatījumi kā metode piekrišanas iegūšanai netiek uzskatīta par atbilstošu Vispārīgās datu aizsardzības regulas prasībām.5 Vidusmēra tīmekļa vietnes lietotāji nav informēti par savu tiešsaistes darbību izsekošanu vai izsekošanas nolūkiem. Viņi ne vienmēr zina, kā izmantot pārlūkprogrammas iestatījumus, lai noraidītu sīkdatnes, pat ja šī informācija ir iekļauta privātuma politikā. Ir maldīgi uzskatīt, ka tīmekļa vietnes lietotāja bezdarbība skaidri un nepārprotami norāda uz viņa vēlmēm. Atbildību par sīkdatņu apstrādi nevar samazināt līdz lietotāja atbildībai par noteiktu piesardzības pasākumu neievērošanu pārlūkprogrammas iestatījumos.
Tāpat Inspekcija vērš uzmanību, ka, lai pārlūkprogrammas iestatījumi varētu sniegt informētu piekrišanu, nedrīkst pieļaut iespēju “apiet” lietotāja izvēli, iestatot pārlūkprogrammu. Tomēr praksē izdzēstās sīkdatnes var viegli “atjaunot” ar tā sauktajām zibatmiņas sīkdatnēm6 , ļaujot reklāmu tīkla nodrošinātājam turpināt tīmekļa vietnes lietotāja uzraudzību. Šādas tehnoloģijas pieejamība un arvien plašāka izmantošana liek apšaubīt iespēju ar pārlūkprogrammas iestatījumu starpniecību nodrošināt informētas un derīgas piekrišanas saņemšanu.
Līdz ar to pārlūkprogrammas iestatījumu piekrišana sīkdatņu saņemšanai vairumā gadījumu nozīmē, ka tīmekļa vietnes lietotāji pieņems turpmāku apstrādi, iespējams, nezinot sīkdatnes nolūkus vai lietojumus. Jebkāda veida piekrišana turpmākai apstrādei, nezinot ar apstrādi saistītos apstākļus, nevar būt spēkā esoša. Turklāt vidusmēra tīmekļa vietnes lietotāji nav informēti par savu tiešsaistes darbību izsekošanu vai izsekošanas nolūkiem. Viņi ne vienmēr zina, kā izmantot pārlūkprogrammas iestatījumus, lai noraidītu sīkdatnes, pat ja šī informācija ir iekļauta privātuma politikā. Ir maldīgi uzskatīt, ka tīmekļa vietnes lietotāja bezdarbība skaidri un nepārprotami norāda uz viņa vēlmēm. Atbildību par sīkdatņu apstrādi nevar samazināt līdz lietotāja atbildībai par noteiktu piesardzības pasākumu neievērošanu pārlūkprogrammas iestatījumos.
Kā labās prakses piemērs piekrišanas atsaukšanai: tīmekļa vietnē izveidota sadaļa, kura ir viegli pieejama, turklāt iespēja mainīt savu izvēli ar konkrētu sīkdatņu ieslēgšanas/izslēgšanas opciju ir lietotājam draudzīga.
Sīkdatņu informatīvie brīdinājuma logu (baneru) noformējums, kad pārzinis pieņems, ka lietotājs, turpinot lietot vietni, ir apmierināts ar sīkfailu (sīkdatņu) izmantošanu, ir plaši izplatīti, tomēr tā ir uzskatāma par nevēlamu praksi un tas liecina, ka komersantu vidū novērojams izpratnes trūkums par sīkdatņu izvietošanas regulējošo normatīvo aktu mērķiem un nolūkiem.
Papildus minētajam tiek vērsta uzmanība uz to, ka, piemēram, analītiskās sīkdatnes ļauj sīkdatņu pārvaldniekam sekot un analizēt lietotāju uzvedību vietnēs. Jebkura informācija, kas iegūta, izmantojot šāda veida sīkdatnes, tiek izmantota, lai novērtētu darbību jebkurā tīmekļa vietnē, lietojumā vai platformā ar nolūku ieviest uzlabojumus datu analīzē, kas attiecas uz lietotājiem sniegto pakalpojumu izmantošanu. Šajā kategorijā ietilpst arī sīkdatnes, kuras izmanto reklāmdevēji, novērojot lietotāja pārlūkošanas paradumus, tādējādi reklāmdevēji var pielāgot reklāmas atbilstoši lietotāja interesēm.
7 gadījumos ir uzstādītas sīkdatnes pirms tīmekļa vietnes lietotāja piekrišanas iegūšanas (piemēram, analītiskās sīkdatnes, mārketinga sīkdatnes u.c.), kuras nemaz nav attiecināmas uz piekrišanas saņemšanas izņēmuma gadījumiem. Tādējādi netiek nodrošināts, ka pirms analītisko sīkdatņu izmantošanas tiek nodrošināta Informācijas sabiedrības pakalpojumu likuma 7.1 panta pirmajai daļai atbilstošas piekrišanas no lietotājiem iegūšana.
17 tīmekļa vietnēs tiek izmantotas analītiskās sīkdatnes, mārketinga sīkdatnes vai reklāmas sīkdatnes, taču netiek iegūta tīmekļa vietnes lietotāja atbilstoša piekrišana.
1 gadījumā nav iespējams atteikties no analītiskajām sīkdatnēm. Automātiski atzīmēta izvēle, izmantojot ķeksīti tīmekļa vietnē (automātiski atzīmēts piekrišanas apstiprinājums). Konstatēts arī gadījums, kad automātiski ielikts ķeksītis pie statistikas sīkdatnēm, taču to var izņemt.
Vienlaikus norādāms, ja konkrētajā tīmekļa vietnē ir izmantotas tikai sīkdatnes, kurām nav nepieciešams sniegt piekrišanu (piemēram, nepieciešamās sīkdatnes; tehniskās sīkdatnes (saskaņā ar Informācijas sabiedrības pakalpojumu likuma 7.1 panta otro daļu), tad informatīvajā paziņojumā būtu ieteicams norādīt iemeslus, kāpēc nav nodrošināta iespēja “Nepiekrist” sīkdatnēm.
Tāpat konstatēts arī gadījums, kad sīkdatnes ir klasificētas, piemēram, kā “obligātās sīkdatnes”, taču pie nolūka minēts, ka konkrētā sīkdatne, piemēram, “apkopo informāciju par lietotāju vēlmēm un/vai mijiedarbību ar tīmekļa kampaņas saturu — to izmanto CRM kampaņas platformā, ko vietņu īpašnieki izmanto pasākumu vai produktu reklamēšanai”, līdz ar to secināms, ka tā būtībā neatbilst izņēmuma gadījumiem, kad tīmekļa vietne būtu atbrīvota no tā lietotāja piekrišanas iegūšanas sīkdatņu izmantošanai saskaņā ar E-privātuma direktīvu. Tādējādi secināms, ka pārbaudītie komersanti īsti neizprot kādi kritēriji noteic obligāti nepieciešamo sīkdatņu saturu un kādos gadījumos tīmekļa vietnes lietotāja piekrišanas iegūšana ir uzskatāma par obligātu.
Secinājumi un ieteikumi.
Jāapzina visas izmantotās sīkdatnes un jāizvērtē piekrišanas nosacījumu atbilstība Vispārīgas datu aizsardzības regulas 7.panta prasībām to sīkdatņu izmantošanai, kuru izmantošana pamatota ar tīmekļa vietnes lietotāja piekrišanu.
Komersantiem jāveic nepieciešamās korekcijas, kā arī turpmāk jāievēro, ka tostarp analītiskajām un mārketinga sīkdatnēm ir nepieciešama tīmekļa vietnes lietotāja piekrišana. Tāpat ir jānovērš gadījumi, kad tīmekļa vietnēs sīkdatnes, kuras tiek izmantotas balstoties uz tīmekļa vietnes apmeklētāja piekrišanu, tiek uzstādītas pirms piekrišanas iegūšanas.
Tāpat komersantiem ir jāveic padziļināta izpēte par to, kādas sīkdatnes ir klasificējamas kā “obligāti nepieciešamās” u.tml., un vai tās atbilst izņēmuma gadījumiem par lietotāja piekrišanas neiegūšanu.
3.3. Vai atverot pārbaudāmo tīmekļa vietni tiek sniegta obligātā informācija par sīkdatņu izmantošanu (parādās informatīvais brīdinājuma logs (baneris) par sīkdatņu izmantošanu un tajā ir iekļauta nepieciešamā informācija)?
Atverot konkrētās e-komercijas tīmekļa vietni, jāizlec informatīvajam brīdinājuma logam (banerim) par sīkdatņu izmantošanu un tajā jāiekļauj nepieciešamā informācija. Pirmajā slānī (informatīvajā brīdinājumā) jāiekļauj šāda informācija:
1. pārziņa nosaukums. Pārzini nav nepieciešams identificēt pēc uzņēmuma nosaukuma, ja pārziņa identifikācijas dati ir norādīti citās tīmekļa vietnes sadaļās (sadaļā “Par uzņēmumu”, “kontaktinformācija”, utt.). Vai arī, ja pārziņa identitāti var skaidri nolasīt no domēna adreses (domēna vārds ir tāds pats kā pārziņa nosaukums vai preču zīme, ar kuru to pazīst plašākā sabiedrībā, vai, ja šāds nosaukums vai preču zīme ir skaidri norādīti vietnē);
2. vietnē izmantoto sīkdatņu nolūku noteikšana;
3. informācija par to, vai izmantotās sīkdatnes ir tikai pirmās puses (pārziņa) sīkdatnes vai arī trešo pušu sīkdatnes;
4. vispārīga informācija par datu veidu, kas tiek apkopots un izmantots, ja tiek veikta lietotāju profilēšana (piemēram, ja tiek izmantotas analītiskās sīkdatnes);
5. veids, kādā lietotāji var pieņemt, iestatīt un noraidīt sīkdatņu lietošanu;
6. skaidri redzama saite, kas savieno ar otro informatīvo līmeni, kurā ir detalizētākā informācija, piemēram, “Sīkdatņu politika” vai “Noklikšķiniet šeit, lai iegūtu vairāk informācijas”. Šo pašu saiti var izmantot, lai novirzītu lietotājus uz sīkdatņu iestatīšanas paneli, ja šāda piekļuve iestatīšanas panelim tiek veikta tieši (lietotājiem nav jāpārlūko otrais informācijas slānis, lai to atrastu).
6 gadījumos no 29 informatīvajā brīdinājuma logā (banerī) ir iekļauta nepieciešamā informācija. 10 tīmekļa vietnēs informatīvajā brīdinājuma logā (banerī) ir ietverta tikai saite uz sīkdatņu izmantošanas noteikumiem. 1 gadījumā nav ietverta informācija par to, vai izmantotās sīkdatnes ir tikai pirmās puses (pārziņa) sīkdatnes vai arī trešo pušu sīkdatnes. Turklāt 3 gadījumos informatīvajā brīdinājuma logā (banerī) nav iekļauta saite, kas savieno ar otro informatīvo līmeni, kurā ir detalizētākā informācija, no kuriem vienā gadījumā, atverot saiti ar papildu informāciju, lietotājs tiek novirzīts uz brīvās enciklopēdijas “Vikipēdija” tīmekļa vietni (https://lv.wikipedia.org/wiki/S%C4%Abkdatne ).
Konstatēts gadījums, kad nav ietverta saite uz atsevišķo sadaļu, kur ir papildu informācija, tomēr tīmekļa vietnē ir pieejami sīkdatņu noteikumi.
Tika konstatēts arī gadījums, kad tīmekļa vietnē iespējams aizvērt brīdinājuma logu ar krustiņu, līdz ar to uzskatāms, ka tādējādi lietotājs neizdara izvēli attiecībā uz sīkdatņu izmantošanu tīmekļa vietnē, kurām nepieciešams sniegt atbilstošu piekrišanu. Prakse aizvērt brīdinājuma logu ar krustiņu izmantota arī atsevišķos gadījumos, kad tiek nodrošināta iespēja tikai piekrist sīkdatņu izmantošanai.
25 tīmekļa vietnēs bija iespējams izmantot tīmekļa vietni bez informatīvā brīdinājuma loga (banera) apstiprināšanas, tādējādi nesaņemot atbilstošu piekrišanu no tīmekļa vietnes lietotāja sīkdatņu izmantošanai.
Konstatēti arī salīdzinoši veiksmīgi labās prakses piemēri, kad tīmekļa vietne pārredzami ir norādījusi nepieciešamo informāciju.
Secinājumi un ieteikumi.
Komersantiem tīmekļa vietnēs jānodrošina, ka visos gadījumos, kad tiek izmantotas sīkdatnes, kurām nepieciešams iegūt tīmekļa vietnes lietotāja piekrišanu, atverot tīmekļa vietni izlec informatīvais brīdinājuma logs (baneris) par to izmantošanu un tajā ir iekļauta visa nepieciešamā informācija. Jāievēro princips, lai tie nepamudinātu lietotāju pieņemt sīkdatnes, nevis tās noraidīt. Vienlaikus jānodrošina iespēja “Piekrist” vai “Nepiekrist” sīkdatnēm, ja netiek konstatēts piekrišanas saņemšanas izņēmuma gadījums.
3.4. Vai tīmekļa vietnei ir pieejama sīkdatņu politika/lietošanas noteikumi un tajos ir iekļauta visa minimāli nepieciešamā informācija saistībā ar sīkdatņu izmantošanu, kura norādāma papildus sākotnēji sniegtajai informācijai?
Novērojumi.
Tīmekļa vietnē jābūt pieejamai sīkdatņu politikai/lietošanas noteikumiem un tajos jāiekļauj informācija saistībā ar sīkdatņu izmantošanu:
1. sīkfailu (sīkdatņu) definīcija un vispārējā funkcija;
2. informācija par izmantoto sīkfailu (sīkdatņu) veidiem un to nolūkiem;
3. jāidentificē sīkdatņu saņēmēji;
4. informācija kā apstiprināt, atteikties vai atsaukt piekrišanu sīkdatņu izmantošanai.
5. informācija par sīkdatņu glabāšanas laikposmu;
6. attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju un
7. informācija par profilēšanu, ja tā ir saistīta ar automatizētu lēmumu pieņemšanu, kas var ievērojami ietekmēt lietotājus).
2 gadījumos tīmekļa vietnēm nav sīkdatņu politikas/lietošanas noteikumu. 1 gadījumā nav ietverta sīkfailu (sīkdatņu) definīcija un vispārējā funkcija. 3 gadījumos konstatēts, ka nav identificēti sīkdatņu saņēmēji un 3 gadījumos nav informācijas kā apstiprināt, atteikties vai atsaukt piekrišanu sīkdatņu izmantošanai. 2 tīmekļa vietnēs nebija skaidri atspoguļota informācija par tiesību atsaukt piekrišanu īstenošanas procedūru. Turklāt 16 tīmekļa vietnēs konstatēts, ka sīkdatņu politikā/lietošanas noteikumos nav informācijas par sīkdatņu glabāšanas laikposmu.
7 gadījumos tikai daļēji ietverta informācija par izmantoto sīkfailu (sīkdatņu) veidiem un to nolūkiem un identificēti sīkdatņu saņēmēji. 5 gadījumos daļēji ietverta informācija par sīkdatņu glabāšanas laikposmu.
3 gadījumos atzīstams, ka tīmekļa vietnes lietotājam tiek sniegta nepieciešamā informācija, tomēr tā ir iekļauta informatīvajā brīdinājuma logā vai sīkdatņu politikā/lietošanas noteikumos, nevis vienuviet. Minētais netika uzskatīts par būtisku pārkāpumu, ja informācija ir atverama un viegli salasāma vienlaikus, pirms izvēles par piekrišanas sniegšanu sīkdatnēm veikšanas.
Praksē tiek izmantots risinājums, ka pilnīgas informācijas iegūšanai ir jāatver saite uz sīkdatņu izmantošanas noteikumiem (nepieciešamā informācija iekļauta vai nu banerī, vai sīkdatņu politikā/lietošanas noteikumos), tomēr vismaz 1 gadījumā, fonā atveroties jaunam logam, to aizsedz informatīvais brīdinājums logs (baneris), līdz ar to informācija nav pietiekami salasāma.
Tāpat vairākos gadījumos konstatēts, ka sīkdatņu politikā/lietošanas noteikumos ir iekļauta tikai neliela daļa no tajos obligāti norādāmās informācijas.
Secinājumi un ieteikumi.
Komersantiem jānodrošina, ka sīkdatņu politika/lietošanas noteikumi vienmēr ir viegli pieejami, lai tīmekļa vietnes lietotājs var vienuviet iepazīties ar visu nepieciešamo informāciju. Minētais jānodrošina pirms sīkdatņu akceptēšanas vai noraidīšanas. Informācijai ir jābūt pilnīgai, salasāmai un viegli uztveramai. Tāpat šiem dokumentiem ir jābūt precīziem un regulāri atjauninātiem.
3.5. Vai tiek izpildīts kritērijs, ka tīmekļa vietnes lietotājam sniegtā informācija par veikto personas datu apstrādi ir skaidra un visaptveroša?
Novērojumi.
Tāpat ikvienam pārbaudītajam komersantam jāievēro kritērija, ka tīmekļa vietnes lietotājam ir sniegta skaidra un visaptveroša informācija, izpilde. Jānodrošina, ka informācija ir lakoniska un saprotama; lietotā valoda ir vienkārša un uztverama; ir pārredzams informācijas pasniegšanas veids; visaptveroša informācija par sīkdatnēm nozīmē, ka informācijai, kas tiek sniegta, lai saņemtu piekrišanu no lietotāja, jābūt tādai, pēc kuras lietotāji varētu saprast sīkdatņu paredzētos nolūkus un izmantošanas nepieciešamību.
Tikai 1 gadījumā konstatēts, ka ir nodrošināta pilnīga kritērija, ka tīmekļa vietnes lietotājam ir sniegta skaidra un visaptveroša informācija, izpilde. Pārējos gadījumos kritērijs izpildīts tikai daļēji, līdz ar to tiek būtiski ietekmēts arī atbilstošas piekrišanas iegūšanas priekšnosacījums.
8 gadījumos atzīstams, ka sīkdatņu lietošanas noteikumos ir iekļauta vismaz minimāli nepieciešamā informācija. Vienlaikus 6 gadījumos no 29 informatīvajā brīdinājuma logā (banerī) ir iekļauta nepieciešamā informācija.
Vismaz 4 gadījumos konstatēts, ka nav sniegta informācija par visām izmantotajām sīkdatnēm tīmekļa vietnē, tomēr tās faktiski tiek uzstādītas. Piemēram, vienā gadījumā informācija tiek sniegta tikai par 21 sīkdatni, taču faktiski tīmekļa vietnē ir atrodamas 77 sīkdatnes.
Tīmekļa vietnēs netiek nodrošinātas iespējas to lietotājiem saņemt visu nepieciešamo informāciju par sīkdatņu izmantošanu tajās, lai to sniegtā piekrišana būtu atbilstoša Vispārīgajai datu aizsardzības regulai.
Secināts, ka atsevišķos gadījumos nav ievērots pārredzamības princips, tādējādi pēc būtības nesniedzot arī Vispārīgās datu aizsardzības regulas 13.pantā norādīto informāciju. Kā veiksmīgs piemērs (atbilst arī dažu pārbaudīto komersantu tīmekļa vietnēs izmantotajam) būtu minēto informāciju iekļaut tabulā, izdalot vismaz 3 konkrētas sadaļas, proti, “Nosaukums”; “Nolūks”; “Glabāšanas termiņš”).
Rezultātā konstatēts, ka lielākajā daļā gadījumu ir izmantota salīdzinoši vienkārša valoda, kas vidusmēra tīmekļa vietnes lietotājam būtu pietiekami skaidri uztverama. Konstatēti arī gadījumi, kad lietotie termini varētu nebūt uzreiz saprotami, piemēram, sadaļā “Kādas sīkdatnes mēs izmantojam” norādīts sīkdatnes nosaukums “_xpid_1883” un izskaidrojums “Xtremepush”, tādējādi lietotājam nav sniegta pietiekama informācija, pēc kuras būtu saprotams, kas tā ir par sīkdatni un konkrētās sīkdatnes veids un nolūks. Papildus informācija atsevišķos gadījumos norādīta citur kopējā tekstā, taču, Inspekcijas ieskatā, būtu nepieciešams informāciju sasaistīt.
Tāpat konstatēts, ka atsevišķos gadījumos nav informācijas par konkrētiem apstrādes nolūkiem, kā arī sniegtā informācija ir vispārīga, tādējādi paverot iespējas to plašāk interpretēt, kas nav pieļaujams.
Secinājumi un ieteikumi.
Tīmekļa vietnēm saprātīgā termiņā jāveic atbilstošas korekcijas un jānodrošina skaidras un visaptverošas informācijas sniegšana tās lietotājam, tostarp ievērojot šajā ziņojumā konstatētās neatbilstības pārbaudīto komersantu darbībā.
Cookie | Duration | Description |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |