Nemokamas webinaras. Slapukų naudojimo galimybės ir ribos

Tikriausiai esate girdėję apie slapukus arba bent jau matę iškylantį langą, kuriame prašoma sutikti su jų naudojimu? Na, o jei dvejojate kas jie tokie, tuomet priminsime – slapukai, tai maži failai, kurie iš tam tikros svetainės perduodami lankytojo kompiuteriui. Jų pagrindinė funkcija yra padėti svetainės administratoriui atpažinti lankytojo kompiuterį ir matyti jo veiklą internete.

Kalbant apie slapukus iškyla begalė skirtingų klausimų. Vienas tokių, tai slapuko sutikimo reikalavimai. Pagal BDAR (Bendrojo duomenų apsaugos reglamento) reikalavimus, slapukų naudojimo sutikimas turi atitikti keletą pagrindinių kriterijų:

Laisvas sutikimas – asmuo turi turėti galimybę atsisakyti slapukų be jokių neigiamų pasekmių. Jei vartotojas jaučiasi priverstas sutikti, toks sutikimas nėra laikomas galiojančiu.
Konkretus sutikimas – jei renkami skirtingų tipų slapukai (pvz., analitiniai, rinkodaros), kiekvienam slapukų tipui turi būti gautas atskiras sutikimas.
Informuotas sutikimas – naudotojams turi būti aiškiai pateikta informacija apie slapukų naudojimą: kas yra duomenų valdytojas, kokia yra slapukų paskirtis, kokius duomenis jie renka ir kiek laiko jie bus saugomi.
Vienareikšmiškas sutikimo išreiškimas – sutikimas negali būti numanomas. Pavyzdžiui, vien tik tolesnis svetainės naudojimas nėra laikomas sutikimu. Naudotojas turi aktyviai žymėti varnelę ar spustelėti mygtuką, kad išreikštų savo pasirinkimą.
Sutikimo atšaukimo galimybė – naudotojams turi būti suteikta galimybė bet kada atšaukti savo sutikimą.

Tiems, kurie nepaiso šių kriterijų gali būti skirtos išties milžiniškos baudos, kaip antai Google buvo skirta 150 mln. eurų bauda už tai, kad vartotojai galėjo lengvai sutikti su slapukų naudojimu vienu mygtuku, tačiau atsisakymas buvo sudėtingesnis – reikėjo spausti kelis mygtukus. Inspektavimo institucijos pabrėžė, kad atsisakymas turėtų būti toks pat paprastas kaip ir sutikimas. Na, o štai Microsoft gavo 60 mln. eurų baudą už tai, kad slapukai buvo įdiegti dar prieš tai, kai vartotojas davė sutikimą.

Svarbu pabrėžti ir tai, jog neužtenka žinoti visus teisinius aspektus susijusius su slapukais, privaloma ir praktiškai visą tai įgyvendinti bei pasirinkti geriausius įrankius, praktikas slapukų valdymui.

Apie visą tai kalbame mūsų nuotoliniame seminare, kurį galite peržiūrėti žemiau. Jo metu atsakome į šiuos klausimus:

-Kokie yra teisiniai reikalavimai slapukų naudojimui?
-Kokia yra renkamų duomenų reikšmė organizacijai?
-Techninės galimybės naudojant slapukus.
-Reikšmingiausios baudos dėl slapukų naudojimo ir ko būtų galima pasimokyti.
-Dažniausiai daromos klaidos. Kaip jų išvengti?

Renginio pranešėjai: Remigijus Kuliešius – „Raibec“ skaitmeninės rinkodaros agentūros vadovas ir Raminta Girtavičiūtė – advokatų kontoros „Motieka & Audzevičius“ duomenų apsaugos teisininkė.

<br />

Turite iššūkių dėl slapukų politikos atitinkant BDAR?

Esame įdiegę ir sudėtingas sistemas apimant slapukų politikos valdymą tarptautiniuose tinklalapiuose kartu tarp savitarnos sistemų, iOS ar Android aplikacijų. Vieno vartotojo sutikimo užtenka visoms priemonėms kurias valdo organizacija.

Žinome reikalavimus skirtingose rinkose. Suprantame kiek tai svarbu Jūsų reklaminių kampanijų Google Ads, Meta ar kitose platformose efektyvumui.

Pasinaudokite proga gauti mūsų patirtį.

Susisiekit

Atsakymai į klausimus užduotus seminaro metu

1. Slapukų sutikimas ir naudotojų teisės

Ar slapukai gali būti renkami teisėto intereso pagrindu?

Tam tikrais atvejais taip.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Ar yra kažkoks sutikimo galiojimo terminas, ar sutikimo reikia prašyti kiekvieną kartą vartotojui lankantis svetainėje?

BDAR nenustatyta konkretaus termino, kaip ilgai galioja sutikimas. Jo galiojimo laikas priklauso nuo aplinkybių, iš pradžių duoto sutikimo apimties ir duomenų subjekto lukesčių. Jei duomenų tvarkymo operacijos reikšmingai pakinta arba yra praplečiamos, pradinis sutikimas nebegalioja. Tokiu atveju reikia gauti naują sutikimą.

Rekomenduojama atnaujinti sutikimą tinkamais intervalais.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Koks įrašas apie sutikimo davimo faktą laikomas įrodymu? Kaip galima įrodyti jo tikrumą?

CMP (Consent Management Platform) kaupia tokius sąrašus pagal kliento ID. Kai klientas suteikia arba atsisako sutikimo, jam priskiriamas unikalus ID. Remiantis šiuo ID, sistema saugo duomenis apie kliento sprendimą bei jo priėmimo laiką. Jei klientas pateikia skundą ar tarnyba atlieka patikrinimą, organizacija turi teisę paprašyti kliento ID, kad galėtų ištraukti ir pateikti jo pasirinkimus iš CMP platformoje saugomo sąrašo.

Remigijus Kuliešius | RAIBEC CEO

Kokia forma turi būti pateiktas prašymas panaikinti sutikimą?

Sutikimo panaikinimo nereikia papildomai prašyti. BDAR teisinis reglamentavimas numato, kad galimybė atsisakyti sutikimo rinkti ir naudoti duomenis turi būti tokia pat lengvai prieinama, kaip ir sutikimo pateikimas. Tai reiškia, kad vartotojas, davęs sutikimą tinklalapyje, bet kada turi aiškiai matyti, kur ir kaip jį pakeisti.

Paprastai ši galimybė suteikiama per privatumo politikos puslapį arba specialią ikoną, matomą visuose tinklalapio puslapiuose. Per ją vartotojas gali pasiekti savo išreikštą sutikimą ir lengvai jį atšaukti ar pakeisti.

PVZ: Paspaudus šią ikoną galima pakeisti savo sutikimą

Svarbu užtikrinti, kad galimybė atšaukti sutikimą nebūtų apsunkinta. Manipuliavimas vartotojo neišmanymu ar sudėtingų sprendimų reikalavimas gali būti traktuojamas kaip BDAR pažeidimas. Negalite tiesiog informuoti vartotojo, kad sutikimą galima atšaukti naršyklės nustatymuose – tai nėra pakankamai aiškus ir lengvas būdas atsisakyti sutikimo.

Remigijus Kuliešius | RAIBEC CEO

Ar svetainės valdytojas turi teisę neleisti naudotis svetaine, jei vartotojas neišreiškė sutikimo arba nesutikimo naudotis slapukais?

Ne, tokios teisės duomenų valdytojas neturi.

Tais atvejais, kai svetainėje yra naudojami būtinieji slapukai, vartotojo sutikimo nereikia.

Remigijus Kuliešius | RAIBEC CEO

Ar teisiškai teisinga, jei yra sutikimas su visais ir atsisakymas visų (t.y. du tokie mygtukai arba viskam ir kryžiukas), bet jeigu nori pasirinkti tik kažkuriuos, tada turi pasirinkti detaliau ir sudėlioti varneles?

Dviejų mygtukų „Sutinku su visais“ ir „Nesutinku“ naudojimas nėra BDAR pažeidimas, jei vartotojui taip pat suteikiama aiški ir lengvai pasiekiama galimybė pasirinkti, su kuriais duomenų tvarkymo tikslais jis sutinka.

Jeigu vartotojas gali laisvai pasirinkti, su kuriais tvarkymo tikslais sutinka, ir tai nėra apsunkinta, toks sprendimas atitinka BDAR reikalavimus.

Remigijus Kuliešius | RAIBEC CEO

2. Slapukų politika, valdymas ir techninė įgyvendinimo pusė

Kaip pažiūrėti, kokius slapukus konkretus internetinis puslapis naudoja? Pasitikrinti, ar nurodo informaciją apie visus, kuriuos iš tikrųjų naudoja?

Google Chrome naršyklėje yra įrankis „Developer Tools“, kurį galima rasti per naršyklės meniu:
⠇ -> More Tools -> Developer Tools.

Šiame įrankyje, skiltyje „Application“, pasirinkus „Cookies“ ir tinklalapio adresą, galima peržiūrėti visus slapukus, kuriuos surinko tinklalapis.

Svarbu: Visi šie slapukai turi būti aiškiai išvardinti tinklalapio privatumo arba slapukų politikos puslapyje. Jame būtina nurodyti: Kokie slapukai renkami; Kokioms šalims jie perduodami; Kiek laiko jie saugomi; Kam jie naudojami; Bet kokią kitą reikšmingą informaciją apie jų naudojimą. Tai užtikrina skaidrumą ir atitiktį BDAR reikalavimams.

Remigijus Kuliešius | RAIBEC CEO

Dėl būtinųjų slapukų ar reikia atlikti teisėtų interesų balanso testą?

Svarbu pažymėti, jog būtinieji slapukai gali būti renkami ne tik teisėto intereso pagrindu, bet ir, pvz., kai tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį.

Tuo atveju, jei duomenų valdytojas nori remtis teisėtu interesu kaip duomenų tvarkymo teisiniu pagrindu, jis turi atlikti teisėto intereso vertinimo testą. Net ir atlikus teisėto intereso vertinimo testą, yra tikimybė, kad duomenų valdytojo interesai nebus pripažinti kaip viršesni už duomenų subjekto teises, ir šiuo pagrindu duomenų valdytojas negalės remtis.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Kokie slapukai skaitosi būtini, kuriems sutikimo nereikia?

Tie be kurių tinkamai neveiktų tinklalapis.

Remigijus Kuliešius | RAIBEC CEO

O jeigu visas puslapis yra tik anglų kalba, ar būtina turėti lietuvišką slapukų politiką ir visas politikas bei patį puslapį būtina turėti ir LT kalba (nors klientų lietuvių nėra arba mažuma)?

Vertimas į vieną ar daugiau kalbų turėtų būti pateikiamas tais atvejais, kai duomenų valdytojo veikla yra orientuota į tomis kalbomis kalbančius duomenų subjektus. Jei duomenų subjektai yra tik pavieniai, vertimo galima ir neteikti.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Ir slapukų sutikimų rinkimo skydelis ir privatumo politika ir visi su tuo susiję aprašymai tinklalapyje turi būti pateikta visomis tinklalapyje esančiomis kalbomis.

Remigijus Kuliešius | RAIBEC CEO

Ar interneto svetainėje turi būti du atskiri dokumentai talpinami – privatumo politika ir slapukų politika, ar gali būti bendra privatumo politika, kurioje aprašyta viskas?

Reikalavimo informaciją pateikti viename dokumente nėra. Vis dėlto, duomenų subjektams reikia pateikti ne tik išsamią BDAR reikalaujamą informaciją, bet, ir ją pateikti glausta, skaidria, suprantama ir lengvai prieinama forma. Dėl šios priežasties informaciją patalpinus į skirtingus pranešimus, gali būti lengviau įgyvendinti suprantamumo reikalavimą.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Jeigu tinklalapyje renkamų slapukų kiekis yra nedidelis arba renkami tik būtinieji slapukai, praktikoje slapukų politika ir pats slapukų sąrašas dažniausiai būna integruotas privatumo politikoje.

Naudojant CMP slapukų sąrašas dažniausiai generuojamas ir įterpiamas į slapukų politiką ar privatumo politiką pačios CMP platformos. Taip užtikrinamas šviežias ir tikslus slapukų sąrašas su jų aprašymais, paskirtimi, saugojimo laikotarpiu.

Remigijus Kuliešius | RAIBEC CEO

Nors tema yra apie slapukų valdymą, ar yra tokių CMP, kurios valdytų ne tik slapukų sutikimus, bet ir kitus sutikimus, pvz., tiesioginės rinkodaros sutikimus?

Tiesioginės rinkodaros sutikimus paprastai valdo pačios priemonės skirtos tiesioginei rinkodarai vykdyti. CMP gali būti naudojama ir tiesioginės rinkodaros sutikimams rinkti ir valdyti.

Remigijus Kuliešius | RAIBEC CEO

Užsakant svetainės sukūrimo paslaugą, kokį paslaugų sutarties tekstą rekomenduotumėte įtraukti, siekdami patikimai užtikrinti tinkamą slapukų naudojimą tiekėjo sukurtoje svetainėje?

Informacinis pranešimas ir sutikimas dėl slapukų naudojimo turėtų būti individualus. Pranešimo ir sutikimo formos turinys, visų pirma, gali priklausyti nuo to, ar bendrovė renka tik būtinuosius, ar ir kitus slapukus ir pan.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Tiekėjai kurdami svetainę praktiškai visuomet naudojasi trečiųjų šalių priemonėmis ir jie negali atsakyti už slapukus naudojamus tinklalapyje. Trečios šalys slapukus bet kada gali atnaujinti tinklalapio gyvavimo metu ir tinklalapio kūrėjas apie tai gali net nesužinoti. Tinklalapyje įdiegtas Meta Chat arba bet kokio gamintojo DI konsultantas naudoja savo slapukus ir juos bet kada gali atnaujinti. Google Analytics statistika įdiegta į tinklalapį taip pat gali bet kada atnaujinti savo slapukų naudojimą. Google Analytics parametrų pakeitimas gali pakeisti slapukų saugojimo laikotarpius. Pakeitus reikia atnaujinti informaciją slapukų politikoje.

Remigijus Kuliešius | RAIBEC CEO

Yra begalės svetainių, kurios nesuteikia galimybės nesutikti su slapukais, tai vadinasi jos yra BDAR pažeidėjas?

Tuo atveju, jei slapukai nėra būtinieji, teisės nesutikti nesuteikimas būtų laikomas BDAR pažeidimu.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

O kaip yra su Cookie Pings? Jis krauna slapukus, bet nepateikia visų duomenų?

Cookie Ping lygiai taip pat gali naudoti duomenis kurie identifikuoja patį vartotoją, vartotojų profiliavimui, reinkodarai, statistikai. Išimtis yra tik tuo atvėju kai renkama informacija yra tik būtinoji, reikalinga techniniam tinklalapio veikimui užtikrinti.

Remigijus Kuliešius | RAIBEC CEO

3. Sutikimo atšaukimas ir duomenų ištrynimas

Ar turi būti pašalinti sukaupti duomenys po sutikimo atšaukimo?

Duomenų valdytojai turi prievolę ištrinti duomenis, kurie buvo tvarkomi remiantis sutikimu, kai tas sutikimas atšaukiamas, jei nėra kito tikslo, kuriuo būtų pagrįstas tolesnis tų duomenų saugojimas

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Ar teisė atsisakyti slapukų po to, kai sutikimas buvo duotas, turi būti įgyvendinta ir svetainėje paskyros neturintiems vartotojams?

Teisę atšaukti duotą sutikimą turi visi duomenų subjektai. Atsižvelgus į tai, kad duomenų subjektais yra laikomi ne tik paskyras sukūrę vartotojai, jiems teisė taip pat turėtų būti suteikiama.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

4. Privatumas ir reguliaciniai reikalavimai

Kas atlieka priežiūros institucijos funkciją Lietuvoje?

Lietuvoje priežiūros institucija yra Valstybinė duomenų apsaugos inspekcija: https://vdai.lrv.lt/lt/ .

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Kaip įrodyti, kad tam tikri slapukai yra būtini, pavyzdžiui, jie nėra būtini svetainės veikimui/funkcionalumui, bet jie padeda pasiekti įmonės (EMI, Banko ar kito fintech) tikslą, pavyzdžiui, tie, kurie padeda užtikrinti pinigų plovimo ir/ar teroristų finansavimo prevenciją, ar pakanka turėti jų aprašymą, ar reikėtų kažko daugiau?

Dėl slapukų naudojimo šiuo atveju turėtų būti vertinama, ar duomenų valdytojo interesas slapukais rinkti duomenis yra viršesnis už duomenų subjekto teises ir laisves. Bet kokiu atveju duomenų subjektui turėtų būti pateikiama visa reikšminga informacija apie slapukų naudojimą (tikslas, kiek laiko bus saugomi duomenys, ar duomenys bus perduodami ir pan.).

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė

Jeigu svetainė turi naudotojų kalbančių keliomis kalbomis, kada būtina pateikti slapukų ir privatumo politiką kitomis kalbomis?

Vertimas į vieną ar daugiau kitų kalbų turėtų būti pateikiamas tais atvejais, kai duomenų valdytojo veikla yra orientuota į tomis kitomis kalbomis kalbančius duomenų subjektus. Jei duomenų subjektai yra tik pavieniai, vertimo galima ir neteikti.

Raminta Girtavičiūtė | „Motieka ir Audzevičius“ teisininkė