2019 m. spalį ES Teisingumo Teismas (ESTT) priėmė svarbų sprendimą byloje, kurioje buvo sprendžiamas sutikimo dėl slapukų rinkimo klausimas. Sprendimas pateikia svarbius išaiškinimus dėl interneto svetainių lankytojų sutikimų dėl slapukų rinkimo.
Sprendimo aplinkybės
2013 m. Vokietijos įmonė „Planet49“ organizavo loteriją interneto svetainėje. Norėdami dalyvauti loterijoje, vartotojai turėjo įvesti savo pašto kodą, o tai padarius jie buvo nukreipiami į interneto tinklapį, kur turėjo įrašyti savo vardą ir pavardę. Po šiomis formomis „Planet49“ prašė dviejų sutikimų dėl duomenų tvarkymo (pirmas sutikimas nebuvo iš anksto pažymėtas, o antras jau buvo pažymėtas):
Sutikimas, kad su vartotojais tiesioginės rinkodaros tikslais susisiektų įmonės rėmėjai ir partneriai
Sutikimas dėl su loterija susijusių slapukų įrašymo
Taigi „Planet49“ prašė sutikimo dėl trečiųjų šalių reklaminių pranešimų, naudodama iš anksto nepažymėtą langelį (angl. opt-in), o sutikimui dėl slapukų naudojo iš anksto pažymėtą langelį (angl. opt-out). Todėl antro punkto neatžymėjimas buvo laikomas sutikimu ir pagrindu slapukų įrašymui.
ESTT išvados
ESTT pateikė šiuos išaiškinimus:
– Sutikimas dėl slapukų galimas tik aktyviais veiksmais. Sutikimas dėl slapukų nėra teisėtas, jei naudojamas iš anksto pažymėto langelio modelis.
– Interneto svetainės lankytojui turi būti pateikiama informacija, kaip veiks slapukai, kiek laiko jie bus saugomi ir kam perduodama surinkta informacija.
– Slapukų sutikimo reikalavimai yra taikomi nepriklausomai, ar renkama informacija yra laikoma asmens duomenimis, ar ne.
Tokios išvados neturėtų būti siurprizas, kadangi BDAR aiškiai įtvirtina aktyvų ir informuotą sutikimą:
– Duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys (BDAR 4 straipsnio 11 punktas).
– Tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu (BDAR preambulės 32 punktas).
– Turėtų būti užtikrinta, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda (BDAR preambulės 42 punktas).
Daugelis slapukus renka netinkamai
Internete dažnai tenka susidurti su netinkamomis slapukų rinkimo praktikomis. Informuotas ir aktyvus sutikimas yra greičiau išimtis nei taisyklė. Įprastai sutinkami slapukų rinkimo būdai, kurie neatitinka BDAR ir ESTT sprendime numatytų reikalavimų:
– Lankytojai apskritai neinformuojami, kad interneto svetainėje renkami slapukai.
– Sutikimas nedaro jokios įtakos (interneto svetainėje duodamas pasirinkimas sutikti arba nesutikti su slapukais, tačiau jie renkami bet kokiu atveju, nepaisant vartotojo pasirinkimo).
– Pasyvus sutikimas („tęsdami naršymą jūs sutinkate su slapukų naudojimu“).
– Sutikimas kaip vienintelis pasirinkimas (kai interneto svetainės apačioje pateikiama informacija apie slapukus ir vienintelis pasirinkimas yra „sutinku“).
– Lankytojui duodamas pasirinkimas sutikti arba nesutikti su slapukais, tačiau nėra pateikiama pakankamai informacijos, kaip slapukai veikia.
Bendras JAV ir Vokietijos universitetų akademikų tyrimas dėl slapukų rinkimo taip pat parodo, kad internete vyrauja netinkami slapukų rinkimo ir informavimo apie juos būdai. Tyrimo metu buvo ištirta apie 5 tūkst. populiariausių interneto svetainių slapukų rinkimo būdai ir pateikta tokia statistika:
Ši statistika yra itin iliustratyvi – mažiau nei 15 procentų interneto svetainių suteikia realią pasirinkimo galimybę dėl slapukų įrašymo interneto svetainės lankytojo kompiuteryje ar telefone. Interneto svetainių, tinkamai informuojančių apie slapukų rinkimą, taip pat mažuma.
Kaip tinkamai rinkti slapukus?
Interneto svetainių valdytojai, norintys laikytis ESTT sprendime išdėstytų reikalavimų, turėtų ne tik peržiūrėti, kaip jų interneto svetainėje yra gaunamas lankytojo sutikimas dėl slapukų, bet ir pasitikrinti, ar lankytojui pateikia lengvai suprantamą informaciją apie slapukų rinkimą ir panaudojimą. Tai galima padaryti, imantis šių veiksmų:
– Interneto svetainėje (pavyzdžiui, slapukų politikoje) pateikti informaciją apie naudojamus slapukus, jų funkcijas, saugojimo trukmę ir duomenų gavėjus.
– Lankytojams pateikti galimybę aktyviai sutikti arba nesutikti su slapukais (pavyzdžiui, paspaudžiant atitinkamą mygtuką ar pasirinkimą pažymint varnele).
– Užtikrinti, kad slapukai (išskyrus techninius, kuriems sutikimas nebūtinas) būtų pradedami rinkti tik lankytojui aktyviai davus sutikimą.
– Užtikrinti paprastą mechanizmą, kaip lankytojai galėtų atšaukti sutikimą dėl slapukų.