Mājaslapas un datu aizsardzība: Kas jāzina vietnes apmeklētājiem un īpašniekiem?

Līdz ar 2018. gada 25. maiju Latvijā stāsies spēkā Vispārīgā datu aizsardzības regula (General data protection regulation), kas piemēros jaunus noteikumus attiecībā uz datu apstrādē iesaistīto personu atbildību un tiesībām. Šī regula attiecināma gan uz uzņēmumiem un valsts un pašvaldības iestādēm, gan fiziskām personām (datu subjektiem), un, to pārkāpjot, tiks piemēroti ievērojami bargāki naudas sodi nekā tas bijis līdz šim (līdz pat 20 000 000 eiro).

Saistībā ar šo notikumu dažādās mājaslapās arvien biežāk parādās ziņa: „Mēs izmantojam sīkdatnes, lai nodrošinātu Jums labāko pieredzi mājaslapas apmeklējuma laikā”, kam seko aicinājums piekrist šīs sīkdatnes izmantot. Vairums interneta lietotāju šim lūgumam piekrīt, pat nepiešķirot tam īpašu nozīmi, taču tikai daļai ir skaidrs, ko tas īsti nozīmē. Blogā aplūkosim, kas ir sīkdatnes un ko tās nozīmē parastam interneta lapas lietotājam, kā arī uzsvērsim būtiskāko, kas jāņem vērā mājaslapu izstrādātājiem un īpašniekiem, lai vietne atbilstu jaunās regulas prasībām.

Kas ir sīkdatnes?

Sīkdatnes jeb „cookies” ir neliels teksta fails, ko tīmekļa vietne saglabā lietotāja datorā vai kādā citā ierīcē, piemēram, mobilajā telefonā vai planšetdatorā, brīdī, kad lietotājs apmeklē konkrēto mājaslapu. Tā ļauj vietnei „atcerēties” lietotāja darbības un izvēli, piemēram, IP adresi, reģionu, kurā lietotājs atrodas, teksta lielumu, fontu un izvēlēto valodu, attēlošanas un citus iestatījumus, kurus lietotājam ir iespējams mainīt. Tādējādi, atkārtoti apmeklējot interneta vietni, lietotājam vairs nav jāpielāgo mājaslapas izskats savām vajadzībām. 

Tāpat sīkdatnes nepieciešamas, lai tīmekļa vietņu izstrādātāji varētu sekot līdzi apmeklētāja veiktajām darbībām mājaslapā un analizēt viņa paradumus, redzēt, piemēram, par kādiem produktiem interneta veikalā lietotājs ir interesējies, lai nākamajā vietnes apmeklējuma reizē varētu piedāvāt viņa interesēm atbilstošus produktus, dažādas akcijas un atlaides, kā arī aicināt aplūkot potenciāli saistošus produktus. Šī informācija tiek apkopota, analizēta un izmantota mārketinga vajadzībām un ir pilnībā anonīma.

Jānodrošina izvēles iespējas

Lai gan mājaslapas lielākoties piedāvā iespēju piekrist vai atteikties no sīkdatņu izmantošanas, lietotāji par to bieži vien netiek informēti. Vietnes apmeklētāja paradumi, pārlūkošanas vēsture, IP adrese un pārējā informācija, ko uzņēmums ievāc par saviem klientiem, ir uzskatāma par personas datiem, un līdz ar to uzņēmuma mājaslapas viesiem ir tiesības zināt, kāda informācija un kādam mērķim tiks izmantota. Tāpēc saskaņā ar jauno datu aizsardzības regulu mājaslapām būs ne tikai jāinformē savi apmeklētāji par to, ka tiks izmantotas sīkdatnes, bet arī jāizstrādā/jāievieš izmaiņas privātuma politikā vai mājaslapas lietošanas noteikumos, sniedzot nepārprotamu un skaidru informāciju par to, kas šos lietotāja datus apstrādās, kāda konkrēti informācija tiks ievākta un kādiem mērķiem tā tiks izmantota. Tāpat vietnes apmeklētājus nepieciešams informēt par iespēju atslēgt sīkdatņu izmantošanu un jāpaskaidro, kā to var izdarīt.

Saskaņā ar regulu tīmekļa vietnes apmeklētāja piekrišana nedrīkst būt piespiedu kārtā, proti, lietotājam ir jādod izvēles iespējas un piekrišanai jābūt labprātīgai, savukārt atteikumam nevajadzētu radīt negatīvas sekas mājaslapas lietotājam. Piemēram, ja apmeklētājs, atverot mājas lapu, kādu iemeslu dēļ nevēlas piekrist sīkdatņu izmantošanai, viņam, ja vien tas ir tehniski iespējams, tik un tā vajadzētu būt iespējai piekļūt vietnē esošajam saturam (kaut arī ar mazāku funkcionalitāti un iespējām).

Atsevišķās tīmekļa vietnēs parādās ziņojums par sīkdatņu izmantošanu, taču nav iespējas izvēlēties – piekrist vai nepiekrist datu apstrādei, redzama tikai poga „Esmu iepazinies”, un, neuzklikšķinot uz tās, mājaslapas saturu tālāk skatīt nevar. Tas skaidrojams ar to, ka mājaslapas izstrādātājs nav paredzējis interneta vietnes vienkāršāku versiju tiem, kas nevēlas, lai viņu dati tiktu analizēti. Un tas arī nav nepieciešams, ja vien ir izveidota atsevišķa sadaļa, kur var iepazīties ar vietnes privātuma politiku un izmantošanas nosacījumiem. Pirmajā brīdī var šķist, ka tiek liegta izvēles iespēja, taču tā nebūt nav. Vienkāršs piemērs – lojalitātes/atlaižu kartes tirdzniecības vietās, kur pircējam tiek piedāvāta atlaide produkta iegādei apmaiņā pret viņa datu izmantošanu mārketinga nolūkos. Kaut arī tas ir abpusēji izdevīgs piedāvājums, taču tikai pircēja ziņā ir izvēle šo piedāvājumu izmantot vai atteikties no tā. Tāpat arī mājaslapās – ja apmeklētājs nevēlas, lai viņa dati tiktu apstrādāti un nepiekrīt vietnes privātuma politikai, tad viņam ir iespēja gluži vienkārši neapmeklēt šo vietni. Taču, ja apmeklētājs tomēr vēlas saņemt kvalitatīvu un pielāgotu saturu, tad ir jārēķinās, ka tiks apstrādāti viņa dati.

Jāizveido korekta privātuma politika

Daži būtiski nosacījumi, kas jāņem vērā, veidojot privātuma politiku:

• Savas mājaslapas privātuma politiku būtiski izveidot visās valodās, kurās ir pieejama mājaslapa, lai neatkarīgi no tautības personai būtu skaidri saprotami datu apstrādes mērķi, tiesiskais pamatojums un viņa kā datu subjekta tiesības.
• Privātuma politikā jānorāda informācija par Jūsu uzņēmumu, uzņēmuma kontaktinformācija, datu aizsardzības speciālista (ja tāds ir iecelts) kontaktinformācija, datu apstrādes nolūki, mērķi, kam paredzēti personas dati, apstrādes juridiskais pamats, personas datu saņēmēji, datu glabāšanas ilgums, tiesības pieprasīt piekļuvi datiem un to labošanu vai dzēšanu.
• Ja uzņēmums savā mājas lapā izmanto „Google Analitycs” rīku, sīkdatņu politikā to noteikti ir vēlams atrunāt – informēt apmeklētājus, ka statistikas vajadzībām datus apstrādā „Google Analitycs”, pievienojot klāt saiti uz tā privātuma politiku, kurā var uzzināt, kā darbojas Google Analytics un kādu informāciju tā ļauj vākt un analizēt – https://support.google.com/analytics/answer/1012034?hl=lten&ref_topic=6157800. Tāpat, būtu ieteicams norādīt, ka apmeklētāji var pārtraukt datu vākšanu Google Analytics, kā aprakstīts šeit: https://tools.google.com/dlpage/gaoptout/.
• Ja mājaslapā ir izveidota pieteikuma kontaktforma, tajā nedrīkstētu būt pārāk daudz obligāti aizpildāmo lauku – no vietnes apmeklētāja drīkst pieprasīt tikai tādu informāciju, kas ir būtiska līguma izpildei vai noslēgšanai ar uzņēmumu, kā arī pakalpojuma vai produkta iegādei. Piemēram, iegādājoties interneta veikalā kādu preci, nepieciešams norādīt vārdu, uzvārdu, e-pasta adresi vai telefona numuru, kā arī dzīvesvietas adresi, ja pircējs vēlas piegādi uz mājām. Nekādā gadījumā nedrīkst būt tādi informācijas lauki kā „dzimums, ģimenes stāvoklis, reliģija” un tamlīdzīgi, jo tas neattiecas uz preces/pakalpojuma nodrošināšanu.
• Savukārt, ja potenciālais klients nosūta uzņēmumam ziņu ar mērķi iegūt informāciju, tad gan drīkst lūgt norādīt tikai personas vārdu un tālruņa numuru vai e-pasta adresi atkarībā no veida, kādā vēlas saņemt atbildi. Uzņēmumam, ar kuru klients sazinās, jāņem vērā, ka kontaktformā norādītos datus drīkst izmantot tikai atbildes sniegšanai. 
• Gadījumā, ja uzņēmums mārketinga nolūkos vēlas turpināt komunikāciju ar klientu, piemēram, izsūtīt informāciju par jaunākajiem piedāvājumiem, produktiem vai pakalpojumiem, nepieciešams informēt par to klientu, sniedzot izvēles iespējas – piekrist vai nepiekrist jaunumu saņemšanai. Akcepta gadījumā mājaslapā ir jānodrošina arī informācija, kam tieši klients piekrīt, kāda informācija tiks izsūtīta, kā arī jāinformē par iespēju atteikties no šo jaunumu saņemšanas. 
• Būtiski atcerēties, ka katra mājaslapas apmeklētāja piekrišana privātuma politikai ir jāfiksē – ir jāpiereģistrē katra IP adrese, no kuras lietotājs ir akceptējis sīkdatņu izmantošanu, datums un laiks, lai strīdus gadījumā varētu pierādīt, ka lietotājam tika dota iespēja iepazīties ar tīmekļa vietnes noteikumiem. 

Pat tad, ja uzņēmums regulāri seko līdz likumiem, kas saistīti ar datu aizsardzību, ieteicams rūpīgi pārskatīt visas iepriekš veiktās datu apstrādes darbības mājas lapā un veikt to novērtējumu, kā arī pārskatīt privātuma politikā atrunātos nosacījumus, nepieciešamības gadījumā veicot izmaiņas. Svarīgi ņemt vērā, ka datu apstrāde sevī ietver ne tikai datu subjekta informācijas ievākšanu un izmantošanu, bet arī tās uzglabāšanas termiņa noteikšanu un ievērošanu, dzēšanu pēc pieprasījuma. 

Regulāri kontrolējot datu apstrādes procesu un nodrošinot tā atbilstību prasībām, iespējams novērst ievērojamu zaudējumu rašanos soda naudas gadījumā.

Raksts tapis sadarbībā ar SIA „Datu aizsardzības speciālists” īpašnieku un valdes locekli, zvērinātu advokātu un sertificētu personas datu aizsardzības speciālistu Lauri Klagišu.
Sīkākā informācija par datu aizsardzības regulas prasībām pieejama mājaslapā www.datuspecialists.lv.