Līdz ar 2018. gada 25. maiju Latvijā stāsies spēkā Vispārīgā datu aizsardzības regula (General data protection regulation), kas piemēros jaunus noteikumus attiecībā uz datu apstrādē iesaistīto personu atbildību un tiesībām. Šī regula attiecināma gan uz uzņēmumiem un valsts un pašvaldības iestādēm, gan fiziskām personām (datu subjektiem), un, to pārkāpjot, tiks piemēroti ievērojami bargāki naudas sodi nekā tas bijis līdz šim (līdz pat 20 000 000 eiro).
Saistībā ar šo notikumu dažādās mājaslapās arvien biežāk parādās ziņa: „Mēs izmantojam sīkdatnes, lai nodrošinātu Jums labāko pieredzi mājaslapas apmeklējuma laikā”, kam seko aicinājums piekrist šīs sīkdatnes izmantot. Vairums interneta lietotāju šim lūgumam piekrīt, pat nepiešķirot tam īpašu nozīmi, taču tikai daļai ir skaidrs, ko tas īsti nozīmē. Blogā aplūkosim, kas ir sīkdatnes un ko tās nozīmē parastam interneta lapas lietotājam, kā arī uzsvērsim būtiskāko, kas jāņem vērā mājaslapu izstrādātājiem un īpašniekiem, lai vietne atbilstu jaunās regulas prasībām.
Sīkdatnes jeb „cookies” ir neliels teksta fails, ko tīmekļa vietne saglabā lietotāja datorā vai kādā citā ierīcē, piemēram, mobilajā telefonā vai planšetdatorā, brīdī, kad lietotājs apmeklē konkrēto mājaslapu. Tā ļauj vietnei „atcerēties” lietotāja darbības un izvēli, piemēram, IP adresi, reģionu, kurā lietotājs atrodas, teksta lielumu, fontu un izvēlēto valodu, attēlošanas un citus iestatījumus, kurus lietotājam ir iespējams mainīt. Tādējādi, atkārtoti apmeklējot interneta vietni, lietotājam vairs nav jāpielāgo mājaslapas izskats savām vajadzībām.
Tāpat sīkdatnes nepieciešamas, lai tīmekļa vietņu izstrādātāji varētu sekot līdzi apmeklētāja veiktajām darbībām mājaslapā un analizēt viņa paradumus, redzēt, piemēram, par kādiem produktiem interneta veikalā lietotājs ir interesējies, lai nākamajā vietnes apmeklējuma reizē varētu piedāvāt viņa interesēm atbilstošus produktus, dažādas akcijas un atlaides, kā arī aicināt aplūkot potenciāli saistošus produktus. Šī informācija tiek apkopota, analizēta un izmantota mārketinga vajadzībām un ir pilnībā anonīma.
Lai gan mājaslapas lielākoties piedāvā iespēju piekrist vai atteikties no sīkdatņu izmantošanas, lietotāji par to bieži vien netiek informēti. Vietnes apmeklētāja paradumi, pārlūkošanas vēsture, IP adrese un pārējā informācija, ko uzņēmums ievāc par saviem klientiem, ir uzskatāma par personas datiem, un līdz ar to uzņēmuma mājaslapas viesiem ir tiesības zināt, kāda informācija un kādam mērķim tiks izmantota. Tāpēc saskaņā ar jauno datu aizsardzības regulu mājaslapām būs ne tikai jāinformē savi apmeklētāji par to, ka tiks izmantotas sīkdatnes, bet arī jāizstrādā/jāievieš izmaiņas privātuma politikā vai mājaslapas lietošanas noteikumos, sniedzot nepārprotamu un skaidru informāciju par to, kas šos lietotāja datus apstrādās, kāda konkrēti informācija tiks ievākta un kādiem mērķiem tā tiks izmantota. Tāpat vietnes apmeklētājus nepieciešams informēt par iespēju atslēgt sīkdatņu izmantošanu un jāpaskaidro, kā to var izdarīt.
Saskaņā ar regulu tīmekļa vietnes apmeklētāja piekrišana nedrīkst būt piespiedu kārtā, proti, lietotājam ir jādod izvēles iespējas un piekrišanai jābūt labprātīgai, savukārt atteikumam nevajadzētu radīt negatīvas sekas mājaslapas lietotājam. Piemēram, ja apmeklētājs, atverot mājas lapu, kādu iemeslu dēļ nevēlas piekrist sīkdatņu izmantošanai, viņam, ja vien tas ir tehniski iespējams, tik un tā vajadzētu būt iespējai piekļūt vietnē esošajam saturam (kaut arī ar mazāku funkcionalitāti un iespējām).
Atsevišķās tīmekļa vietnēs parādās ziņojums par sīkdatņu izmantošanu, taču nav iespējas izvēlēties – piekrist vai nepiekrist datu apstrādei, redzama tikai poga „Esmu iepazinies”, un, neuzklikšķinot uz tās, mājaslapas saturu tālāk skatīt nevar. Tas skaidrojams ar to, ka mājaslapas izstrādātājs nav paredzējis interneta vietnes vienkāršāku versiju tiem, kas nevēlas, lai viņu dati tiktu analizēti. Un tas arī nav nepieciešams, ja vien ir izveidota atsevišķa sadaļa, kur var iepazīties ar vietnes privātuma politiku un izmantošanas nosacījumiem. Pirmajā brīdī var šķist, ka tiek liegta izvēles iespēja, taču tā nebūt nav. Vienkāršs piemērs – lojalitātes/atlaižu kartes tirdzniecības vietās, kur pircējam tiek piedāvāta atlaide produkta iegādei apmaiņā pret viņa datu izmantošanu mārketinga nolūkos. Kaut arī tas ir abpusēji izdevīgs piedāvājums, taču tikai pircēja ziņā ir izvēle šo piedāvājumu izmantot vai atteikties no tā. Tāpat arī mājaslapās – ja apmeklētājs nevēlas, lai viņa dati tiktu apstrādāti un nepiekrīt vietnes privātuma politikai, tad viņam ir iespēja gluži vienkārši neapmeklēt šo vietni. Taču, ja apmeklētājs tomēr vēlas saņemt kvalitatīvu un pielāgotu saturu, tad ir jārēķinās, ka tiks apstrādāti viņa dati.
Daži būtiski nosacījumi, kas jāņem vērā, veidojot privātuma politiku:
Pat tad, ja uzņēmums regulāri seko līdz likumiem, kas saistīti ar datu aizsardzību, ieteicams rūpīgi pārskatīt visas iepriekš veiktās datu apstrādes darbības mājas lapā un veikt to novērtējumu, kā arī pārskatīt privātuma politikā atrunātos nosacījumus, nepieciešamības gadījumā veicot izmaiņas. Svarīgi ņemt vērā, ka datu apstrāde sevī ietver ne tikai datu subjekta informācijas ievākšanu un izmantošanu, bet arī tās uzglabāšanas termiņa noteikšanu un ievērošanu, dzēšanu pēc pieprasījuma.
Regulāri kontrolējot datu apstrādes procesu un nodrošinot tā atbilstību prasībām, iespējams novērst ievērojamu zaudējumu rašanos soda naudas gadījumā.
Raksts tapis sadarbībā ar SIA „Datu aizsardzības speciālists” īpašnieku un valdes locekli, zvērinātu advokātu un sertificētu personas datu aizsardzības speciālistu Lauri Klagišu.
Sīkākā informācija par datu aizsardzības regulas prasībām pieejama mājaslapā www.datuspecialists.lv.