I. Cookies samprata
"Slapukų" (ang. cookies) pavojai, sukeliami asmens privatumui, yra palyginus plačiai nagrinėti. Vis dėlto, tenka apgailestauti, kad daugelio interneto naudotojų jie yra ignoruojami arba netgi iš viso nežinomi.
‘Cookies’ yra maži duomenų paketai, sukuriami interneto puslapio serverio ir laikomi vartotojo kompiuterio kietajame diske. Žvelgiant istoriškai, cookies buvo išvystyti siekiant efektyviau plėtoti kliento ir serverio santykius, palengvinti duomenų rinkimą ir susiejimą su konkrečiu lankytoju, klientu.
Cookies gali būti naudojami palengvinti naršymo duomenų ir savanoriškai atskleistos informacijos rinkimą ir panaudojimą. Tai padaroma kiekvienam vartotojui suteikiant unikalų kodą ir saugant šį numerį cookyje. Šis kodas yra atskleidžiamas kiekvieną kartą aplankant tą tinklapį. Vėliau apie vartotoją surinkta informacija bet kada gali būti susieta su šiuo unikaliu kodu.
II. Ar cookies laikytini asmens duomenimis?
Panašiai kaip IP adresų atveju, kyla klausimas, ar informacija, surinkta "cookies" pagalba, laikytina asmenine informacija ir ar jai taikytini griežti asmens duomenų apsaugos reikalavimai. "Cookies" savarankiškai neidentifikuoja konkretaus asmens. Technologiniu požiūriu, "cookies" yra internetinis mechanizmas, įgalinantis tam tikrą informaciją patalpinti paties vartotojo kompiuteryje.
Pavyzdžiui, cookyje gali būti patalpintas vartotojo užsakymas ir tame tinklapyje vartotojui apsilankius antrą kartą, serveris automatiškai pasiima vartotojo cookyje esantį užsakymą. Šioje kliento/serverio aplinkoje "cookies" serveriui sudaro galimybes tiek tam tikrą informaciją patalpinti vartotojo kompiuteryje, tiek ją gauti bet kada vėliau. Beje, cookiai taipogi naudojami ir intranete (vietiniuose tinkluose).
Jų pagalba galima automatiškai identifikuoti vartotoją, tokiu būdu visiškai pašalinant būtinybę kliento tapatumu įsitikinti priregistravimo (login/password) pagalba ir pan.
Vis dėlto, pažymėtina, kad duomenys, surinkti "cookies" pagalba, yra labiau susiję su konkretaus kompiuterio panaudojimu, negu su individualiu interneto naudotoju. Tiesa, kai kurios tiesioginės rinkodaros kompanijos, tokios kaip DoubleClick, "cookies", teisingiau unikalų naudotojo numerį, kurį išreiškia "cookies" tekstiniai failai, susieja su visa eile kitų duomenų, esančių DoubleClick duomenų sistemoje:
(a) valstybė, kurioje gyvena interneto naudotojas; (b) interneto domenas (adresas), kuriam priklauso interneto naudotojas; (c) įmonės, kurioje dirba interneto naudotojas, veiklos sritis; (d) įmonės, kurioje dirba interneto naudotojas, apyvarta; (e) internetinių paslaugų teikėjas (ang. Internet Service Provider); (f) interneto naudotojo naudojama naršyklė; (g) paieškos varikliuose įvesti žodžiai ar jų junginiai ir pan.
Nekyla abejonių, jog aukščiau nurodytieji duomenys yra "faktoriai, būdingi konkretaus naudotojo ekonominiam, kultūriniam ar socialiniam identitetui", todėl tokiu būdu su kita asmenine informacija susieti “cookies” laikytini asmens duomenimis ES asmens duomenų apsaugos Direktyvos prasme.
Elektroninės komercijos kontekste ypatingą reikšmę įgauna susitarimas tarp svetainės valdytojo, savininko ir reklamos agentūros, renkančios informaciją apie vartotojus. Reklamos agentūra, surinktos informacijos dėka nustato, kurioje svetainės vietoje kokius reklaminius skelbimus (ang. banner) talpinti. Tokia informacija visų pirma apima visų naudotojų IP adresus, pastaruosius susiejant su "cookies". Vėlgi, kyla klausimas, ar tokia informacija laikytina asmens duomenimis?
Problemos ir neaiškumai kyla ne tiek iš fakto, kad tą patį kompiuterį ne visada naudoja tas pats asmuo, kiek iš reklamos agentūrų troškimo asmens tapatybę išgauti, iškristalizuoti iš jo vartojimo įpročių. Pirkimai ne visuomet atitinka tikruosius individo poreikius ar reikmes (pvz., Biblijos įsigijimas dar nereiškia, kad ją įsigijęs asmuo yra katalikas) – asmuo tam tikrą daiktą gali pirkti ne savo poreikiams ir pan. Taigi, kokiu laipsniu tokia informacija yra asmeninė ir kokiu lygiu ji yra tiksli? Į šiuos klausimus atsakymą turėtų pateikti kiekvienos EB valstybės įstatymų rengėjai.
III. ES valstybių narių praktika
Netgi priėmus ES Asmens duomenų apsaugos direktyvą įgyvendinančias teisės normas, kai kurių EB valstybių nacionaliniai įstatymai labai skirtingai ir neretai netgi priešingai interpretuoja elektroninėje aplinkoje sukurtos informacijos (pvz., naršymo duomenys ir pan.) statusą, konkrečiai imant – jos priskyrimą asmens duomenims Direktyvos prasme.
Pavyzdžiui, Belgijos 1998 m. įstatymas nepateikia aiškaus atsakymo, ar individo naršymo duomenys, cookies, IP adresas ir kita on-line veiklos rezultate sugeneruota asmeninė informacija patenka į asmens duomenų apsaugos principų apsaugą. Iki Direktyvos reikalavimų įgyvendinimo nacionaliniu lygiu anoniminiams duomenims buvo taikomas režimas, analogiškas asmens duomenims.
Tiesa, 1996 m. nacionalinė asmens duomenų apsaugos priežiūros tarnyba pareiškė, kad asmens duomenų apsaugos standartai neturėtų būti taikomi tokiems duomenims, kurie protingų pastangų dėka negali būti susieti su jokiu konkrečiu individu. Kita vertus, Belgijos asmens duomenų apsaugos tarnyba pažymėjo, kad jeigu duomenis susiejus su pagalbine informacija tampa įmanomas asmens tapatybės nustatymas, tokie duomenys nebetenka anoniminių duomenų statuso.
Taigi, elektroninėje aplinkoje palikti individo pėdsakai nelaikytini anoniminiais griežtąja to žodžio prasme, nes kitos informacijos pagalba įgalina tokių pėdsakų priskyrimą konkrečiam asmeniui.
Aktyvių nacionalinės asmens duomenų apsaugos priežiūros tarnybos veiksmų dėka Prancūzijos nacionaliniai asmens duomenų apsaugos principai tapo taikytini beveik bet kokiai asmeninei informacijai, surenkamai on-line veiklos kontekste. Tokio plataus požiūrio įtakoje priežiūros tarnyba asmens duomenimis pripažino interneto naudotojo prisiregistravimo kodą, talpinantį naudotojo kompiuterio IP, taip pat “cookies”.
Kita vertus, Prancūzijos asmens duomenų apsaugos tarnybos paskelbta privatumo principų taikymo internete praktika esminį dėmesį sutelkė ties anonimiškumo, kaip efektyviausios priemonės kontroliuoti internete “paliekamą” asmeninę informaciją, skatinimu globaliuosiuose tinkluose.
Vokietijos federalinis asmens duomenų apsaugos įstatymas (vok. Burgliches Datenschutz Gesetzt) bei sektorinis informacijos ir komunikacijų įstatymas (vok. Informations und Kommunikationsdienste Gesetzt) apsaugą užtikrina ir duomenims, kurie tik labai sąlyginai gali būti pripažinti asmens duomenimis (pvz., pseudoniminiams duomenims). On-line aplinkoje itin svarbu tai, kad Vokietijos asmens duomenų apsaugos taisyklės reikalauja, kad naudotojams būtų garantuojama veiksminga anonimiško naršymo po internetą galimybė.
Dar daugiau, Vokietijos įstatymai reikalauja, kad duomenų valdytojo kaupiamos klientų duomenų bazės būtų pseudoniminės, tokiu būdu pastaruosius apsaugant nuo neteisėto panaudojimo. Iš šių įstatymų analizės seka, kad kai naudotojo cookies gali būti susietas su kitais duomenimis (pvz., naršymo duomenimis), kurie identifikuoja konkretų individą, naudotojo apsilankymo internete generuojama informacija yra laikytina asmens duomenimis. Tokią išvadą įtvirtina Vokietijos informacijos ir komunikacijų įstatymas, nustatydamas, kad klientų duomenys, būtini informacinės visuomenės paslaugų teikimui, elektroninio pašto sąskaitos duomenys, elektroninių sandorių duomenys ir netgi pseudoniminiai duomenys turi būti tvarkomi laikantys griežtų asmens duomenų apsaugos standartų.
Taip pat svarbu tai, kad minėtas Vokietijos įstatymas apsaugos režimą įtvirtina IP adresams bei naršymo duomenims (ang. clickstream data). Be to, šis įstatymas reikalauja, kad informacinės visuomenės paslaugų teikėjas imtųsi visų prieinamų priemonių būtinų tam, kad būtų užtikrinta, jog apie asmens naudojimąsi konkrečiomis paslaugomis nesužinotų jokie pašaliniai tretieji asmenys. Tai yra itin aukštas asmens privatumo apsaugos standartas, draudžiantis perdavimą informacijos, indikuojančios anksčiau aplankytų “svetimų” svetainių adresus.
Visiškai atskiros analizės nusipelno JAV teisinė sistema, kurios teismų praktika clickstream duomenims ilgą laiką iš viso nepripažino jokio apsaugos lygio. Visgi, pastaruoju metu, JAV ima ryškėti asmens privatumo internete lūkesčių užtikrinimo ir apsaugos tendencija.
Vietoj išvadų
Nors prieš kelias dienas vienas MicroSoft įkūrėjų ir savininkų – Bill Gates – pareiškė, kad MS ateities produktai bus orientuoti į maksimalų asmens privatumo apsaugos užtikrinimą, šis teiginys verčia abejoti ne tik privatumo skeptikus. Kaip pademostravo praktika, globaliuosiuose tinkluose asmens privatumas neišvengiamai tampa auka iki šiol neregėtoms informacijos rinkimo, kaupimo ir platinimo galimybėms.
Vis dėlto, teisiniu požiūriu neišvengiamai kyla būtinybė griežtai atriboti asmens duomenų rinkimą teisėtais tikslais (pvz., santykių su vartotojais palaikymo palengvinimui, elektroninio, užsakymo sandorio vykdymui, pagaliau valstybės saugumo ir nacionalinės gynybos sumetimais), ir teisėtiems tikslams surinktų duomenų panaudojimą tikslams, visiškai nesiderinantiems su tokiais tikslais, kuriems duomenys buvo surinkit ar kurių surinkimui buvo duotas sutikimas. Teoriškai, takoskyra tarp šių situacijų yra daugiau negu aiški, tačiau internete ir kituose atviruosiuose tinkluose šis aiškumas ir su tuo susijusių asmens teisių realizavimas išnyksta.
Manau, praktika parodė, kad vien teisės normos čia beveik bejėgės, todėl iš vienos pusės neišvengiamai kyla būtinybė užtikrinti teisės normų suderinimą su savireguliacija, kita vertus, būtina sąlygoti kuo efektyvesnę teisės ir technologijų sąveiką.
Daugiau straipsnių ir mokslinių tyrimų informacinių technologijų teisės srityje, parengtų ITC narių, galite rasti ITC tinklapyje: www.itc.tf.vu.lt.