Vis dėlto dažnu atveju interneto svetainės lankytojui nesuteikiama galimybė sutikti ar nesutikti dėl slapukų naudojimo arba nurodoma, kad tolesnis internetinės svetainės naršymas reiškia, jog asmuo sutiko su slapukų naudojimu. Taip pat nesuteikiama teisė pasirinkti, kokiai slapukų grupei jie pageidauja išreikšti savo sutikimą arba, dar blogiau, asmeniui nesutikus su slapukų naudojimu, yra naudojamos slapukų sienos, ribojančios prieigą prie internetinės svetainės turinio.

ES duomenų apsaugos priežiūros institucijos gana griežtai stebi, ar laikomasi BDAR reikalavimų naudojant slapukus. Pvz., Prancūzijos asmens duomenų apsaugos institucija 2021 m. pabaigoje skyrė solidžias baudas „Google“ (150 mln. EUR) ir „Meta“ („Facebook“) (60 mln. EUR) už netinkamai renkamus slapukų sutikimus, tiksliau, už nepakankamai paprastą galimybę nesutikti.

Dar kartą pakalbėti apie slapukus, verta ir dėl to, kad Valstybinė duomenų apsaugos inspekcija antrąjį šių metų pusmetį ketina tikrinti Lietuvos organizacijas, ar šios teisingai naudoja slapukus.

Kas yra slapukas?

Kad geriau suprastume, kas leidžiama ir kas draudžiama, turime prisiminti, o kas gi apskritai yra tas slapukas (angl. cookie).

Tam, kad interneto svetainė veiktų tinkamai, kartais į jūsų įrenginį įrašomos mažos duomenų rinkmenos – vadinamieji slapukai. Slapukai padeda interneto svetainei atpažinti įrenginį ir „sekti“ naudotojo elgesį, įpročius internete ir taip sukurti jo profilį. Verslui tai itin patraukli priemonė, kuri leidžia analizuoti svetainės lankomumą, stebėti naudotojų elgseną bei pateikti „pritaikytą“ reklamą. Naudotojui slapukai taip pat gali būti naudingi, pavyzdžiui, leidžia išsaugoti pirkinių krepšelį ar prisijungti prie paskyros vieno mygtuko paspaudimu.

Kokie pagrindiniai reikalavimai taikomi slapukų naudojimo teisėtumui?

Visų pirma, prieš naudojant bet kokius slapukus, būtina susidaryti aiškų renkamų slapukų sąrašą ir jame numatyti tikslią ir konkrečią informaciją apie kiekvieno slapuko renkamus duomenis bei jų paskirtį. Šią informaciją privalote skelbti internetinėje svetainėje, prieš prašydami naudotojų sutikimo. Už šių reikalavimų nesilaikymą bendrovei „Grow Beats“ Ispanijos priežiūros institucija skyrė 3 tūkst. EUR baudą. Nors bendrovė savo svetainėje skelbė slapukų naudojimo politiką, joje nebuvo informacijos apie slapukų naudojimo tikslą, jų savybes ir laikotarpį, kurį jie išlieka aktyvūs.

Antra, prieš naudodami bet kokius slapukus (išskyrus būtinuosius) – gaukite sutikimą. Tam, kad sutikimas būtų galiojantis, pateikite visą aukščiau nurodytą informaciją, kad ja vadovaudamasis naudotojas galėtų priimti sprendimą. Sutikimas turėtų būti gautas prieš pradedant duomenų tvarkymo veiklą.

Iš esmės gali pakakti paprašyti duomenų subjekto sutikimo vieną kartą, tačiau jei po sutikimo gavimo pakeičiami duomenų tvarkymo tikslai arba numatomas papildomas tikslas, duomenų valdytojams reikia gauti naują ir konkretų sutikimą. Pavyzdžiui, internetinėje svetainėje duomenų subjektas duoda sutikimą dėl analitinių slapukų, kuriais siekiama nustatyti naudojimosi internetine svetaine tendencijas. Po kurio laiko duomenų valdytojas nusprendžia naudoti ir reklaminius slapukus, kurie svetainėje vartotojui pritaiko jį dominančias reklamas. Dėl šio naujo tikslo reikia ir naujo sutikimo.

Taip pat labai svarbu atkreipti dėmesį, kad sutikimas negali būti išreiškiamas tolesniu naršymu. Dažnoje internetinėje svetainėje sutinkamas panašaus pobūdžio tekstas „Jei paspaudžiate mygtuką SUTINKU ar toliau naršote mūsų internertinėje svetainėje, jūs išreiškiate savo sutikimą dėl slapukų naudojimo“ neatitinka duomenų subjekto sutikimui keliamų reikalavimų. Duomenų subjekto tylėjimo arba neveikimo, taip pat tolesnio naudojimosi tam tikra paslauga negalima laikyti aktyviu pareiškimu apie savo pasirinkimą.

„IKEA IBERICA“ buvo nubausta 10 tūkst. EUR bauda, kai Ispanijos priežiūros institucija nustatė, kad bendrovė įdiegdavo slapukus į naudotojų įrenginius negavusi jų sutikimo. Gavusi skundą priežiūros institucija nustatė, kad 23 slapukai buvo automatiškai atsiunčiami į naudotojų įrenginius, kai jie apsilankydavo bendrovės interneto svetainėje.

Trečia, dokumentuokite ir saugokite gautus sutikimus. Jei, esant poreikiui, negalėsite pagrįsti, kas, kada ir dėl kokių slapukų naudojimo davė sutikimą, jūsų atliekamas asmens duomenų tvarkymas bus pripažintas neteisėtu.

Ketvirta, užtikrinkite, kad naudotojams atšaukti savo sutikimą būtų taip pat lengva, kaip ir pirmą kartą jį duoti. „Facebook“ buvo nubausta 60 mln. EUR bauda, kai Prancūzijos priežiūros institucija, atlikusi facebook.com tyrimą, nustatė, kad norint atsisakyti visų slapukų, reikia paspausti kelis mygtukus, o norint juos priimti – vieną. Buvo konstatuota, kad šis procesas daro poveikį interneto naudotojų sutikimo laisvei, nes atsisakyti slapukų nėra taip paprasta, kaip juos priimti.

Ir galiausiai, leiskite naudotojui naršyti jūsų svetainėje, net jei jis atsisako naudoti tam tikrus slapukus. Asmeniui turi būti suteiktas laisvas pasirinkimas ir galimybė nesutikti arba savo sutikimą atšaukti nepatiriant žalos. Jei duomenų subjektas neturi realaus pasirinkimo ir yra priverstas sutikti, toks sutikimas negalioja. Ispanijos priežiūros institucija oro linijų bendrovei „Vueling“ skyrė 30 tūkst. EUR baudą už tai, kad ji nesuteikė naudotojams galimybės atsisakyti slapukų ir privertė juos naudoti, kad galėtų naršyti svetainėje.

Jei naudojate trečiųjų šalių slapukus

Tam tikrais atvejais internetinėje svetainėje yra naudojami ir trečiųjų šalių slapukai, kuriuos įdiegiate ne jūs, o kitos internetinės svetainės. Pavyzdžiui, į savo internetinę svetainę įtraukiate mygtuką „Patinka“, kuris lankytojo kompiuteryje išsaugo slapuką, o jį vėliau gali pasiekti „Meta“ („Facebook“) ir taip identifikuoti lankytojus bei sužinoti, kuriose svetainėse jie lankėsi. Toks slapukas bus laikomas trečiosios šalies slapuku.

Kai jūsų svetainė nustato trečiųjų šalių slapukus, jūs ir trečioji šalis esate atsakingi už tai, kad naudotojai būtų aiškiai informuoti apie slapukus ir duotų sutikimą. Akivaizdu, kad trečiajai šaliai, kuri netiesiogiai susijusi su vartotoju, tai pasiekti yra žymiai sunkiau. Taip pat svarbu atsiminti, kad naudotojas dėl kilusių problemų greičiausiai kreipsis į asmenį, kurį gali nustatyti arba su kuriuo gali palaikyti ryšį, t. y. į įmonę, kuri valdo svetainę. Todėl abi šalys turėtų būti suinteresuotos dirbti kartu ir į sutartis įtraukti įsipareigojimus, susijusius su priešinga šalimi.

Praktiniai patarimai naudojant slapukus

Atsižvelgiant į tai, kad dažnas verslas netinkamai interpretuoja reikalavimus dėl slapukų naudojimo, pateikiame keletą patarimų, padėsiančių nenukrypti nuo BDAR reikalavimų ir tinkamai rinkti slapukus:

  • Geriausias būdas tinkamai informuoti apie slapukus – įdiegti tam skirtą įrankį, kuris informuoja internetinės svetainės lankytojus apie naudojamus slapukus ir leidžia pasirinkti, su kuriais slapukais sutikti, arba parengti atskirą slapukų politiką.
  • Suteikite naudotojui galimybę pasirinkti, su kokiais slapukais nori sutikti, o su kokiais – ne.
  • Slapukus pradėkite naudoti tik tuomet, kai turite vartotojo sutikimą.
  • Sutikimo mechanizmas, neleidžiantis vartotojui pasirinkti, su kokių slapukų naudojimu jis sutinka, neatitinka BDAR reikalavimų.
  • Pasirūpinkite, kad langas dėl slapukų naudojimo išsiskirtų, pvz., ryškios spalvos, išdėstymas internetinės svetainės viršuje.
  • Suteikite lankytojams galimybę atsisakyti slapukų (opt-out). Pavyzdžiui, įrankis svetainės apačioje, kurį paspaudus galima pakeisti slapukų naudojimo pasirinkimus.
  • Nesužymėkite iš anksto sutikimo laukelių (pre-ticked boxes). Praktika, kai asmeniui nieko pačiam nereikia sužymėti, norint paspausti mygtuką „sutinku“, yra ydinga.
  • Jei informacija apie naudojimąsi svetaine perduodama trečiajai šaliai, apie tai turėtų būti aiškiai iškomunikuota naudotojams. Taip pat turėtų būti aišku, ką trečioji šalis daro su surinktais duomenimis. Atsižvelgdami į jūsų paslaugos specifiką, taip pat galite pasiūlyti naudotojams galimybę keisti savo paskyros nustatymus, kad apribotumėte dalijimąsi informacija su trečiosiomis šalimis.
  • Rinkite ir saugokite informaciją, patvirtinančią, kada asmuo sutiko dėl slapukų naudojimo.
  • Venkite „slapukų sienų“, t. y. suteikite asmeniui galimybę naudotis visomis svetainės funkcijomis, nepriklausomai nuo to, ar jis sutiko, ar ne dėl slapukų naudojimo.
  • Nenaudokite „tamsių raštų“. „Tamsūs raštai“ – tam tikros dizaino ypatybės, kurios naudojamos siekiant manipuliuoti internetinės svetainės naudotoju ir skatinant jį pasirinkti jam mažiau naudingą parinktį. Pavyzdžiui, paryškinta parinktis „Priimti visus slapukus“ laikoma manipuliacija naudotoju.
  • Venkite sudėtingų slapukų atsisakymo schemų, kurios nėra lengvai suprantamos internetinės svetainės naudotojams. Atšaukti sutikimą turi būti taip pat paprasta, kaip ir buvo paprasta jį duoti.
  • Slapukų aprašymas privatumo politikoje ne visada yra tinkamiausias sprendimas, kadangi kas kartą pradėjus naudoti naują slapuką, būtina atnaujinti privatumo politiką.
  • Asmeniui nesutikus su slapukų naudojimu slapukai negali būti įdiegiami.
  • Sutikimo mechanizmas, neleidžiantis vartotojui pasirinkti, su kokių slapukų naudojimu jis sutinka, taip pat neatitinka BDAR reikalavimų.