Iš anksto pažymėti sutikimai dėl slapukų

Pagrindiniai ESTT sprendimo byloje C-673/17 aspektai (Planet49 GmbH)

Kaip veikė slapukai nagrinėjamu atveju ?

Ar slapukai = asmens duomenų tvarkymas?

Slapukai, kurie gali būti įdiegti naudotojo, dalyvaujančio Planet49 organizuojamoje loterijoje, galiniame įrenginyje, turi numerį, kuris priskiriamas prie naudotojo, kuris turi įrašyti savo vardą, pavardę ir adresą į dalyvavimo šioje loterijoje formą, registracijos duomenų. Susiejus šį numerį su šiais duomenimis, slapukų saugomi duomenys suasmeninami, kai naudotojas naudojasi internetu, todėl šių duomenų rinkimas pasitelkiant slapukus yra asmens duomenų tvarkymas.

Kaip turi būti duodamas sutikimas?

[Teisinis reguliavimas]

Direktyva dėl privatumo ir elektroninių ryšių

Direktyva 2002/58

  • saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas naudotojas davė sutikimą pateikus aiškią ir išsamią informaciją, be kita ko, apie tokio duomenų tvarkymo tikslus.

  • Nenustatoma, kaip sutikimas turi būti duotas, tačiau frazė „davė sutikimą“ turi būti suprantama taip, kad reikalingi veiksmai sutikimui išreikšti.

  • Duomenų subjektas turi būti „nedviprasmiškai“ davęs sutikimą. Tik aktyvus asmens elgesys gali atitikti šį reikalavimą.

  • Naudotojo sutikimas negali būti preziumuojamas ir turi kilti iš aktyvaus jo elgesio.

Bendrasis duomenų apsaugos reglamentas (BDAR)

Reglamentas (ES) 2016/679

  • BDAR nuostatos dėl duomenų subjekto sutikimo yra dar griežtesnės, nes reikalaujama, kad būtų „laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto [duomenų subjekto] valios išreiškimas“ pareiškimu arba „vienareikšmiais veiksmais“, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Taigi, BDAR numatytas aktyvus sutikimas.

  • Pagal BDAR 32 konstatuojamąją dalį sutikimas galėtų būti išreikštas, be kita ko, pažymint langelį apsilankius interneto svetainėje.

  • Toje pačioje 32 konstatuojamojoje dalyje aiškiai nurodyta, kad sutikimu negali būti laikoma „tyla, iš anksto pažymėti langeliai arba neveikimas“.

ESTT pastaba

Neatmestina, kad prieš tęsdamas savo veiklą interneto svetainėje, kurioje apsilankė, tas naudotojas neperskaitė informacijos, pateiktos prie iš anksto pažymėto langelio, o galbūt jo net nepastebėjo.

Iš anksto pažymėtas sutikimas nelygu lygu tinkamam sutikimui

Laikytina, kad nėra duotas galiojantis sutikimas, kai išsaugoti informaciją arba prieiti prie informacijos, saugomos interneto svetainės naudotojo galiniame įrenginyje, leidžiama pagal iš anksto paslaugos teikėjo pažymėtą žymimąjį langelį, kurio žymėjimą naudotojas turi pašalinti, norėdamas atsisakyti duoti sutikimą.

Jei informacija, kuri renkama slapukų pagalba nėra susijusi su asmens duomenimis, ar jos rinkimui taikomi tie patys reikalavimai?

Esamo teisinio reguliavimo esmė

Apsaugoti naudotoją nuo bet kokio kišimosi į jo privatų gyvenimą, neatsižvelgiant į tai, ar šis kišimasis susijęs su asmens duomenimis, ar ne.

Bet kokia elektroninių ryšių tinklų naudotojų galiniuose įrenginiuose laikoma informacija yra dalis naudotojų privataus gyvenimo, kuris turi būti saugomas pagal Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją [Direktyvos 24 konstatuojamoji dalis].

Apsauga taikoma bet kokiai šiame galiniame įrenginyje saugomai informacijai, nesvarbu, ar tai asmens duomenys, ar ne, ir ja siekiama, apsaugoti vartotojus nuo rizikos, kad paslėpti identifikatoriai ar kiti analogiški įtaisai prasiskverbs į jų galinį įrenginį jiems nežinant.

Esamas reguliavimas rodo, kad Direktyvos ar BDAR nuostatų aptariamu atveju nereikia aiškinti skirtingai, atsižvelgiant į tai, ar interneto svetainės naudotojo galiniame įrenginyje saugoma arba naudojama informacija yra (arba nėra) asmens duomenys.

Ar duomenų subjektui reikalinga pranešti apie slapukų veikimo trukmę ir galimybę tretiesiems asmenims turėti prieigą prie šių slapukų?

Direktyva dėl privatumo ir elektroninių ryšių

Direktyva 2002/58

  • Naudotojas turi duoti sutikimą, pateikus jam aiškią ir išsamią informaciją, visų pirma apie tvarkymo tikslus

  • "Išsami informacija" apima bet kokią papildomą informaciją, pavyzdžiui, duomenų gavėjus arba jų kategorijas, jeigu, atsižvelgiant į konkrečias aplinkybes, kuriomis renkami duomenys, tokia papildoma informacija reikalinga siekiant užtikrinti teisingą duomenų subjekto duomenų tvarkymą.

Bendrasis duomenų apsaugos reglamentas (BDAR)

Reglamentas (ES) 2016/679

  • BDAR 13 straipsnyje yra išvardinta, kokia informacija turi būti pateikti naudotojui, jo 2 dalyje numatyta, kad duomenų subjektui turi būti pateikta informacija, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti, įskaitant:

  • asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti [a punktas].

  • duomenų gavėjai ar gavėjų kategorijos [e punktas].

Generalinis advokatas: aiški ir išsami informacija turi leisti naudotojui lengvai nustatyti savo duodamo sutikimo pasekmes ir užtikrinti, kad šis sutikimas būtų duotas žinant visas aplinkybes. Ji turi būti aiškiai suprantama ir pakankamai detali, kad naudotojas galėtų suprasti naudojamų slapukų veikimą

Informacija, kurią paslaugų teikėjas turi suteikti interneto svetainės naudotojui, apima slapukų veikimo trukmę ir galimybę (arba ne) tretiesiems asmenims turėti prieigą prie šių slapukų.