GDPR ietekme uz privātumu tiešsaistē

Pasaules Ekonomikas forums vērtē pasaules datu ekonomiku 3 triljoniem USD. 

Šīs nozares izaugsmi ir saasinājusi pieaugošā tādu personas datu, kā piemēram, personas interešu, atrašanās vietas, ienākumu, attiecību statusa, dzimuma, vecuma, izglītības utt., nekontrolēta vākšana, savstarpēja sasaiste un tālākpārdošana. Tāpēc konflikti starp datu vērtību un personas privātumu turpinās pieaugt.

Reklāmas tehnoloģiju uzņēmumi (Ad Tech) cenšas izvietot izsekotājus pēc iespējas vairākās vietnēs, lai optimizētu datu vākšanu. Parasti izsekošanas uzņēmumi veic arī sīkfailu (cookies) sinhronizāciju, kas ļauj  apmainīt savu unikālo identifikatoru ar citiem Ad Tech uzņēmumiem, lai viņu rīcība esošus datus par lietotājiem, varētu apvienot un savstarpēji saistīt. Nav nepieciešamas īpašas zināšanas, lai saprastu, kādas sekas var izraisīt tādas vērtīgas informācijas apvienošana, kā lietotāja atrašanās vieta un viņa īstais vārds.

Nedaudz statistikas

Vispārīgā datu aizsardzības regula (GDPR) izraisīja nepieciešamību veikt izmaiņas daudzās vietnēs attiecībā uz privātuma politiku un sīkfailu (cookies) izmantošanas piekrišanu. Prasību ieviešanas pienākuma rezultāts visās ES dalībvalstīs un arī Baltijas valstīs bija atšķirīgs - saskaņā ar Horst Görtz Institute for IT Security and the Institute for Applied Work Science pētījumu*, kas analizēja 500 visbiežāk apmeklēto vietņu privātuma politikas katrā ES dalībvalstī no 2018.gada janvāra līdz jūnijam, aptuveni 74% analizēto vietņu attiecīgā privātuma politika netika mainīta līdz pat GDPR spēkā stāšanos dienai.

Saskaņā ar pētījumu, 2018.gada janvārī privātuma politika tika ieviesta tikai 59,6% no 500 apmeklētākajām vietnēm Latvijā, kas, stājoties spēkā GDPR, palielinājās par 8,8%, radot vislielāko uzņēmumu atsaucību uz jauno regulējumu no visām ES valstīm. Salīdzinājumam - pirms 2018.gada 25.maija Vācijā ieviesto privātuma politiku skaits bija 83,2%, Polijā 85,6% un Lietuvā 66%.

Cookie problēma

Viens no ievērības cienīgākajiem rezultātiem ir tādu sīkfailu paziņojumu izvietošana, kas informē lietotājus par sīkdatņu izmantošanu. Pēc GDPR stāšanās spēkā, aptuveni 62% analizēto vietņu sniedza paziņojumus par sīkdatnēm, kas ir par 16% vairāk nekā 2018.gada janvārī. Tā rezultātā sīkfailu paziņojumi kļuva par vienu no datu aizsardzības elementiem, kas ir pieaudzis saistībā ar GDPR spēkā stāšanos. Tomēr sīkfailu paziņojumi lielākoties neatbilst prasībām, jo tie nepiedāvā lietotājiem nepieciešamās iespējas atteikties no sīkdatņu lietošanas un neinformē par visām personām, kuras vāc sīkfailu informāciju vai kuriem šī informācija tiks nodota. Tādējādi ir skaidrs, ka sīkfailu piekrišanas paziņojumi atrodas problemātiskajā vietā un, lai tā nav, ir nepieciešamas skaidras vadlīnijas.

29.panta darba grupa (WP29, kuru aizstāj Eiropas Datu aizsardzības padome) uzskatīja, ka plašsaziņas līdzekļi, e-komercija un publiskais sektors rada vislielākos datu aizsardzības un privātuma riskus ES pilsoņiem. Saskaņā ar WP29 veikto minēto nozaru pārbaudi, šādu vietņu iestatīto pirmās un trešās puses sīkfailu (piemēram, Facebook vai Google AdWords) attiecība ir  29,60% pret 70,39% attiecīgi. Tomēr joprojām pastāv daudz vietņu, kas nesniedz pietiekamu informāciju par to, ka vietnē ir iestatīti trešo pušu sīkfaili, kā arī tam netiek prasīta lietotāja piekrišana vai nav nodrošināta akvalitatīva un pietiekama informācija par to. Diemžēl, 70 no 100 gadījumos mēs nezinām, kurš izseko mūsu aktivitāti tīmekļa vietnē, proti - kam šie dati tiek nodoti vai pārdoti. Papildus, veiktā pārbaude identificēja tīmekļa vietnes, kurās tika iestatīti vairāk nekā 200 (!!) trešo pušu sīkfaili un daži sīkfaili, kuru lietošanas ilgums ir gandrīz 8000 gadi (laikam, "elegants" IT humors).

Viena no populārākajām identificētajām kļūdām - tīmekļa vietnes bieži vien sāk izsekošanu pirms tiek saņemta lietotāja piekrišana sīkfailu lietošanai, kā arī dažos gadījumos sīkfailu baneris pat neparādas pirmajā lapā. Otra populārā kļūda ir netieša vai piespiedu piekrišana.

Problemātiskais pikselis

Cita nopietna problēma, kurai ir jāpievērš uzmanība, ir trešo pušu sīkfailu, piemēram, Google AdWords vai Facebook, pikseļi, kas palīdz ievietot sīkfailus tīmekļa lapā. Kad persona atsauc sniegto piekrišanu, Ad Tech pārtrauc targetētu mārketingu, taču nebeidz vākt personas datus un turpina ar pikseli saistīto personas datu apstrādi. Vienreiz ievietotos pikseļus gandrīz nav iespējams izdzēst vai bloķēt, kad tas ir nepieciešams.

Neskatoties uz daudzām neskaidrībām, GDPR ieminas par sīkfailiem  tikai vienreiz 30.apsvērumā, kurā galvenokārt teikts, ka, ja sīkfailu kopā ar unikāliem identifikatoriem un citu servera saņemtu informāciju var izmantot, lai izveidotu fizisku personu profilus un tos identificēt, tas ir jāatzīst par personas datiem. Eiropas Komisija ir mēģinājusi precizēt un publicēt izsmeļošu sīkfailu veidu sarakstu, uz kuriem neattiecas pienākums saņemt lietotāja piekrišanu, kurš kopā ar vadlīnijām ir pieejams Eiropas Komisijas mājaslapā.

Padomi sīkfailu iestatīšanai: 

1. Sīkfailu banerim jābūt parādītam visās vietnes lapās, lai izvairītos no situācijas, kad lietotājs pāriet uz kādu vietnes sadaļu, neizdarot savu izvēli attiecībā uz sīkfailiem un tāda iespēja pazūd no lapas. 

2. Ir jābūt pieejamai saitei uz sīkfailu lietošanas politiku.

3. Pārliecinities, ka jūsu vietne neievāc sīkfailus pirms lietotājs tam ir piekritis.

4. Pārliecinieties, ka jūsu vietne pārtrauca sīkfailu ievākšanu, kad lietotājs iebilda turpmākai datu apstrādei. 

5. Noteiciet sīkfailu ievākšanas un datu apstrādes termiņu, ņemot vērā principu, ka datus nedrīkst apstrādāt ilgāk nekā tas ir nepieciešams nolūkos, kuros dati tika ievākti. 

6. Pārliecinities, ka sīkfailu iegūto personas datu noteikumi ir pārredzami - tie informē par visiem trešo personu sīkfailiem. 

*Analysis on how the necessary changes have been implemented by enterprises on their websites.

Autors: Marina Briškena, eGDPR

Nav komentāru

Komentēt