Īrijas datu aizsardzības komisāra lēmums uzlikt rekordaugsto 225 miljonu eiro sodu lietotnei WhatsApp par vairāku Vispārīgās datu aizsardzības regulas pantu pārkāpumiem — lietotāju privātuma un personas datu apstrādes caurskatāmības nenodrošināšanu —, ir guvis plašu rezonansi visā Eiropas Savienībā. Kāpēc šis lēmums varētu būt aktuāls Latvijas uzņēmējiem? Vispārīgās datu aizsardzības regulas mērķis ir veicināt līdzvērtīgu datu aizsardzības līmeni, un tas varētu liecināt par jauniem standartiem uzņēmumu izstrādātajām privātuma politikām — tām ir jābūt lietotājam draudzīgām.

Lēmumā norādītās nepilnības sastopamas ne tikai WhatsApp, bet daudzu citu datu pārziņu privātuma politikās. Lēmums palīdz iegūt priekšstatu par to, kādā veidā būtu pienācīgi jāinformē datu subjekti, izmantojot privātuma politiku, pievēršot uzmanību, piemēram, tādiem aspektiem kā privātuma politikas noformējums, detalizācijas pakāpe, hipersaišu (linku) daudzums privātuma politikā un tās kopējais garums, vebinārā "Lietotājam draudzīga privātuma politika — ko varam mācīties no WhatsApp lēmuma?" skaidroja Zvērinātu advokātu biroja Sorainen juriste, sertificēta datu aizsardzības speciāliste Anna Bogdanova.

225 miljonu eiro sods

2021. gada 2. septembrī Īrijas datu aizsardzības komisārs paziņoja par 225 miljonu eiro sodu lietotnei WhatsApp par vairāku Vispārīgās datu aizsardzības regulas (VDAR) pantu pārkāpumiem (12., 13., 14. pants). Proti, pārsvarā par informācijas sniegšanu gan WhatsApp lietotājiem, gan personām, kas nebija WhatsApp lietotāji.

VDAR 12. pants nosaka pārredzamas informācijas, saziņas un datu subjekta tiesību īstenošanas kārtību, 13. pants — informāciju, kas jāsniedz, ja personas dati ir iegūti no datu subjekta, bet 14. pants — informāciju, kas jāsniedz, ja personas dati nav iegūti no datu subjekta.

Soda apmēru ir ietekmējusi virkne faktoru, tajā skaitā pārkāpuma veids, ilgums, plašais subjektu loks, kā arī uzņēmuma ievērojamais apgrozījums.

Komisāra pieņemtais lēmums ir "izgājis cauri" strīdu risināšanas mehānismam Eiropas Savienības līmenī, kur vairākas dalībvalstis ieņēma vēl stingrāku pozīciju nekā komisārs. Pašlaik WhatsApp ir iesniedzis prasību par lēmuma pārsūdzēšanu Eiropas Savienības Tiesā. 

Izmeklēšana sākās 2018. gada nogalē

Izmeklēšana par to, vai uzņēmums WhatsApp, kas ir Facebook piederošs ziņojumapmaiņas pakalpojums, savā informācijas apstrādes praksē bija pietiekami caurspīdīgs, sākās 2018. gada 10. decembrī. Šo jautājumu izmeklēja komisārs, jo WhatsApp īpašnieces kompānijas Facebook pārstāvniecība Eiropā ir reģistrēta šajā valstī.

Komisārs izmeklēja, vai WhatsApp ir skaidra pakalpojuma privātuma politika un vai lietotājiem tiek sniegts pietiekami daudz informācijas par to, kā viņu dati tika apstrādāti un kopīgoti, tajā skaitā ar Facebook. Kopš izmeklēšanas sākuma WhatsApp vairākas reizes atjaunināja savu privātuma politiku.

Papildus soda naudai komisārs WhatsApp izvirzīja prasību pielāgot savu privātuma politiku un paziņošanas praksi, lai tā atbilstu VDAR noteikumiem. 

WhatsApp uzliktais sods 225 miljonu eiro apmērā ir pats augstākais kopš brīža, kad VDAR sāka piemērot (2018. gada 25. maijā). 

Līdz šim vienu no lielākajiem sodiem ir izpelnījies tehnoloģiju uzņēmums Google par to, ka interneta meklētājā netika pieprasīta lietotāju piekrišana viņu datu izmantošanai, lai tie saņemtu personificētas, speciāli atlasītas reklāmas. Francijas datu aizsardzības uzrauga piemērotais soda apmērs tiesvedības procesā pieauga līdz 100 miljoniem eiro.

Jauni standarti privātuma politikā

VDAR paredz noteikumus fizisku personu datu aizsardzībai. Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības.

Kāpēc komisāra piemērotais lēmums varētu būt aktuāls Latvijas uzņēmējiem? Komisāra lēmums sodīt WhatsApp nav tiešā veidā saistošs Latvijas uzņēmējiem, tomēr tas tiek balstīts uz VDAR un Eiropas Savienības līmeņa vadlīnijām.

Savukārt VDAR mērķis ir veicināt līdzvērtīgu datu aizsardzības līmeni, attiecīgi šis lēmums var liecināt par jauniem standartiem uzņēmumu izstrādātajām privātuma politikām.

Kādos gadījumos nepieciešama privātuma politika?

VDAR noteikts, ka ir nepieciešams informēt datu subjektus par viņu datu apstrādi. Viens no veidiem, kā to var darīt, — izmantojot privātuma politiku. Privātuma politikas mērķis ir informēt datu subjektus par personas datu apstrādi. 

A. Bogdanova iezīmēja jautājumus, uz kuriem atbildot uzņēmumam varētu būt skaidrs, vai ir nepieciešama privātuma politika.

Vai apstrādājat personas datus?

Svarīgi saprast, ka personas dati nav tikai vārds, uzvārds un personas kods, bet arī adreses, telefona numuri, atsauksmes par preci u.c. — tas ir ļoti plaši definēts jēdziens. Izplatīti piemēri, kad notiek personas datu apstrāde, ir preču tirdzniecība un piegāde, saziņa ar klientiem, konkursu rīkošana, lojalitātes programmas, komerciālo paziņojumu sūtīšana u.c. aktivitātes.

Vai piemērojams kāds no VDAR izņēmumiem?

Vajadzētu arī saprast, vai uz jums attiecas kāds no VDAR izņēmumiem, piemēram, personas datu apstrāde, ko veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā. Tas būs diezgan rets gadījums. Piemēram, ja persona vēlētos veidot mājaslapu, lai pastāstītu par savu hobiju sēņošanu un saviem sēņošanas piedzīvojumiem, un nekādus datus neapkopotu — tad uz šo mājaslapu varētu attiecināt šo izņēmumu. 

Bet, ja mājaslapā tiek ieviesti papildu elementi, piemēram, persona fotografē sēnes un piedāvā iegādāties fotogrāfijas vai marinē sēnes un piedāvā tās iegādāties, tad šajā gadījumā jau ir jāievēro VDAR. Nav tā, ka ir jābūt ļoti augsti tehnoloģiski attīstītam internetveikalam, var būt tikai piedāvājums rakstīt uz noteiktu e–pastu vai zvanīt pa tālruni.

Kas ir klienti?

Svarīgi ir arī saprast, kas ir uzņēmuma klienti — fiziskas vai juridiskas personas. VDAR neattiecas uz juridiskas personas datu apstrādi, bet var būt nosacīti pelēkā zona, piemēram, vai pašnodarbinātās personas uzskatīs par fiziskām personām vai tās nosacīti var pielīdzināt juridiskām personām?

Svarīga ir arī atbilde uz jautājumu, kas vispār ir mans produkts. Vai tas ir balstīts/saistīts ar datu apstrādi? Vai jums ir mājaslapa, lietotne, programma u.tml.?

Nozīmīgi ir arī tas, vai interneta lapā uzņēmums izmanto ne tikai obligāti nepieciešamās sīkdatnes, bet fiksē lietotāju pieredzi, apkopo statistiku utt.

Privātuma politikas izveide

Vispirms ir svarīgi saprast, kādu informāciju norādīt privātuma politikā. Uz šo jautājumu pārliecinošu atbildi sniedz VDAR 13. un 14. pants. 

VDAR 13. pants paskaidro, kāda informācija ir jāsniedz, ja personas dati ir iegūti no datu subjekta. Savukārt VDAR 14. pants norāda, kāda informācija ir jāsniedz, ja personas dati nav iegūti no datu subjekta.

Daudziem liekas, ka šajā gadījumā VDAR pastāv pretruna starp a) prasību sniegt visaptverošu un detalizētu informāciju datu subjektiem, bet, no otras puses, ir b) prasība to darīt kodolīgi, pārredzami, saprotamā un viegli pieejamā veidā. Šo pretrunu ir iespējams risināt, un tas ir uzņēmuma datu pārziņa jautājums, kā to darīt.

Viens no veidiem varētu būt vairāku līmeņu informācijas sniegšana, kur detalizēti pa līmeņiem var sadalīt informāciju, lai tā nav haotiska un nelietderīgi pārmērīga un lietotājs var atrast sadaļu, kas viņu interesē, un iegūt visu detalizēto informāciju.

Viena no atziņām, kas nāk līdz ar WhatsApp lēmumu, ir konkrētība — ir jānorāda datu glabāšanas periods vai kritēriji, kā to aprēķina. Kritēriji ir nosakāmi saskaņā ar normatīviem aktiem, likumiem, līgumiem utt. Tiem nevajadzētu būt "ģenēriskiem" jeb ļoti vispārīgiem, ko var atkārtoti izmantot jebkurš cits uzņēmums.

Atsaucoties uz standarta līguma klauzulām, jānorāda, tieši uz kuru attiecību modeli pārzinis atsaucas (piemēram, pārzinis — apstrādātājs).

Kā noformēt privātuma politiku?

Datu subjektam ir jāspēj izsekot līdzi, vai viņš ir ieguvis visu pieejamo informāciju par personas datu apstrādi. It īpaši, ja tiek izmantoti linki, kas satur līdzīgu, tomēr detaļās atšķirīgu informāciju. 

Nav tā, ka WhatsApp lēmums aizliedz vispār izmantot hipersaites, tas var būt lietderīgi, bet ir jāskatās, lai tas nepārvēršas haotiskā veidā. Piemēram, uzņēmumam ir privātuma politika, bet tajā ir desmit hipersaites uz ļoti līdzīgu informāciju. Tad datu subjektam ir jāpārlasa, kuras detaļas ir tās, kas atšķiras, un tad viņš līdz galam nevar saprast, vai izsmēlis visus avotus, iepazinies ar visu informāciju, vai ir palikušas apslēptas hipersaites, ko nav izlasījis un ieguvis informāciju. Šādām situācijām nevajadzētu būt.

Praksē dažkārt var novērot, ka uzņēmuma mājaslapā informācija ir haotiska, par spīti privātuma politikas esamībai, jo vienlaikus datu apstrādes noteikumi nedaudz citādā veidā ir aprakstīti arī lietošanas noteikumos un citās mājaslapas sadaļās. Tāpat Latvijā praksē bieži tiek izmantotas privātuma politikas, kas tikai vispārīgi apraksta apstrādājamos personas datus, apstrādes mērķus, tiesiskos pamatus u.c. informāciju dažos teikumos, bet datu subjektam pašam ir šī informācija "jāsavieno" īstajās kombinācijās.

Informācija, kas ietverta dažādos vairāku līmeņu paziņojumos, nevar būt pretrunīga.

Kur norādīt privātuma politiku?

Ir ieteicams izvairīties no "bezgalīgas skrollošanas". Ja runā par aplikācijām, tad lietotājam vajadzētu varēt atrast privātuma politiku bez "bezgalīgas skrollošanas" citu dokumentu jūrā. 

Uzņēmumiem ir jāizvairās no pārmērīgi garām un juridiski sarežģītām privātuma politikām. Pārzinim ir jāpasniedz informācija lietotājam pārskatāmā un viegli saprotamā veidā.

Vai ietvert privātuma politiku lietošanas noteikumos? VDAR nav skaidras atbildes uz šo jautājumu, bet, vērtējot komisāra lēmumu attiecībā uz WhatsApp, izskanēja atziņa, ka privātuma politikas ietveršana lietošanas noteikumos varētu apturēt datu subjektus no vēlmes iepazīties ar datu apstrādes noteikumiem. Lietošanas noteikumi jau tāpat ir gari, un privātuma politikas ietveršana to pagarina vēl vairāk, un tas pārvēršas nepievilcīgā dokumentā. Labāk būtu, ja būtu divi atsevišķi dokumenti, kuros var atrast vajadzīgo informāciju.

Skaidra un detalizēta informācija

Atbilstoši VDAR datu subjektiem ir jābūt pieejamai skaidrai un detalizētai informācijai par savu personas datu apstrādi, proti, kādi konkrētie personas dati tiek apstrādāti katram konkrētam mērķiem, kādi ir tiesiskie pamati to apstrādei un kādas apstrādes darbības tiek veiktas. Tiek dots piemērs, kas varētu būt piemērots internetveikalam.

Šajā gadījumā datu subjektam ir tikai daļēji skaidri datu apstrādes aspekti, jo liela daļa darbības ir jāveic pašam un jāsavieno informācija īstajās kombinācijās.

Cik bieži vajadzētu atjaunot privātuma politiku?

Īrijas datu aizsardzības komisārs WhatsApp lēmuma sakarā secināja, ka slogs, kas uzlikts pārziņiem, proti, pienākums periodiski atjaunot informāciju privātuma politikā, ir attaisnojams, jo datu subjektiem ir tiesības saņemt pārskatāmu informāciju par savu personas datu apstrādi.

Pārredzamības pienākums ir pastāvīgs, nevis tāds, ko var izpildīt vienreiz. Attiecīgi pārziņiem, lai nodrošinātu atbilstību, ir pastāvīgi jāpārskata sava prakse. Turklāt privātuma politika ir informatīvs paziņojums, dokuments, kas norāda uz uzņēmuma datu apstrādes praksi, kas laika gaitā mainās, nevis stāv uz vietas.

Kas ir būtiskas izmaiņas?

Svarīgi ir informēt datu subjektus par būtiskām izmaiņām uzņēmuma privātuma politikā. To paskaidro 29. panta darba grupas vadlīnijas "Pārredzamības pamatnostādnes saskaņā ar regulu 2016/679".

Vadlīnijās paskaidrots, ka datu subjekti ir jāinformē par izmaiņām. Faktori, kuri pārzinim būtu jāņem vērā, lai novērtētu, kas ir būtiskas izmaiņas:

• ietekme uz datu subjektiem;
• apstāklis, cik sagaidāmas/paredzamas šīs izmaiņas ir datu subjektiem.

Datu subjekti vienmēr būtu jāinformē par šādām izmaiņām:

• apstrādes nolūki;
• pārziņa identitātes maiņa vai izmaiņas tajā;
• datu subjektu tiesību izmantošana.

Gramatiskās un stila kļūdas nebūtu uzskatāmas par būtiskām izmaiņām.

Informēšanas formāts

Svarīgi zināt, kādā veidā informēt datu subjektu par privātuma politikas izmaiņām. Atsauce, ka datu subjektam būtu regulāri jāpārbauda privātuma politikas izmaiņas vai atjauninājumi, ir netaisnīga. 

Paziņojums par izmaiņām ir jāsniedz uzskatāmā un atbilstošā veidā. Labās prakses piemēri: izmantojot e–pastu, drukātā veidā, izmantojot tīmekļa vietnes uznirstošo logu vai citus moduļus, kas pievērš uzmanību. 

Sliktās prakses piemēri būtu to apslēpt citā informācijā, piemēram, kopā ar tiešā mārketinga saturu, lai tas paliek nemanāms.

Sīkdatņu izmantošana

Datu valsts inspekcija 2021. gadā veica preventīvās pārbaudes attiecībā uz sīkdatņu izmantošanu e–veikalu vietnēs, kuru galvenā mērķauditorija ir fiziskās personas. Pārbaužu mērķis bija noteikt, vai komersanti sīkdatnes izmanto atbilstoši visiem regulētajiem standartiem: sniedz pietiekošu informāciju par to izmantošanu, saņem vietnes lietotāju atļaujas tās izmantot, kā arī vai komersanti sniedz atbilstošus sīkdatņu izmantošanas noteikumus. Atbilstība tika vērtēta VDAR un Informācijas sabiedrības pakalpojumu likuma tvērumos. 

Pārbaužu laikā Datu valsts inspekcija pārbaudīja 26 komersantus, kuri bija izvēlēti pēc vienotiem kritērijiem, ņemot vērā to aktivitāti, apgrozījumu, e–komercijas nozīmību uzņēmējdarbībā, kā arī mērķauditoriju. Kopumā tika pārbaudītas 29 vietnes. 

Datu valsts inspekcija, iepriekš izdzēšot izmantotās sīkdatnes, analizēja patieso izmantoto sīkdatņu daudzumu, to tipus, nolūkus un informācijas pieejamību, tādā veidā konstatējot, ka lielākā daļa pārkāpumu izpaudās gadījumos, kad komersanti neieguva piekrišanu no lietotājiem par sīkdatņu izmantošanu, kad tas bija obligāti, ņemot vērā izmantoto sīkdatņu specifiku. 

Daļēja piekrišana tika gūta 25 gadījumos, bet četros gadījumos tā netika iegūta vispār. Savukārt vismazāk pārkāpumu tika konstatēts gadījumos par sīkdatņu izmantošanas noteikumu pieejamību, deviņās vietnēs šī informācija tika sniegta atbilstoši, 18 vietnēs tā tika sniegta daļēji, bet divās vietnēs netika sniegta vispār. 

Atbilstoši "Konsultē vispirms" principam trīs komersantiem, kuru pārkāpumi tika traktēti kā būtiski, tika izsūtīti pieprasījumi novērst nepilnības līdz 2022. gada 11. aprīlim, bet komersantiem, kuru pārkāpumi tika atzīti kā nebūtiski, — pieprasījumi novērst nepilnības līdz 2022. gada 12. augustam. 

Datu valsts inspekcija atzina, ka komersantiem ir jānodrošina, lai informācija par sīkdatnēm ir viegli pieejama un viegli saprotama, kā arī lietotājam ir jānodrošina izvēles tiesības piekrist vai nepiekrist sīkdatņu izmantošanai, izņemot gadījumos, kad izņēmumus paredz regulējums.

Publicēts žurnāla “Bilance” 2022. gada aprīļa (484.) numurā. Raksts tapis, balstoties uz Annas Bogdanovas uzstāšanās materiāliem zvērinātu advokātu biroja Sorainen rīkotajā vebinārā 2022. gada 3. februārī.