Baudos verslui – iki daugiamilijoninių sumų
Bendrovė „Coolblue“ buvo nusprendusi, kad jų internetinę parduotuvę atsidarantys klientai turi automatiškai sutikti su slapukų, kurie, kaip žinoma, yra technologinis skaitmeninio marketingo pamatas, naudojimu. Deja, ši patogi praktika yra visiškai neteisėta.
Bendrovė pažeidė esminę asmens duomenų apsaugos taisyklę – neužtikrino, kad kiekvienas vartotojas pats aktyviai pažymėtų, jog sutinka su slapukų naudojimu. Priešingai – jie nusprendė pagreitinti procesus, iš anksto pažymėdami sutikimo langelius, regimai darydami prielaidą, kad niekas neprieštaraus. Bendrojo asmens duomenų apsaugos reglamento (BDAR) nuostatos aiškiai reikalauja, kad sutikimas būtų laisvas ir sąmoningas, o ne iš anksto „pažymėtas“.
Ir tai tik vienas iš daugelio pavyzdžių, kai slapukai tampa duomenų apsaugos nusižengimų epicentru. 2019 m. Ispanijoje už netinkamą slapukų politiką vienai bendrovei buvo skirta 30 000 eurų bauda, nes vartotojams nebuvo patogu lengvai atsisakyti slapukų naudojimo. Milžiniškos baudos atkeliavo „Google“ ir „Amazon“ administracijoms – 2020 m. Prancūzijos duomenų apsaugos agentūra (Commission Nationale Informatique & Libertés) skyrė jiems atitinkamai 100 mln. ir 35 mln. eurų baudas už slapukų įdiegimą be aiškaus vartotojų sutikimo.
Asmeniniai duomenys: kas renka ir kam juos naudoja?
Šie atvejai ne tik primena, bet ir įspėja: skaidrumas nėra pasirinkimas, tai – būtinybė. Internetas be slapukų šiandien toks pat neįprastas, kaip Kalėdos be dovanų. Beveik kiekvienas mūsų aplankytas tinklalapis stebi, ką darome, kaip naršome ir ką spaudžiame. Bet ar mes, spausdami mygtuką „Sutinku“, žinome, kam suteikiame prieigą prie savo duomenų? Ar suprantame, kaip šie slapukai formuoja mūsų internetinį gyvenimą? Galbūt laikas sustoti ir iš tikrųjų įsigilinti į tai, ką reiškia tie nedideli, bet labai reikšmingi interneto slapukai.
Ar susimąstote, kokią informaciją apie jus renka el. parduotuvė, kai atsidarote jos svetainę? Išties jos įdiegti slapukai kruopščiai fiksuoja, kokius produktus peržiūrite, kiek laiko stabtelite vienam ar kitam puslapyje, ir net kokias nuorodas spaudžiate. Šie duomenys dažnai naudojami tam, kad jums būtų rodoma suasmeninta reklama – tarkime, tie sportbačiai, kuriuos vakar įsidėjote į pirkinių krepšelį, bet taip ir neišdrįsote nusipirkti, staiga pradeda „persekioti“ jus visur – nuo „Instagram“ iki mėgstamų naujienų portalų.
Slapukai tarnauja ne tik jūsų patogumui. Jie dažnai dirba ir trečiosioms šalims – reklamos tinklams ar socialinių tinklų milžinams. Pavyzdžiui, jei el. parduotuvėje naudojami „Google Ads“ ar „Facebook Pixel“ slapukai, jūsų apsipirkimo įpročiai greičiausiai jau perduoti šiems reklamos gigantams. Rezultatas? Tikslinės reklamos, net jei niekada tiesiogiai nesutikote, kad „Facebook“ ar „Google“ jus stebėtų.
Socialiniai tinklai yra dar vienas slapukų „triuko“ pavyzdys. Įsivaizduokite, naršote receptų svetainėje ir pamatote „Facebook“ mygtuką „Patinka“. Net jei jo nespausite, yra tikimybė, kad „Facebook“ jau stebi jūsų veiklą. Tokiu būdu kuriamas jūsų profilis, pagal kurį jums pateikiamos asmeniškai pritaikytos reklamos ar pasiūlymai.
Dar viena svarbi slapukų paskirtis – svetainės veikimo analizė. Tokios paslaugos kaip „Google Analytics“ renka duomenis apie jūsų IP adresą, naršymo trukmę, geografinius duomenis ir net tai, kaip greitai atsidaro puslapiai, kuriuos lankote. Nors šie duomenys dažnai anonimizuojami, prieš tai jie perduodami trečiosioms šalims, kurios gali juos analizuoti ir pritaikyti savoms reikmėms.
Šie pavyzdžiai parodo, kaip slapukai peržengia ribą tarp svetainės funkcionalumo ir duomenų perdavimo kitiems tikslams. Problema kyla tada, kai vartotojui apie tai nepasakoma tiesiai šviesiai arba kai jis neturi jokios kontrolės. Nors BDAR nustato aiškias taisykles, jų dažnai nesilaikoma. Rezultatas – vartotojai praranda pasitikėjimą, o įmonės susiduria su rimtomis teisinėmis pasekmėmis. Tad „nekalti“ jums atrodantys slapkukai gali būti kur kas svarbesni, nei įsivaizduojate.
Pažvelkime į dažniausias klaidas, kurios pasitaiko naudojant slapukus asmens duomenų rinkimui.
Aiškaus sutikimo nebuvimas
Įsivaizduokite, užsukate į el. parduotuvę ir jau nuo pirmos sekundės esate sekami kaip detektyviniame filme. O dar geriau – niekas jūsų net neklausė, ar galite ir norite būti „herojumi“. Štai „Coolblue“ nusprendė, kad jų lankytojai automatiškai sutinka su slapukais. Rezultatas? 40 000 eurų bauda. BDAR aiškiai sako: norint naudoti nebūtinuosius slapukus (pvz., rinkodaros ar analitinius), reikia jūsų aktyvaus „taip“. Jokių prielaidų, jokio automatimatizmo – tik sąmoningas pasirinkimas.
Iš anksto sužymėti langeliai
Įsivaizduokite, kad užsisakote picą, o kasininkas pats nusprendžia pridėti papildomo sūrio – be jūsų sutikimo, ir tai įtraukia į sąskaitą. Keista, tiesa? Tas pats vyksta, kai svetainės automatiškai pažymi jūsų sutikimą dėl slapukų naudojimo, neleidžiant jums pačiam priimti sprendimo. 2019 m. Europos Teisingumo Teismas žaidimus internetu siūlančios bendrovės „Planet49“ byloje patvirtino, kad tokia praktika yra neteisėta – vartotojai neturi tapti automatinių svetainės nustatymų aukomis.
Nepakankamai aiški informacija vartotojui
„Mes naudojame slapukus jūsų patirčiai gerinti.“ Taip, supratome, bet ką tai iš tikrųjų reiškia? BDAR reikalauja aiškumo: kokie slapukai naudojami, kokiems tikslams, kiek laiko jie saugomi ir ar tai pirmosios, ar trečiosios šalies slapukai. Pavyzdžiui, analitiniai slapukai stebi, kiek kartų peržiūrite puslapį, o rinkodaros slapukai perduoda šią informaciją reklamos tinklams. Trumpai tariant, abstraktūs teiginiai netinka – vartotojai turi žinoti, kas vyksta.
Sudėtingas sutikimo atšaukimas
Galbūt kažkada jau bandėte atsisakyti slapukų ir pajutote, kad tai prilygsta kelionei į biurokratijos labirintą. Pavyzdžiui, „YouTube“ yra sulaukusi kritikos, kad jų sutikimo atšaukimas buvo sudėtingesnis nei pirminis sutikimas. BDAR numato, kad vartotojai turi turėti galimybę taip pat lengvai atšaukti sutikimą, kaip ir jį suteikti.
Automatinis slapukų aktyvavimas
Įsivaizduokite, kad einate į kino teatrą, o bilietų pardavėjas ne tik iškart parduoda jums bilietą, bet ir įduoda jums spragėsių dėžę bei kolos stiklinę. Net jei planavote pažiūrėti filmą be užkandžių, pasirinkimas buvo padarytas už jus. Su slapukais yra panašiai – kai jie aktyvuojami prieš jums sutinkant, vartotojo pasirinkimas tampa nereikšmingas. Kai kurios el. parduotuvės taip ir elgiasi – jos „stebi“ jūsų veiklą nuo pirmo puslapio įkrovimo, net jei to dar neleidote.
Klaidinanti sutikimo forma
Jei slapukų pranešimas atrodo labiau kaip reklaminis triukas, o ne informatyvi priemonė, tai jau problema. Pavyzdžiui, kai mygtukas „Priimti visus“ šviečia kaip Kalėdų eglutė, o „Atsisakyti“ paslėptas pilkame foniniame kampe. Tai vadinama „dark patterns“ praktika – manipuliacija vartotojo pasirinkimu.
Nevisaverčiai slapukų valdymo įrankiai
Slapukų valdymas turėtų būti paprastas kaip dukart du. Jei vartotojas nori pakeisti savo nuostatas, tai turėtų būti taip lengva, kaip atidaryti programėlę. Jei slapukų valdymo įrankis neveikia arba jo apskritai nėra – aiškus BDAR pažeidimas.
Neteisingai pristatomas duomenų anonimizavimas
Pastaba apie „anonimizuotus slapukus“ skamba raminančiai, tiesa? Tačiau anonimizavimas nėra paprastas duomenų „paslėpimas“ – tai atskiras duomenų tvarkymo procesas, kuris pagal BDAR taip pat turi būti pagrįstas teisėtu pagrindu. Jei, pavyzdžiui, anonimizavimo procesas apima IP adresų apdorojimą, kol jie tampa nebeatpažįstami, šis veiksmas vis tiek laikomas duomenų tvarkymu iki anonimizavimo užbaigimo.
Pavyzdžiui, „Google Analytics“ turi IP anonimizavimo funkciją, tačiau jei svetainė jos neaktyvuoja, IP adresai lieka asmens duomenimis, o jų tvarkymas be teisėto pagrindo jau yra BDAR pažeidimas. Taigi, anonimizavimas negali būti naudojamas kaip stebuklinga skraistė, uždengianti galimus pažeidimus – tai procesas, reikalaujantis aiškumo ir teisėtumo nuo pradžios iki pabaigos.
Trečiųjų šalių slapukų detalių trūkumas
Trečiųjų šalių slapukai, tokie kaip „Facebook Pixel“, dažnai naudojami be aiškaus paaiškinimo, kokie duomenys siunčiami trečiosioms šalims ir kokiais tikslais. Pavyzdžiui, „Meta“ platformos buvo kritikuojamos už tai, kad jos renka informaciją apie lankytojus iš trečiųjų šalių svetainių net tada, kai šie neturi „Facebook“ paskyros.
Tai reiškia, kad galite niekada nesilankyti „Facebook“, bet jei užsukote į svetainę, kurioje veikia „Facebook Pixel“, jūsų naršymo duomenys vis tiek gali būti perduoti „Meta“. Šie slapukai renka informaciją apie tai, ką peržiūrėjote, kur spaudėte ir net kiek laiko praleidote puslapyje. Toks sekimas tampa dar įdomesnis, kai suprantame, kad anonimizavimas – procesas, kuris galėtų užtikrinti duomenų saugumą – taip pat nėra automatinė duomenų apsaugos garantija.
Saugojimo trukmės apribojimų nepaisymas
Dažnai svetainės nepaaiškina, kiek laiko slapukai bus saugomi. Bendros frazės, tokios kaip „ne ilgiau nei 12 mėnesių“ netinkamos. BDAR reikalauja pateikti aiškią informaciją apie slapukų veikimo trukmę, pavyzdžiui, ar jie yra sesijos slapukai, kurie ištrinami uždarius naršyklę, ar ilgalaikiai slapukai, saugomi keletą metų.
Vartotojai nemėgsta klaidų
Slapukai, nors ir būtini patogiai naršymo patirčiai užtikrinti, kelia nemažai privatumo ir duomenų apsaugos iššūkių. Dėl klaidų, tokių kaip aiškaus sutikimo nebuvimas, sudėtingas slapukų valdymas ar nepakankamas skaidrumas informuojant apie trečiųjų šalių slapukus, svetainės ne tik pažeidžia BDAR reikalavimus, bet ir rizikuoja prarasti vartotojų pasitikėjimą. Šiandien, kai duomenų privatumas tampa vis svarbesne tema, organizacijos turi užtikrinti, kad jų slapukų politika atitiktų teisinius reikalavimus ir būtų aiškiai suprantama vartotojams. Tik per skaidrumą ir atsakingą duomenų tvarkymą galima kurti patikimą ir etišką internetinę aplinką.
