Spriedums

Sociālo tīklu spraudņi un personas datu aizsardzība

Eiropas Savienības tiesa lēmusi, ka interneta vietnēm jāinformē lietotāji par personas datu pārsūtīšanu sociālajiem tīkliem, ja šajā vietnē ievietots sociālo tīklu spraudnis (piemēram, Facebook poga Patīk).

NeONBRAND / Unsplash

Ziņu portālos, interneta veikalos, izglītības iestāžu mājaslapās un citās interneta vietnēs nereti varam atrast pogas, ar kuru palīdzību itin viegli varam parādīt sociālo tīklu draugiem, ka mums patīk kāds konkrēts ziņu raksts, prece vai pakalpojums. Tomēr jābrīdina, ka liela daļa interneta vietņu, kurās lietotāji saskaras ar šīm ikonām, pogām jeb spraudņiem, ļauj attiecīgajiem sociālajiem tīkliem piekļūt interneta lietotāju personas datiem. 2019. gada jūlija beigās Eiropas Savienības tiesa (EST) nolēma, ka tā uzskatāma par personas datu apstrādi.

Tiesas spriedums

Vācijas modes apģērbu interneta veikals Fashion ID savā tīmekļvietnē ir iestrādājis sociālā tīkla Facebook piedāvāto sociālo spraudni jeb pogu Patīk (Like). Nevalstiskā organizācija Verbraucherzentrale NRW, kas darbojas patērētāju tiesību aizsardzības jomā, vērsās Vācijas tiesā, norādot, ka Fashion ID ar šo pogu pārkāpj šīs interneta mājaslapas apmeklētāju tiesības uz personas datu aizsardzību. Proti, līdzko kāds apmeklētājs aplūko Fashion ID tīmekļvietni, šī apmeklētāja personas dati (datora IP adrese un interneta pārlūkprogrammas tehniskie dati) tiek pārsūtīti uzņēmumam Facebook. Šī pārsūtīšana nepieciešama, lai ārējā satura piedāvātājs — Facebook — spētu noteikt, kādā formātā saturs ir nogādājams uz šo adresi, ja poga Patīk tiks nospiesta. Personas dati tiek pārsūtīti mājaslapas apmeklētājam par to nezinot un neatkarīgi no tā, vai viņš ir sociālā tīkla Facebook lietotājs un vai viņš ir nospiedis pogu Patīk.

EST sāka savu analīzi norādot, ka kaut arī Datu aizsardzības direktīva, kas bija saistoša tiesvedībā aplūkoto notikumu laikā, atšķirībā no Vispārīgās datu aizsardzības regulas (VDAR) to tieši nenoteic, patērētāju interešu aizsardzības apvienībām ir tiesības vērsties ne tikai dalībvalstu datu aizsardzības iestādēs, bet arī dalībvalstu tiesās.

Tālāk tiesai bija jāskaidro, kāda loma interneta vietnei Fashion ID ir personas datu apstrādē, kuru tas pēc būtības nekontrolē. Saskaņā ar Datu aizsardzības direktīvu fiziska vai juridiska persona kļūst par personas datu apstrādātāju (par pārzini, ja tiek izmantota VDAR terminoloģija), kad tā viena pati vai kopīgi ar citām personām nosaka personas datu apstrādes nolūkus un līdzekļus. Attiecībā uz konkrēto situāciju EST norādīja, ka Fashion ID kopīgi ar Facebook vāc, atklāj un pārsūta — tātad, apstrādā — Fashion ID tīmekļvietnes apmeklētāju personas datus.

Ievietojot pogu Patīk savā interneta vietnē, Fashion ID apzinājās, ka Facebook iegūs šīs interneta vietnes personas datus. Tādēļ var teikt, ka Fashion ID īsteno noteicošu ietekmi pār minētās vietnes apmeklētāju personas datu vākšanu un pārsūtīšanu. Papildus, Fashion ID ievietojusi Patīk pogu, lai reklamētu savus produktus Facebook sociālajā tīklā.Tas nozīmē, ka modes preču uzņēmums no šīs pogas gūst labumu. No tā izriet, ka Fashion ID ir ieinteresēta personas datu pārsūtīšanai Facebook, kas, savukārt, šos personas datus var izmantot arī savu komerciālo mērķu sasniegšanai. Tādējādi EST nonāca pie secinājuma, ka Fashion ID un Facebook abi uzskatāmi par personas datu apstrādātājiem darbībām, kas saistītas ar personas datu ievākšanu un pārsūtīšanu pogas Patīk kontekstā. 

Sekojoši, EST bija jānosaka, vai šī datu apstrāde, ko veic Fashion ID kopā ar Facebook, ir tiesiska. Tiesa norādīja, ka lielākajā daļā gadījumu, personas datu apstrādei jāatbilst Datu aizsardzības direktīvas 7. panta prasībām (šobrīd būtu piemērojams VDAR 6. pants). Saskaņā ar šo pantu, viens no gadījumiem, kurā personas datu apstrāde ir pieļaujama, ir, ja tas ir nepieciešams datu apstrādātāja likumīgo interešu aizsardzībai. Piemērojot šo pamatojumu personas datu apstrādei, datu apstrādātājam nav jālūdz personu, kuru dati tiek apstrādāti, piekrišana šai apstrādei.

Lai atsauktos uz savām likumīgajām interesēm kā pietiekamu iemeslu personas datu apstrādei, gan ir jābūt izpildītiem 3 priekšnosacījumiem:

  • jāpastāv personas datu apstrādātāja likumīgajām interesēm
  • jābūt vajadzībai apstrādāt personas datus šo likumīgo interešu ievērošanai 
  • tās personas pamattiesības un brīvības, uz kuru attiecas datu aizsardzība, nav svarīgākas par datu apstrādātāja tiesībām

Diemžēl EST atturējās no situācijas tālākas iztirzāšanas, ļaujot dalībvalstu tiesām pašām katrā konkrētajā situācijā analizēt, vai mājaslapu uzturētāji un Facebook var atsaukties uz savām likumīgajām interesēm kā pamatojumu datu apstrādes nepieciešamībai.

Saistībā ar pienākumu lūgt personu piekrišanu to datu apstrādei EST norādīja, ka mājaslapas, kurā ievietota Facebook poga Patīk, uzturētājam ir pienākums informēt personas par to, ka to dati tiek apstrādādi, tas ir, pārsūtīti Facebook sociālajam tīklam. Turklāt, šī informācija jāsniedz nekavējoties, tas ir, datu ievākšanas brīdī, jeb, kad persona atver lapu, kurā iestrādāta poga Patīk.

Ko tas nozīmē?

Lai arī spriedums saņēmis savu daļu kritikas par tā radītajām neskaidrībām, it īpaši saistībā ar neskaidrībām interneta vietņu uzturētāju un sociālo tīklu atbildības dalījumā, ļoti vienkāršoti EST secinājumus iespējams apkopot pāris teikumos. Ja interneta vietnes uzturētājs šajā interneta vietnē ievieto sociālo tīklu spraudni, piemēram, Facebook pogu Patīk, uzturētājam jāinformē mājaslapas apmeklētāji, ka to dati tiks pārsūtīti šim sociālajam tīklam. Tāpat mājaslapas uzturētājs var mēģināt pierādīt, ka datu pārsūtīšana nepieciešama kādu šīs mājaslapas uzturētāja likumīgu tiesību aizsardzībai vai īstenošanai.

Uz ikdienas interneta lietotāju, visticamāk, šis spriedums būtiskas sekas neatstās. Iespējams Facebook un citi sociālie tīkli apsvērs izmaiņas to piedāvāto spraudņu darbībā. Aplūkotais gan nav pirmais kādas tiesas spriedums, kurā Facebook kritizēts par slepenu personas datu apstrādi, toties pirmo reizi personas datu aizsardzības noteikumus šajā kontekstā interpretējusi tik augsta līmeņa pārnacionāla tiesa. Jāatzīmē, ka spriedums attiecas ne tikai uz konkrēto Facebook spraudni, bet gan arī uz citiem līdzīgiem produktiem (piemēram, Twitter, draugiem.lv un Linkedin spraudņiem un citu integrēto saturu, kas vāc informāciju par interneta lietotājiem).

Varam sagaidīt arī, ka interneta vietnes lūgs mūsu atļauju datu pārraidīšanai, līdzīgi, kā tas šobrīd notiek ar sīkfailu apstrādi. Papildus, interneta vietnes varētu izmantot arī citus risinājumus — nodrošināt, ka dati tiek vākti tikai noklikšķinot uz spraudņa, papildināt privātuma noteikumus un citus. Gaidāms arī, ka Facebook un citi lielāki sociālie tīkli piedāvās mājaslapām slēgt VDAR 26. pantā minēto vienošanos, lai noteiktu abu pārziņu pienākumus.

Jāatzīmē, ka spriedumā interpretēta ES Datu aizsardzības direktīva, kas šobrīd vairs nav spēkā. Taču EST secinājumi ir nozīmīgi arī VDAR, kas šobrīd regulē personas datu aizsardzību ES, interpretācijā, kurā lielā mērā iestrādāti tie paši pamatprincipi, kas direktīvā.

Raksts ir sagatavots ar Sabiedrības integrācijas fonda finansiālu atbalstu no Latvijas valsts budžeta līdzekļiem. Par raksta saturu atbild raksta autors saskaņā ar Cilvēktiesības.info lietošanas noteikumiem.