1. Gairėse dėl slapukų ir panašių priemonių naudojimo (toliau – gairės) aptariami Lietuvos Respublikos elektroninių ryšių įstatymo (Žin., 2004, Nr. 69-2382) reikalavimai dėl slapukų ir panašių priemonių naudojimo ir paaiškinama, ką reikia daryti siekiant juos atitikti.

2. 2011 m. rugpjūčio 1 d. įsigaliojo Lietuvos Respublikos elektroninių ryšių įstatymo pakeitimai¹, taikomi slapukų (angl. cookies) ir panašių priemonių, skirtų informacijai saugoti abonento ar faktinio elektroninių ryšių paslaugų naudotojo² (toliau vadinama – naudotojas) galiniuose įrenginiuose, pvz., kompiuteriuose, mobiliuosiuose telefonuose, išmaniuosiuose telefonuose, naudojimui. Lietuvos Respublikos elektroninių ryšių įstatymas buvo pakeistas įgyvendinant Europos Sąjungos direktyvą³, kuria buvo sustiprinta naudotojų apsauga.

3. Lietuvos Respublikos elektroninių ryšių įstatymo 61 straipsnio 4 dalis numato: „Saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija abonento ar faktinio elektroninių ryšių paslaugų naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamam abonentui ar faktiniam elektroninių ryšių paslaugų naudotojui vadovaujantis Asmens duomenų teisinės apsaugos įstatymu suteikus aiškią ir išsamią informaciją, įskaitant informaciją apie tvarkymo tikslus, jis davė sutikimą. Šios nuostatos nedraudžia techninio saugojimo ar naudojimosi duomenimis, kurio vienintelis tikslas yra perduoti informaciją elektroninių ryšių tinklu, taip pat būtinais atvejais teikti informacinės visuomenės paslaugas, kurias užsako abonentas ar faktinis elektroninių ryšių paslaugų naudotojas.“

4. Lietuvos Respublikos elektroninių ryšių įstatymo nuostatos taikomos nepriklausomai nuo to, ar naudojant slapukus ir panašias priemones yra tvarkomi asmens duomenys Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804) prasme. Jei yra tvarkomi asmens duomenys, šiems duomenims tvarkyti, kiek tai nesureguliuota Lietuvos Respublikos elektroninių ryšių įstatyme, papildomai taikomas ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (pvz., nuostatos dėl duomenų subjektų teisių, duomenų teikimo duomenų gavėjams, esantiems užsienio valstybėse).

5. Slapukas yra nedidelis failas, atsiųstas į įrenginį, naudotojui besilankant atitinkamoje interneto svetainėje. Slapukų pagalba interneto svetainė atpažįsta naudotojo įrenginį (pvz., naudotojui kitą kartą apsilankius šioje interneto svetainėje). Slapukai gali būti naudojami siekiant „sekti“ naudotoją, jo elgesį, įpročius internete ir taip sukurti jo profilį. Turint naudotojo profilį, jam gali būti pateikiama naudotojo elgesiu grindžiama internetinė reklama⁴.

6. Slapukai skirstomi į „seanso slapukus“ (angl. session cookies) ir „nuolatinius slapukus“ (angl. persistent cookies), taip pat išskiriami trečiosios šalies slapukai. „Seanso slapukas“ yra slapukas, kuris automatiškai ištrinamas naudotojui uždarius naršyklę (laikoma, kad šie slapukai kelia mažesnę grėsmę privatumui), o „nuolatinis slapukas“ yra slapukas, kuris saugomas naudotojo galiniame įrenginyje tol, kol baigiasi nustatytas jo galiojimo laikas (kuris gali trukti keletą minučių, dienų ar metų). „Trečiosios šalies slapukas“ yra slapukas, naudojamas asmens, kuris nėra tos interneto svetainės, kurioje lankosi naudotojas, valdytojas.

7. Lietuvos Respublikos elektroninių ryšių įstatymas taikomas ne tik slapukų, bet ir panašių priemonių naudojimui, pvz., „Flash“ slapukų (vietinių bendrųjų objektų) (angl. „Flash cookies“ (Local Shared Objects)). Šiose gairėse, kalbant apie slapukus ir panašias technologijas, toliau vartojamas terminas „slapukai“.

________________

¹ Lietuvos Respublikos elektroninių ryšių įstatymo 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 16, 17, 18, 21, 22, 23, 27, 28, 29, 30, 31, 32, 33, 34, 36, 37, 39, 40, 41, 48, 49, 50, 51, 52, 54, 56, 57, 58, 59, 61, 62, 63, 64, 66, 68, 69, 71, 72, 73, 74, 75, 77 straipsnių, antrojo skirsnio pavadinimo ir 2 priedo pakeitimo ir papildymo, įstatymo papildymo 23¹, 23², 42¹ straipsniais ir 35 straipsnio pripažinimo netekusiu galios įstatymas (Žin., 2011, Nr. 91-4327).

² Abonentu gali būti tiek fizinis, tiek ir juridinis asmuo; faktinis naudotojas yra fizinis asmuo, kuris naudojasi elektroninių ryšių paslauga, bet nebūtinai yra abonentas.

³ 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB (OL 2009 L 337, p. 11).

⁴ Nuomonę dėl naudotojo elgesiu grindžiamos internetinės reklamos, įskaitant ir slapukų naudojimą šiais tikslais, yra pateikusi Direktyvos 95/46/EB 29 straipsnio darbo grupė (Nuomonė 2/2010). Šią nuomonę galima rasti adresu http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_lt.pdf.

8. Lietuvos Respublikos elektroninių ryšių įstatymas numato, kad reikalavimas turėti naudotojo sutikimą taikomas ne visais atvejais.⁵ Be naudotojo sutikimo gali būti atliktas techninis saugojimas arba gali būti naudojamasi duomenimis:

– jei vienintelis tikslas yra perduoti informaciją elektroninių ryšių tinklu, arba

– būtinais atvejais teikti informacinės visuomenės paslaugas, kurias užsako naudotojas.

9. Atkreiptinas dėmesys, kad nors šiuo atveju naudojant slapukus naudotojo sutikimo ir nereikia, tačiau naudotojai apie tai turi būti informuojami. Tokia informacija gali būti pateikta, pvz., interneto svetainės pradiniame puslapyje, interneto svetainės privatumo politikoje, interneto svetainės naudojimo taisyklėse ir pan. Dėl tokių slapukų naudojimo naudotojo sutikimo neturi būti prašoma.

10. Pažymėtina, kad slapuką galima naudoti keletu skirtingų tikslų, tačiau anksčiau paminėta išimtimi galima naudotis tik tuo atveju, jei ši išimtis taikytina visiems slapuko naudojimo tikslams.

11. Naudotojo sutikimo nereikia, pvz., jei slapukas naudojamas internetinės parduotuvės interneto svetainėje pirkėjo pasirinktų prekių krepšeliui formuoti, prisijungusio naudotojo tapatybei nustatyti (pvz., internetinės bankininkystės svetainėje), naudotojo pasirinkimams prisiminti (pvz., pageidautinai svetainės kalbai, rezultatų rodymo skaičiui puslapyje). Taip pat naudotojo sutikimo nereikia dėl multimedijų grotuvo seanso slapukų naudojimo („Flash“ slapukų). Pažymėtina, kad šie slapukai paprastai yra „sesijos slapukai“ arba galioja labai trumpai po naršyklės uždarymo (pvz., keletą valandų).

12. Šia išimtimi negalima vadovautis, pvz., slapukų pagalba norint rinkti statistinę informaciją apie interneto svetainės naudojimą, taip pat trečiosios šalies naudotojo elgesiu grindžiamos internetinės reklamos tikslais.

_________________

⁵ Nuomonę dėl slapukams taikomos reikalavimo gauti sutikimą išimties yra pateikusi Direktyvos 95/46/EB 29 straipsnio darbo grupė (Nuomonė 04/2012). Šią nuomonę galima rasti adresu http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#h2-2.

13. Asmuo gali naudoti slapukus, jei:

- naudotojui vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu suteikiama aiški ir išsami informacija, įskaitant informaciją apie tvarkymo tikslus, ir

- naudotojas, gavęs aukščiau nurodytą informaciją, duoda sutikimą dėl slapukų naudojimo.

14. Lietuvos Respublikos elektroninių ryšių įstatymas nenustato, kaip naudotojas turėtų būti informuotas apie slapukų naudojimą ir kaip turėtų būti gautas jo sutikimas. Asmuo, ketinantis naudoti slapukus, turėtų surasti naudotojui kiek įmanoma draugiškesnį ir patogesnį būdą tai padaryti. Jis turi informuoti naudotojus apie tai, kad yra naudojami slapukai, paaiškinti, kaip jie veikia, ir tada gauti sutikimą dėl tokio naudojimo. Naudotojas turi aiškiai suprasti, kad jis duoda sutikimą dėl slapukų naudojimo, be to, jam privalo būti sudaryta galimybė šį sutikimą bet kada atšaukti.

15. Sutikimas suprantamas taip, kaip jis yra apibrėžtas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, t. y. savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Pažymėtina, kad naudotojo neveikimas negali būti laikomi tinkamu sutikimu – sutikimas turi būti išreikštas aktyviais veiksmais (pvz., pažymint varnele savo pasirinkimą, paspaudžiant mygtuką „sutinku“). Taip pat naudotojui turi būti sudaryta reali galimybė pasirinkti duoti ar neduoti sutikimą dėl slapukų naudojimo.

16. Prieš duodamas sutikimą dėl slapukų naudojimo, naudotojas turi būti aiškiai, išsamiai ir suprantamai informuotas. Vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 24 straipsnio 1 ir 2 dalimis, naudotojui turi būti suteikta informacija apie asmens, ketinančio naudoti slapukus, tapatybę ir nuolatinę gyvenamąją vietą (jeigu tai fizinis asmuo) arba nurodyti pavadinimą, juridinio asmens kodą ir buveinę (jeigu tai juridinis asmuo). Taip pat naudotojas turi būti informuotas apie slapukus, slapukų pagalba ketinamus rinkti asmens duomenis ir surinktų asmens duomenų tvarkymo tikslus. Siekiant, kad naudotojas suprastų, dėl ko jis duoda sutikimą, ketinami naudoti slapukai, pvz., galėtų būti išvardyti sutikimo formoje, o jų aprašymas pasiekiamas interaktyvios nuorodos pagalba. Be to, turėtų būti pateikta informacija apie tai, kad naudotojas bet kada savo sutikimą gali atšaukti, ir paaiškinta, kaip tai padaryti (gali būti pateikiama informacija ir apie sutikimo atšaukimo pasekmes (pvz., kad atšaukus sutikimą nukenčia interneto svetainės funkcionalumas)). Asmuo, ketinantis naudoti slapukus, naudotojui taip pat turėtų pateikti kitą papildomą informaciją (pvz., naudojant trečiosios šalies slapukus reikia informuoti apie tai, kam ir kokiais tikslais teikiami asmens duomenys), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant naudotojo teisių. Pavyzdžiui, informaciniame pranešime naudotojui apie ketinamus naudoti slapukus gali būti nurodyta: „Siekdami tobulinti savo interneto svetainę, prašome leisti įrašyti Jūsų kompiuteryje (įrenginyje) slapukus. Slapukus naudosime rinkdami interneto svetainės lankomumo statistiką. Jūs galite savo duotą sutikimą bet kada atšaukti ir ištrinti įrašytus slapukus. Neatlikus jokio pasirinkimo, slapukai nebus įrašomi“.

17. Išsamesnė informacija apie ketinamus naudoti slapukus gali būti pateikiama lentelėje, pasiekiamoje iš informacinio pranešimo interaktyvios nuorodos pagalba. Pavyzdžiui, informaciniame pranešime gali būti nurodyta: „Išsamesnė informacija apie mūsų naudojamus slapukus pateikiama šioje lentelėje (interaktyvi nuoroda)“. Informaciniame pranešime arba lentelėje, pasiekiamoje iš šio pranešimo, pateikiant išsamesnę informaciją apie ketinamus naudoti slapukus rekomenduojama nurodyti slapuko pavadinimą, duomenų tvarkymo tikslą, naudojamus duomenis, slapuko galiojimo laiką, papildomą informaciją (pvz., kur galima rasti daugiau informacijos apie konkretų slapuką).

18. Pareiga informuoti naudotoją ir gauti jo sutikimą dėl slapukų naudojimo tenka asmenims, ketinantiems naudoti slapukus. Situacija tampa sudėtingesnė, kai interneto svetainė sudaro sąlygas slapukus į „savo“ naudotojų įrenginius įrašyti tretiesiems asmenims (pvz., reklamos tinklų operatoriams). Šiuo atveju, siekiant užtikrinti, kad naudotojas galėtų duoti sutikimą, interneto svetainės valdytojas ir trečiasis asmuo privalo bendradarbiauti ir nuspręsti, kas informuos ir gaus naudotojo sutikimą bei kaip tai bus padaryta. Taigi svarbiausia ne tai, kas gauna sutikimą, o tai, kad apskritai būtų gautas informuoto naudotojo sutikimas dėl slapukų naudojimo. Naudotojui turėtų būti pateikiama ir papildoma informacija apie trečiojo asmens naudojamus slapukus, pvz., naudotojo elgesiu grindžiamos internetinės reklamos tikslais naudojamo slapuko atveju be kitos informacijos naudotojui taip pat turi būti paaiškinta, kad šis slapukas leis reklamos tinklo operatoriui rinkti informaciją apie jo apsilankymus kitose interneto svetainėse, jam parodytas reklamas, reklamas, kurias naudotojas peržiūrėjo, lankymosi laiką ir pan.

19. Informacija dėl slapukų naudojimo turi būti suteikta ir sutikimas turi būti gautas prieš naudojant slapuką pirmą kartą, t. y. privalo būti išankstinis naudotojo sutikimas dėl slapuko naudojimo. Tuo atveju, jei sutikimas buvo gautas, ateityje pakartotinai naudojant tą patį slapuką tuo pačiu tikslu sutikimo dar kartą gauti nereikia. Tai galioja ir trečiųjų šalių naudojamų slapukų atžvilgiu (pvz., jei naudotojas sutiko dėl trečiosios šalies naudotojo elgesiu grindžiamos internetinės reklamos tikslais naudojamo slapuko, sutikimas galioja šį slapuką naudojant ir kitose interneto svetainėse).

20. Interneto svetainių valdytojai gali nuspręsti išsaugoti informaciją apie tai, kad naudotojas nesutinka su slapukų naudojimu, ir jam ateityje to nebesiūlyti. Tai galėtų būti padaryta „atsisakymo“ slapuko, atsimenančio šį naudotojo pasirinkimą, pagalba, tačiau tokiu atveju naudotojas turi išreikšti sutikimą dėl „atsisakymo“ slapuko naudojimo. Naudotojui nesutikus dėl „atsisakymo“ slapuko įrašymo, kitą kartą jam apsilankius šioje interneto svetainėje vėl gali būti prašoma pateikti atitinkamą sutikimą.

21. Atkreiptinas dėmesys, kad naudotojo sutikimas dėl slapukų naudojimo turėtų galioti tam tikrą ribotą laiką, pvz., vienerius metus. Asmuo, naudojantis slapukus, turi užtikrinti, kad pasibaigus šiam terminui, slapukai, kurių naudojimui buvo reikalingas naudotojo sutikimas, būtų panaikinti. Norint naudoti slapukus toliau, turi būti gautas naujas naudotojo sutikimas.

22. Klausimas, kokiu būdu gauti naudotojo sutikimą, praktikoje kelia nemažai neaiškumų ir problemų. Toliau šiose gairėse yra aptariami galimi sutikimo gavimo būdai, tačiau pažymėtina, kad asmenys, ketinantys naudoti slapukus, sutikimą gali gauti ir kitais, šiose gairėse nepaminėtais būdais.

23. Naršyklės nustatymai. Tam, kad naudotojas galėtų duoti savanorišką ir konkretų sutikimą naršyklės nustatymų pagalba, jam turėtų būti sudaryta galimybė pasirinkti, kokius slapukus ir kokiais tikslais jis leidžia naudoti. Jei naršyklė šios savybės neturi ir priima visus slapukus, nepriklausomai nuo jų naudojimo tikslo, tokiu atveju nelaikoma, kad naudotojas davė išankstinį sutikimą dėl slapukų naudojimo. Šiuo metu naudojamose naršyklėse nėra nustatymų, kurie atitiktų Lietuvos Respublikos elektroninių ryšių įstatymo reikalavimus visais atvejais. Atsižvelgiant į spartų technologijų vystymąsi, ateityje gali būti sprendžiamas klausimas dėl sutikimo gavimo naršyklės nustatymų pagalba, tačiau šiuo metu asmenys, ketinantys naudoti slapukus, turėtų gauti naudotojo sutikimą kitais būdais.

24. Informavimo eilutė interneto svetainėje. Naudotojo sutikimo dėl slapukų naudojimo forma gali būti pateikta, pvz., interneto svetainės puslapio viršuje esančioje informavimo eilutėje. Šioje eilutėje taip pat turėtų būti pateikta nuoroda, kur naudotojas gali rasti išsamesnę informaciją apie ketinamus naudoti slapukus.

25. Iššokantys langai (angl. pop-ups). Naudotojo sutikimas dėl slapukų naudojimo gali būti gaunamas pateikus klausimą, ar naudotojas dėl to sutinka, iššokančių langų pagalba. Tačiau šis būdas gali būti ypač nepatrauklus ir nepatogus tuo atveju, jei yra naudojama keletas slapukų. Be to, iššokančius langus dažnai blokuoja naršyklės.

26. Registracija interneto svetainėje. Sutikimo gavimas pirmą kartą registruojantis interneto svetainėje yra įprastinė praktika. Tokiu būdu galėtų būti gaunamas ir naudotojo sutikimas dėl slapukų naudojimo, tačiau naudotojui turi būti sudaryta reali galimybė pasirinkti duoti ar neduoti sutikimą, t. y. turi būti užtikrinamas sutikimo savanoriškumas. Atkreiptinas dėmesys, kad sutikimas (susipažinimas) su privatumo politika ar svetainės taisyklėmis, kurių viena iš sąlygų yra sutikimas su slapukų naudojimu, nėra tinkamas būdas gauti duomenų subjekto sutikimą dėl slapukų naudojimo, kadangi neatitinka savanoriškumo principo. Sutikimo dėl slapukų naudojimo davimas/nedavimas neturi įtakoti galimybės naudotis paslaugomis.

27. Atsižvelgdami į šiose gairėse pateiktą informaciją, asmenys, naudojantys ar ketinantys naudoti slapukus, turėtų įvertinti savo veiklą ir užtikrinti jos atitiktį Lietuvos Respublikos elektroninių ryšių įstatymo ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo reikalavimams.