Eiropas Datu aizsardzības kolēģijas Pamatnostādnēs 03/2022

 

Ir vairāki EST spriedumi, kuros izskaidroti saskarnes ierobežojumi un to, kas skaitās tumšais modelis. Lietā Bundesverband e.V. pret Planet 49 GmbH, C-673/17​, EST atzina, ka Vācijas uzņēmumu tīmekļa vietnes, kurās ir iepriekš atzīmētas izvēles rūtiņas reklāmas piekrišanai, nav derīga piekrišanas forma. Tiesa norādīja, ka dalībvalstīm ir jānodrošina, ka informācijas uzglabāšana vai piekļuve jau uzglabātai informācijai lietotāja galiekārtā ir atļauta tikai ar nosacījumu, ka attiecīgais lietotājs ir devis savu piekrišanu, saņēmis skaidru un visaptverošu informāciju, saskaņā ar Direktīvu 95/46 piekrišana tiek definēta kā “jebkurš labprātīgi sniegts šīs personas vēlmju konkrēts un paziņots norādījum[s], ar kuru datu subjekts izsaka savu piekrišanu uz viņu attiecināmu personas datu apstrādei”. Piekrīšanas šajā gadījumā ir spēkā neesoša, jo informācijas uzglabāšanai vai piekļuvei informācijai, kas tiek uzglabāta tīmekļa vietnes lietotāja galiekārtā, nav iegūta pareizā veidā. Tāda piekrišana, kas ir iegūta, izmantojot pakalpojuma sniedzēja iepriekš ar ķeksīti atzīmētu izvēlēs rūtiņu, kuru lietotājam ir jāizņem, lai atteiktu piekrišanu neatbilst prasībai par aktīvu rīcību piekrišanas konstatēšanai. Tikai datu subjekta aktīva rīcība, lai dotu savu piekrišanu, var atbilst datu apstrādes likumīguma prasībai. Tiesa papildus norāda, ka informēta piekrišana nozīmē pakalpojuma sniedzēja atbildību iekļaut sīkdatņu darbības ilgumu un to, vai trešās personas varēs piekļūt tīmekļa vietnes lietotāja sīkdatnēm.

 

EDAK 2022. gada 5. decembrī pieņēma saistošo lēmumu 3/2022 par strīdu, ko saskaņā ar Vispārīgās datu aizsardzības regulas (turpmāk - VDAR) 65. pantu iesniedza Īrijas uzraudzības iestāde (turpmāk - Īrijas UI) par Meta Platforms Ireland Limited (turpmāk - Meta IE) un tās pakalpojumu Facebook, kurā tika konstatēts, ka Meta IE ir pārkāpusi VDAR 5. panta 1. punkta a) apakšpunktā, 12. un 13. panta 1. punkta c) apakšpunktā noteiktos taisnīguma un pārredzamības principus, apstrādājot personas datus nolūkā nodrošināt personalizētus reklāmas paziņojumus. Meta IE uzskatīja, ka, pieņemot tās Vispārējos lietošanas noteikumus, lai piekļūtu tās programmām, lietotājs noslēdza līgumu ar Meta IE, kurā atļāva tai apstrādāt lietotāja personas datus, lai sniegtu personalizētus pakalpojumus un uzvedības reklāmu, pamatojoties uz līgumu. Tomēr, EDAK konstatēja, ka personas datu apstrāde uzvedības reklāmas nolūkā šādā veidā, kā tas bija šajā gadījumā, bija nelikumīga un pārkāpa pārredzamības un taisnīguma principu, jo Meta IE nebija pamata paļauties tikai uz līguma tiesisko pamatu, lai apstrādātu personas datus, un neskatoties uz to, ir jāpieprasa lietotāju nepārprotamu piekrišanu, lai pierādītu, ka lietotājiem ir pietiekama skaidrība par to, kādas apstrādes darbības tiek veiktas ar viņu personas datiem, kādam nolūkam un atsaucoties uz kuru no sešiem VDAR 6. pantā minētajiem tiesiskajiem pamatiem.

 

Salīdzinājumā ar ES regulējumu, Latvijas privātuma aizsardzības īpatnības reglamentē tādi likumi kā Elektronisko sakaru likums​ un Informācijas sabiedrības pakalpojumu likums​. Šie likumi regulē, kā jāiegūst piekrišana sīkdatnēm un digitālajiem pakalpojumiem, saskaņojot tos ar VDAR un ePrivacy direktīvas​ standartiem. Lai gan Latvijā nav atsevišķa likuma, kas definētu “tumšos modeļus”, Latvija balstās uz ES definīcijām un vadlīnijām, vienlaikus vietējās iestādes ir tiesīgas izdot vadlīnijas vai interpretācijas uzņēmumiem, kas darbojas valstī, jo īpaši latviešu valodā un ņemot vērā kultūras kontekstu. No praktiskā skatupunkta, Latvijas tiesas ir izskatījušas datu aizsardzības un patērētāju tiesību lietas, bet parasti uzsvars ir uz plašākiem VDAR pārkāpumiem vai negodīgu komercpraksi, nevis uz “tumšajiem modeļiem” kā juridisku terminu, šī iemesla dēļ tas netiek bieži izmantots Latvijas tiesu praksē. Jāatzīmē, ka līdzīgas prakses var apstrīdēt saskaņā ar vietējiem tiesību aktiem, piemēram, Patērētāju tiesību aizsardzības likumu un Negodīgas komercprakses aizlieguma likumu, kā arī pamatojoties uz VDAR, jo īpaši 7. pantu (piekrišanas nosacījumi).

 

Ņemot vērā iepriekš minēto, skaidrība jautājumos par personas datu apstrādi ir svarīga, lai veicinātu pārredzamību un drošību datu apstrādē. Aprakstītajās lietās un vadlīnijās ir izklāstīta prasība par lietotāju aktīvu piekrišanu, lai pierādītu, ka tā nav iegūta, izmantojot saskarnēs ievietotus tumšos modeļus. Katram uzņēmumam ir jābūt informētam par noteikumiem un regulējumu, kā arī tiesu prakses prasībām attiecībā uz tīmekļa vietņu sīkdatnēm, pakalpojumu sniegšanas noteikumiem un citām saskarnēm, kas pieprasa lietotāja piekrišanu funkcionēšanai.​