ePrivātuma Direktīva
Direktīva par privātumu un elektroniskajām komunikācijām
Pārskats
ePrivātuma Direktīva (ePD), bieži saukta par "sīkdatņu likumu," papildina GDPR, nodrošinot specifiskus noteikumus privātumam elektroniskajās komunikācijās. Tā aptver komunikāciju konfidencialitāti, izsekošanas tehnoloģiju izmantošanu un tiešo mārketingu.[1]
Kā direktīva, tās īstenošana atšķiras dalībvalstīs. Piedāvātā ePrivātuma regula oficiāli tika atsaukta 2025. gada februārī, tādējādi Direktīva paliek piemērojamais likums.
Attiecības ar GDPR
- ePD ir lex specialis: Prioritāte pār GDPR elektroniskajās komunikācijās
- GDPR principi piemērojami: Piekrišanai saskaņā ar ePD jāatbilst GDPR standartiem
- Kombinēta izpilde: Abas noteikumu kopas izpilda datu aizsardzības iestādes
Galvenās prasības
Sīkdatņu piekrišana (5. panta 3. punkts)[2]
Piekrišana ir nepieciešama pirms informācijas izvietošanas vai piekļuves lietotāja ierīcē:
| Sīkdatņu veids | Vai nepieciešama piekrišana? |
|---|---|
| Stingri nepieciešamās | Nē (izņēmums) |
| Priekšrocību/funkcionalitātes | Jā |
| Analītikas/statistikas | Jā (dažās jurisdikcijās atļauti izņēmumi) |
| Reklāmas | Jā |
| Trešo pušu izsekošana | Jā |
Piekrišanas prasības
Derīgai piekrišanai jābūt:
- Iepriekšējai: Iegūtai pirms sīkdatņu iestatīšanas
- Brīvprātīgai: Reāla izvēle bez negatīvām sekām atteikšanās gadījumā
- Konkrētai: Skaidrai par mērķiem un sīkdatņu veidiem
- Informētai: Lietotāji saprot, kādi dati tiek vākti
- Viennozīmīgai: Nepieciešama skaidra apstiprinoša darbība
- Atsaucamai: Lietotāji var viegli mainīt preferences
Sīkdatņu joslas labākās prakses
| Darīt | Nedarīt |
|---|---|
| Nodrošināt detalizētas izvēles | Nepieķeksēt piekrišanas lodziņus iepriekš |
| Padarīt "Noraidīt visu" vienlīdz redzamu | Slēpt noraidīšanu aiz vairākiem klikšķiem |
| Glabāt piekrišanas pierādījumus | Iestatīt sīkdatnes pirms piekrišanas |
| Ļaut viegli atsaukt piekrišanu | Padarīt atsaukšanu grūtāku nekā piekrišanu |
| Skaidra, vienkārša valoda | Tehnisks žargons |
Komunikāciju konfidencialitāte (5. pants)
- Aizliegta pārtveršana un uzraudzība
- Atļauta tehniska uzglabāšana, kas nepieciešama pārsūtīšanai
- Satura un metadatu aizsardzība vienlīdzīga
Tiešais mārketings (13. pants)
| Veids | Prasība |
|---|---|
| E-pasta/SMS mārketings | Prasīta iepriekšēja piekrišana |
| Esošie klienti | Mīksta piekrišana līdzīgiem produktiem (ar vieglu atteikšanos) |
| B2B mārketings | Dalībvalstu noteikumi atšķiras |
Neprasītas komunikācijas
- Sūtītāja identitāte nedrīkst būt maskēta
- Jābūt derīgai atteikšanās mehānismam
- Jāievēro valsts "nezvanīt" reģistri
Plānotās Digitālā Omnibusa izmaiņas (2025)
Eiropas Komisija ir ierosinājusi vienkāršot sīkdatņu noteikumus ar "Digitālā Omnibusa" paketi:[3]
- Pārcelt dažus ePD noteikumus uz GDPR
- Paplašināt izņēmumus analītikas un drošības sīkdatnēm
- Ļaut centralizētus piekrišanas signālus, lai samazinātu "piekrišanas nogurumu"
Piezīme: Šie priekšlikumi vēl nav pieņemti. Pašreizējās ePD prasības paliek spēkā.
Izpildes piemēri
| Iestāde | Subjekts | Sods | Iemesls |
|---|---|---|---|
| CNIL (Francija) | 150 milj. € | Sīkdatņu piekrišanas pārkāpumi | |
| CNIL (Francija) | 60 milj. € | Grūti noraidāmas sīkdatnes | |
| ICO (Lielbritānija) | Daudzi | Brīdinājumi | Slēptas noraidīšanas pogas |
| AEPD (Spānija) | Dažādi | 10 tūkst. - 100 tūkst. € | Nepareiza piekrišanas vākšana |
Izstrādātāja ieviešanas kontrolsaraksts
Sīkdatņu piekrišanas josla
- Iegūt piekrišanu pirms nevajadzīgu sīkdatņu iestatīšanas
- Nodrošināt detalizētu kategoriju kontroli
- Padarīt "Noraidīt visu" vienlīdz pieejamu
- Glabāt un laika zīmēt piekrišanas ierakstus
- Ļaut viegli atsaukt piekrišanu
- Bloķēt trešo pušu skriptus līdz piekrišanai
Tehniskās prasības
- Auditēt visas sīkdatnes un izsekošanas tehnoloģijas
- Klasificēt pēc mērķa un nepieciešamības
- Dokumentēt sīkdatņu mērķus un glabāšanas laiku
- Nodrošināt, ka skripti ievēro piekrišanas signālus
- Ievieš piekrišanas sinhronizāciju apakšdomēniem
Avoti un atsauces
[1]
Direktīva 2002/58/EK par privātumu elektroniskajās komunikācijās. EUR-Lex: ePrivātuma Direktīva
[2]
5. panta 3. punkts, grozīts ar Direktīvu 2009/136/EK. GDPR.eu: Sīkdatņu likums
[3]
Eiropas Komisijas Digitālā Omnibusa priekšlikums, 2025. gada novembris. EK: Digitālais Omnibuss