May 13 / Agnese Boboviča

Mājas lapas Īpašniek - Vai Tev to vajag?

Ikdienā strādājot pēdējā laikā visbiežākās cīņas ar vējdzirnavām un nereti pat - vienos vārtos, ir gadījumos, kad pieķeramies pie jautājumiem, kas notiek mājas lapā. Te pat nav būtiski vai mājas lapa ir interneta veikals vai vienkārša vizītkartes tipa mājas lapa, kur ļoti bieži arī no mājas lapas izstrādātājiem nāk tāds “must have” komplektiņš, kas sevī ietver gan Google Analytica sīkdatnes, gan Facebook pixeļus, gan visādus citus “brīnumus”. Uzsākot šo cīņu ar vējdzirnavām atklājas, ka paši nemaz nemāk pastāstīt, ko konkrētā sīkdatne dara un kāpēc tā tur ir ievietota. Nereti “patiesāku” informāciju var iegūt, paskatoties kā pret šo sīkdatni attiecas tādi pārlūki kā Brave vai Safari, nevis no paša klienta, tā mārketinga nodaļas vai IT.
Neskatoties uz to, ka E-privātuma regulējums ar kuru katru brīdi tiek gaidīts (un tā jau vairākus gadus), kas neko iepriecinošu, piemēram, mārketingam, nesola, pastāv mīts, ka tad, kad būs E-privātuma regula, ka tad tik viss sāksies, aizmirstot, ka jau esošais regulējums un attiecīgi saistītie Eiropas Savienības tiesas spriedumi (piemēram, Planet 49 vai Šrems II spriedumi), nosaka pietiekami daudz priekšnoteikumus, kas jāizpilda, lai šādu datu apstrādi vispār atzītu par tiesisku.

Uz kādiem jautājumiem vajadzētu atbildēt...

Ieskatam,viens  Zviedrijas uzraudzības iestādes izvilkums no informācijas pieprasījuma mājas lapas īpašniekiem, kas izlēmis (visticamāk) savā mājas lapā ievietot Google Analytics sīkdatni.  

 1 DAĻA Vispārīgā situācija 
1. Vai jūs savā vietnē ievietojāt Google Analytics rīka kodu (turpmāk tekstā - "Rīks")? Ja nē, jums nav jāatbild uz zemāk esošajiem jautājumiem.

2. Ja ievietojāt, un ja jūsu uzņēmums ir reģistrēts vairākās Eiropas dalībvalstīs, vai jūsu uzņēmums Zviedrijā ir pieņēmis lēmumu ievietot rīku savā vietnē? Vai attiecīgā gadījumā jūsu uzņēmums ir pieņēmis šādu lēmumu par citu savas vietnes Eiropas versiju? Jebkurā gadījumā aprakstiet iemeslus, kādēļ Rīks ir ievietots mājas lapā?

3. Ja jā, vai Google Analytics statistiku  izmanto pārziņi vairāk nekā vienā ES / EEZ dalībvalstī?

4.Ja jā, norādiet, vai, ievietojot Rīku savā vietnē, jums bija iespēja pārsūtīt personisko informāciju uz Amerikas Savienotajām Valstīm.

5. Vai Rīka kods pašlaik ir ievietots jūsu vietnē, un ja nē, kad jūs to izdzēsāt?

II DAĻA: Sadarbība ar Google par tā Rīka izmantošana
6. Norādiet visas orgaizācijas (ieskaitot Google), kurām personas dati (tieši vai netieši) tiek atklāti  dēļ tā, ka Jūsu mājas lapā ir ievietots Rīks (turpmāk tekstā - "Saņēmēji").

7. Lūdzu, norādiet:
a. personas datus, kurus apstrādājāt izmantojot Rīku, jūs un jebkurš Saņēmējs un
b. to personu kategorijas, uz kurām attiecas apstrāde, izmantojot Rīku (tostarp: vai tiks apstrādātas īpašas personas datu kategorijas, kā noteikts Datu aizsardzības regulas 9. panta 1. punktā? Vai tiks apstrādāti dati par īpaši neaizsargātām personām kā bērniem?)?

8. Vai jūs zināt, kad Saņēmēji piekļuva datiem, lai iegūtu lietotāju personisko informāciju (piemēram, par IP adresēm vai informāciju par lietotāju uzvedību mājas lapā)? Norādiet vai Rīks ir integrēts  tādejādi, ka tiek izpildīts uzreiz tiklīdz vietne tiek atverta vai tikai pēc tam, kad ir izpildīti kādi citi priekšnoteikumi, piemēram, ja lietotājs vispirms ir devis piekrišanu?

9. Cik ilgi apstrādātie personas dati tiks glabāti un kad tie tiks dzēsti?

10. Kurā valstī vai valstīs personas dati tiks apstrādāti?

11. Uz kāda juridiskā pamata jūs pamatojat Rīka ievietošanu savā vietnē un turpmāko personas datu apstrādi, tostarp jebkādu izpaušanu Saņēmējiem (jo īpaši Google)?

12. Kādas ir jūsu attiecības ar Google no datu aizsardzības viedokļa, kas dod jums iespēju izmantot Rīku? Sīki aprakstiet, vai uzskatāt viņus par (neatkarīgiem) personas datu pārziņiem, kopīgiem personas datu pārziņiem (kopā ar jums) vai par savu personas datu apstrādātāju attiecībā uz personas datu apstrādi, kas attiecas uz Rīku. Pievienojiet arī dokumentus ar datumiem un, ja nepieciešams, parakstiem, kas apstiprina jūsu paziņojumus. Lūdzu, ņemiet vērā, ka daļu no līgumiem, kas nav saistīti ar tiesiskajām attiecībām starp pusēm un neskar personas datu apstrādes aspektus, jūs var rediģēt vai  dzēst.

13. Ja starp jums un Saņēmējiem nav līguma vai vienošanās, paskaidrojiet, uz kāda pamata jūs joprojām piešķirat Saņēmējiem piekļuvi  informācijai par vietnes apmeklētājiem?

14. Attiecībā uz attiecībām starp personas datu pārzini un personas datu apstrādātāju: paskaidrojiet, kā jūs pārliecinājāties, ka Saņēmējs neapstrādā personas datus saviem vai trešo personu mērķiem? Ja to nodrošina līgums, norādiet konkrētus punktus un paskaidrojiet, kad un kā jūs pārbaudījāt atbilstību?

15. Google lietošanas noteikumi pakalpojumam Google Analytics un apstrādes noteikumi tiks atjaunināti 2020. gada 31. augustā saskaņā ar sūdzībai pievienotajiem pierādījumiem, savukārt pieteikuma iesniedzējs apmeklēja vietni 2020. gada 12. augustā. Lūdzu, sniedziet mums pārskatu par attiecīgajiem jautājumiem izmaiņas (ja iespējams, ar dokumentu ar izsekotām izmaiņām vai apvienotu un salīdzinātu versiju) katram no šiem dokumentiem no 2020. gada 12. augusta līdz šim brīdim. Lūdzu, informējiet mūs par visām citām līdzšinējām izmaiņām un iesniedziet papildu dokumentus ar izsekojamām izmaiņām vai konsolidētām versijām. [norāde uz konkrētu vietnes darbību, ievērojot, ka pieprasījumam bija konkrēts adresāts].

16. Aprakstiet, kā izmantojat Rīku. Konkrēti norādiet: kādus iestatījumus jūs izmantojat? Kurus no Rīka pakalpojumiem jūs izmantojat - ja tiek piedāvāti dažādi pakalpojumi? Lūdzu, no rīka administratīvās vietnes iesniedziet ekrānuzņēmumus, kuros redzami jūsu iestatījumi un iespējotie pakalpojumi.

III daļa: Personas datu pārsūtīšana uz trešām valstīm 
17. Eiropas Tiesa savā 2020. gada 16. jūlija spriedumā lietā C 311/18 nosprieda, ka lēmums par privātuma vairogu (Komisijas 2016. gada 12. jūlija Īstenošanas lēmums (ES) 2016/1250) ir spēkā neesošs. Aprakstiet, vai un kad esat pārbaudījis, vai šis lēmums attiecas uz starptautisko datu pārsūtīšanu, kas izriet no Rīka ievietošanas jūsu vietnē.

18. Ja jūs secināt, ka šis lēmums neattiecas uz Rīka lietošanu, detalizēti norādiet šī secinājuma iemeslus.

19. Ja esat nonācis pie secinājuma, ka šis lēmums attiecas uz jūsu rīka lietošanu, aprakstiet pārsūtīšanas risinājumu saskaņā ar datu aizsardzības regulu, uz kuru nosacījumu Jūs balstiet datu pārsūtīšanu uz trešām valstīm, jo ​​īpaši uz Amerikas Savienotajām Valstīm, un vai un kā esat pielāgojis savu informāciju saskaņā ar Datu aizsardzības regulas 13. panta 1. punkta f) apakšpunktu, vai - ja piemērojams jūsu gadījumā - saskaņā ar Datu aizsardzības regulas 14. panta 1. punkta f) apakšpunktu?

20. Ja Jūs savu datu pārsūtīšanu uz Amerikas Savienotajām Valstīm pamatojat ar datu aizsardzības standartklauzulām, ko Komisija pieņēma 2007. gadā saskaņā ar Datu aizsardzības regulas 46. panta 2. punkta c) apakšpunktu, lūdzu, norādiet, ar ko esat parakstījis šādu standartklauzulu līgumu, norādiet, kuru Komisijas formu izmantojāt, lai noslēgtu standarta klauzulu līgumu (standarta klauzulu līgums starp diviem pārziņiem vai standarta klauzulu līgums starp pārzini un apstrādatāju). Iesniedzat to parakstītās kopijas.

21. Ja esat noslēdzis šādu (us) standartklauzulu līgumus, vai esat  pārbaudījis, vai trešās valsts (Saņēmēja) tiesību aktos nekas neaizliedz Saņēmējiem pildīt līgumsaistības saskaņā ar standarta klauzulu līgumu, lai nodrošinātu, ka netiek aizskartas fizisko personu datu tiesības un brīvības, kas garantētas EEZ?

22. Ja jūs secināt, ka Saņēmēji var garantēt, ka tiek izpildītas standarta klauzulu līgumos noteiktās līgumsaistības, detalizēti aprakstiet šī secinājuma iemeslus un sniedziet pierādījumus par šiem faktiem.

23. Ja esat nonācis pie secinājuma, ka Saņēmēji nevar garantēt, ka līgumsaistības, kas noteiktas standarta klauzulu līgumā, tiks izpildītas, vai esat apsvēruši papildu pasākumu īstenošanu un, ja jā, tad kādus? Vai esat pārbaudījis, vai šos papildu pasākumus var īstenot praksē un vai trešās valsts tiesību aktos nekas neliedz Saņēmējiem tos izpildīt, lai nodrošinātu, ka netiek apdraudēts fizisko personu datu aizsardzības līmenis, kas garantēts EEZ? Sīki izklāstiet šī novērtējuma rezultātu un secinājuma iemeslus.

24. Ja starptautiskā datu pārsūtīšana tiek pamatota ar izņēmumu, kas norādīts Datu aizsardzības regulas 49. panta 1. punktā, paskaidrojiet, uz kuru izņēmumu tie ir balstīti un kā šī atbrīvojuma izmantošana ir saderīga ar pārsūtīšanas vispārējiem principiem saskaņā ar Datu aizsardzības regulas 44.pantu.

25. Ja turpināsiet pārsūtīt datus, neraugoties uz secinājumu, ka, ņemot vērā pārsūtīšanas apstākļus un ka netiks nodrošināti nekādi papildus drošības pasākumi, lai garantētu datu subjekta tiesības un brīvības - vai esat paziņojis par to kompetentajai uzraudzības iestādei? Cik zināms, šādu ziņojumu neesam saņēmuši. 

26. Ja jūs savā vietnē joprojām ievietojat Rīku, iesniedziet datu apstrādes reģistra ierakstu saskaņā ar Datu aizsardzības regulas 30. panta 1. punkta e) apakšpunktu.


.... un tagad gribētu uzdot jautājumu vēl vienu reizi - Mājas lapas īpašniek, vai Tev to vajag? Jo nevajag aizmirst, ka Datu regula ir visā Eiropas Savienībā viena un Maximilians Šrems ar savas pārstāvētās organizācijas NOYB palīdzību 2020.gada otrajā pusē sagatavoja un iesniedza 101 sūdzību, tā teikt - tā lai tiek katrai uzraudzības iestādei pa kādai sūdzībai.  Viens no neslēptajiem mērķiem bija panākt, lai uzraudzības iestādes pieķertos sīkdatņu risinājumiem, datu nodošanai uz trešajām valstīm un to atbilstībai vispārīgās datu aizsardzības regulas prasībām.


... un visbeidzot - Mājas lapas Īpašniek, vai Tev tiešām to vajag???