Je vaša spletna stran že olepšana z obvestilom o piškotkih?

NA KRATKO O PIŠKOTKIH

Piškotek je majhna besedilna datoteka, ki običajno vsebuje zaporedje črk in številk in se naloži na uporabnikov računalnik, ko ta obišče določeno spletno stran. Obstaja več vrst piškotkov.

• Začasni ali sejni piškotki (session cookies) »živijo« od trenutka, ko uporabnik odpre brskalnik, pa do trenutka, ko sejo konča in zapre brskalnik. Uporabljajo se za shranjevanje začasnih informacij, na primer elementov v nakupovalnem vozičku, za večjo varnost pri spletnem bančništvu itd.
• Trajni ali shranjeni piškotki (persistent cookies) ostanejo shranjeni tudi, ko uporabnik zapre brskalnik in zaključi sejo. Spletna mesta jih uporabljajo npr. za shranjevanje informacij o registraciji, nastavitvah jezika strani itd., pa tudi za grajenje profilov uporabnikov in analiziranje prometa.
• Lastni piškotki (1st party cookies) so s spletnega mesta, ki si ga uporabnik ogleduje. Spletna mesta te piškotke uporabljajo za shranjevanje informacij, ki jih bodo znova uporabila, ko uporabnik naslednjič obišče to mesto.
• Drugi piškotki (3rd party cookies) izvirajo od drugih, partnerskih, spletnih mest (ki na primer prikazujejo oglase na izvirni spletni strani ali merijo promet).

Piškotki so namenjeni predvsem temu, da izboljšajo in poenostavijo uporabnikovo izkušnjo pri brskanju po spletu. Hkrati je z uporabo piškotkov mogoče slediti določenemu uporabniku in ustvariti njegov profil, iz katerega so lahko razvidne intimne podrobnosti njegovega življenja. Posameznik ima zakonsko in ustavno pravico do samoodločanja o informacijski zasebnosti in v tem smislu piškotki pomenijo poseg v njegovo zasebnost. Prav zato nova zakonodaja uporabo piškotkov omejuje.  

NOVA ZAKONODAJA

Novi Zakon o elektronskih komunikacijah RS (v nadaljevanju ZEKom-1) je v slovenski pravni red prenesel spremenjeno Direktivo o zasebnosti v elektronskih komunikacijah 2002/58/ES, ki je implementirana v 157. členu ZEKom-1. Ta določa sledeče:

(1) Shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil po tem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov.

(2) Ne glede na določbe prejšnjega odstavka je dovoljeno tehnično shranjevanje podatkov ali dostop do njih izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.

(3) Če je tehnično izvedljivo in učinkovito ter v skladu z zakonom, ki ureja varstvo osebnih podatkov, se šteje, da uporabnik lahko izrazi svojo privolitev iz prvega odstavka tega člena tudi z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah. Privolitev uporabnika ali naročnika pomeni osebno privolitev v skladu z zakonom, ki ureja varstvo osebnih podatkov.

(4) Kadar gre za kršitev pravil o obveščanju in privolitvi posameznika iz prvega odstavka tega člena ter hkrati za kršitev zakona, ki ureja varstvo osebnih podatkov, se uporabljajo določbe tega zakona.

(5) Inšpekcijski nadzor nad izvajanjem določb tega člena opravlja informacijski pooblaščenec.

250. člen ZEKom-1 določa rok za izvršitev zakonske zahteve po ustrezni prilagoditvi spletne strani, in sicer je ta rok 15. junij 2013. V 235. členu dotičnega zakona pa so določene kazni v primeru neupoštevanja zakonskih določb – za pravne osebe od 200 do 20.000 €, za odgovorne osebe pravnih oseb pa od 100 do 500 €.

PRI KATERIH PIŠKOTKIH NI POTREBNA PRIVOLITEV UPORABNIKA?

1. Piškotki, ki so potrebni izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju (brez takega piškotka sporočilo v komunikacijskem omrežju ne bi bilo preneseno);

2. Piškotki, ki so nujno potrebni za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata (če piškotka ni, ponudnik take storitve ne more izvesti, hkrati pa je uporabnik aktivno izrazil svojo voljo, da želi to storitev).

Primeri piškotkov, pri katerih ni potrebna privolitev uporabnika:

• Piškotki, s katerimi se zagotavlja pravilen pretok zahtev in informacij med serverji in končnimi točkami (load balancing).
• Sejni piškotki, ki so uporabljeni za to, da si spletno mesto zapomni uporabnikove vnose v spletne obrazce, nakupovalno košarico ipd.
• Piškotki za avtentikacijo uporabnika, ki so potrebni, da si spletno mesto uporabnika zapomni, potem ko se je prijavil v storitev (npr. spletna banka, storitve, kjer se uporabnik vpiše s svojim uporabniškim imenom in geslom …).
• Piškotki, ki so potrebni zaradi varnosti in zavarovanja (npr. zaznavajo napačne vpise in tako preprečujejo zlorabe sistemov za vpisovanje in registracijo).
• Piškotki, ki omogočajo predvajanje multimedijskih vsebin in so potrebni zato, da se predvaja video ali avdio vsebina na spletnem mestu (t. i. flash cookies, ker je najpogostejša tehnologija za predvajanje Adobe Flash).
• Piškotki za prilagoditev nastavitev uporabnikovim željam, kot so nastavitve jezika ali način razvrščanja rezultatov/vsebine.
• Piškotki, ki so vezani na vtičnike (social media plug-in) družbenih omrežij in storitev: družbena omrežja omogočajo spletnim mestom, da v vsebino integrirajo njihove produkte – tako lahko uporabniki delijo vsebine s svojimi prijatelji (različni gumbi, kot so všeč mi je, deli vsebino, priporoči …). Vtičniki uporabljajo piškotke, da lahko družbena omrežja identificirajo svoje člane, ko ti pridejo na spletno mesto z vtičnikom. Take piškotke lahko razumemo kot izjemo le pri uporabnikih, ki so prijavljeni v družbeno omrežje in hkrati obiščejo tudi druga spletna mesta, ki vsebujejo vtičnike. Piškotek mora prenehati, ko se uporabnik izpiše iz omrežja. Pri uporabnikih, ki niso prijavljeni v družbeno omrežje, ali sploh niso člani, takih piškotkov ne moremo šteti kot izjemo – za nalaganje piškotkov s strani vtičnikov je potrebno soglasje teh uporabnikov.

KATERIH PIŠKOTKOV PA NI DOVOLJENO UPORABLJATI BREZ SOGLASJA UPORABNIKA?

• Piškotki, ki omogočajo boljše funkcionalnosti, boljše delovanje spletnega mesta in boljšo uporabniško izkušnjo, pa jih ni mogoče šteti za izjemo – torej niso nujno potrebni, da se izvede neka storitev. Sem bi lahko prišteli piškotek, s katerim je zaznana lokacija uporabnika, da spletno mesto deluje v njemu znanem jeziku, pa uporabnik tega ni posebej zahteval.
• Piškotki, vezani na vtičnike družbenih omrežij, kadar so ti uporabljeni kot sledilni piškotki in ne prenehajo po tem, ko se uporabnik izpiše iz družbenega omrežja.
• Piškotki za namen analiziranja prometa (štetje obiskovalcev, identifikacija brskalnikov in ključnih besed, ki vodijo na mesto, problemi pri navigaciji). Če spletno mesto s svojimi lastnimi piškotki analizira dogajanje za svoj namen, taki analitični piškotki ne pomenijo nesorazmernega posega v zasebnost uporabnikov (vseeno mora biti tudi v tem primeru na voljo možnost naknadne zavrnitve). Če pa analitiko izvaja tretja, pogodbena stranka (npr. Google Analytics in drugi ponudniki), ki zbrane podatke uporablja tudi za svoje lastne namene, to pomeni večji poseg v zasebnost uporabnika, zato mora spletno mesto uporabnika o njih obvestiti in pridobiti njihovo privolitev.
• Piškotki, vezani na namen oglaševanja in trženja – lahko jih naloži obiskano spletno mesto (1st party) ali pa prihajajo s strani tretjih (oglaševalske mreže, partnerske spletne strani, ponudniki storitev – 3rd party).

SPLETNO VEDENJSKO OGLAŠEVANJE IN PIŠKOTKI

Po novem je spletno vedenjsko oglaševanje mogoče izvajati le, če posameznik v to privoli, potem ko je bil obveščen o uporabi piškotkov in namenih obdelave podatkov. Privolitev mora pridobiti oglaševalski partner, ki obdeluje zbrane podatke, v vsakem primeru pa mora biti upravljavec spletne strani, ki uporablja oglaševalske partnerje, prepričan, da ti imajo privolitve uporabnikov. V nasprotnem primeru mora za ustrezne mehanizme poskrbeti tudi sam ali v sodelovanju s partnerji.

PRIVOLITEV

Privolitev pomeni prostovoljno izjavo volje posameznika, ki je bil obveščen o obdelavi osebnih podatkov. Lahko je podana na kakršen koli način, iz katerega je mogoče nedvoumno sklepati na privolitev. Privolitev nikakor ni enaka naknadni zavrnitvi (standard opt-out), ki je veljala pred spremembami ZEKom-1, pač pa mora biti podana vnaprej, pred obdelavo podatkov uporabnika (opt-in). Rešitve, pri katerih so piškotki postavljeni takoj, ko uporabnik obišče spletno stran in še preden je izrazil strinjanje s piškotki ter omogočajo le, da uporabnik piškotke naknadno zavrne, tako niso primerne in niso skladne z novo zakonodajo.

Mehanizme za pridobivanje privolitve lahko umestimo na različne stopnje, od takih, ki zagotavljajo »domnevno« privolitev, pa do bolj zanesljivih, ki od uporabnika zahtevajo izrecno privolitev.

DOMNEVNA PRIVOLITEV

Mehanizmi za domnevno privolitev običajno močneje temeljijo na poudarjenem obvestilu o piškotkih, ki je zelo vidno postavljeno na začetno spletno stran in uporabnika obvesti o tem, da spletna stran uporablja piškotke, ki bodo naloženi na uporabnikovo napravo, če bo nadaljeval z brskanjem. Če uporabnik nadaljuje z brskanjem, spletna stran domneva, da se strinja s piškotki. Če uporabnik ne nadaljuje z brskanjem, s tem izrazi svoje nestrinjanje. Ob začetnem obisku vhodne strani ne sme biti naložen noben piškotek, za katerega je potrebna privolitev. Vedno mora biti uporabniku ponujena možnost, da naknadno spremeni nastavitve piškotkov. Prav tako je priporočljivo, da je obvestilo o piškotkih na zelo vidnem mestu tudi na vseh podstraneh spletnega mesta.

Pooblaščenec svetuje veliko previdnost in strogo omejenost pri morebitni uporabi modela domnevne privolitve ter meni, da model domnevne privolitve ni primeren v kontekstu privolitve za piškotke, s katerimi je mogoče slediti uporabniku preko različnih spletnih strani, prav tako pa ni primeren v kontekstu profiliranja (tudi kadar se to izvaja le znotraj enega spletnega mesta z lastnimi piškotki), obdelave občutljivih osebnih podatkov ter za piškotke z neomejenim rokom trajanja.

IZRECNA PRIVOLITEV

Pri mehanizmih za izrecno privolitev je uporabniku predstavljena možnost, da privoli v uporabo piškotkov ali pa jo zavrne. Z izrecno akcijo uporabnik opravi izbiro (klikne na gumb, povezavo, pošlje e-pošto, se strinja s pogoji storitve ipd.) in na tak način zelo jasno izrazi svojo prostovoljno voljo. Tudi tu velja, da ob začetnem obisku spletne strani na opremo uporabnika ne sme biti naložen noben piškotek, ki zahteva privolitev. Šele ko uporabnik aktivno izbere »se strinjam«, lahko spletno mesto uporabi piškotek. Uporabniku mora biti ponujena možnost, da naknadno spremeni nastavitve za piškotke in naknadno zavrne tako obdelavo njegovih podatkov.

Pooblaščenec meni, da je mehanizem izrecne privolitve posebej primerno uporabiti pri piškotkih, s katerimi je mogoče uporabniku slediti preko različnih spletnih strani, in sicer pri bolj invazivnih piškotkih, pri takih z daljšim rokom trajanja. Prav tako pooblaščenec opozarja, da je izrecna privolitev potrebna, kadar gre za obdelavo občutljivih osebnih podatkov.

PRAVNO OBVESTILO KOT PREDPOGOJ PRIVOLITVE

Predpogoj veljavne privolitve je informiranost posameznika. Le posameznik, ki ve, kdo (vse) bo zbiral njegove osebne podatke in kaj želi z njimi početi, lahko poda veljavno privolitev.

Pri piškotkih tako ni dovolj, da so informacije o njihovi rabi in namenih skrite le nekje v izjavi o varovanju zasebnosti ali pa v pogojih uporabe in da upravljavec domneva, da je uporabnik z njimi seznanjen zgolj zato, ker je obiskal določeno spletno stran. Obvestilo o piškotkih mora biti na vidnem mestu, npr. tam, kjer je uporabnik pozvan k podaji privolitve. Je pa pomembno, da spletna stran podrobnejše informacije o piškotkih navede tudi v izjavi o varovanju zasebnosti in da na to opozori uporabnike, npr. s povezavo, ki je dostopna iz vsake podstrani.

Pooblaščenec priporoča, da obvestilo vsebuje kratko pojasnilo, kaj so piškotki in kako se uporabljajo. Prav tako je pomembno, kako je obvestilo o piškotkih vključeno v vsebino spletne strani in v kakšnem jeziku je napisano.

Pri mehanizmu domnevne privolitve je način obveščanja uporabnikov še posebej pomemben. Le na podlagi domnevanja, da je uporabnik videl in resnično razumel obvestilo, lahko sklepamo, da je z nadaljevanjem brskanja podal svojo privolitev. Tu je zelo pomembno mesto, kjer so na voljo informacije o piškotkih.

Priporočljivo je, da iz tega osnovnega kratkega obvestila vodi povezava na mesto, kjer je uporaba piškotkov natančneje razložena in vsi piškotki navedeni skupaj z opisom namena, ki ga zasledujejo.

Smernice Informacijske pooblaščenke niso obvezne. Prav tako je še dosti nejasnosti pri sami implementaciji nove zakonodaje v praksi, ki se bo pa čez čas (upajmo!) ustrezno razjasnila.

Povzeto po: Pirc Musar, N.: Kdaj lahko uporabimo piškotke?, Ljubljana, 2013

Ostali viri:

• Zakon o elektronskih komunikacijah (ZEKom-1), Uradni list RS, št. 109/2012
• Zakon o varstvu osebnih podatkov (ZVOP-1), Uradni list RS, št. 67/2007
• Direktiva o zasebnosti in elektronskih komunikacijah, Uradni list,  L 201, 31/07/2002
• Opinion 04/2012 on Cookie Consent Exemption, 2012