Velike spremembe glede ureditve piškotkov na spletnih straneh

Avtor: Miroslav Ekart, pooblaščena oseba za varstvo podatkov iz Datainfo.si, d.o.o.

Glede ureditve piškotkov na spletnih straneh trenutno potekajo velike spremembe. Skoraj vsak dan se pojavi novica o tem, da je ta ali oni organ izrekel visoke kazni zaradi nepravilne uporabe piškotov.

Zlasti na udaru je Google, posebej njegovi Google analytcs piškotki, ter seveda  Facebook. Francoski nadzorni organ CNIL je Facebooku in Googlu izrekel kazen, ki skupno znaša kar 210 milijonov EUR. Če zadeve zadovoljivo ne uredita v treh mesecih, sledi še dodatnih 100.000 EUR dnevne kazni za vsak dan zamude[1]. Avstrijsko vrhovno sodišče je uporabo Google analytics piškotkov razglasilo za nelegalno[2]. Zaradi uporabe Google analytics piškotkov je dobil opomin celo Evropski parlament[3].

Tudi Slovenija je pri spreminjanju »ustaljene« ureditve piškotkov povsem v trendu, saj je v nedavno (decembra 2021) Vlada RS potrdila predlog novega Zakona o elektronskih komunikacijah ZEKOM 2. Zakon je na poti v državni zbor.

Gre za »tehničen oz. nepolitičen«  zakon, zato ob sprejemanju zakona ne pričakujemo veliko strankarskih prepirov. Izrecna sprememba glede na dosedanjo ureditev v ZEKOM 2 je v tem, da se po novem v 225 členu ZEKOM 2 namesto sklicevanja na obstoječi Zakon varstvu osebnih podatkov (gre za naš sedanji in zaradi GDPR delno neveljavni ZVOP 1) pri ureditvi piškotkov sklicuje, da morajo biti v skladu z veljavno zakonodajo o varstvu osebnih podatkov.

Veljavna zakonodaja pa zajema tudi Splošno uredbo EU o varstvu osebnih podatkov (kratica GDPR[4]), ki bo 25.5.2022 praznovala štiri leta od uveljavitve.

Kaj sploh so piškotki?

Piškotki so majhne besedilne datoteke, ki se shranijo na uporabnikovo napravo. Poznamo jih več vrst, običajno se delijo med nujne in nenujne piškotke. Nujni piškotki so tisti, ki jih spletna stran potrebuje za pravilno delovanje. Nenujnih pa je več vrst in se delijo med analitične, marketinške, sledilne ipd.

Sedaj je po vseh teh sodbah in odločbah ter izrečenih kaznih jasno, da je pravna podlaga za uporabo nenujnih piškotkov klasična privolitev, v skladu s 4. in 7. členom GDPR.

To pomeni, da mora biti privolitev uporabnika dokazljiva, prostovoljna, specifična, informirana in nedvoumna.  Tako so povsem neprimerne rešitve pri ureditvi obvestil o piškotkih, kot so na primer: »Naša spletna stran ima piškotke, v vašem brskalniku poiščite ustrezne nastavitve in si jih sami izklopite.« 

Primer slabe prakse

Prav tako ni skladna rešitev iz ene bolj »prometnih« slovenskih spletnih strani:

Ob kliku na nastavitve se pojavi tole:

Takšna ureditev je zelo problematična, ker so polja vnaprej izpolnjena/odkljukana, kar je v neposrednem nasprotju z zahtevami GDPR.

Tako je zelo pomembno, da imajo uporabniki pošteno možnost, da na enak način rečejo DA ali NE (npr. z enakim številom klikov). Prav tako mora biti omogočeno, da uporabniki zelo enostavno svojo privolitev prekličejo.

Dodatno je IP RS ob dnevu varstva osebnih podatkov dne  28.1.2021 na svojem dogodku naznanil, da ga bo letos posebej zanimalo, ali so informacije uporabnikom podane v skladu s 13. členom GDPR (obvezna izpolnitev vseh 12 zahtev iz 13. člena GDPR). Običajne se informacije podajajo uporabnikom v obliki dokumenta z imenom politika zasebnosti ali izjavi o zasebnosti. Pazite, da bodo te obvezne informacije lahko dostopne in jih ne »zakopljite« ali skrivajte na vaši spletni strani.

Namesto zaključka priporočam, da v izogib nadzornim postopkom in plačilom kazni uredite svojo spletno stran z vsemi privolitvami glede piškotkov in GDPR informacijami, saj za nadzorne postopke inšpektorjem ni potrebno zapustiti (domače) pisarne, ker so vse vaše informacije (in kršitve) javno razvidne 24/7 na spletu.

[1] https://www.cnil.fr/en/cookies-cnil-fines-google-total-150-million-euros-and-facebook-60-million-euros-non-compliance

[2] https://fortune.com/2022/01/13/austria-gdpr-google-analytics-max-schrems-noyb-edps/

[3] https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe

[4] https://eur-lex.europa.eu/legal-content/SL/TXT/HTML/?uri=CELEX:32016R0679&from=EN