NOVE SMERNICE O UPORABI PIŠKOTKOV
Številni nadzorni organi po EU objavili nove smernice o uporabi piškotkov.
Ena izmed pomembnih in aktualnih tem v zadnjem času je tudi uporaba piškotkov in drugih sledilnih tehnologij na spletnih straneh. Številni nadzorni organi držav članic Evropske unije, vključno z Informacijskim pooblaščencem RS (IPRS), so v zadnjem času izdali nove smernice o uporabi piškotkov.
Tema ni vedno nujno povezana z varstvom osebnih podatkov (nekateri piškotki namreč delujejo tudi brez zbiranja le-teh), se pa tega področja pomembno dotika in z njim prepleta in, v primeru pridobivanja osebnih podatkov preko uporabe piškotkov, z njim tudi prekriva. V luči številnih prijav upravljavcev spletnih strani s strani organizacije NOYB v zadnjih nekaj letih, so dodatne smernice nadzornih organov več kot dobrodošle. Po eni strani pomagajo razumeti, kako bo nadzorni organ presojal skladnost uporabe piškotkov, po drugi strani pa služijo tudi kot koristen opomnik glede določenih vidikov, ki jih morda zlahka pozabimo ali pa si jih napačno razlagamo.
Ne gre torej za novosti na področju zakonodaje, temveč za nova, podrobnejša in posodobljena navodila in usmeritve nadzornega organa na tem področju.
V nadaljevanju povzemamo nekaj poudarkov smernic IPRS o uporabi piškotkov in podobnih sledilnih tehnologij, ki so v celoti dostopne tukaj (Smernice), dopolnjenih z našimi opažanji in mnenji:
- Področje uporabe piškotkov v Sloveniji urejata zlasti Zakon o elektronskih komunikacijah (ZEKom-2) ter Splošna uredba o varstvu podatkov (GDPR).
- Največ težav in kršitev se v praksi pojavlja na področju informiranja posameznikov ter zlasti zbiranja privolitve posameznikov za uporabo piškotkov. Člen 225 ZEKom-2 namreč brez pridobitve privolitve dovoljuje piškotke zgolj zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. Smernice podrobno pojasnijo tudi pomen vseh omenjenih pojmov.
- Pomembno je upoštevati, da se vprašanje »nujne potrebnosti« presoja z vidika uporabnika spletne strani in ne z vidika upravljavca spletne strani. Ravno pri tem kriteriju v praksi pogosto prihaja do zmede oziroma napačne razlage pomena. Za upravljavce spletnih strani so namreč lahko »nujni« tudi analitični in nenazadnje marketinški piškotki, vendar pa le-teh ni mogoče razumeti kot nujnih v smislu ZEKom-2 in je zato zanje nujno potrebno pridobiti privolitev.
- Zato, da je lahko posameznikova privolitev informirana (in s tem sploh veljavna), mora upravljavec spletne strani zagotoviti vse informacije iz člena 13 GDPR, pri čemer osnovne informacije navede na pojavni pasici (tj. pred pridobitvijo privolitve), ostale pa lahko navede na povezavi, ki je prav tako na voljo na pojavni pasici.
- Izrednega pomena je tudi vsebina pojavne pasice za sprejem piškotkov, pri kateri je prav tako v praksi ogromno napak. Večina spletnih strani namreč omogoča samo sprejem vseh piškotkov in nato na težko dostopni podstrani ter na zapleten način uporabniku omogoča zavrnitev določenih vrst piškotkov. Tak pristop ni skladen z zakonodajo. Prav tako je neustrezen pristop, ki posameznika na določen način »sili« k temu, da izbere privolitev k uporabi vseh piškotkov, na primer tako, da je opcija za sprejem vseh piškotkov bolj poudarjena ali pa so posamezni ne-nujni piškotki že predizbrani (obkljukani).
- Neustrezni so tudi pristopi, ki zahtevajo od posameznika, da zavrne samovoljno nameščene piškotke (ti. opt-out), saj tako ZEKom-2 kot GDPR zahtevata predhodno aktivno privolitev.
- Ključno je tudi, da je posameznikom na enostaven način ves čas na voljo tudi možnost, da privolitev prekličejo (s pomočjo enostavno dostopne povezave ali ves čas vidne ikone).
- Smernice pojasnjujejo tudi številne druge pomembne pojme, izjeme ter dobre prakse.
Pri uporabi piškotkov vsekakor svetujemo visoko raven skrbnosti, saj je odgovornost (in dokazno breme) glede skladnosti z zakonodajo na upravljavcu spletnih strani, morebitne kršitve pa ne pomenijo nujno zgolj kršitve ZEKom-2, temveč tudi GDPR, ki predpisuje izredno visoke globe.