
Pogosto zastavljena vprašanja o piškotkih
Informacijski pooblaščenec je v zadnjem času prejel izjemno veliko število prošenj za mnenje glede implementacije novih določb Zakona o elektronskih komunikacijah (ZEKom-1), ki se nanašajo na spletne piškotke.
Preberite o najbolj pogosto zastavljenem vprašanju...
Informacijski pooblaščenec je v zadnjem času prejel izjemno veliko število prošenj za mnenje glede implementacije novih določb Zakona o elektronskih komunikacijah (ZEKom-1), ki se nanašajo na spletne piškotke.
Preberite o najbolj pogosto zastavljenem vprašanju...
Kaj razumemo kot izrecno in kaj kot domnevno privolitev?
Kot pojasnjujemo v smernicah, nova zakonodaja zelo jasno govori o privolitvi v piškotke, potem, ko je bil uporabnik o njihovem delovanju obveščen. Rešitve, pri katerih so piškotki postavljeni takoj, ko uporabnik obišče spletno stran, preden je uspel prebrati obvestilo in še preden je izrazil strinjanje s piškotki, ter omogočajo le, da uporabnik piškotke naknadno zavrne, tako niso primerne in niso skladne z novo zakonodajo. Pred privolitvijo so lahko naloženi le piškotki, ki spadajo med izjeme in pod zgoraj pojasnjenimi pogoji lastni analitični piškotki. Mehanizme za pridobivanje privolitve lahko glede na stopnjo formalnosti in zanesljivosti umestimo na različne stopnje, od takih, ki zagotavljajo »domnevno« privolitev (angl. implied consent) pa do bolj zanesljivih, ki od uporabnika zahtevajo izrecno privolitev (angl. explicit consent). Izraz »domnevna privolitev« v smernicah označuje privolitev s konkludentnim dejanjem.
Mehanizmi za domnevno privolitev običajno močneje temeljijo na poudarjenem obvestilu o piškotkih, ki je zelo vidno postavljeno na začetno spletno stran in uporabnika obvesti o tem, da spletna stran uporablja piškotke, ki bodo naloženi na uporabnikovo napravo, če bo nadaljeval z brskanjem. Če uporabnik nadaljuje z brskanjem, spletna stran domneva, da se strinja s piškotki. Če uporabnik ne nadaljuje z brskanjem, s tem izrazi svoje nestrinjanje. Uporabnik torej nima možnosti nadaljnjega brskanja, če se s piškotki ne strinja, saj mu na začetni strani ni ponujena možnost izbire, da morda zavrne (določene) piškotke oz. spremeni nastavitve. Pri domnevni privolitvi tako uporabnik možnosti, da zavrne piškotke, običajno nima. Kot pojasnjujemo v smernicah, model domnevne privolitve ni primeren za piškotke, s katerimi je mogoče slediti uporabniku preko različnih spletnih strani, prav tako pa ni primeren v kontekstu profiliranja (tudi kadar se to izvaja le znotraj enega spletnega mesta z lastnimi piškotki), obdelave občutljivih osebnih podatkov ter za piškotke z neomejenim rokom trajanja, saj posameznik nima možnosti izbire glede uporabe piškotkov.
Mehanizmi za izrecno privolitev so bolj zanesljivo orodje za pridobivanje privolitve uporabnika. Tu je uporabniku predstavljena možnost, da privoli v uporabo piškotkov ali pa jo zavrne. Z izrecno akcijo uporabnik opravi izbiro (klikne na gumb ali povezavo, označi potrditveno polje, pošlje e-pošto, se strinja s pogoji storitve, ipd.) in na tak način zelo jasno in aktivno izrazi svojo prostovoljno voljo. Kot izrecno privolitev razumemo tudi rešitve, kjer je uporabniku ponujena izbira tako, da strinjanje izrazi s tem, da naprej brska, nestrinjanje pa tako, da klikne na izbiro “ne strinjam se” oziroma na polje/povezavo, kjer lahko spremeni nastavitve piškotkov. Če mu opcija, da označi »ne strinjam se« ali polje/povezava, kjer lahko spremeni nastavitve piškotkov, ni dana, ne moremo govoriti o izrecni privolitvi, temveč gre dejansko za prisilitev v smislu vzemi ali pusti, kar pa je - kot smo izpostavili v smernicah – problematično z vidika načela sorazmernosti. Privolitev je namreč po definiciji iz zakona o varstvu osebnih podatkov »prostovoljna izjava volje«. Pomembno je, da je obvestilo o uporabi piškotkov jasno razvidno na spletni strani, da natančno opredeli za kakšne namene se piškotki uporabljajo in da je uporabniku jasno predstavljeno, s kakšnim dejanjem se s piškotki strinja in kako jih lahko zavrne.
Ključno je, da je posamezniku na vstopni strani jasno in zelo vidno ponujena resnična in vsebinska izbira med tem, da z aktivnim dejanjem (naj bo to klik na gumb/potrditev polja ali nadaljevanje brskanja) sprejme piškotke oz. jih lahko na vstopni strani zavrne ali preko enostavne povezave spremeni njihovo nastavitev. Uporabniku mora biti vedno ponujena možnost, da naknadno spremeni nastavitve za piškotke in naknadno zavrne tako obdelavo njegovih podatkov. Primere izrecnih modelov soglasja lahko najdete na precejšnjem številu tujih spletnih strani iz različnih držav članic EU (tako Velike Britanije, kot tudi Nizozemske, itd.), ki so že implementirale nova pravila, tudi takih, ki uporabljajo veliko število piškotkov in so prav tako odvisne od oglaševalskih prihodkov.
Kot pojasnjujemo v smernicah, nova zakonodaja zelo jasno govori o privolitvi v piškotke, potem, ko je bil uporabnik o njihovem delovanju obveščen. Rešitve, pri katerih so piškotki postavljeni takoj, ko uporabnik obišče spletno stran, preden je uspel prebrati obvestilo in še preden je izrazil strinjanje s piškotki, ter omogočajo le, da uporabnik piškotke naknadno zavrne, tako niso primerne in niso skladne z novo zakonodajo. Pred privolitvijo so lahko naloženi le piškotki, ki spadajo med izjeme in pod zgoraj pojasnjenimi pogoji lastni analitični piškotki. Mehanizme za pridobivanje privolitve lahko glede na stopnjo formalnosti in zanesljivosti umestimo na različne stopnje, od takih, ki zagotavljajo »domnevno« privolitev (angl. implied consent) pa do bolj zanesljivih, ki od uporabnika zahtevajo izrecno privolitev (angl. explicit consent). Izraz »domnevna privolitev« v smernicah označuje privolitev s konkludentnim dejanjem.
Mehanizmi za domnevno privolitev običajno močneje temeljijo na poudarjenem obvestilu o piškotkih, ki je zelo vidno postavljeno na začetno spletno stran in uporabnika obvesti o tem, da spletna stran uporablja piškotke, ki bodo naloženi na uporabnikovo napravo, če bo nadaljeval z brskanjem. Če uporabnik nadaljuje z brskanjem, spletna stran domneva, da se strinja s piškotki. Če uporabnik ne nadaljuje z brskanjem, s tem izrazi svoje nestrinjanje. Uporabnik torej nima možnosti nadaljnjega brskanja, če se s piškotki ne strinja, saj mu na začetni strani ni ponujena možnost izbire, da morda zavrne (določene) piškotke oz. spremeni nastavitve. Pri domnevni privolitvi tako uporabnik možnosti, da zavrne piškotke, običajno nima. Kot pojasnjujemo v smernicah, model domnevne privolitve ni primeren za piškotke, s katerimi je mogoče slediti uporabniku preko različnih spletnih strani, prav tako pa ni primeren v kontekstu profiliranja (tudi kadar se to izvaja le znotraj enega spletnega mesta z lastnimi piškotki), obdelave občutljivih osebnih podatkov ter za piškotke z neomejenim rokom trajanja, saj posameznik nima možnosti izbire glede uporabe piškotkov.
Mehanizmi za izrecno privolitev so bolj zanesljivo orodje za pridobivanje privolitve uporabnika. Tu je uporabniku predstavljena možnost, da privoli v uporabo piškotkov ali pa jo zavrne. Z izrecno akcijo uporabnik opravi izbiro (klikne na gumb ali povezavo, označi potrditveno polje, pošlje e-pošto, se strinja s pogoji storitve, ipd.) in na tak način zelo jasno in aktivno izrazi svojo prostovoljno voljo. Kot izrecno privolitev razumemo tudi rešitve, kjer je uporabniku ponujena izbira tako, da strinjanje izrazi s tem, da naprej brska, nestrinjanje pa tako, da klikne na izbiro “ne strinjam se” oziroma na polje/povezavo, kjer lahko spremeni nastavitve piškotkov. Če mu opcija, da označi »ne strinjam se« ali polje/povezava, kjer lahko spremeni nastavitve piškotkov, ni dana, ne moremo govoriti o izrecni privolitvi, temveč gre dejansko za prisilitev v smislu vzemi ali pusti, kar pa je - kot smo izpostavili v smernicah – problematično z vidika načela sorazmernosti. Privolitev je namreč po definiciji iz zakona o varstvu osebnih podatkov »prostovoljna izjava volje«. Pomembno je, da je obvestilo o uporabi piškotkov jasno razvidno na spletni strani, da natančno opredeli za kakšne namene se piškotki uporabljajo in da je uporabniku jasno predstavljeno, s kakšnim dejanjem se s piškotki strinja in kako jih lahko zavrne.
Ključno je, da je posamezniku na vstopni strani jasno in zelo vidno ponujena resnična in vsebinska izbira med tem, da z aktivnim dejanjem (naj bo to klik na gumb/potrditev polja ali nadaljevanje brskanja) sprejme piškotke oz. jih lahko na vstopni strani zavrne ali preko enostavne povezave spremeni njihovo nastavitev. Uporabniku mora biti vedno ponujena možnost, da naknadno spremeni nastavitve za piškotke in naknadno zavrne tako obdelavo njegovih podatkov. Primere izrecnih modelov soglasja lahko najdete na precejšnjem številu tujih spletnih strani iz različnih držav članic EU (tako Velike Britanije, kot tudi Nizozemske, itd.), ki so že implementirale nova pravila, tudi takih, ki uporabljajo veliko število piškotkov in so prav tako odvisne od oglaševalskih prihodkov.