Pogojevanje privolitve za brskanje po spletni strani

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše vprašanje; ali je ravnanje spletne strani, ki za brskanje po spletni strani zahteva, da sprejmete vse piškotke, skladno s Splošno uredbo o varstvu osebnih podatkov.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. členom Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.     Namestitev ne-nujnih piškotkov na napravo posameznika je dovoljena izključno pod pogojem, če je posameznik v to privolil in bil pred tem tudi jasno in popolno informiran.

2.     Pogojevanje brskanja na spletni strani s privolitvijo za namestitev piškotkov po stališču IP-ja in tudi EDPB-ja ni dopustno.

O b r a z l o ž i t e v:

Uvodoma pojasnjujemo, da IP podaja neobvezujoča mnenja in pojasnila, ne more pa izven inšpekcijskih postopkov presojati konkretnih dejanj obdelave osebnih podatkov oz. se opredeliti do obdelave osebnih podatkov na konkretni spletni strani, ki jo v vašem dopisu navajate. To bi bilo namreč mogoče le v okviru inšpekcijskega postopka.

V zvezi z namestitvijo piškotkov na spletnih straneh pojasnjujemo, da rabo spletnih piškotkov v Sloveniji ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22; v nadaljevanju ZEKom-2). ZEKom-2 v 1. odstavku 225. člena določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu s predpisi, ki urejajo varstvo osebnih podatkov. Privolitev ni potrebna le za tiste piškotke, ki se uporabljajo izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali, ki so nujno potrebni za zagotovitev storitve, ki jo naročnik izrecno zahteva.

Pri tem pa je potrebno upoštevati , da se kot veljavna privolitev po Splošni uredbi o varstvu podatkov šteje le aktivna in prostovoljno podana, konkretna, informirana in nedvoumna vnaprejšnja privolitev posameznika v obdelavo podatkov. Pri tem opozarjamo, da je treba posameznike pred podajo privolitve ustrezno informirati – jasno jim mora biti predstavljeno, kateri osebni podatki bodo obdelovani, za katere namene, kakšne so njihove pravice itd., kot to zahteva in določa člen 13. Splošne uredbe. V kolikor temu ni tako, dana privolitev ni veljavna.

Več o pogojih za veljavno privolitev pa je tudi dostopno na naši spletni strani ter v smernicah Evropskega odbora o varstvu osebnih podatkov (v nadaljevanju: EDPB) o privolitvi dostopno na naslednji povezavi: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf

Glede pogojevanja brskanja po spletni strani s privolitvijo posameznika za namestitev piškotkov pa pojasnjujemo, da sodba Sodišča EU v zadevi C-673/17 potrjuje naša dosedanja razumevanja pravil o piškotkih, tudi glede veljavne privolitve, v katero posameznik ne more biti prisiljen, če želi uporabiti določeno storitev. Z vidika prostovoljnosti privolitve, kot eden izmed glavnih temeljev njene veljavnosti, tudi smernice EDPB-ja v 39. odstavku določajo, »da bi bila privolitev prostovoljna, dostop do storitev in funkcij ne sme biti pogojen s privolitvijo uporabnika, da se na njegovi terminalski opremi shranijo informacije ali da se na njej pridobi dostop do že shranjenih podatkov (tako imenovani piškotni zidovi oz. cookie walls-i«.  Glede na to, da piškotni zidovi (t.i. cookie walls) posameznikom ne dajejo resnične izbire o podaji privolitve ter jim je s tem odvzeta možnost odločanja o namestitvi piškotkov na svojo napravo in z njo povezano obdelavo osebnih podatkov, je takšna privolitev, pogojena z  dostopom do vsebine ali funkcionalnosti spletnega mesta, neprostovoljna in s tem neveljavna.  Pri tem poudarjamo, da je za zakonito sledenje s piškotki na spletnih straneh potrebno aktivno soglasje posameznika, pri čemer niti molk, vnaprej označeno okence ali nedejavnost posameznika ne predstavljajo veljavne privolitve. 

V zvezi z regulacijo piškotkov na spletnih straneh se IP tudi poglobljeno usklajuje na ravni EDPB-ja, saj je skupen EU pristop do vprašanj piškotkov in usklajena zakonodaja v državah članicah ključna za regulacijo področja uporabe piškotkov in podobnih tehnologij. V zvezi s tem vam zato predlagamo, da spremljate objave na naši spletni strani in spletni strani EDPB, kjer bomo tekoče objavljali nadaljnje usmeritve. 

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravil:                                                                                                                                  

Grega Rudolf,

asistent svetovalca pri IP          

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka