Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Politika piškotkov (Cookies policy)

+ -
Datum: 14.12.2021
Številka: 07121-1/2021/2479
Kategorije: Informiranje posameznika, Pravne podlage, Privolitev, Svetovni splet

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede uporabe piškotkov. Zanima vas:

- ali je privolitev obiskovalca spletne strani nujna za namestitev piškotkov (ali mora obiskovalec izrecno reči »da, sprejemam vse piškotke«) in

- ali spletna stran lahko shranjuje piškotke, dokler obiskovalec ne izbere opcije preklica (oz. opt-out) (se pravi, da spletna stran privzeto shranjuje piškotke in preneha šele, ko obiskovalec izbere možnost »blokiraj vse piškotke« v nastavitvah za piškotke).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s členom 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 - uradno prečiščeno besedilo in 177/20, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07- ZUstS-A, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji. Ob tem poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka ne more presojati posameznih konkretnih obdelav osebnih podatkov.

 

IP pojasnjuje, da uporabo spletnih piškotkov in podobnih tehnologij določa 157. člen Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12,  s spremembami in dopolnitvami, v nadaljevanju ZEKom-1), ki določa kot sledi:

 

(1) Shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov.

(2) Ne glede na določbe prejšnjega odstavka je dovoljeno tehnično shranjevanje podatkov ali dostop do njih izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.

(3) Če je tehnično izvedljivo in učinkovito ter v skladu z zakonom, ki ureja varstvo osebnih podatkov, se šteje, da uporabnik lahko izrazi svojo privolitev iz prvega odstavka tega člena tudi z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah. Privolitev uporabnika ali naročnika pomeni osebno privolitev v skladu z zakonom, ki ureja varstvo osebnih podatkov.

(4) Kadar gre za kršitev pravil o obveščanju in privolitvi posameznika iz prvega odstavka tega člena ter hkrati za kršitev zakona, ki ureja varstvo osebnih podatkov, se uporabljajo določbe tega zakona.

(5) Inšpekcijski nadzor nad izvajanjem določb tega člena opravlja informacijski pooblaščenec.

 

Drugi odstavek 157. člena ZEKom-1 določa dve izjemi, pri katerih lahko upravljavec spletne strani uporablja piškotke, ne da bi od uporabnika vnaprej pridobil privolitev za uporabo:

  1. piškotki, ki so potrebni izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, in
  2. piškotki, ki so nujno potrebni za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.

 

Prva izjema se nanaša na piškotke, ki so potrebni izključno zato, da se prenese sporočilo, kar je treba interpretirati zelo ozko: brez takega piškotka sporočilo v komunikacijskem omrežju ne bi bilo preneseno. Piškotki, ki npr. omogočajo le hitrejši prenos sporočila, ali boljše upravljanje s prenosom, niso del te izjeme. Edini kriterij, ki velja, je, da sporočila brez piškotka tehnično ni mogoče prenesti.

 

Druga izjema se nanaša na piškotke, brez katerih uporabnik ne bi mogel prejeti storitve, ki jo je izrecno zahteval. Termin »nujno potrebno« je spet potrebno interpretirati ozko – če piškotka ni, ponudnik take storitve ne more izvesti, hkrati pa je uporabnik aktivno izrazil svojo voljo, da želi to storitev. Argument, da piškotek zagotavlja boljše delovanje določenih funkcionalnosti spletnega mesta ali da je piškotek »zelo pomemben«, ni dovolj, izjema se uporabi le, kadar je uporabnik določeno storitev, funkcionalnost, ipd. aktivno zahteval (s klikom na določeno mesto, določeno izbiro, nastavitvijo, ipd.), za izvedbo te želje pa je nujno potreben piškotek.

 

Piškotek, za katerega velja izjema, naj bi trajal le toliko časa, kot je to potrebno za dosego njegovega namena. Pri piškotkih s krajšim rokom trajanja, torej sejnih piškotkih, je veliko lažje govoriti o izjemi, kot pri piškotkih z daljšim rokom. Pri daljšem roku trajanja je potrebna utemeljitev, zakaj je tak rok nujno potreben za enega izmed zgoraj opisanih kriterijev. Če tako dolg rok trajanja ni potreben, ne moremo govoriti o izjemi.

 

Prav tako je lažje uveljavljati izjemo pri lastnih piškotkih, ki jih postavi dejansko obiskana spletna stran, kot pri piškotkih, ki jih postavijo tretje, partnerske strani in trajajo dalj časa ali so celo trajni.  

 

Če je isti piškotek uporabljen za različne namene, je lahko izvzet od obveznosti privolitve le, če so vsi posamezni nameni taki, da bi bili lahko izvzeti.

 

*****

 

ZEKom-1 ne določa podrobno privolitve in obveščanja, pač pa se pri tem sklicuje na veljavno ureditev varstva osebnih podatkov. Splošna uredba, ki se uporablja neposredno od 25. 5. 2018 dalje, natančno opredeljuje privolitev kot tudi pogoje, ki morajo biti izpolnjeni, da je privolitev v uporabo piškotkov veljavno podana. V zvezi z obveščanjem pa podrobno določa nabor informacij, ki jih je upravljavec dolžan zagotoviti uporabniku (člen 13 Splošne uredbe), ter način, kako to storiti (člen 12 Splošne uredbe).

 

Preden je piškotek naložen na uporabnikovo opremo mora upravljavec spletne strani: 

  1. obvestiti kdo je (naziv), katere piškotke uporablja, za kakšne namene bodo uporabljeni podatki, ki se s pomočjo piškotka obdelujejo in drugo 
  2. pridobiti  privolitev uporabnika za uporabo piškotkov (razen če se piškotki uvrščajo med izjeme, za katere privolitev ni potrebna).

 

Z vidika privolitve naročnika ali uporabnika po predhodni jasni in izčrpni obveščenosti o upravljavcu in namenih obdelave teh podatkov, je tako potrebno upoštevati Splošno uredbo, ki določa, da je »privolitev«  posameznika, na katerega se nanašajo osebni podatki vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj (člen 4(11) Splošne uredbe).

 

Splošna uredba nadalje v členu 7 opredeljuje pogoje za privolitev kot sledi:

  1. Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.
  2. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.
  3. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.
  4. Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.

 

 

Splošna uredba v recitalu (32) pojasnjuje, da bi privolitev morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

 

Splošna uredba tako viša predhodne standarde, še posebej glede veljavnosti tim. domnevne privolitve (npr. privolitev s pomikanjem po spletni strani ali podobno), kar je že podkrepljeno tudi s sodbo Sodišča EU v zadevi C-673/17, po kateri je za zakonito uporabo piškotkov in podobnih tehnologij na spletnih straneh potrebno aktivno soglasje posameznika, pri čemer molk, vnaprej označeno okence ali nedejavnost posameznika ne predstavljajo veljavne privolitve.

 

IP je podal izčrpnejša pojasnila glede piškotkov, njihove uporabe, obvestil, privolitev ipd.:

 

- v odgovorih na pogosta vprašanja o piškotkih, ki jih lahko najdete na spletni strani IP www.ip-rs.si na naslovu: https://www.ip-rs.si/varstvo-osebnih-podatkov/informacijske-tehnologije-in-osebni-podatki/piskotki-odgovori-na-pogosta-vprasanja/ ter

 

- v mnenjih, ki jih lahko najdete z uporabo iskalnika mnenj na spletni strani IP www.ip-rs.si/vop/ z vnosom ključne besede piškotki, privolitev idr.

 

Več o privolitvi in posameznih konkretnih primerih veljavne oz. neveljavne privolitve lahko najdete tudi v Smernicah o privolitvi, v katere je Evropski odbor za varstvo podatkov v zadnji posodobitvi vključil vprašanje veljavnosti oz. neveljavnosti privolitve v primeru tim. piškotnega zidu oz. »cookie-wall« ter privolitve zgolj s pomikanjem oz. nadaljevanjem ogleda spletne strani.

 

*****

 

Ob upoštevanju zgoraj navedenih določb in pojasnil IP v povezavi z vašimi vprašanji tako zaključuje:

- da je predhodna privolitev uporabnika nujna za namestitev piškotkov (razen za zgoraj opredeljene izjeme) in  da mora biti ta privolitev izražena z jasnim pritrdilnim dejanjem (označitev okenca, klik na gumb »strinjam se« ali drugo)

- da spletna stran ne sme shranjevati piškotkov pred pridobljeno veljavno privolitvijo uporabnika (razen ponovno za zgoraj opredeljene izjeme), kar pomeni, da shranjevanje piškotkov na podlagi mehanizma »opt-out« namesto »opt-in« ne predstavlja veljavne privolitve.

 

Lep pozdrav.

 

 

Mojca Prelesnik, univ.dipl.prav.           

Informacijska pooblaščenka