Varovanje osebnih podatkov in spletni piškotki
+ -Številka: 07121-1/2022/1301
Kategorije: Privolitev, Svetovni splet
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje. Kot ste pojasnili se srečujete s primerom, kjer morate stranki svetovati glede integracije orodja Google analytics 4. Zanima vas, kako Google analytics 4 umestiti v Politiko zasebnosti in Politiko piškotkov, da bo skladno z GDPR? Je možno sklicevanje na zakoniti interes ali je potrebna privolitev posameznika? Kako je v primeru, da so IP naslovi anonimizirani? Lahko takrat uporabimo zakoniti interes?
Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Za uporabo spletnih piškotkov, za katere ne veljajo zakonsko določene izjeme, torej tudi za spletno analitiko je treba pridobiti veljavno privolitev posameznika.
O b r a z l o ž i t e v:
IP uvodoma pojasnjuje, da je pri uporabi spletnih piškotkov ponudnikov iz tretjih držav, kamor sodijo ZDA, treba posebno pozornost nameniti vprašanju prenosa osebnih podatkov v tretje države.
Vse informacije o prenosih osebnih podatkov v tretje države najdete na:
· Infografiki IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_v_dveh_korakih.pdf.
V zvezi z uporabo omenjenega orodja pojasnjujemo, da smo glede tega že izdali mnenja, in sicer zadnje št. 07121-1/2022/137 z dne 9. 2. 2022 (dostopno je na povezavi: https://www.ip-rs.si/mnenja-gdpr/uporaba-google-analytics-1644400647).
V njem smo pojasnili, da so spletni identifikatorji, kot so IP naslovi in informacije shranjene v piškotkih, lahko uporabljeni za identifikacijo posameznikov, zlasti kadar se kombinirajo z drugimi informacijami. To izhaja tudi iz recitala 30 Splošne uredbe o varstvu podatkov, v katerem je navedeno, da lahko spletni identifikatorji, ki jih zagotovijo posameznikove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, pustijo sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.
Raba spletnih piškotkov je v Sloveniji sicer urejana z Zakonom o elektronskih komunikacijah (Uradni list RS, št. 130/22; v nadaljevanju ZEKom-2). ZEKom-2 v 1. odstavku 25. člena določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov. Ne glede na to pa ZEKom-2 v 2. odstavku 225. člena določa izjeme, in sicer privolitev ni potrebna le za tiste piškotke, ki se uporabljajo izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali, ki so nujno potrebni za zagotovitev storitve, ki jo naročnik izrecno zahteva. To pomeni, da boste morali za piškotke, ki ne sodijo pod izjeme, predhodno pridobiti veljavno privolitev obiskovalca spletne strani. Za spletno analitiko niso določene izjeme, zato velja zahteva po privolitvi in se ni primerno zanašati na legitimen interes.
V skladu s členom 4(11) Splošne uredbe o varstvu podatkov privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj. Molk, vnaprej označena okenca ali nedejavnost tako ne pomenijo veljavne privolitve.
Več o privolitvi si lahko preberete na naši spletni strani https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/privolitev.
Dodatna pojasnila glede uporabe privolitve v kontekstu uporabe piškotkov in t.i. piškotnih zidov so na voljo tudi v smernicah Evropskega odbora za varstvo podatkov na: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.
S spoštovanjem,
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke