Dopustnost namestitve piškotkov in podobnih sledilnih tehnologij

Pri Informacijskem pooblaščencu (IP) smo dne 11. 9. 2023 prejeli vaše zaprosilo za mnenje glede dopustnosti uporabe orodja Google Analytics 4. Zanima vas, ali se za namestitev tega orodja še vedno zahteva privolitev (predvsem v luči sprejetega sklepa o ustreznosti med ZDA in EU).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. V skladu s 225. členom ZEKom-2 je namestitev piškotkov ali podobnih sledilnih tehnologij na terminalsko napravo uporabnika dovoljena le v primeru, da je uporabnik v namestitev privolil. Upravljavcu ni treba pridobiti predhodne privolitve le v primeru, da uporablja nujne piškotke in piškotke za prenos sporočila.

2. Sklep o ustreznosti varstva osebnih podatkov na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA ne spreminja zahtev glede obveznosti pridobivanja privolitev za namestitev piškotkov in drugih tehnologij za sledenje posameznikom, saj predstavlja le pravno podlago za prenos osebnih podatkov v tretjo državo, nima pa nikakršnega vpliva na samo zakonitost namestitve piškotkov ali drugih sledilnih tehnologij na terminalsko napravo uporabnika.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Obveznosti upravljavcev spletnih strani glede piškotkov in drugih tehnologij za sledenje posameznikom ureja Zakon o elektronskih komunikacijah v 225. členu (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O, v nadaljevanju: ZEKom-2), ki praviloma namestitev piškotkov ali podobnih sledilnih tehnologij na terminalsko napravo uporabnika dovoljuje le v primeru, da je uporabnik v namestitev privolil, potem ko je bil jasno in izčrpno obveščen o okoliščinah obdelave podatkov.

Upravljavcu ni treba pridobiti predhodne privolitve le v primeru, da uporablja tim. nujne piškotke in piškotke za prenos sporočila. Nujni piškotki so le tisti, brez katerih ponudnik ne more nuditi storitve informacijske družbe uporabniku, ta pa je obenem jasno izrazil svojo voljo, da to storitev želi. Piškotki za prenos sporočila pa so piškotki, ki jih spletna stran potrebuje, da se prenese sporočilo, saj brez takega piškotka sporočila tehnično ne bi bilo mogoče prenesti v komunikacijskem omrežju. Ker gre za izjemi, ju je treba interpretirati ozko.

IP ob tem opozarja, da mora upravljavec tudi glede podatkov, ki se obdelujejo v okviru piškotkov, posameznikom zagotoviti vse informacije o okoliščinah obdelave v skladu s členom 13 Splošne uredbe in sicer tudi v primeru, da obdeluje zgolj nujne piškotke in piškotke za prenos sporočila.

Sklep o ustreznosti varstva osebnih podatkov na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA (angl. EU-US Data Privacy Framework (DPF)), ki ga je Evropska Komisija sprejela 10. 7. 2023, ne spreminja zgoraj opisanih zahtev glede obveznosti pridobivanja privolitev za namestitev piškotkov in drugih tehnologij za sledenje posameznikom, saj sklep o ustreznosti predstavlja le pravno podlago za prenos osebnih podatkov v tretjo državo, nima pa nikakršnega vpliva na samo zakonitost namestitve piškotkov ali drugih sledilnih tehnologij na terminalsko napravo uporabnika.

Navedeno v praksi pomeni, da morajo upravljavci spletnih strani pred namestitvijo piškotkov ali drugih sledilnih tehnologij na terminalsko napravo posameznika še vedno pridobiti njihovo privolitev, razen v primeru nujnih piškotkov ali piškotkov za prenos sporočila. Ko pridobijo veljavno privolitev uporabnika, pa lahko na podlagi sklepa o ustreznosti prenašajo osebne podatke tistim podjetjem iz ZDA, ki sodelujejo v okviru za varstvo zasebnosti podatkov med EU in ZDA in jim ob tem ni treba uvesti dodatnih zaščitnih ukrepov za varstvo podatkov v skladu s členom 46 Splošne uredbe o varstvu podatkov. Ali se je podjetje pridružilo okviru za varstvo zasebnosti podatkov med EU in ZDA, lahko preverite na naslednji povezavi: https://www.dataprivacyframework.gov/s/participant-search.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:

dr. Pika Šarf,

Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka