Izbira vtičnika za dostopnost

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Prosite nas za pomoč pri izbiri vtičnika za dostopnost glede na to, da je večina vtičnikov iz ZDA (in glede na sprejeti sklep o ustreznosti okvira za varstvo zasebnosti podatkov med EU in ZDA). Navajate, da je vaša prvotna izbira vtičnik https://accessiblyapp.com/, druga izbira pa bi lahko bil vtičnik https://userway.org/. Sprašujete, kateri vtičnik je primeren ter ali je seznam ustreznih organizacij že vzpostavljen in kje je dostopen?

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. Z neobvezujočim mnenjem vam lahko tako posredujemo zgolj splošna pojasnila in usmeritve.

Predlagamo vam, da natančno preberete pogoje uporabe obeh vtičnikov, ki ju omenjate. Če se bodo zaradi uporabe vtičnika na vaši spletni strani namestili piškotki, morate o tem obvestiti posameznike in zagotoviti obstoj njihovih privolitev (če ne gre za piškotke, za katere velja izjema po Zakonu o elektronskih komunikacijah (ZEKom-2)).

Seznam podjetij, ki sodelujejo v okviru za varstvo zasebnosti podatkov med EU in ZDA, je že javno dostopen in sicer na spletni strani: https://www.dataprivacyframework.gov/s/participant-search.

O b r a z l o ž i t e v:

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti rešitve, ki jo omenjate v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

Pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr. privolitev posameznika, izvajanje pogodbe, izpolnitev zakonske obveznosti, opravljanje naloge v javnem interesu, itd.

Predlagamo vam, da natančno preberete pogoje uporabe obeh vtičnikov, ki ju omenjate. Npr. iz pogojev uporabe vtičnika Userway (https://userway.org/privacy/) izhaja, da aplikacija ne obdeluje osebnih podatkov končnih uporabnikov, le podatke, povezane z lastnikom spletne strani. Z uporabo vtičnika Accessibily (https://accessiblyapp.com/privacy-policy/)  se na računalnik uporabnika naložijo piškotki, zbirajo pa se tudi podatki o uporabi vtičnika (IP, tip brskalnika, verzija brskalnika, shrani, ki jih posameznik obišče, čas in datum obiska, itd.). Kot smo poudarili v mnenju št. 07121-1/2022/137 z dne 9. 2. 2022, so lahko spletni identifikatorji, kot so IP naslovi in informacije shranjene v piškotkih uporabljeni za identifikacijo posameznikov, zlasti kadar se kombinirajo z drugimi informacijami. To izhaja tudi iz recitala 30 Splošne uredbe, v katerem je navedeno, da lahko spletni identifikatorji, ki jih zagotovijo posameznikove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, pustijo sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

Uporaba piškotkov je urejena z Zakonom o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O, v nadaljevanju ZEKom-2). Prvi odstavek 225. člen ZEKom-2 določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu s predpisi, ki urejajo varstvo osebnih podatkov. Ne glede na to pa ZEKom-2 v 2. odstavku 225. člena določa izjeme, in sicer privolitev ni potrebna le za tiste piškotke, ki se uporabljajo izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali, ki so nujno potrebni za zagotovitev storitve, ki jo naročnik izrecno zahteva. To pomeni, da boste morali za piškotke, ki ne sodijo pod izjeme, predhodno pridobiti veljavno privolitev obiskovalca spletne strani. ZEKom-2 v tretjem odstavku 225. člena sicer dopušča možnost, da uporabnik izrazi svojo privolitev tudi z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah, vendar le v primeru, če je to tehnično izvedljivo in učinkovito ter v skladu s predpisi, ki urejajo varstvo osebnih podatkov. Opozarjamo pa, da je v praksi uporaba tega načina za izražanje privolitve (zaenkrat) težko uresničljiva zaradi strogih zahtev, ki jih za veljavnost privolitve predpisuje Splošna uredba, kot pojasnjujemo v nadaljevanju.

V zvezi s privolitvijo pojasnjujemo, da mora biti vedno prostovoljna, specifična, informirana ter nedvoumna in se lahko kadarkoli prekliče. Upravljavec spletne strani mora biti sposoben dokazati, da je pridobil veljavno privolitev uporabnika ali naročnika, tako da na primer predloži pisno izjavo posameznika, v spletnem okolju pa s sledljivostjo izbir posameznika. Dodatno je Sodišče EU v zadevi C-673/17 poudarilo, da je za zakonito sledenje s piškotki na spletnih straneh potrebno aktivno soglasje posameznika, pri čemer molk, vnaprej označeno okence ali nedejavnost posameznika ne predstavljajo veljavne privolitve. Več o veljavni privolitvi posameznika lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/privolitev in v Smernicah št. 05/2020 o privolitvi na podlagi Uredbe 2016/679, ki jih je izdal Evropski odbor za varstvo podatkov (EDPB) in so dosegljive na naslednji povezavi: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_sl.

Če bo v vašem primeru upravljavec glede na tveganja, ki jih lahko pomeni zadevna obdelava osebnih podatkov presodil, da bo izbral vtičnik, pri katerem se bodo s tretje strani na upravljavčevo spletno stran namestili piškotki, pojasnjujemo, da imata v takih primerih določene odgovornosti tako izvorna spletna stran kot tudi tretja stran. Tretja stran (ali katera koli od njihovih nadaljnjih tretjih strani) bo od uporabnika težje neposredno pridobila privolitev, saj ni nujno, da ima neposredni stik z njim. Neposredni stik pa ima vedno izvorna spletna stran, ki ima tako tudi boljšo priložnost, da uporabnika obvesti o uporabi storitev tretjih strani in pridobi privolitev. Izvorna spletna stran je tista, ki v svoji storitvi dopušča udeležbo tretjih in kot taka ima jasno odgovornost glede pravic svojih uporabnikov. Svetujemo vam pregled piškotkov, ki se naložijo na uporabnikovo napravo ob obisku vaše spletne strani. Uporabnike morate o teh piškotkih (ne glede na to, od katere tretje strani prihajajo) obvestiti in če to niso piškotki, ki spadajo med izjeme, pridobiti privolitve uporabnikov. Več o tem lahko preberete na: https://www.ip-rs.si/varstvo-osebnih-podatkov/informacijske-tehnologije-in-osebni-podatki/pi%C5%A1kotki-odgovori-na-pogosta-vpra%C5%A1anja. Več o politiki piškotkov lahko preberete tudi v mnenju št. 07121-1/2021/2479 z dne 14.12.2021.

O prenosu oz. iznosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec iz Slovenije ali druge države članice Evropske unije (to je lahko tudi podružnica) osebne podatke iz takega ali drugačnega razloga posreduje v države izven Evropske unije (EU) ali Evropskega gospodarskega prostora (EGP) ali mednarodni organizaciji. O prenosu govorimo tudi takrat, ko je dostop do osebnih podatkov omogočen organizacijam, podjetjem, posameznikom ali drugim subjektom iz tretjih držav izven EGP, pa čeprav so podatki hranjeni znotraj EGP (npr. oddaljen dostop podjetja iz tretje države, ki nudi tehnično podporo). Več informacij glede prenosov v tretje države in mednarodne organizacije lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije/.

Kot smo poudarili v novici na spletni strani IP »Evropska komisija sprejela sklep o ustreznosti okvira za varstvo zasebnosti podatkov med EU in ZDA« se lahko na podlagi sklepa o ustreznosti osebni podatki iz EU varno prenašajo tistim podjetjem iz ZDA, ki sodelujejo v okviru za varstvo zasebnosti podatkov med EU in ZDA (angl. EU-US Data Privacy Framework (DPF), ob tem pa ni treba uvesti dodatnih zaščitnih ukrepov za varstvo podatkov v skladu s 46. členom Splošne uredbe o varstvu podatkov. Ameriška podjetja se lahko pridružijo okviru za zasebnost podatkov na podlagi zaveze, da bodo izpolnjevala podroben sklop obveznosti glede varstva zasebnosti, npr. zahtevo po izbrisu osebnih podatkov, ko niso več potrebni za namen, za katerega so bili zbrani, in zagotavljanju neprekinjenega varstva, kadar se osebni podatki posredujejo tretjim osebam. Seznam podjetij, ki sodelujejo v okviru, je že javno dostopen in sicer na spletni strani: https://www.dataprivacyframework.gov/s/participant-search.

Predlagamo vam, da natančno preučite pogoje uporabe obeh vtičnikov ter presodite, kateri vtičnik je glede na konkretne okoliščine in tveganja primeren za vašo spletno stran. O uporabi piškotkov morate uporabnike o tem obvestiti in zagotoviti obstoj ustreznih privolitev. Če se osebni podatki prenašajo ameriškim podjetjem, lahko preverite, ali sodelujejo v okviru za varstvo zasebnosti na zgoraj navedeni spletni strani.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav.,                                                  

informacijska pooblaščenka

Pripravila:                                                                                                                                

Barbara Žurej, univ. dipl. prav.,

svetovalka pooblaščenca za preventivo