Privolitev v uporabo piškotkov preko nastavitev brskalnika
+ -Številka: 07121-1/2023/847
Kategorije: Privolitev, Moderne tehnologije
Pri Informacijskem pooblaščencu (IP) smo dne 8. 6. 2023 prejeli vaše zaprosilo za mnenje glede dopustnosti privolitve uporabnika v uporabo piškotkov preko ustreznih nastavitev v brskalniku.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
1. Upravljavec spletne strani mora torej pred namestitvijo piškotkov na terminalsko napravo uporabnika pridobiti njegovo veljavno privolitev za namestitev piškotkov.
2. Pogoje za veljavno privolitev ureja splošna zakonodaja s področja varstva osebnih podatkov, ki se uporablja tudi pri presoji veljavnosti privolitve naročnika ali uporabnika v namestitev piškotkov na njegovo terminalsko napravo.
3. ZEKom-2 v tretjem odstavku 225. člena dopušča možnost, da uporabnik izrazi svojo privolitev tudi z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah, vendar le v primeru, če je to tehnično izvedljivo in učinkovito ter v skladu s predpisi, ki urejajo varstvo osebnih podatkov.
O b r a z l o ž i t e v:
IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo, vključno s presojo veljavnosti privolitve v namestitev piškotkov na navedeni spletni strani. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.
Temeljne določbe glede uporabe piškotkov in podobnih sledilnih tehnologij so vsebovane v 225. členu Zakona o elektronskih komunikacijah (v nadaljevanju: ZEKom-2). V skladu s prvim odstavkom 225. člena ZEKom-2 je: »Shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu s predpisi, ki urejajo varstvo osebnih podatkov.«
Upravljavec spletne strani mora torej pred namestitvijo piškotkov na terminalsko napravo:
1. naročnika ali uporabnika jasno in izčrpno obvestiti o okoliščinah obdelave podatkov;
2. pridobiti njegovo veljavno privolitev za namestitev piškotkov.
Pogoje za veljavno privolitev ureja splošna zakonodaja s področja varstva osebnih podatkov, ki se uporablja tudi pri presoji veljavnosti privolitve naročnika ali uporabnika v namestitev piškotkov na njegovo terminalsko napravo. Splošna uredba privolitev definira kot vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. Upravljavec spletne strani mora biti sposoben dokazati, da je pridobil veljavno privolitev uporabnika ali naročnika, tako da na primer predloži pisno izjavo posameznika, v spletnem okolju pa s sledljivostjo izbir posameznika.
ZEKom-2 v tretjem odstavku 225. člena sicer dopušča možnost, da uporabnik izrazi svojo privolitev tudi z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah, vendar le v primeru, če je to tehnično izvedljivo in učinkovito ter v skladu s predpisi, ki urejajo varstvo osebnih podatkov. V praksi je uporaba tega načina za izražanje privolitve (vsaj zaenkrat) težko uresničljiva zaradi strogih zahtev, ki jih za veljavnost privolitve predpisuje Splošna uredba.
Med drugim mora biti privolitev, zato da je veljavna, jasno izražena s pritrdilnim dejanjem; vnaprej izražena volja v obliki vnaprej nastavljenih in potrjenih izbir ne zadošča za izpolnjenost tega pogoja. Glede tega vprašanja je relevantna sodna praksa Sodišča EU v zadevi C-61/19 z dne 11. novembra 2020, ki je dostopna na:
Dokler uporabnik ne izrazi privolitve na ustrezen način, se piškotki ne smejo nalagati. Izjema so piškotki za prenos sporočila in nujni piškotki, ki se lahko naložijo na napravo uporabnika, tudi če v to ni izrecno privolil. Evropski odbor za varstvo podatkov je izdal smernice glede veljavnosti privolitve v skladu s Splošno uredbo, ki so v slovenskem jeziku dostopne na: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.
V praksi se pojavljajo številni načini za izražanje privolitve uporabnika, ki so lahko tudi zavajajoči in uporabniku neprijazni. Evropski odbor za varstvo podatkov je januarja 2023 izdal poročilo, v katerem je identificiral osem zavajajočih praks, ki se jih upravljavci pogosto poslužujejo. Poročilo je dostopno na: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf.
V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.
Pripravila:
dr. Pika Šarf,
Svetovalka IP za mednarodne odnose
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka