Predlog implementacije piškotkov SOZ - MOSS
+ -Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.
Datum: 26.09.2013Številka: 0712-1/2013/3578
Kategorije: Svetovni splet Po pregledu gradiv, ki ste nam jih predstavili dne 5. 9. 2013, in prejete dodatne dokumentacije podajamo svoje mnenje glede vašega predloga implementacije pravil o piškotkih.
Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Informacijski pooblaščenec uvodoma poudarja nekatera dejstva, ki so relevantna za naše mnenje glede vašega predloga o implementaciji pravil o piškotkih.
1. Veljavna privolitev Kot pojasnjujemo v naših Smernicah o uporabi piškotkov (http://bit.ly/ZQSgif), nova zakonodaja (Zakon o elektronskih komunikacijah, Uradni list RS, št. 109/2012, v nadaljevanju ZEKom-1) jasno določa, da je lahko privolitev v piškotke podana šele potem, ko je bil uporabnik o uporabi piškotkov že obveščen. Rešitve, pri katerih so piškotki postavljeni takoj, ko uporabnik obišče spletno stran, torej še preden je uspel prebrati obvestilo in še preden je izrazil strinjanje s piškotki, ali rešitve, ki omogočajo le, da uporabnik piškotke naknadno zavrne, tako niso primerne in niso skladne z novo zakonodajo. Pred privolitvijo so po mnenju Pooblaščenca lahko naloženi le piškotki, ki spadajo med izjeme (2. odstavek 157. člena ZEKom-1) in pod določenimi pogoji analitični piškotki (glej tč. 4, spodaj).
Bistveno za veljavno privolitev je, da je nedvoumna, kar pomeni, da je upravljavec spletne strani lahko prepričan, da je uporabnik z določenim aktivnim in izrecnim dejanjem podal privolitev. V smernicah zato govorimo o izrecni privolitvi. Ključni elementi veljavne privolitve so:
1. Jasno obvestilo o piškotkih, ki so v uporabi, in njihovemu namenu ter jasno obvestilo o tem, na kakšen način uporabnik poda privolitev. Npr.: Spletno mesto uporablja piškotke za namen merjenja števila obiskovalcev, za to, da vidite svojim željam prilagojene oglase in da lahko uporabljate vtičnike družbenih medijev. Če boste naprej uporabljali spletno mesto, štejemo, da se s piškotki strinjate. Če piškotkov ne želite, lahko nastavitve spremenite tu _____.
2. Neuporaba piškotkov do trenutka privolitve. Dokler uporabnik ne izrazi privolitve, ne smejo biti naloženi nobeni piškotki, razen izjem in pod določenimi pogoji analitičnih piškotkov.
3. Aktivnost privolitve. Uporabnik mora privolitev podati aktivno – praviloma s klikom na gumb, povezavo, pod določenimi pogoji (glej tč. 2 spodaj) pa lahko že z nadaljnjo aktivno uporabo spletne strani.
4. Svobodna izbira. Na vstopni strani mora biti uporabniku ponujena resnična in vsebinska izbira med tem, da z aktivnim dejanjem sprejme piškotke oz. jih lahko na vstopni strani zavrne ali preko enostavne povezave spremeni njihovo nastavitev.
2. Sorazmernost in prikazovanje vsebine
Pogojevanje uporabe spletne strani s strinjanjem s piškotki mora slediti načelu sorazmernosti. Pri tistih piškotkih, ki jih spletno mesto argumentirano potrebuje za delovanje, je pogojevanje dopustno, saj je uporaba takih piškotkov sorazmerna. Pri piškotkih, brez katerih bi upravljavec lahko zagotavljal storitev, pa mora uporabniku ponuditi možnost izbire, pri čemer je sorazmernost treba presojati od primera do primera. Npr. nekatere spletne strani lahko normalno delujejo brez oglaševalskih piškotkov, saj se ne financirajo z oglaševanjem - torej bi pogojevanje uporabe s strinjanjem s takimi piškotki pomenilo nesorazmerno obdelavo osebnih podatkov. Večina spletnih strani lahko normalno ponuja svojo storitev brez vtičnikov za spletna omrežja - torej morajo uporabniku pri takih piškotkih ponuditi možnost izbire. Na upravljavcu spletne strani je, da razmisli, katere piškotke argumentirano in sorazmerno potrebuje, da lahko ponuja storitev. V splošnem pa menimo, da je predvsem treba uporabnikom omogočiti možnost izbire pri sledilnih piškotkih.
Pooblaščenec meni, da je pristop, kjer uporabniku sploh ne bi prikazali vsebine, če se ne bi strinjal z vsemi piškotki, neprimeren in nesorazmeren. Prav tako menimo, da je sorazmerno omejiti prikazovanje vsebine v le določenem delu, če uporabnik ni podal privolitve v le določene piškotke, torej »zakleniti le del vsebine«, ki uporabniku, ki noče sledilnega oglaševanja, argumentirano ne more bit prikazan. Taka razlaga je skladna z recitalom št. 25 Direktive o zasebnosti v elektronskih komunikacijah 2002/58/ES.
3. Domnevna privolitev za manj invazivne piškotkeKot smo pojasnili v smernicah, se lahko v nekaterih okoliščinah spletne strani zanesejo tudi na t. i. domnevno privolitev, predvsem kadar je govora o manj invazivnih piškotkih. Nova pravila so namreč usmerjena zlasti k strožji obravnavi sledilnih piškotkov in piškotkov za vedenjsko oglaševanje, zato Pooblaščenec meni, da je pri uporabi manj invazivnih piškotkov, ki so pogosto potrebni za normalno delovanje spletnih strani oz. bi bila njihova odstranitev oz. pogojna uporaba povezana z znatnimi tehničnimi izzivi, standard zagotavljanja nedvoumnosti privolitve lahko nižji.
Splošne in širše sprejete definicije pojma domnevna privolitev, ki bi veljala v vseh državah članicah EU ni, zato Pooblaščenec na tem mestu še enkrat pojasnjuje, kaj šteje kot domnevno privolitev:
• Na vhodni strani (ob prvem obisku) uporabnik ne prejme piškotka.
• Na vhodni strani je uporabnik (v skladu s tč. 1) seznanjen glede piškotka in z dejstvom, da bo z nadaljnjo uporabo spletne strani izrazil soglasje in bo piškotek naložen.
• Primer obvestila: »Spletna stran uporablja piškotke za merjenje števila obiskovalcev. Z uporabo spletne strani se s piškotki strinjate.«
Ker uporabniku na vstopni strani ni dana možnost, da se s piškotkom ne strinja, in torej nima možnosti svobodne izbire v skladu s 1. točko, lahko upravljavec spletne strani zgolj domneva, da se uporabnik s piškotkom strinja. Glede na pomanjkanje nedvoumnosti smo v smernicah (na strani 13) pojasnili, da je tak mehanizem za pridobivanje privolitve primeren le v situacijah, kjer:
• je posameznik jasno obveščen o piškotku;
• je piškotek nizko invaziven v smislu posega v posameznikovo zasebnost in ni uporabljen za namen grajenja profilov;
• piškotek ne omogoča sledenja preko različnih spletnih strani;
• je piškotek krajšega roka trajanja.
Med piškotke, katerih uporaba bi lahko bila dopustna na podlagi domnevne privolitve, lahko štejemo zlasti piškotke, ki omogočajo določene dodatne funkcionalnosti strani, so manj invazivni, ne omogočajo grajenja profilov uporabnikov ter so krajšega roka trajanja.
Pooblaščenec meni, da lahko pod temi pogoji med manj invazivne prištevamo tudi lastne piškotke, ki so uporabljani za namen oglaševanje (štetja števila prikazov in podobno), kadar ti piškotki ne omogočajo sledenja uporabniku preko različnih spletnih strani, ne omogočajo ustvarjanja profila uporabnika (četudi le npr. znotraj enega obsežnega spletnega mesta, ki zajema več pod-strani) in imajo krajši rok trajanja. Seveda je tudi v tej situaciji ključen razmislek o namenu, ki ga piškotki zasledujejo - oglaševanje mora biti potrebno za obstoj spletnega mesta in izvajanje storitve.
Pooblaščenec obenem opozarja, da takih piškotkov kljub manjši invazivnosti ni moč prištevati med izjeme, ki bi bile lahko naložene že takoj ob uporabnikovem vstopu na spletno stran. Kriteriji za izjemo namreč tu niso izpolnjeni.4. Posebnosti pri analitičnih piškotkih
Med manj invazivne lahko pod določenimi pogoji štejemo tudi različne piškotke, uporabljene za namen merjenja obiska spletne strani in učinkovitosti, vendar le kadar je njihov namen strogo omejen in podatki niso nadalje uporabljeni za druge namene, kot je npr. vedenjsko oglaševanje, profiliranje, zbiranje in obdelava podatkov o preferencah uporabnika. Kadar merjene izvaja tretja, pogodbena stranka, morajo pogodbena določila jasno omejevati uporabo tako zbranih podatkov za kakršen koli namen, različen od izvornega – torej zgolj merjenja obiska spletne strani in učinkovitosti. Glede na pomen merjenja na spletu in glede na napore, ki se na evropskem področju usmerjajo v to, da bi za namen merjenja obstajala zakonska izjema, Pooblaščenec omenjene piškotke obravnava ločeno.4.1 Lastni analitični piškotki
Pooblaščenec razume, da je pri analitičnih piškotkih izredno pomemben že prvi obisk spletne strani, ob katerem piškotki pred privolitvijo uporabnika ne bi smeli biti naloženi, s tem pa bi bile izgubljene pomembne informacije o obisku spletne strani. Glede na zgornje argumente o pomembnosti merjenja na spletu Pooblaščenec meni, da je dopustno lastne analitične piškotke uporabiti, še preden uporabnik izrazi svoje soglasje, torej ob prvem obisku spletne strani. Hkrati pa mu je praviloma treba omogočiti, da lahko naknadno spremeni svojo izbiro in to izbiro je nato seveda treba upoštevati (tudi če je za to treba uporabniku namestiti piškotek, ki si bo zapomnil njegovo izbiro) ter implementirati dodatne varovalke (kot je anonimizacija IP-naslovov, kratek rok trajanja), kjer je to mogoče. Ta interpretacija velja le za lastne piškotke za namen analitike, oz. za analitiko, ki jo izvaja pogodbeni partner, vendar podatkov ne obdeluje za svoje namene. Med izvajalcem in upravljavcem spletne strani morajo obstajati pogodbena določila, ki jasno omejujejo uporabo zbranih podatkov za druge namene. Taki piškotki prav tako ne smejo biti povezani z drugimi identifikacijskimi podatki o uporabniku in se jih ne sme uporabiti za sledenje uporabnikom preko različnih spletnih strani.4.2 Piškotki valutnih raziskav (npr. MOSS/GEMIUS)
V zaprosilu nas prosite za mnenje glede piškotkov, ki se uporabljajo za potrebe valutne raziskave, konkretno raziskave obiskanosti slovenskih spletnih strani MOSS, ki jo izvaja Slovenska oglaševalska zbornica skupaj z pogodbenim obdelovalcem Gemius SA iz Poljske.
Pooblaščenec je pri presoji pogojev za uporabo piškotka MOSS (gdyn, domena hit.gemius.pl) upošteval, da se piškotek uporablja izključno za namen priprave valutne raziskave vključenih slovenskih medijev, da gre za večletno, standardizirano, metodološko natančno opredeljeno in s strani trga dobro sprejeto raziskavo, ter da naj bi pogodba z izvajalcem striktno prepovedovala drugo uporabo s tem piškotkom zbranih podatkov, zlasti kakršno koli uporabo za potrebe ciljnega ali drugače invazivnega oglaševanja. Prav tako je Pooblaščenec upošteval dejstvo, da se merjenje s pomočjo omenjenega piškotka izvaja le na spletnih straneh, ki so vključene v raziskavo, in so plačnice in naročnice raziskave. Izvajalec torej raziskavo izvaja le za omejen krog naročnic, ki jim je na podlagi rezultatov omogočeno primerjanje med sabo na trgu, ne gre pa za ponudnika analitičnih storitev, ki bi meril obiskanost pri neomejenem krogu uporabnikov, hkrati pa bi lahko zbrane podatke lahko uporabljal za svoje lastne namene (kot mnogi ponudniki široko uporabnih analitičnih orodij). Izvajalec valutne raziskave v tem primeru podatkov ne sme uporabljati za svoje namene.
Pooblaščenec je pri tem upošteval tudi vaša pojasnila, da se določene funkcije raziskave, kot so navedene na vaših spletnih straneh ([1], [2]), in sicer »analize socio-demografskih profilov spletnih obiskovalcev posamezne spletne strani«, »analize izbranih ciljnih skupin«, »analiziranje prekrivanje občinstva posameznih spletnih strani«, ter »zajem podatkov o navadah spletnih obiskovalcev«, ne zagotavlja neposredno s pomočjo piškotka MOSS, ampak zgolj s spremljajočo »pop-up panel« anketo oz. spremljajočo telefonsko anketo.
Pooblaščenec ob upoštevanju gornjega meni, da lahko tovrstne valutne piškotke, če služijo izključno vrednotenju posameznih udeležencev medijskega trga, ne pa tudi za profiliranju uporabnikov, vedenjskemu oglaševanju, oz. podobnim ciljem, obravnavamo kot manj invazivne in jih je dopustno uporabljati na enak način kot zgoraj opisane lastne analitične piškotke, torej na podlagi domnevne privolitve, piškotki pa so lahko naloženi ob prvem obisku spletne strani. Uporabnik mora biti o njihovem obstoju in namenu jasno obveščen. Implementirati je treba tudi dodatne varovalke (kot je anonimizacija IP-naslovov, kratek rok trajanja), kjer je to mogoče. Pooblaščenec pa na tej točki še enkrat opozarja, da morajo pogodbena določila med naročniki valutne raziskave in izvajalcem le temu strogo omejevati uporabo podatkov za njegove lastne namene, posebej za namen profiliranja uporabnikov, personaliziranega oglaševanja in podobno.
V kolikor namen obdelave podatkov zbranih s pomočjo valutnih piškotkov presega opisano rabo merjenja, mora upravljavec spletne strani še pred njihovo postavitvijo pridobiti uporabnikovo privolitev, kot opisano v tč 1.
***
Glede na zgornje predpostavke in ob upoštevanju predloga MOSS/SOZ, menimo, da bi bil sprejemljiv naslednji način implementacije novih pravil o piškotkih:
1. Uporabnik vstopi na spletno stran. Na spletni strani je prikazano jasno obvestilo o piškotkih, ki so v uporabi, in o načinu na katerega lahko uporabnik poda soglasje (klik na polje, nadaljnja uporaba spletne strani, ipd.). Če uporabnik lahko poda soglasje z nadaljevanjem uporabe spletne strani, mora biti to jasno opredeljeno. Naloženi so piškotki, ki spadajo med izjeme (2. odst. 157. čl. ZEKom-1), lastni analitični piškotki (tč. 4.1), piškotki valutnih raziskav (tč. 4.2).
2. Uporabniku mora biti na vstopni strani ponujena možnost izbire, da določene piškotke zavrne:
• Pri manj invazivnih piškotkih ni treba ponuditi možnosti izbire – to npr. pomeni, da ni treba ponuditi izbire pri lastnih piškotkih za namen oglaševanja, če ustrezajo kriterijem iz drugega seznama tč. 3 (glej zgoraj).
• Pri bolj invazivnih piškotkih, zlasti pa pri sledilnih piškotkih pa mora obstajati možnost izbire (npr. oglaševalski sledilni piškotki, piškotki družbenih medijev, analitični piškotki tretjih strank, ki jih te uporabljajo za svoje namene, itd.).
Odločitev, do katere mere bo uporabniku prikazana vsebina, če sledilne piškotke zavrne, je na strani upravljavca spletne strani. Tu opozarjamo, da mora biti (ne)prikazovanje vsebine pri zavrnitvi sledilnih oglaševalskih piškotkih sorazmerno in da omejevanje dostopa do celotne spletne strani (npr. s preusmeritvijo na popolnoma drugo stran ali s prikazom prazne strani) ni sprejemljivo, če je to nesorazmerno.
3. Uporabnik izvede aktivnost, s katero poda privolitev (klik na povezavo, gumb, nadaljnja uporaba spletne strani – npr. klik na povezavo ali vsebino na spletni strani) – takoj po tem so lahko so naloženi vsi piškotki, v katere je privolil, oziroma jih ni zavrnil.
Kot opredeljeno in argumentirano zgoraj, menimo, da je vaš predlog implementacije pravil o piškotkih v več pogledih ustrezen. V mnenju pa smo znova opozorili na nekatere ključne elemente, ki so nujni za zagotavljanje skladnosti z zakonodajo. Hkrati pa opozarjamo, da bi bila nujna prilagoditev v delu, kjer bi bili piškotki, ki omogočajo manj invazivno oglaševanje, naloženi že takoj ob vstopu uporabnika na spletno stran, saj taki piškotki ne izpolnjujejo kriterijev za izjemo in skladno z mnenju Delovne skupine 29 ne sodijo med izjeme. Naloženi so torej lahko šele po tem, ko uporabnik z njimi soglaša. Predlagamo vam, da ta element pri implementaciji upoštevate in predlog skladno s tem dopolnite.
Prijazen pozdrav,
Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka