Kakšna je ustrezna privolitev v piškotke v EU?
+ -
16.10.2013
Sporočilo za javnostMnenje vseh nadzornih organov iz držav članic EU
Delovna skupina iz člena 29, svetovalno telo Evropske komisije, v katerem sodelujemo vsi nadzorni organi EU s tega področja, je včeraj na spletni strani objavila dokončni Delovni dokument o privolitvi v piškotke. Dokument pojasnjuje, na kakšen način morajo spletne strani pridobiti privolitev uporabnikov v piškotke, da bo ta veljavna. Ključne zahteve so, da mora biti uporabnik o piškotkih obveščen, da se jih lahko naloži šele po tem, ko uporabnik vanje privoli, da uporabnik lahko privoli le z aktivnim dejanjem in da mora imeti pri tem svobodno izbiro.Zakonodaja, ki v EU ureja uporabo piškotkov, je začela veljati že leta 2009, s spremenjeno Direktivo o zasebnosti v elektronskih komunikacijah, ki je v Sloveniji prenesena v spremenjeni Zakon o elektronskih komunikacijah (ZEKom-1) in velja od januarja letos. Nova pravila določajo, pod kakšnimi pogoji in kako je piškotke in podobne tehnologije dovoljeno uporabljati. Ključno je, da morajo biti uporabniki spletnih strani s piškotki seznanjeni in da jim mora biti ponujena izbira, ali želijo, da spletna stran na tak način spremlja njihove aktivnosti na spletu. Poudarek je na sledilnih piškotkih in vedenjskem oglaševanju, kjer naj bi imel uporabnik večji nadzor nad tem, kdo in kako obdeluje njegove podatke.
V javnosti so se vse od sprejetja nove zakonodaje pojavljale različne interpretacije pravil, vzniknili so tudi različni načini pridobivanja privolitve, predvsem pa se je pojavljalo veliko špekulacij o tem, da so pravila v različnih državah članicah različna in ponekod milejša.
Delovna skupina iz člena 29, svetovalno telo Evropske komisije, ki združuje nadzorne organe za varstvo osebnih podatkov iz vseh držav članic EU, v kateri zelo aktivno deluje tudi Informacijski pooblaščenec, je z namenom poenotenja interpretacij in jasnosti pravil tako včeraj na svoji spletni strani objavila usklajeno mnenje o tem, kakšna naj bo privolitev v piškotke, da bo veljavna v državah članicah EU. Direktiva, ki piškotke ureja, namreč velja enako v vseh državah članicah EU.
Nadzorni organi tako v delovnem dokumentu ugotavljamo, da mora biti veljavna privolitev nedvoumna, v praksi pa to pomeni, da mora spletna stran, ki uporablja piškotke, pa ti ne spadajo med izjeme, za katere privolitev ni potrebna, zagotoviti, da:
1. je uporabnik o piškotkih jasno in vidno obveščen ob vstopu na spletno stran, in sicer o različnih namenih uporabe piškotkov ter o piškotkih tretjih strank, če je to relevantno. Na voljo mu mora biti tudi podrobnejši seznam vseh piškotkov. Uporabnik mora biti obveščen tudi o tem, na kakšen način lahko poda privolitev oz. zavrne piškotke;
2. piškotki niso naloženi, preden uporabnik vanje ne privoli. Izjema so piškotki, ki so izvzeti1, torej nujno potrebni, da spletna stran deluje ali da uporabnik dobi storitev, ki jo je izrecno zahteval;
3. uporabnik privoli z aktivnim dejanjem. To je lahko klik na gumb, povezavo ali okence, lahko pa je tudi katero koli drugo aktivno vedenje uporabnika, iz katerega je mogoče nedvoumno sklepati, da pomeni privolitev. Uporabnik mora biti jasno obveščen, kakšno njegovo aktivno vedenje bo za upravljavca spletne strani pomenilo privolitev. Aktivno vedenje je tisto, ki temelji na sledljivi zahtevi uporabnika do spletne strani. Če uporabnik ob vhodu na spletno stran ne izvede nobene aktivnosti v tem smislu, tega ni mogoče interpretirati kot privolitev;
4. uporabnik mora imeti možnost svobodne izbire pri privolitvi v piškotke, ki niso potrebni v zvezi z zagotavljanjem same storitve, ki jo spletna stran ponuja, in ponujajo le dodatne prednosti upravljavcu spletne strani. Spletne strani naj bi se izogibale rešitvam, pri katerih uporabnik lahko privoli le v vse piškotke, ne glede na to, ali so za zagotavljanje storitve res potrebni, ter ponudile uporabnikom možnost izbire pri različnih kategorijah piškotkov. Predvsem je možnost izbire treba ponuditi pri sledilnih piškotkih, ki pomenijo največji poseg v zasebnost posameznikov.
Delovni dokument je na voljo na tej povezavi:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf.Informacijski pooblaščenec
Nataša Pirc Musar, pooblaščenka__________________________________1 Kateri so ti piškotki Delovna skupina pojasnjuje v mnenju o izjemah, dostopnem na: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf.
Delovna skupina iz člena 29, svetovalno telo Evropske komisije, v katerem sodelujemo vsi nadzorni organi EU s tega področja, je včeraj na spletni strani objavila dokončni Delovni dokument o privolitvi v piškotke. Dokument pojasnjuje, na kakšen način morajo spletne strani pridobiti privolitev uporabnikov v piškotke, da bo ta veljavna. Ključne zahteve so, da mora biti uporabnik o piškotkih obveščen, da se jih lahko naloži šele po tem, ko uporabnik vanje privoli, da uporabnik lahko privoli le z aktivnim dejanjem in da mora imeti pri tem svobodno izbiro.Zakonodaja, ki v EU ureja uporabo piškotkov, je začela veljati že leta 2009, s spremenjeno Direktivo o zasebnosti v elektronskih komunikacijah, ki je v Sloveniji prenesena v spremenjeni Zakon o elektronskih komunikacijah (ZEKom-1) in velja od januarja letos. Nova pravila določajo, pod kakšnimi pogoji in kako je piškotke in podobne tehnologije dovoljeno uporabljati. Ključno je, da morajo biti uporabniki spletnih strani s piškotki seznanjeni in da jim mora biti ponujena izbira, ali želijo, da spletna stran na tak način spremlja njihove aktivnosti na spletu. Poudarek je na sledilnih piškotkih in vedenjskem oglaševanju, kjer naj bi imel uporabnik večji nadzor nad tem, kdo in kako obdeluje njegove podatke.
V javnosti so se vse od sprejetja nove zakonodaje pojavljale različne interpretacije pravil, vzniknili so tudi različni načini pridobivanja privolitve, predvsem pa se je pojavljalo veliko špekulacij o tem, da so pravila v različnih državah članicah različna in ponekod milejša.
Delovna skupina iz člena 29, svetovalno telo Evropske komisije, ki združuje nadzorne organe za varstvo osebnih podatkov iz vseh držav članic EU, v kateri zelo aktivno deluje tudi Informacijski pooblaščenec, je z namenom poenotenja interpretacij in jasnosti pravil tako včeraj na svoji spletni strani objavila usklajeno mnenje o tem, kakšna naj bo privolitev v piškotke, da bo veljavna v državah članicah EU. Direktiva, ki piškotke ureja, namreč velja enako v vseh državah članicah EU.
Nadzorni organi tako v delovnem dokumentu ugotavljamo, da mora biti veljavna privolitev nedvoumna, v praksi pa to pomeni, da mora spletna stran, ki uporablja piškotke, pa ti ne spadajo med izjeme, za katere privolitev ni potrebna, zagotoviti, da:
1. je uporabnik o piškotkih jasno in vidno obveščen ob vstopu na spletno stran, in sicer o različnih namenih uporabe piškotkov ter o piškotkih tretjih strank, če je to relevantno. Na voljo mu mora biti tudi podrobnejši seznam vseh piškotkov. Uporabnik mora biti obveščen tudi o tem, na kakšen način lahko poda privolitev oz. zavrne piškotke;
2. piškotki niso naloženi, preden uporabnik vanje ne privoli. Izjema so piškotki, ki so izvzeti1, torej nujno potrebni, da spletna stran deluje ali da uporabnik dobi storitev, ki jo je izrecno zahteval;
3. uporabnik privoli z aktivnim dejanjem. To je lahko klik na gumb, povezavo ali okence, lahko pa je tudi katero koli drugo aktivno vedenje uporabnika, iz katerega je mogoče nedvoumno sklepati, da pomeni privolitev. Uporabnik mora biti jasno obveščen, kakšno njegovo aktivno vedenje bo za upravljavca spletne strani pomenilo privolitev. Aktivno vedenje je tisto, ki temelji na sledljivi zahtevi uporabnika do spletne strani. Če uporabnik ob vhodu na spletno stran ne izvede nobene aktivnosti v tem smislu, tega ni mogoče interpretirati kot privolitev;
4. uporabnik mora imeti možnost svobodne izbire pri privolitvi v piškotke, ki niso potrebni v zvezi z zagotavljanjem same storitve, ki jo spletna stran ponuja, in ponujajo le dodatne prednosti upravljavcu spletne strani. Spletne strani naj bi se izogibale rešitvam, pri katerih uporabnik lahko privoli le v vse piškotke, ne glede na to, ali so za zagotavljanje storitve res potrebni, ter ponudile uporabnikom možnost izbire pri različnih kategorijah piškotkov. Predvsem je možnost izbire treba ponuditi pri sledilnih piškotkih, ki pomenijo največji poseg v zasebnost posameznikov.
Delovni dokument je na voljo na tej povezavi:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf.Informacijski pooblaščenec
Nataša Pirc Musar, pooblaščenka__________________________________1 Kateri so ti piškotki Delovna skupina pojasnjuje v mnenju o izjemah, dostopnem na: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf.