Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Piškotki - odgovori na pogosta vprašanja

+ -

1. Izrecna in domnevna privolitev

Kaj razumemo kot izrecno in kaj kot domnevno privolitev?

Kot pojasnjujemo v smernicah, nova zakonodaja zelo jasno govori o privolitvi v piškotke, potem, ko je bil uporabnik o njihovem delovanju obveščen. Rešitve, pri katerih so piškotki postavljeni takoj, ko uporabnik obišče spletno stran, preden je uspel prebrati obvestilo in še preden je izrazil strinjanje s piškotki, ter omogočajo le, da uporabnik piškotke naknadno zavrne, tako niso primerne in niso skladne z novo zakonodajo. Pred privolitvijo so lahko naloženi le piškotki, ki spadajo med izjeme in pod zgoraj pojasnjenimi pogoji lastni analitični piškotki. Mehanizme za pridobivanje privolitve lahko glede na stopnjo formalnosti in zanesljivosti umestimo na različne stopnje, od takih, ki zagotavljajo »domnevno« privolitev (angl. implied consent) pa do bolj zanesljivih, ki od uporabnika zahtevajo izrecno privolitev (angl. explicit consent). Izraz »domnevna privolitev« v smernicah označuje privolitev s konkludentnim dejanjem.

Mehanizmi za domnevno privolitev običajno močneje temeljijo na poudarjenem obvestilu o piškotkih, ki je zelo vidno postavljeno na začetno spletno stran in uporabnika obvesti o tem, da spletna stran uporablja piškotke, ki bodo naloženi na uporabnikovo napravo, če bo nadaljeval z brskanjem. Če uporabnik nadaljuje z brskanjem, spletna stran domneva, da se strinja s piškotki. Če uporabnik ne nadaljuje z brskanjem, s tem izrazi svoje nestrinjanje. Uporabnik torej nima možnosti nadaljnjega brskanja, če se s piškotki ne strinja, saj mu na začetni strani ni ponujena možnost izbire, da morda zavrne (določene) piškotke oz. spremeni nastavitve. Pri domnevni privolitvi tako uporabnik možnosti, da zavrne piškotke, običajno nima. Kot pojasnjujemo v smernicah, model domnevne privolitve ni primeren za piškotke, s katerimi je mogoče slediti uporabniku preko različnih spletnih strani, prav tako pa ni primeren v kontekstu profiliranja (tudi kadar se to izvaja le znotraj enega spletnega mesta z lastnimi piškotki), obdelave občutljivih osebnih podatkov ter za piškotke z neomejenim rokom trajanja, saj posameznik nima možnosti izbire glede uporabe piškotkov.

Mehanizmi za izrecno privolitev so bolj zanesljivo orodje za pridobivanje privolitve uporabnika. Tu je uporabniku predstavljena možnost, da privoli v uporabo piškotkov ali pa jo zavrne. Z izrecno akcijo uporabnik opravi izbiro (klikne na gumb ali povezavo, označi potrditveno polje, pošlje e-pošto, se strinja s pogoji storitve, ipd.) in na tak način zelo jasno in aktivno izrazi svojo prostovoljno voljo. Kot izrecno privolitev razumemo tudi rešitve, kjer je uporabniku ponujena izbira tako, da strinjanje izrazi s tem, da naprej brska, nestrinjanje pa tako, da klikne na izbiro “ne strinjam se” oziroma na polje/povezavo, kjer lahko spremeni nastavitve piškotkov. Če mu opcija, da označi »ne strinjam se« ali polje/povezava, kjer lahko spremeni nastavitve piškotkov, ni dana, ne moremo govoriti o izrecni privolitvi, temveč gre dejansko za prisilitev v smislu vzemi ali pusti, kar pa je  - kot smo izpostavili v smernicah – problematično z vidika načela sorazmernosti. Privolitev je namreč po definiciji iz zakona o varstvu osebnih podatkov »prostovoljna izjava volje«. Pomembno je, da je obvestilo o uporabi piškotkov jasno razvidno na spletni strani, da natančno opredeli za kakšne namene se piškotki uporabljajo in da je uporabniku jasno predstavljeno, s kakšnim dejanjem se s piškotki strinja in kako jih lahko zavrne.

Ključno je, da je posamezniku na vstopni strani jasno in zelo vidno ponujena resnična in vsebinska izbira med tem, da z aktivnim dejanjem (naj bo to klik na gumb/potrditev polja ali nadaljevanje brskanja) sprejme piškotke oz. jih lahko na vstopni strani zavrne ali preko enostavne povezave spremeni njihovo nastavitev. Uporabniku mora biti vedno ponujena možnost, da naknadno spremeni nastavitve za piškotke in naknadno zavrne tako obdelavo njegovih podatkov. Primere izrecnih modelov soglasja lahko najdete na precejšnjem številu tujih spletnih strani iz različnih držav članic EU (tako Velike Britanije, kot tudi Nizozemske, itd.), ki so že implementirale nova pravila, tudi takih, ki uporabljajo veliko število piškotkov in so prav tako odvisne od oglaševalskih prihodkov.

Ali je dovolj, da se v pasici, ki se uporabniku prikaže ob njegovem prvem obisku spletnega mesta, prikažeta zgolj gumb »Strinjam se« in povezava »Več o piškotkih« (ki pelje na vsebino z razlago)? Ali pa mora biti obvezno vključena tudi možnost »Ne strinjam se«?

Na mestu pridobivanja privolitve (v vašem primeru pasici) je potrebno navesti, za kakšne namene se uporabljajo piškotki. Od piškotkov, ki jih uporabljate, pa je odvisno, kakšne možnosti morajo biti uporabniku ponujene. Pri invazivnejših piškotkih, s katerimi je mogoče slediti uporabniku preko različnih strani, je potrebna izrecna privolitev, kjer mora imeti uporabnik možnost, da izbere med možnostjo, da se s piškotki strinja oz. da se z (nekaterimi) ne strinja. Primere obvestil najdete v naših smernicah. Povezava na mesto, kjer je podrobneje pojasnjena uporaba piškotkov, naj bi prav tako bila vključena v začetno obvestilo. Pri domnevni privolitvi pa uporabnik možnosti, da zavrne piškotke, običajno nima. Tak mehanizem je primeren le pri neinvazivnih piškotkih.

2. Ali spadajo piškotki storitev MOSS in Piano pod izjeme?

Kot je pojasnjeno v smernicah o uporabi piškotkov (stran 9) med izjeme, pri katerih privolitev ni potrebna, spadajo piškotki, ki so potrebni izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, in piškotki, ki so nujno potrebni za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. Prva izjema se nanaša na piškotke, ki so potrebni izključno zato, da se prenese sporočilo, kar je treba interpretirati zelo ozko: brez takega piškotka sporočilo v komunikacijskem omrežju ne bi bilo preneseno. Piškotki, ki npr. omogočajo le hitrejši prenos sporočila ali boljše upravljanje s prenosom, niso del te izjeme. Edini kriterij, ki velja, je, da sporočila brez piškotka tehnično ni mogoče prenesti. Druga izjema se nanaša na piškotke, brez katerih uporabnik ne bi mogel prejeti storitve, ki jo je izrecno zahteval. Termin »nujno potrebno« je spet potrebno interpretirati ozko – če piškotka ni, ponudnik take storitve ne more izvesti, hkrati pa je uporabnik aktivno izrazil svojo voljo, da želi to storitev. Argument, da piškotek zagotavlja boljše delovanje določenih funkcionalnosti spletnega mesta ali da je piškotek »zelo pomemben«, ni dovolj, izjema se uporabi le, kadar je uporabnik določeno storitev, funkcionalnost, ipd. aktivno zahteval (s klikom na določeno mesto, določeno izbiro, nastavitvijo, ipd.), za izvedbo te želje pa je nujno potreben piškotek. V smernicah je navedenih nekaj primerov, pri katerih lahko govorimo o tovrstnih izjemah.

Kot nadalje pojasnjujemo v smernicah, je za piškotek vedno treba pridobiti soglasje uporabnika takrat, ko ni mogoče govoriti o enem izmed kriterijev, opisnih zgoraj. Med izjeme tako ni možno prišteti piškotkov za boljše delovanje spletne strani, če tega uporabnik ni izrecno zahteval, piškotkov vezanih na vtičnike družbenih omrežij, ki so uporabljeni za sledenje preko različnih spletnih strani, oglaševalskih piškotkov, pa tudi analitičnih piškotkov, in drugih.

Razni piškotki, ki zagotavljajo boljše funkcionalnosti spletnih strani po našem mnenju ne spadajo med izjeme, saj ne zadovoljujejo kriterijev, ki jih postavlja 157. člen ZEKom-1. Ti piškotki sicer vplivajo na kakovost uporabniške izkušnje in kakovost delovanja spletne strani, niso pa nujni za delovanje spletne strani, oz. nujno potrebni za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. Kot pojasnjujemo v smernicah, ki povzemajo mnenje Delovne skupine iz člena 29 o piškotkih in izjemah, piškotki, ki omogočajo boljše funkcionalnosti, piškotki, vezani na vtičnike družbenih omrežij, kadar se jih uporablja kot sledilni piškotke, piškotki za namen analiziranja prometa in piškotki vezani na namen oglaševanja in trženja (npr. za namen omejevanja števila prikazovanja oglasov, zaznavanje prevar pri klikanju, raziskave in marketinške analize, izboljšave produkta glede na podatke o uporabi …) ne spadajo med izjeme in je zanje treba pridobiti privolitev. Odgovor na vprašanje, kakšen mehanizem privolitve (izrecen ali domneven) pomeni veljavno privolitev, pa je, kot pojasnjujemo v smernicah, odvisen od invazivnosti posameznega piškotka in njegovega trajanja. V primeru, da se za kakršen koli namen uporablja piškotke, s katerimi je mogoče slediti uporabniku preko različnih spletnih strani (npr. analitika, oglaševanje, razvoj produkta, vtičniki družbenih medijev, tretjih strank), smernice pojasnjujejo, da je potreba izrecna privolitev.

Glede piškotkov raziskave MOSS - Pooblaščenec na podlagi zbranih informacij meni, da gre za piškotke, s katerimi je mogoče uporabniku slediti preko različnih spletnih strani in ki imajo daljši rok trajanja. Kot je razvidno iz smernic, naj bi bila privolitev v primeru takih piškotkov izrecna, v nobenem primeru pa takih piškotkov ni mogoče šteti kot izjeme. Glede navedbe, da je uporaba MOSS/Gemius piškotkov omejena na agregat podatkov za statistične namene, opozarjamo, da naknadna agregacija podatkov, pridobljenih s pomočjo piškotkov, oziroma statistična obdelava teh podatkov ni razlog, da bi bila podana izjema. Posameznikom je tako v realnem kot v virtualnem svetu treba priznati pravico, da se lahko odločajo, ali želijo sodelovati v raziskavi ali ne. 

V zvezi s Piano piškotki pojasnjujemo, da bi jih bilo kot izjemo mogoče šteti le v primeru tistih uporabnikov, ki so prijavljeni v sistem Piano, in še to samo v primeru, da so nujno potrebni za izvajanje storitve Piano. V nasprotnem primeru lahko ponudnik storitve Piano pridobi privolitve v procesu registracije svojih uporabnikov. Pri uporabnikih, ki ne uporabljajo storitve Piano, pač pa le spletni medij, je za te piškotke treba pridobiti privolitev. Če piškotki lahko sledijo uporabniku preko različnih spletnih strani, naj bo privolitev izrecna.

3. Kakšna so pravila pri lastni analitiki in Google Analytics?

Lastna analitika (»1st party analitika«) – ali so lahko piškotki naloženi že takoj, ko uporabnik pride na spletno stran?

Glede merjenja obiskanosti spletne strani, ki se izvaja z lastnimi piškotki (»1st party analitika«), Pooblaščenec v smernicah pojasnjuje, da se taka raba sicer ne more kvalificirati kot izjema, a ker je taka raba piškotkov relativno neinvazivna, zadošča mehanizem domnevne privolitve: v primeru analitike, ki jo izvaja spletno mesto za lastne potrebe in kjer se osebni podatki ne obdelujejo s strani tretjih, za njihove lastne namene, Pooblaščenec meni, da je mehanizem pridobivanja privolitve lahko domnevna privolitev, s tem, da mora biti spletna stran pozorna tudi na dodatna varovala – uporabnikom mora biti na voljo možnost naknadne zavrnitve, torej možnosti izbire, da uporabnik lahko označi, da ne želi tovrstnih piškotkov, ki jo mora spletno mesto upoštevati, priporočljivo je, da je mogoča anonimizacija IP- naslovov, idr. 

Pooblaščenec razume, da je pri analitičnih piškotkih izredno pomemben že prvi obisk spletne strani, ob katerem piškotki pred privolitvijo posameznika ne bi smeli biti naloženi, s tem pa bi bile izgubljene pomembne informacije o obisku spletne strani. Pooblaščenec meni, da je glede na pomen analitike in glede na napore, ki se na evropskem področju usmerjajo v to, da bi za lastno analitiko obstajala zakonska izjema, dopustno lastne analitične piškotke uporabiti, še preden uporabnik izrazi svoje soglasje, torej ob prvem obisku spletne strani. Hkrati pa mu je treba omogočiti, da naknadno spremeni svojo izbiro in to izbiro je nato seveda treba upoštevati (tudi če je za to treba uporabniku namestiti piškotek, ki si bo zapomnil njegovo izbiro) ter implementirati dodatne varovalke (kot je anonimizacija IP-naslovov, kratek rok trajanja), kjer je to mogoče. Ta interpretacija velja le za lastne piškotke za namen analitike, oz. za analitiko, ki jo izvaja pogodbeni partner, vendar podatkov ne obdeluje za svoje namene. Taki piškotki ne smejo biti povezani z drugimi identifikacijskimi podatki o uporabniku in se jih ne sme uporabiti za sledenje uporabnikom preko različnih spletnih strani.

Kakšno je mnenje Pooblaščenca glede uporabe Google Analytics piškotkov?

Specifično glede piškotkov Google Analytics menimo, da gre v osnovi za sledilne piškotke, za katere je potrebna izrecna privolitev uporabnika. 

Hkrati pa v smernicah pojasnjujemo, da kadar spletno mesto s svojimi lastnimi piškotki analizira dogajanje za svoj namen, taki analitični piškotki ne pomenijo nesorazmernega posega v zasebnost uporabnikov. V takem primeru je mehanizem domnevne privolitve lahko ustrezen. Spletna stran lahko uporablja tudi storitev pogodbenega partnerja, vendar ta zbranih podatkov ne sme uporabljati za svoje namene. V primeru, da Google Analytics omogoča tak način delovanja, da torej podatkov ne uporablja za svoje namene, npr. za izboljševanje svojega produkta ipd., potem lahko tako uporabo ocenimo kot relativno nizko-invazivno v smislu zasebnosti in je mehanizem domnevne privolitve lahko ustrezen. Pomembno pa je, da pozorno preučite vsa pogodbena določila, ki upravljavca spletne strani in ponudnika analitike vežejo v primeru uporabe storitve in se prepričate, da Google (podobno velja tudi za druge ponudnike analitike) dejansko ne uporablja podatkov za svoje namene (tudi npr. Google politiko zasebnosti, posebne pogoje uporabe za Google Analytics in ne le par pojasnil, ki jih upravljavec lahko označi in s katerimi izrazi svoje preference glede deljenja podatkov z Googlom). V kolikor so določila nejasna, je priporočljivo zagotovilo pridobiti neposredno od ponudnika storitve, saj vendarle - kot vsi drugi ponudniki - ponuja določeno storitev na trgu in pričakujemo, da lahko svojim naročnikom poda natančna pojasnila o delovanju svoje storitve. V primeru, da spletna stran nima zadovoljivih zagotovil, sama nosi odgovrnost za morebitne kršitve. 

Glede na to, da so Googlova politika zasebnosti, posebni pogoji za Google Analytics javno objavljeni in dostopni, hkrati pa imate pri vas pooblastila za inšpekcijski nadzor in ste prekrškovni organ, kar pomeni, da vsaj prvo interpretacijo zakona opravite vi. V skladu s tem bi pričakoval, da podate tudi (neobvezujoče) tolmačenje nastavitev v Google Analytics in skladnosti z našo zakonodaja. Torej kako boste reagirali v možnem inšpekcijskem pregledu?

V odgovoru pod številko 3. pojasnjujemo naše stališče glede analitičnih piškotkov in Google Analytics piškotkov. Pooblaščenec lahko konkretno uporabo piškotkov preveri le v inšpekcijskem postopku, sem pa sodi tudi uporaba Google Analytics in potencialno preverjanje pogodbenih določil, ki vežejo upravljavca spletne strani in pogodbenega partnerja. Pooblaščenec na to temo ne vodi nobenega inšpekcijskega postopka, saj določbe zakonodaje stopijo v veljavo šele po 15. juniju 2013 . V kolikor so določila ponudnika analitike nejasna, je priporočljivo zagotovilo pridobiti neposredno od ponudnika storitve, saj vendarle - kot vsi drugi ponudniki - ponuja določeno storitev na trgu in pričakujemo, da lahko svojim naročnikom poda natančna pojasnila o delovanju svoje storitve.

V smernicah ste zapisali, da je dovolj, če tretja stran pridobi privolitev enkrat in da potem to velja za vse spletne strani, na katerih nastopa. Ali to v praksi pomeni, da če se uporabnik strinja z uporabo Google Analytics piškotkov na spletni strani A, lahko te piškotke namestimo brez privolitve tudi na spletni strani B?

Če spletna stran uporablja Google Analytics le za svoje namene in podatkov ne obdeluje Google tudi za lastne namene, potem je taka privolitev veljavna le v okviru tiste določene spletne strani, kateri je uporabnik podal privolitev. 

V primeru, da podatkov ne uporablja le spletna stran, pač pa se delijo tudi z Googlom za njegove lastne namene, pa imata, kot smo pojasnili v smernicah, določne odgovornosti tako izvorna spletna stran kot tudi tretja stran (npr. oglaševalska mreža, ki servira oglase). Tretja stran bo od uporabnika težje neposredno pridobila privolitev, saj ni nujno, da ima neposredni stik z njim (kot npr. pri analitičnih storitvah). Neposredni stik pa ima vedno izvorna spletna stran, ki ima tako tudi boljšo priložnost, da uporabnika obvesti o uporabi storitev tretjih strani in pridobi privolitev. Izvorna spletna stran je tista, ki v svoji storitvi dopušča udeležbo tretjih in kot taka ima jasno odgovornost glede pravic svojih uporabnikov. V interesu obeh strani je, da je poskrbljeno za ustrezne mehanizme privolitve, bodisi s strani izvorne spletne strani ali pa tretje strani. Pridobitve ni treba pridobivati obema, vendar pa mora biti v njunem odnosu jasno določeno, kdo je/bo pridobil privolitev uporabnikov. To lahko zagotovita tudi z vključitvijo pogodbenih določb v pogodbi med upravljavcem spletne strani in tretjo stranko glede obveznosti ene ali druge strani, da bo pridobila privolitve uporabnikov.

Veljavnost privolitve, ki naj bi veljala preko različnih spletnih strani, je tako odvisna predvsem od informiranosti uporabnika, ki podaja svojo privolitev. Pri vsaki privolitvi je bistveno, da posameznik natančno ve, komu jo dejansko daje – ali gre za enega upravljavca podatkov ali več, v  slednjem primeru komu vse daje privolitev, neposredno Googlu, za njegovo storitev analitike, ki se izvaja preko neomejenega števila spletnih strani, ali določenemu upravljavcu spletne strani, ki deli podatke z Googlom. Uporabnik bi ob privolitvi namreč moral biti seznanjen s tem, kje vse bodo njegovi podatki uporabljeni za namen analitike, kar je pri tako široko uporabljani storitve kot je Google Analytics težko doseči, če privolitev ne zbira Google sam. Predvsem pa bi take informacije uporabniku lahko zagotavljal le Google sam. Glede na pojasnjeno Pooblaščenec meni, da je v smislu jasnosti in obveščenosti uporabnikov primerneje, da je privolitev pridobljena v okviru enega spletnega mesta oz. hkrati za obvladljivo število spletnih mest.

4. Kaj če spletna stran strinjanje s piškotki zahteva kot pogoj za uporabo spletne strani?

Ali lahko od uporabnika brezpogojno zahtevamo, da, če želi uporabljati spletno stran, sprejme piškotke? Pri tem ga seveda informiramo o uporabi piškotkov glede na zakon in smernice. V primeru, da jih uporabnik ne sprejme, le-tega preusmerimo stran od spletne strani. V smernicah sicer navajate, da sistem »vzemi ali pusti« ni sprejemljiv, vendar bi tukaj radi poudarili, da so vse vsebine spletne strani kljub temu uporabnikom dostopne preko kopij »cache« strani na spletnih iskalnikih. S tem postopkom uporabniku torej ne omejujemo dostopa do informacij, temveč zgolj pogojujemo uporabo funkcionalnosti spletne strani.

Kot smo pojasnili v smernicah, imajo spletne strani proste roke pri določanju pogojev uporabe, vendar pa je pri pogojevanju uporabe spletnega mesta s strinjanjem s splošnimi pogoji ključen premislek o sorazmernosti uporabe piškotkov v okviru določene storitve. Pogojevati uporabo storitve s privolitvijo v piškotke, ki nimajo pomenljive in argumentirane zveze s storitvijo samo, po mnenju Pooblaščenca pomeni nesorazmerno obdelavo osebnih podatkov uporabnikov in tako ni v skladu z zakonodajo.

Ni ključno vprašanje dostopnosti vsebin, do katerih uporabniki morda lahko dostopajo po drugih poteh, kot so cache verzije, pač pa dejstvo, da pri tistih uporabnikih, ki se s takimi pogoji strinjajo, prihaja do nesorazmerne obdelave podatkov. Spletno mesto namreč ne potrebuje vseh podatkov, ki jih prejema od takega uporabnika, za izvajanje svoje storitve. Pri izbiri mehanizma za pridobivanje privolitve Pooblaščenec svetuje, da upravljavci spletnih strani razmislijo o načinih, ki so primerni glede na situacijo, na tip uporabnikov in na tip piškotkov.

Ali v praksi že obstaja kakšna uporabna spletna stran (kjerkoli, ne samo Slovenija), ki bi uporabniku omogočala zavrniti določene skupine piškotkov (npr. oglaševalske), odvisno od namena posameznih piškotkov, še vedno pa bi omogočala uporabo strani in ostalih piškotkov na strani (npr. jezik uporabnika)?

Primerov je na tujih spletnih straneh precej, tako v Veliki Britaniji kot na Nizozemskem.

5. Kako omogočiti uporabniku, da spremeni svoje nastavitve za piškotke?

Kot ste zapisali v smernicah, mora biti uporabniku vedno ponujena možnost, da naknadno spremeni nastavitve piškotkov. Upravljanje s piškotki omogočajo vsi spletni brskalniki. Ali je dovolj, da v pogojih uporabe zapišemo, da lahko nastavitve piškotkov spremeni tam?

Trenutno noben brskalnik, niti ne druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev ali spremembo nastavitev glede piškotkov. Težava je v tem, da brskalniki še ne omogočajo različnih nastavitev za različne piškotke. Če bi uporabnik želel spremeniti nastavitev za en piškotek, bi to veljalo za vse piškotke, tudi tiste, ki spadajo pod izjeme in so potrebni za delovanje spletne strani.

Ali je dovolj, če za naknadno odstranitev samih piškotkov iz uporabniške naprave (potem ko se je uporabnik strinjal z uporabo) napišem navodila kako si  uporabnik lahko sam odstrani piškotke z naprave. Ali je potrebno zagotoviti mehanizem, ki bo pobrisal piškotek iz uporabniške naprave. Meni osebno se zdi ta druga metoda bolj sporna, saj mehanizem posega po uporabniški napravi tako, da briše podatke (v tem primeru sicer lastni piškotek)?

Kot pojasnjujemo v smernicah, mora biti uporabnikom na voljo možnost, da si gledepiškotkov, ki niso potrebni za delovanje spletne strani premislijo in spremenijo svoje nastavitve. Zato je zelo pomembno, da je na vaši spletni strani vedno na voljo vidna informacija, kje lahko uporabnik spremeni svoje nastavitve. Uporabnika lahko obvestite o tem, da s spremenjenimi nastavitvami stran morda ne bo delovala tako, kot želi.

Upravljavec spletne strani v primeru, da uporabnik prekliče privolitev, ne sme več shranjevati podatkov na uporabnikovo opremo ali pa na tak način pridobivati dostop do podatkov, shranjenih na opremi uporabnika. Tehničnega načina, na katerega je to mogoče zagotoviti (z brisanjem lastnih piškotkov ali ne), zakonodaja ne predpisuje, pač pa je odgovornost na upravljavcu spletne stran, da primerno zagotovi delovanje skladno z zakonom.

6. Kdaj in kako pridobiti soglasje od uporabnika?

Smernice in zakon se pri uporabi piškotkov vedno navezujejo na uporabnika. Znano je, da se preko spleta uporabnika ne da popolnoma identificirati. Za identifikacijo se lahko uporabijo piškotki ali IP naslov računalnika. Če uporabnik uporablja več različnih naprav, se ga prav zaradi teh tehničnih omejitev ne da natančno slediti. Ali lahko uporabniku v primeru, da na eni napravi privoli v uporabo piškotkov, namestimo piškotke tudi na drugi napravi, če ugotovimo, da gre za istega uporabnika?

Če upravljavec spletnega mesta lahko zagotovo določi enega uporabnika preko različnih naprav, njegova privolitev ob eni priložnosti lahko velja preko različnih naprav, do morebitnega preklica.

V primeru, da se uporabnik z uporabo piškotkov ne strinja in hkrati ne dovoli, da se njegova izbira shrani, se takemu uporabniku obvestilo o piškotkih pojavi na vsaki podstrani. To je precej agresiven pristop, vendar iz besedila sklepamo, da druge možnosti ni. Ali le-ta morda obstaja?

Kot pojasnjeno v smernicah, menimo, da, v kolikor uporabnik želi, da si zapomnite njegovo izbiro glede zavrnitve piškotkov in če je za to uporabljen piškotek, za je namestitev takšnega piškotka uporabnik dal privolitev, če se strinja s ponujenim. V nasprotnem primeru bo lahko vsakič izpostavljen istemu vprašanju. Ena od možnosti je, da je ob gumbu »ne strinjam se« pojasnilo, da bo spleta stran uporabila piškotek, da si to izbiro zapomni in da je mogoče izbiro spremeniti na povezavi »zasebnost in piškotki« (primer). Na tak način ni potrebno vedno znova prikazovati izbirnega teksta, saj je vedno na voljo poudarjena možnost, da uporabnik spremeni svoje nastavitve.

Ali je potrebno v primeru, da ima podjetje več spletnih strani, od uporabnika dobiti soglasje za vsako spletno stran posebej? Ali to velja tako za poddomene (npr www.aaa.si in blog.aaa.si) kot tudi za različne domene (npr www.aaa.si in www.bbb.si)?

Upravljavec lahko pridobi privolitve enkrat, tako v primeru poddomen kot v primeru različnih domen. Pri slednjih pa je pomembno, da je uporabnik natančno obveščen, za katere različne domene privolitev velja.

Ali je treba obdelati vse poznane tehnologije, ki se lahko uporabljajo za hrambo v terminalski opremi uporabnika?

Zakonodaja je tehnološko nevtralna, torej morate razumno upoštevati tehnologije, ki se za ta namen uporabljajo.

Ali je kjerkoli določeno, kakšno veljavnost lahko ima piškotek, ki ga namestimo v brskalnik po tem, ko je uporabnik dovolil uporabo? Če res želimo zaščititi uporabnike, mora biti veljaven le za čas trajanja seje (obiska) in nič več.

Kot pojasnjujejo smernice, zakonodaja določa, da upravljavci spletnih strani smejo uporabljati piškotke ali druge tehnologije za to, da shranjujejo podatke na uporabnikovo opremo ali pa na tak način pridobivajo dostop do podatkov, shranjenih na opremi uporabnika, le, če se uporabnik s tem strinja in če so mu bile vnaprej ponujene vse informacije glede take obdelave njegovih podatkov, kot to določa Zakon o varstvu osebnih podatkov.

Zakonodaja ne razrešuje vprašanja več uporabnikov, ki si morda delijo isto napravo. Če si več uporabnikov deli isto napravo in upravljavec spletne strani ne razločuje med uporabniki (npr. nimajo vsak svojega uporabniškega računa ali podobno), potem je upravičena  domneva, da gre za enega uporabnika, od katerega mora pridobiti soglasje v primeru določenih piškotkov. Če pa spletna stran lahko loči uporabnike med sabo, potem je privolitev potrebno pridobiti od vsakega uporabnika.

Ali je obvezno, da v besedilu, kjer razlagamo uporabo piškotkov, navedemo celotno tabelo uporabljenih piškotkov? Ali pa je dovolj, da se piškotki zgolj opišejo (npr. uporabljamo sejne piškotke + opis, trajne piškotke + opis, analitične piškotke + opis, piškotke, vezane na socialne vtičnike + opis)? Pri nobeni od naših rešitev ne uporabljamo invazivnih piškotkov, npr. oglaševanja tretjih partnerjev ipd., temveč zgolj za delovanje obvezne piškotke ter dovoljene izjeme.

Potrebno je navesti vsak posamezen piškotek, njegov namen in trajanje.

Ali mora biti rešitev takšna, da se po 15.6.2015 izbrišejo vsi že parmanentni piškoti (sploh npr. registriranim uporabnikom) ali se lahko tudi tem uporabnikom prikaže obvestilo, kjer se jih vpraša, ali ga morda želijo izbrisati?

Po 15. 6. 2013 je uporaba nekaterih piškotkov dovoljena le na podlagi uporabnikovega soglasja. Od tega dne dalje mora uporabnik pri takih piškotkih prejeti obvestilo in imeti možnost privoliti. Pri piškotkih, ki so že naloženi pri uporabniku pa velja, da upravljavec spletne strani po tem datumu brez soglasja ne sme pridobivati ali obdelovati podatkov o uporabniku na podlagi piškotka. Tehnična implemetacija je v vaših rokah, bodisi lahko piškotke izbrišete (če je to z vaše strani mogoče) ali pa blokirate njiovo nadaljnje branje oz. uporabo pri uporabnikih, ki niso podali privolitve.

Ali je potrebno obiskovalca strani obvestiti o piškotkih, tudi če ti po končani seji potečejo in so samo nujni za delovanje strani? Če uporabljate le piškotke, ki spadajo med izjeme, zanje ni potrebna privolitev posameznika, a jih morate vseeno navesti na določenem mestu v okviru vaše spletne strani (npr. v okviru izjave o zasebnosti, pogojev delovanja, ipd.). Navesti morate imena piškotkov, njihovo trajanje ter namene, za katere so uporabljeni.

7. Kako je s spletnimi stranmi iz tujine ali v tujih jezikih?

Ali je v primeru, ko je spletna stran prevedena v različne jezike in cilja različne države, potrebno upoštevati smernice na vseh jezikovnih različicah? Če je spletna stran v nemškem jeziku in cilja nemški trg, verjetno zanjo veljajo nemške smernice in nemška zakonodaja? 

Veljavnost zakonodaje je predvsem odvisna od države, v kateri je ustanovljen upravljavec spletnega mesta, ki ga primarno zavezuje njegova lokalna zakonodaja. V primeru, da s svojo storitvijo nastopa tudi na trgih drugih držav (v lokalnem jeziku, cilja na lokalne uporabnike), pa mora do določene mere vsekakor upoštevati tudi zakonodajo druge države. Direktiva o varstvu osebnih podatkov, ki jo je mogoče uporabiti tudi na področju piškotkov, tako določa, da se evropsko pravo uporablja tudi kadar upravljavec ni ustanovljen v državi članici, pač pa tam uporablja opremo. 

Če je lastnik spletne strani iz Slovenije, pa cilja s spletno stranjo na druge države EU, je dobro preveriti, ali ne veljajo morda v drugi državi članici kaki posebni predpisi ali smernice glede privolitve v piškotke. Načeloma pa enaka pravila glede piškotkov veljajo preko celotne EU in mora biti v vseh državah uporabnik obveščen o piškotkih. Odločitev, ali bo obvestilo prevedano, če je stran namenjena  drugemu trgu, pa je na lastniku spletne strani. Prevedeno obvestilo je prijaznejše do uporabnika.

Če pa gre za državo, ki zakonodaje o piškotkih ne pozna, torej izven EU, niti tam ne velja evropska zakonodaja, pa je upravljavec/lastnik spletne strani ustanovljen v Sloveniji, ga strogo gledano vseeno veže slovenska zakonodaja, čeprav uporabniki na drugem trgu morda obvestil o piškotkih ne pričakujejo in ne poznajo. Odločitev o prevajanju je na strani lastnika spletne strani. 

Ali se zakon nanaša le na slovenske spletne strani ali slovenske uporabnike? Ali se lahko v primeru, če zaznamo, da uporabnik prihaja iz tujine (tuj IP), izognemo prikazovanju obvestila o piškotkih?

Slovenska zakonodaja velja za upravljavca, ki je ustanovljen v Sloveniji ali uporablja opremo na območju Slovenije, ne glede na to, od kod so njegovi uporabniki.

Kaj ta nova pravila morebiti pomenijo za tuje spletne strani, do katerih dostopajo slovenski internetni uporabniki?

Za spletne strani iz Evrope veljajo enaka pravila kot v Sloveniji, saj evropska direktiva, ki ureja piškotke, velja v vseh državah članicah. V primeru kršitve s strani spletnega mesta iz druge evropske države se uporabnik lahko obrne na Informacijskega pooblaščenca, mi pa bomo zadevo predali kolegom iz države, kjer je ustanovljen upravljavec. Evropska zakonodaja velja tudi za upravljavce, ki niso ustanovljeni v Evropi, pa s svojo storitvijo nastopajo tudi na trgih držav članic EU (v lokalnem jeziku, ciljajo na lokalne uporabnike). Direktiva o varstvu osebnih podatkov, ki jo je mogoče uporabiti tudi na področju piškotkov, namreč določa, da se evropsko pravo uporablja tudi kadar upravljavec ni ustanovljen v državi članici, pač pa tam uporablja opremo (lahko tudi strežnik, naprave uporabnikov, itd.). 

Katere države EU so že uvedle podobna pravila?

Sprememba Direktive o zasebnosti v elektronskih komunikacijah, ki se nanaša na piškotke, je bila sprejeta leta 2009 in velja v vseh državah članicah EU. V nacionalno zakonodajo so jo morale prenesti vse države članice do maja 2011. 

Zakaj se je Slovenija odločila za strogo opt-in interpretacijo EU smernic, potem ko se je v drugih državah (npr. Angliji) izkazalo, da v praksi to ne funkcionira in sedaj strani kažejo le obvestila, da se piškotki uporabljajo ter da jih uporabnik lahko zablokira v nastavitvah brskalnika?

Direktiva, na podlagi katere je bil spremenjen Zakon o elektronskih komunikacijah, se izvaja v vseh državah članicah EU, v nekaterih nacionalna zakonodaja opredeljuje privolitev kot izrecno, v drugih ne. V Veliki Britaniji je domnevna privolitev veljavna v vseh primerih, v drugih državah članicah pa temu ni tako, npr. na Nizozemskem, kjer je veljavna le izrecna privolitev. V Sloveniji sta veljavna oba mehanizma za pridobivanje privolitve, vendar odvisno od tipa in invazivnosti piškotkov. Pri sledilnih piškotkih je glede na smernice Pooblaščenca potrebna izrecna privolitev. 

Glede na to, da bo Hrvaška kmalu postala članica EU, ali se tudi tam v bližnji prihodnosti obeta uveljavitev podobnega zakona?

Teh informacij nimamo. Glede na to, da morajo direktive implementirati vse države članice EU, pa bo na določeni točki tudi Hrvaška morala implementirati relevantne določbe.

8. Ali morajo pisci blogov tudi upoštevati nova pravila?

Kaj uvedba novih pravil pomeni za pisce spletnih blogov, ki gostujejo na Wordpressu ali kakšni drugi storitvi - torej za blogerje, ki pač imajo blog pri nekem domačem ali tujem ponudniku platforme za bloge, ki pa je blogerji sami ne upravljajo na ravni tega, kateri piškotki se na njej uporabljajo?

Kot pojasnjujemo v smernicah o uporabi piškotkov, ima dolžnost zagotavljanja skladnosti z zakonodajo predvsem tisti, ki piškotek naloži, oz. prebere. Če je to ponudnik storitve bloga, potem je dolžnost primarno na njegovi strani. Če pa uporabnik te storitve – pisec bloga - uporablja piškotke, ali morda storitve tretjih strank, ki postavljajo piškotke (npr. vtičniki družbenih medijev za deljenje vsebin), potem tudi on nosi odgovornost za piškotke, ki jih omogoča na svojem blogu, neodvisno od ponudnika storitve bloga.

9. Kakšne so sankcije za nespoštovanje pravil?

Se kot kršitev smatra spletna stran, ki ne ustreza spremembam v zakonu? Ali pa se morda kot kršitev smatra vsak posameznik, ki bo prek strani prejel piškotek, brez da bi to prej dovolil? V tem primeru bi potem stran, ki ne ustreza zakonu in je piškotek v enem dnevu namestila 100 obiskovalcem smatrala kot 100 kršitev, ki bo vsaka kaznovana in obravnavana posamično?

Zakon velja za vse spletne strani, ki uporabljajo piškotke, ne glede na tip ali doseg. Kazenska določba je vezana na spletno stran in ne na število posameznikov, ki prejmejo piškotek.

Višina sankcije v primeru prekrška je določena glede na velikost pravne osebe, ki je lastnik spletne strani (velika ali srednja gospodarska družba od 1000 do 20000 eur), zakon pa določa tudi sankcijo za manjšo pravno osebo ali samostojnega podjetnika (200 do 1000 eur), oziroma odgovorno osebo (100 do 500 eur).

236. člen Zakona o elektronskih komunikacijah določa sankcijo tudi za posameznika, ki krši pravila o piškotkih: od 300 do 1000 Evrov.

V prekrškovnem postopku lahko Informacijski pooblaščenec izreče le najnižjo predpisano mero globe. V primeru pomanjkljivosti nadzornik najprej odredi, kaj mora spletna stran popraviti, če je ugotovljen prekršek pa lahko glede na okoliščine prekrška izreče opozorilo, opomin ali globo v najnižjem znesku.

10. Kako je z vsebinami tretjih strank na izvorni spletni strani? 

Kako je z odgovornostjo za spremembe piškotkov tretje stranke, in kako z odgovornostjo za piškotke ki prihajajo iz "drugega kolena" tretjih strank in "naslednjih kolen"? V praksi je to zelo težko nadzorovati, če vključimo količkaj vsebin iz drugih strani.

Kot pojasnjujemo v smernicah, imata določne odgovornosti tako izvorna spletna stran kot tudi tretja stran. Tretja stran (ali katera koli od njihovih nadaljnjih tretjih strani) bo od uporabnika težje neposredno pridobila privolitev, saj ni nujno, da ima neposredni stik z njim. Neposredni stik pa ima vedno izvorna spletna stran, ki ima tako tudi boljšo priložnost, da uporabnika obvesti o uporabi storitev tretjih strani in pridobi privolitev. Izvorna spletna stran je tista, ki v svoji storitvi dopušča udeležbo tretjih in kot taka ima jasno odgovornost glede pravic svojih uporabnikov. Svetujemo vam pregled piškotkov, ki se naložijo na uporabnikovo napravo ob obisku vaše spletne strani. Uporabnike morate o teh piškotkih (ne glede na to, od katere tretje strani prihajajo) obvestiti in če to niso piškotki, ki spadajo med izjeme, pridobiti privolitve uporabnikov. Kako uporabnike obvestite in kako pridobite privolitev si lahko prebere v smernicah in dodatnem mnenju Pooblaščenca. 

Spletna stran vsebuje povezave, ki ob izbiri brez opozorila (tiho) preusmerijo na druge spletne strani, ki brez opozorila postrežejo s kupom "cookijev" (google analytics in php session id). Kdo je odgovren za te piškotke, izvorna spletna stran, ki vsebuje povezave?

Pooblaščenec meni, da tihe povezave na druga spletna mesta na splošno niso priporočljive s stališča informiranosti posameznika in v nekateri primerih s stališča varnosti.

Glede piškotkov, ki jih nalagajo spletne strani, do katerih je mogoče dostopati preko povezav, pa menimo, da je izvorna spletna stran, ki povezave vključuje, za piškotke spletnih strani na povezavah odgovorna le v primeru, da bi te uporabljale svoje piškotke še preden uporabnik klikne na povezavo in je preusmerjen na drugo spletno stran (torej ko se še vedno giba na izvorni spletni strani). V primeru, da temu ni tako, in da vključene povezave ne generirajo nobenih piškotkov, dokler posameznik ne klikne nanje, menimo, da je odgovornost za skladnost z zakonodajo na vsaki spletni strani posebej, torej mora biti uporabnik po tem, ko klikne na povezavo in pristane na spletni strani B skladno z zakonom obveščen o piškotkih in mora spletna stran B od njega pridobiti potrebne privolitve. 

Piškotki socialnih omrežij, npr. Facebook Like, Share in podobni gumbki se v spletne strani vključijo preko iframe-ov, kar pomeni, da stran, ki jih vključuje ne more vplivati na to, ali vtičniki naložijo piškotke ali ne. Zakon določa opt-in tudi za te piškotke za obiskovalce, ki niso trenutno prijavljeni v ta družabna omrežja ali pa sploh niso člani.Tehnično je edini način, da se zagotovi skladnost z zakonom ta, da se vtičniki na spletno stran sploh ne vključijo, dokler uporabnik ne privoli v piškotke. Zanima me konkretni tehnični odgovor, kako lahko zagotovimo opt-in piškotke za vtičnike družabnih omrežij za obiskovalce, ki niso prijavljeni uporabniki teh omrežij.

Kot je pojasnjeno v smernicah, mora pri vtičnikih družbenih omrežij (za uporabnike, ki niso hkrati prijavljeni v omrežje ali registrirani) spletna stran pridobiti privolitve uporabnikov. Šele po tem, ko uporabnik privoli, je dovoljeno namestiti piškotke. Ena od zasebnosti prijaznih rešitev za vtičnike družbenih medijev je dostopna na tej povezavi www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html. V tem primeru upravljavcu spletnih spletne strani ni treba pridobivati privolitev vseh obiskovalcev.

Pooblaščenec nima pristojnosti predpisovanja ali potrjevanja posameznih tehničnih rešitev, v pomoč pri oblikovanju teh so vam lahko pojasnila zahtev zakonodaje v smernicah.  

Ali je način, na katerega Facebook pridobiva soglasje uporabnikov za namestitev piškotkov (ob registraciji uporabnik potrdi, da sprejema Data Use Policy, vključno z Cookie Use, pri čemer so na drugi povezavi natančno razloženi način uporabe piškotkov in nameni obdelave zbranih podatkov), skladen z ZEKom-1, ali pa mora ponudnik, ki na svoje spletno mesto doda Facebook vtičnik, od uporabnikov posebej pridobiti soglasje za Facebookove piškotke? Če velja to drugo, ali zadostuje, da ponudnik pri namenih obdelave podatkov zagotavlja povezavo na zgoraj navedene Facebookove opise?

Facebook lahko pridobi privolitve le za svoje registrirane člane. Pri uporabnikih, ki niso člani Facebooka, pa se spletna stran, ki uporablja vtičnik, ne more zanašati na to, da je privolitve že pridobil Facebook in mora  posledično za skladnost z zakonodajo poskrbeti upravljavec spletne strani. Upravljavec mora navesti najmanj namene uporabljanih piškotkov, npr. "piškotki za to, da delujejo vtičniki družbenih medijev". V podrobnejšem opisu piškotkov je lahko navedena povezava na pojasnila ponudnika. 

Kakšne so smernice glede piškotkov ki jih zapisujejo na stran vstavljeni Youtube ali Vimeo videji, ter Google zemljevidi?

V smernicah lahko preberete, kdaj piškotki multi-medijskih storitev, ki jih omenjate, spadajo pod izjeme. Če njihovo delovanje ni tako, kot jih predvidevajo izjeme, torej se piškotki naložijo še preden uporabnik klikne na gumb "predvajaj", potem potrebujete privolitve uporabnikov. Enako velja za Google zemljevide. Če je piškotek naložen še preden uporabnik pogleda zemljevid, potem ga ni mogoče šteti pod izjemo in je potrebna privolitev. Če je zemljevid zgolj slika, običajno ne naloži piškotka.

11. Za koga in v katerih primerih velja zakonodaja?

Glede na ogromno število spletnih strani, kjer tega nisem zasledil, me zanima, ali je obveščanje o uporabi piškotkov striktno določeno za vse, ali obstajajo izjeme? Za majhne spletne strani, ki se trudijo na prostovoljni bazi in ki niso odvisne od finančnih sredstev, je težko dobiti strokovnjaka za programiranje in implementiranje takih sprememb v kodo.

Novo zakonodajo morajo upoštevati tiste spletne strani, ki uporabljajo piškotke oz. druge podobne tehnologije ali pa imajo vključene storitve tretjih, ki morda uporabljajo piškotke, ne glede na velikost ali doseg. Če spletna stran piškotkov ne uporablja, zakonodaja zanjo ne velja.  

Ali je potrebno z zahtevo uskladiti tudi specializirane storitve, namenjene ozkemu krogu uporabnikom (npr. aplikacijo za prijavo napak za stranke), ki uporabljajo spletne tehnologije?

Zakonodaja se uporablja kjerkoli gre za shranjevanje podatkov na uporabnikovo napravo ali pridobivanje podatkov shranjenih na njej, čeprav ne gre za klasične spletne strani. Po naših izkušnjah gre pri storitvah, ki jih omenjate, v večini za piškotke, ki spadajo med izjeme in privolitev ni potrebna. 

Kot izvajalci številnih spletnih mest, bo pri kar nekaj naročnikih/strankah treba implementirati ta zakon. Ker vsak naknaden poseg v stran stane… me zanima sledeče… Kaj če stranka zavrne ta poseg? Koga potem lahko doleti kazen ? Kako se v primeru zavrnitve lahko zaščitimo mi, izvajalci, pa čeprav smo stranke seznanili in opozorili na to zadevo, a je vseeno odklonila?

Odgovornost za skladnost z novo zakonodajo je na strani upravljavca spletne strani (lastnika) in ne na strani morebitnih izvajalcev gostovanja, urejanja, kreiranja, ipd.  Upravljalec spletne strani je torej tisti, ki mora presoditi, kakšen poseg je potreben zato, da bo njegova spletna stran, oz. uporaba piškotkov skladna z zakonodajo. 

Ali direktiva glede uporabe piškotov velja tudi za intranet strani? Ali se v teh primerih lahko 'privolitev' uredi v sklopu zaposlitvenih pogodb ali internih aktov?
 
ZEKom-1 se nanaša na shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika in kot tak ne ločuje med tem, ali gre za intranet ali internet, temveč je bistveno, ali gre za javno dostopno komunikacijsko storitev. Pojma naročnik in uporabnik se namreč glede na definicije ZEKom-1 nanašata na uporabo javno dostopnih elektronskih komunikacijskih  storitev. Če intranet integrira vsebine, ki so tudi sicer javno dostopne in ki shranjujejo podatke ali pridobivajo dostop do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, zato v takšnih primerih veljajo ista pravila kot za spletne strani. Če intranet ne vključuje javno dostopnih elektronskih komunikacijskih storitev (in vsebuje zgolj zaprte aplikacije, kot so npr. evidenca delovnega časa, interni portal za izmenjavo dokumentov in podobno), potem menimo, da se zahteve glede piškotkov ne nanašajo na tak primer intraneta. Privolitve sicer lahko pridobite tudi v okviru internih aktov oz. zaposlitvenih pogodb, a morate biti pozorni na omejitve delovnopravne zakonodaje, torej, da se ne obdeluje več podatkov, kot je to potrebno za izvajanje pogodbe o zaposlitvi in da privolitev ni izsiljena ali pogojevana. Tehnične implementacije so zato posledično verjetno primernejše kot pridobivanje privolitev s pomočjo internih aktov ali pogodb, saj posameznika ne smete prisiliti v strinjanje s piškotki.

12. Ali lahko zaupam vsem ponudnikom rešitev za piškotke, katerih ponudbe prejemam?

Prejeli smo oglase, kjer nam različni ponudniki oglašujejo svoje rešitve za zagotovitev skladnosti z zakonodajo glede piškotkov. Nekateri opozarjajo na zelo visoke kazni in trdijo, da so njihove rešitve popolnoma skladne z zakonodajo. Se lahko zanesemo na te ponudnike?

Pooblaščenec želi upravljavce spletnih strani posebej opozoriti, da se v zadnjem času pojavljajo številni ponudniki, ki želijo z zastraševanjem predvsem malih upravljavcev poskrbeti za lastno korist. Pri tem se poslužujejo različnih nepoštenih prijemov in praks, med katerimi so tudi takšni, ki zavajajo glede zagroženih sankcij ali skladnosti svojih rešitev, zahteve zakonodaje pa sprevrženo označujejo za plenilske.

Pooblaščenec poudarja, da je mogoče skladnost določene implementacije potrditi samo v inšpekcijskem postopku. Glede sankcij pojasnjujemo, da Pooblaščenec kot prekrškovni organ lahko izreče le globo v najnižjem predpisanem znesku, višje pa lahko odredi le sodišče. Prav tako je od okoliščin posameznega primera odvisno, ali bo dejansko izrečena globa, saj se pod pogoji, ki jih določa zakon o prekrških, lahko določi tudi opomin ali opozorilo. 

Vsem upravljavcem spletnih strani zato svetujemo naj ne nasedajo pompoznim in zavajajočim ponudbam in naj se pred odločitvijo za zunanje ponudnike ustrezno informirajo o dejanskih zahtevah zakonodaje ter trezno ocenijo, ali je ponudnik zaupanja vreden ali pa gre zgolj za takšnega, ki želi pridobiti stranke z nepoštenimi prijemi. Ponudnikom, ki se jasno ne identificirajo in katerih lastne spletne strani nimajo nobenih obvestil o piškotkih ali izjav o varovanju zasebnosti, je verjetno težko zaupati.

13. Kako je s privolitvijo preko brskalnikov?

Zakaj morajo zahteve zakonodaje implementirati spletne strani, če pa bi lahko uporabniki v brskalniku nastavili, da ne želijo piškotkov? Zakaj EU ne pritiska na brskalnike namesto na spletne strani?

ZEKom-1 dopušča, da je privolitev lahko dana tudi preko nastavitev v brskalniku ali v drugih primernih aplikacijah, vendar pa le, če je to tehnično izvedljivo in učinkovito ter v skladu z zakonom, ki ureja varstvo osebnih podatkov. Trenutno noben brskalnik, niti ne druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev uporabnikov. Ena od težav je, da noben brskalnik privzeto ne blokira vseh piškotkov, pač pa privzeto dovoljuje vse piškotke. Ker je piškotek lahko naložen šele po tem, ko uporabnik izjavi svojo voljo, trenutne rešitve v brskalnikih torej ne zadovoljujejo zakonskih kriterijev. Prav tako brskalniki še ne omogočajo različnih nastavitev za različne piškotke. Omogočajo le, da blokirate piškotke tretjih strani, ne glede na to, kako bo to vplivalo na delovanje strani.

V prihodnosti pričakujemo, da bodo tudi v okviru brskalnikov na voljo ustrezne možnosti za pridobivanje soglasja od uporabnikov. Taka rešitev bi bila s stališča uporabnikove izkušnje najbolj zaželena. Trenutno potekajo pogovori in pogajanja glede ne-sledi-mi standarda (do-not-track). S tem orodjem bi lahko uporabnik spletnim stranem javljal svojo željo, da mu ne sledijo. Da pa bi bilo tako orodje skladno z evropsko zakonodajo, bi morali imeti brskalniki privzeto vključeno nastavitev ne-sledi-mi. Pooblaščenec bo te smernice po potrebi posodabljal in vključeval morebitne nove informacije s tega področja.

Standard razvija mednarodni konzorcij W3C, v katerem sodelujejo vsi brskalniki, več si lahko preberete na spletni strani www.w3.org. Standard je v razvoju že od leta 2011, a konzorcij do sedaj še ni uspel zaključiti razvoja in predstaviti standarda, ki bi bil lahko uporabljen globalno. Ker standarda do-not-track še ni, po zadnjih informacijah ga v kratkem niti ni realno pričakovati, se uporabniki ne morejo zanašati na brskalnike. EU razvoj standarda podpira (http://blogs.ec.europa.eu/neelie-kroes/donottrack/), a žal nima vpliva na delovanje konzorcija in na to, kdaj bodo brskalniki sami pripravljeni predstaviti rešitev, ki bo resnično omogočala upravljanje s piškotki. S stališča EU zakonodaje bi bil močan standard ne-sledi-mi vsekakor boljši kot implementacije na vsaki strani posebej, a je to žal vprašanje, na katero lahko podajo odgovor le brskalniki sami.

14. Kako bo Pooblaščenec izvajal nadzor?

Kako bo Pooblaščenec preverjal, ali spletna stran krši pravila o piškotkih? Kakšne dokaze naj bi spletna stran imela, da so posamezniki podali privolitve?

Pooblaščenec poudarja, da je za dokazovanje ustrezne rabe piškotkov glede na določbe ZEKom-1 bistven mehanizem obvestil in/ali privolitve, ki ga spletna stran zagotavlja. Pooblaščenec bo tako predvsem na sistemski ravni preverjal, ali spletna stran uporabnike pravilno obvešča o uporabi piškotkov in ali v primeru določenih piškotkov ustrezno pridobiva privolitve. V primeru, da obvestilo ali mehanizem za privolitev ne delujeta ustrezno, to pomeni kršitev po ZEKom-1.

15. Ali veljajo določbe glede spletnih piškotkov tudi za sledenje uporabnikom spleta s prstnim odtisom uporabnikove naprave ali z drugimi podobnimi tehnologijami? 

Da je uporabnikom prek spleta mogoče slediti tudi brez uporabe piškotkov ali podobnih tehnologij, ki se naložijo na uporabnikovo napravo, ter tako omogočajo prepoznavanje, je znano že dlje časa. Vse bolj se namreč razvija sledenje preko prstnega odtisa naprave (angl. device fingerprinting) oz. brskalnika (angl. browser fingerprinting), kjer na uporabnikovo napravo ni naložena nobena datoteka, pač pa sledilec uporabnika prepozna in mu sledi na podlagi edinstvene kombinacije različnih informacij, ki jih ta naprava (računalnik, telefon, tablica, igralna konzola, pametni TV, brskalnika) oddaja med brskanjem po spletu. To so lahko npr. informacije o nastavitvah naprave, operacijskem sistemu in brskalniku, IP naslovu, informacije o nastavitvah ure, nameščenih pisavah, Java Script nastavitvah, informacije o vtičnikih, ipd. Na podlagi skupka teh informacij je mogoče točno določeno napravo, in s tem tudi njenega uporabnika, prepoznati ter podatke uporabiti za namen izdelave analitike, ciljno oglaševanje, ipd.

Vplivi na zasebnost in varstvo osebnih podatkov so pri sledenju na podlagi prstnega odtisa naprave daljnosežni, saj se uporabnik takemu sledenju praktično  ne more izogniti, še posebej v času razvoja interneta stvari, kjer bo vse več naprav povezanih na internetno omrežje (pametni števci, bela tehnika, ipd). Informacij o napravi in njenih konfiguracijah namreč ni mogoče enostavno spreminjati ali preprečiti njihovega spremljanja.

Kot poudarja Delovna skupina za varstvo podatkov iz člena 29 v svojem mnenju   mora biti tudi sledenje prek prstnega odtisa naprave, enako kot sledenje preko piškotkov in podobnih tehnologij, skladno s 3. odstavkom 5. člena Direktive o zasebnosti v elektronskih komunikacijah in torej s 157. členom Zakona o elektronskih komunikacijah, saj  gre pri takem sledenju nedvomno za pridobivanje informacij o uporabnikovih napravah. Zmotno je prepričanje, da sledenje na takšen način omogoča izogib pravilom, ki veljajo glede spletnih piškotkov.

Za sledenje uporabnikom na podlagi prstnega odtisa naprave je torej potrebna vnaprejšnja informirana privolitev uporabnika naprave, enako kot pri uporabi piškotkov. Privolitev ni potrebna le, kadar gre za eno od izjem iz 157. člena ZEKom-1, če je torej pridobivanje informacij z uporabnikove naprave:

•    nujno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju,
•    ali če je nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.