Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Piškotki - odgovori na pogosta vprašanja

+ -

1. Kaj če spletna stran strinjanje s piškotki zahteva kot pogoj za uporabo spletne strani?

Ali lahko od uporabnika brezpogojno zahtevamo, da, če želi uporabljati spletno stran, sprejme piškotke? Pri tem ga seveda informiramo o uporabi piškotkov glede na zakon in smernice. V primeru, da jih uporabnik ne sprejme, le-tega preusmerimo stran od spletne strani. V smernicah sicer navajate, da sistem »vzemi ali pusti« ni sprejemljiv, vendar bi tukaj radi poudarili, da so vse vsebine spletne strani kljub temu uporabnikom dostopne preko kopij »cache« strani na spletnih iskalnikih. S tem postopkom uporabniku torej ne omejujemo dostopa do informacij, temveč zgolj pogojujemo uporabo funkcionalnosti spletne strani.

Kot smo pojasnili v smernicah, imajo spletne strani proste roke pri določanju pogojev uporabe, vendar pa je pri pogojevanju uporabe spletnega mesta s strinjanjem s splošnimi pogoji ključen premislek o sorazmernosti uporabe piškotkov v okviru določene storitve. Pogojevati uporabo storitve s privolitvijo v piškotke, ki nimajo pomenljive in argumentirane zveze s storitvijo samo, po mnenju Informacijskega pooblaščenca pomeni nesorazmerno obdelavo osebnih podatkov uporabnikov in tako ni v skladu z zakonodajo.

Ni ključno vprašanje dostopnosti vsebin, do katerih uporabniki morda lahko dostopajo po drugih poteh, kot so cache verzije, pač pa dejstvo, da pri tistih uporabnikih, ki se s takimi pogoji strinjajo, prihaja do nesorazmerne obdelave podatkov. Spletno mesto namreč ne potrebuje vseh podatkov, ki jih prejema od takega uporabnika, za izvajanje svoje storitve. Pri izbiri mehanizma za pridobivanje privolitve Informacijski pooblaščenec svetuje, da upravljavci spletnih strani razmislijo o načinih, ki so primerni glede na situacijo, na tip uporabnikov in na tip piškotkov.

Ali v praksi že obstaja kakšna uporabna spletna stran (kjerkoli, ne samo Slovenija), ki bi uporabniku omogočala zavrniti določene skupine piškotkov (npr. oglaševalske), odvisno od namena posameznih piškotkov, še vedno pa bi omogočala uporabo strani in ostalih piškotkov na strani (npr. jezik uporabnika)?

Primerov je na tujih spletnih straneh precej, tako v Veliki Britaniji kot na Nizozemskem.

2. Kako omogočiti uporabniku, da spremeni svoje nastavitve za piškotke?

Kot ste zapisali v smernicah, mora biti uporabniku vedno ponujena možnost, da naknadno spremeni nastavitve piškotkov. Upravljanje s piškotki omogočajo vsi spletni brskalniki. Ali je dovolj, da v pogojih uporabe zapišemo, da lahko nastavitve piškotkov spremeni tam?

Trenutno noben brskalnik, niti ne druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev ali spremembo nastavitev glede piškotkov. Težava je v tem, da brskalniki še ne omogočajo različnih nastavitev za različne piškotke. Če bi uporabnik želel spremeniti nastavitev za en piškotek, bi to veljalo za vse piškotke, tudi tiste, ki spadajo pod izjeme in so potrebni za delovanje spletne strani.

Ali je dovolj, če za naknadno odstranitev samih piškotkov iz uporabniške naprave (potem ko se je uporabnik strinjal z uporabo) napišem navodila kako si  uporabnik lahko sam odstrani piškotke z naprave. Ali je potrebno zagotoviti mehanizem, ki bo pobrisal piškotek iz uporabniške naprave. Meni osebno se zdi ta druga metoda bolj sporna, saj mehanizem posega po uporabniški napravi tako, da briše podatke (v tem primeru sicer lastni piškotek)?

Kot pojasnjujemo v smernicah, mora biti uporabnikom na voljo možnost, da si gledepiškotkov, ki niso potrebni za delovanje spletne strani premislijo in spremenijo svoje nastavitve. Zato je zelo pomembno, da je na vaši spletni strani vedno na voljo vidna informacija, kje lahko uporabnik spremeni svoje nastavitve. Uporabnika lahko obvestite o tem, da s spremenjenimi nastavitvami stran morda ne bo delovala tako, kot želi.

Upravljavec spletne strani v primeru, da uporabnik prekliče privolitev, ne sme več shranjevati podatkov na uporabnikovo opremo ali pa na tak način pridobivati dostop do podatkov, shranjenih na opremi uporabnika. Tehničnega načina, na katerega je to mogoče zagotoviti (z brisanjem lastnih piškotkov ali ne), zakonodaja ne predpisuje, pač pa je odgovornost na upravljavcu spletne stran, da primerno zagotovi delovanje skladno z zakonom.

3. Kdaj in kako pridobiti soglasje od uporabnika?

Smernice in zakon se pri uporabi piškotkov vedno navezujejo na uporabnika. Znano je, da se preko spleta uporabnika ne da popolnoma identificirati. Za identifikacijo se lahko uporabijo piškotki ali IP naslov računalnika. Če uporabnik uporablja več različnih naprav, se ga prav zaradi teh tehničnih omejitev ne da natančno slediti. Ali lahko uporabniku v primeru, da na eni napravi privoli v uporabo piškotkov, namestimo piškotke tudi na drugi napravi, če ugotovimo, da gre za istega uporabnika?

Če upravljavec spletnega mesta lahko zagotovo določi enega uporabnika preko različnih naprav, njegova privolitev ob eni priložnosti lahko velja preko različnih naprav, do morebitnega preklica.

V primeru, da se uporabnik z uporabo piškotkov ne strinja in hkrati ne dovoli, da se njegova izbira shrani, se takemu uporabniku obvestilo o piškotkih pojavi na vsaki podstrani. To je precej agresiven pristop, vendar iz besedila sklepamo, da druge možnosti ni. Ali le-ta morda obstaja?

Kot pojasnjeno v smernicah, menimo, da, v kolikor uporabnik želi, da si zapomnite njegovo izbiro glede zavrnitve piškotkov in če je za to uporabljen piškotek, za je namestitev takšnega piškotka uporabnik dal privolitev, če se strinja s ponujenim. V nasprotnem primeru bo lahko vsakič izpostavljen istemu vprašanju. Ena od možnosti je, da je ob gumbu »ne strinjam se« pojasnilo, da bo spleta stran uporabila piškotek, da si to izbiro zapomni in da je mogoče izbiro spremeniti na povezavi »zasebnost in piškotki« (primer). Na tak način ni potrebno vedno znova prikazovati izbirnega teksta, saj je vedno na voljo poudarjena možnost, da uporabnik spremeni svoje nastavitve.

Ali je potrebno v primeru, da ima podjetje več spletnih strani, od uporabnika dobiti soglasje za vsako spletno stran posebej? Ali to velja tako za poddomene (npr www.aaa.si in blog.aaa.si) kot tudi za različne domene (npr www.aaa.si in www.bbb.si)?

Upravljavec lahko pridobi privolitve enkrat, tako v primeru poddomen kot v primeru različnih domen. Pri slednjih pa je pomembno, da je uporabnik natančno obveščen, za katere različne domene privolitev velja.

Ali je treba obdelati vse poznane tehnologije, ki se lahko uporabljajo za hrambo v terminalski opremi uporabnika?

Zakonodaja je tehnološko nevtralna, torej morate razumno upoštevati tehnologije, ki se za ta namen uporabljajo.

Ali je kjerkoli določeno, kakšno veljavnost lahko ima piškotek, ki ga namestimo v brskalnik po tem, ko je uporabnik dovolil uporabo? Če res želimo zaščititi uporabnike, mora biti veljaven le za čas trajanja seje (obiska) in nič več.

Kot pojasnjujejo smernice, zakonodaja določa, da upravljavci spletnih strani smejo uporabljati piškotke ali druge tehnologije za to, da shranjujejo podatke na uporabnikovo opremo ali pa na tak način pridobivajo dostop do podatkov, shranjenih na opremi uporabnika, le, če se uporabnik s tem strinja in če so mu bile vnaprej ponujene vse informacije glede take obdelave njegovih podatkov, kot to določa Zakon o varstvu osebnih podatkov.

Zakonodaja ne razrešuje vprašanja več uporabnikov, ki si morda delijo isto napravo. Če si več uporabnikov deli isto napravo in upravljavec spletne strani ne razločuje med uporabniki (npr. nimajo vsak svojega uporabniškega računa ali podobno), potem je upravičena  domneva, da gre za enega uporabnika, od katerega mora pridobiti soglasje v primeru določenih piškotkov. Če pa spletna stran lahko loči uporabnike med sabo, potem je privolitev potrebno pridobiti od vsakega uporabnika.

Ali je obvezno, da v besedilu, kjer razlagamo uporabo piškotkov, navedemo celotno tabelo uporabljenih piškotkov? Ali pa je dovolj, da se piškotki zgolj opišejo (npr. uporabljamo sejne piškotke + opis, trajne piškotke + opis, analitične piškotke + opis, piškotke, vezane na socialne vtičnike + opis)? Pri nobeni od naših rešitev ne uporabljamo invazivnih piškotkov, npr. oglaševanja tretjih partnerjev ipd., temveč zgolj za delovanje obvezne piškotke ter dovoljene izjeme.

Potrebno je navesti vsak posamezen piškotek, njegov namen in trajanje.

Ali mora biti rešitev takšna, da se po 15.6.2015 izbrišejo vsi že parmanentni piškoti (sploh npr. registriranim uporabnikom) ali se lahko tudi tem uporabnikom prikaže obvestilo, kjer se jih vpraša, ali ga morda želijo izbrisati?

Po 15. 6. 2013 je uporaba nekaterih piškotkov dovoljena le na podlagi uporabnikovega soglasja. Od tega dne dalje mora uporabnik pri takih piškotkih prejeti obvestilo in imeti možnost privoliti. Pri piškotkih, ki so že naloženi pri uporabniku pa velja, da upravljavec spletne strani po tem datumu brez soglasja ne sme pridobivati ali obdelovati podatkov o uporabniku na podlagi piškotka. Tehnična implemetacija je v vaših rokah, bodisi lahko piškotke izbrišete (če je to z vaše strani mogoče) ali pa blokirate njiovo nadaljnje branje oz. uporabo pri uporabnikih, ki niso podali privolitve.

Ali je potrebno obiskovalca strani obvestiti o piškotkih, tudi če ti po končani seji potečejo in so samo nujni za delovanje strani? Če uporabljate le piškotke, ki spadajo med izjeme, zanje ni potrebna privolitev posameznika, a jih morate vseeno navesti na določenem mestu v okviru vaše spletne strani (npr. v okviru izjave o zasebnosti, pogojev delovanja, ipd.). Navesti morate imena piškotkov, njihovo trajanje ter namene, za katere so uporabljeni.

4. Kako je s spletnimi stranmi iz tujine ali v tujih jezikih?

Ali je v primeru, ko je spletna stran prevedena v različne jezike in cilja različne države, potrebno upoštevati smernice na vseh jezikovnih različicah? Če je spletna stran v nemškem jeziku in cilja nemški trg, verjetno zanjo veljajo nemške smernice in nemška zakonodaja? 

Veljavnost zakonodaje je predvsem odvisna od države, v kateri je ustanovljen upravljavec spletnega mesta, ki ga primarno zavezuje njegova lokalna zakonodaja. V primeru, da s svojo storitvijo nastopa tudi na trgih drugih držav (v lokalnem jeziku, cilja na lokalne uporabnike), pa mora do določene mere vsekakor upoštevati tudi zakonodajo druge države. Direktiva o varstvu osebnih podatkov, ki jo je mogoče uporabiti tudi na področju piškotkov, tako določa, da se evropsko pravo uporablja tudi kadar upravljavec ni ustanovljen v državi članici, pač pa tam uporablja opremo. 

Če je lastnik spletne strani iz Slovenije, pa cilja s spletno stranjo na druge države EU, je dobro preveriti, ali ne veljajo morda v drugi državi članici kaki posebni predpisi ali smernice glede privolitve v piškotke. Načeloma pa enaka pravila glede piškotkov veljajo preko celotne EU in mora biti v vseh državah uporabnik obveščen o piškotkih. Odločitev, ali bo obvestilo prevedano, če je stran namenjena  drugemu trgu, pa je na lastniku spletne strani. Prevedeno obvestilo je prijaznejše do uporabnika.

Če pa gre za državo, ki zakonodaje o piškotkih ne pozna, torej izven EU, niti tam ne velja evropska zakonodaja, pa je upravljavec/lastnik spletne strani ustanovljen v Sloveniji, ga strogo gledano vseeno veže slovenska zakonodaja, čeprav uporabniki na drugem trgu morda obvestil o piškotkih ne pričakujejo in ne poznajo. Odločitev o prevajanju je na strani lastnika spletne strani. 

Ali se zakon nanaša le na slovenske spletne strani ali slovenske uporabnike? Ali se lahko v primeru, če zaznamo, da uporabnik prihaja iz tujine (tuj IP), izognemo prikazovanju obvestila o piškotkih?

Slovenska zakonodaja velja za upravljavca, ki je ustanovljen v Sloveniji ali uporablja opremo na območju Slovenije, ne glede na to, od kod so njegovi uporabniki.

Kaj ta nova pravila morebiti pomenijo za tuje spletne strani, do katerih dostopajo slovenski internetni uporabniki?

Za spletne strani iz Evrope veljajo enaka pravila kot v Sloveniji, saj evropska direktiva, ki ureja piškotke, velja v vseh državah članicah. V primeru kršitve s strani spletnega mesta iz druge evropske države se uporabnik lahko obrne na Informacijskega pooblaščenca, mi pa bomo zadevo predali kolegom iz države, kjer je ustanovljen upravljavec. Evropska zakonodaja velja tudi za upravljavce, ki niso ustanovljeni v Evropi, pa s svojo storitvijo nastopajo tudi na trgih držav članic EU (v lokalnem jeziku, ciljajo na lokalne uporabnike). Direktiva o varstvu osebnih podatkov, ki jo je mogoče uporabiti tudi na področju piškotkov, namreč določa, da se evropsko pravo uporablja tudi kadar upravljavec ni ustanovljen v državi članici, pač pa tam uporablja opremo (lahko tudi strežnik, naprave uporabnikov, itd.). 

Katere države EU so že uvedle podobna pravila?

Sprememba Direktive o zasebnosti v elektronskih komunikacijah, ki se nanaša na piškotke, je bila sprejeta leta 2009 in velja v vseh državah članicah EU. V nacionalno zakonodajo so jo morale prenesti vse države članice do maja 2011. 

Zakaj se je Slovenija odločila za strogo opt-in interpretacijo EU smernic, potem ko se je v drugih državah (npr. Angliji) izkazalo, da v praksi to ne funkcionira in sedaj strani kažejo le obvestila, da se piškotki uporabljajo ter da jih uporabnik lahko zablokira v nastavitvah brskalnika?

Direktiva, na podlagi katere je bil spremenjen Zakon o elektronskih komunikacijah, se izvaja v vseh državah članicah EU, v nekaterih nacionalna zakonodaja opredeljuje privolitev kot izrecno, v drugih ne. V Veliki Britaniji je domnevna privolitev veljavna v vseh primerih, v drugih državah članicah pa temu ni tako, npr. na Nizozemskem, kjer je veljavna le izrecna privolitev. V Sloveniji sta veljavna oba mehanizma za pridobivanje privolitve, vendar odvisno od tipa in invazivnosti piškotkov. Pri sledilnih piškotkih je glede na smernice Informacijskega pooblaščenca potrebna izrecna privolitev. 

Glede na to, da bo Hrvaška kmalu postala članica EU, ali se tudi tam v bližnji prihodnosti obeta uveljavitev podobnega zakona?

Teh informacij nimamo. Glede na to, da morajo direktive implementirati vse države članice EU, pa bo na določeni točki tudi Hrvaška morala implementirati relevantne določbe.

5. Ali morajo pisci blogov tudi upoštevati nova pravila?

 

Kaj uvedba novih pravil pomeni za pisce spletnih blogov, ki gostujejo na Wordpressu ali kakšni drugi storitvi - torej za blogerje, ki pač imajo blog pri nekem domačem ali tujem ponudniku platforme za bloge, ki pa je blogerji sami ne upravljajo na ravni tega, kateri piškotki se na njej uporabljajo?

Kot pojasnjujemo v smernicah o uporabi piškotkov, ima dolžnost zagotavljanja skladnosti z zakonodajo predvsem tisti, ki piškotek naloži, oz. prebere. Če je to ponudnik storitve bloga, potem je dolžnost primarno na njegovi strani. Če pa uporabnik te storitve – pisec bloga - uporablja piškotke, ali morda storitve tretjih strank, ki postavljajo piškotke (npr. vtičniki družbenih medijev za deljenje vsebin), potem tudi on nosi odgovornost za piškotke, ki jih omogoča na svojem blogu, neodvisno od ponudnika storitve bloga.

6. Kakšne so sankcije za nespoštovanje pravil?

Se kot kršitev smatra spletna stran, ki ne ustreza spremembam v zakonu? Ali pa se morda kot kršitev smatra vsak posameznik, ki bo prek strani prejel piškotek, brez da bi to prej dovolil? V tem primeru bi potem stran, ki ne ustreza zakonu in je piškotek v enem dnevu namestila 100 obiskovalcem smatrala kot 100 kršitev, ki bo vsaka kaznovana in obravnavana posamično?

Zakon velja za vse spletne strani, ki uporabljajo piškotke, ne glede na tip ali doseg. Kazenska določba je vezana na spletno stran in ne na število posameznikov, ki prejmejo piškotek.

Višina sankcije v primeru prekrška je določena glede na velikost pravne osebe, ki je lastnik spletne strani (velika ali srednja gospodarska družba od 1000 do 20000 eur), zakon pa določa tudi sankcijo za manjšo pravno osebo ali samostojnega podjetnika (200 do 1000 eur), oziroma odgovorno osebo (100 do 500 eur).

236. člen Zakona o elektronskih komunikacijah določa sankcijo tudi za posameznika, ki krši pravila o piškotkih: od 300 do 1000 Evrov.

V prekrškovnem postopku lahko Informacijski pooblaščenec izreče le najnižjo predpisano mero globe. V primeru pomanjkljivosti nadzornik najprej odredi, kaj mora spletna stran popraviti, če je ugotovljen prekršek pa lahko glede na okoliščine prekrška izreče opozorilo, opomin ali globo v najnižjem znesku.

7. Kako je z vsebinami tretjih strank na izvorni spletni strani? 

Kako je z odgovornostjo za spremembe piškotkov tretje stranke, in kako z odgovornostjo za piškotke ki prihajajo iz "drugega kolena" tretjih strank in "naslednjih kolen"? V praksi je to zelo težko nadzorovati, če vključimo količkaj vsebin iz drugih strani.

Kot pojasnjujemo v smernicah, imata določne odgovornosti tako izvorna spletna stran kot tudi tretja stran. Tretja stran (ali katera koli od njihovih nadaljnjih tretjih strani) bo od uporabnika težje neposredno pridobila privolitev, saj ni nujno, da ima neposredni stik z njim. Neposredni stik pa ima vedno izvorna spletna stran, ki ima tako tudi boljšo priložnost, da uporabnika obvesti o uporabi storitev tretjih strani in pridobi privolitev. Izvorna spletna stran je tista, ki v svoji storitvi dopušča udeležbo tretjih in kot taka ima jasno odgovornost glede pravic svojih uporabnikov. Svetujemo vam pregled piškotkov, ki se naložijo na uporabnikovo napravo ob obisku vaše spletne strani. Uporabnike morate o teh piškotkih (ne glede na to, od katere tretje strani prihajajo) obvestiti in če to niso piškotki, ki spadajo med izjeme, pridobiti privolitve uporabnikov. Kako uporabnike obvestite in kako pridobite privolitev si lahko prebere v smernicah in dodatnem mnenju Informacijskega pooblaščenca. 

Spletna stran vsebuje povezave, ki ob izbiri brez opozorila (tiho) preusmerijo na druge spletne strani, ki brez opozorila postrežejo s kupom "cookijev" (google analytics in php session id). Kdo je odgovren za te piškotke, izvorna spletna stran, ki vsebuje povezave?

Informacijski pooblaščenec meni, da tihe povezave na druga spletna mesta na splošno niso priporočljive s stališča informiranosti posameznika in v nekateri primerih s stališča varnosti.

Glede piškotkov, ki jih nalagajo spletne strani, do katerih je mogoče dostopati preko povezav, pa menimo, da je izvorna spletna stran, ki povezave vključuje, za piškotke spletnih strani na povezavah odgovorna le v primeru, da bi te uporabljale svoje piškotke še preden uporabnik klikne na povezavo in je preusmerjen na drugo spletno stran (torej ko se še vedno giba na izvorni spletni strani). V primeru, da temu ni tako, in da vključene povezave ne generirajo nobenih piškotkov, dokler posameznik ne klikne nanje, menimo, da je odgovornost za skladnost z zakonodajo na vsaki spletni strani posebej, torej mora biti uporabnik po tem, ko klikne na povezavo in pristane na spletni strani B skladno z zakonom obveščen o piškotkih in mora spletna stran B od njega pridobiti potrebne privolitve. 

Piškotki socialnih omrežij, npr. Facebook Like, Share in podobni gumbki se v spletne strani vključijo preko iframe-ov, kar pomeni, da stran, ki jih vključuje ne more vplivati na to, ali vtičniki naložijo piškotke ali ne. Zakon določa opt-in tudi za te piškotke za obiskovalce, ki niso trenutno prijavljeni v ta družabna omrežja ali pa sploh niso člani.Tehnično je edini način, da se zagotovi skladnost z zakonom ta, da se vtičniki na spletno stran sploh ne vključijo, dokler uporabnik ne privoli v piškotke. Zanima me konkretni tehnični odgovor, kako lahko zagotovimo opt-in piškotke za vtičnike družabnih omrežij za obiskovalce, ki niso prijavljeni uporabniki teh omrežij.

Kot je pojasnjeno v smernicah, mora pri vtičnikih družbenih omrežij (za uporabnike, ki niso hkrati prijavljeni v omrežje ali registrirani) spletna stran pridobiti privolitve uporabnikov. Šele po tem, ko uporabnik privoli, je dovoljeno namestiti piškotke. Ena od zasebnosti prijaznih rešitev za vtičnike družbenih medijev je dostopna na tej povezavi www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html. V tem primeru upravljavcu spletnih spletne strani ni treba pridobivati privolitev vseh obiskovalcev.

Informacijski pooblaščenec nima pristojnosti predpisovanja ali potrjevanja posameznih tehničnih rešitev, v pomoč pri oblikovanju teh so vam lahko pojasnila zahtev zakonodaje v smernicah.  

Ali je način, na katerega Facebook pridobiva soglasje uporabnikov za namestitev piškotkov (ob registraciji uporabnik potrdi, da sprejema Data Use Policy, vključno z Cookie Use, pri čemer so na drugi povezavi natančno razloženi način uporabe piškotkov in nameni obdelave zbranih podatkov), skladen z ZEKom-1, ali pa mora ponudnik, ki na svoje spletno mesto doda Facebook vtičnik, od uporabnikov posebej pridobiti soglasje za Facebookove piškotke? Če velja to drugo, ali zadostuje, da ponudnik pri namenih obdelave podatkov zagotavlja povezavo na zgoraj navedene Facebookove opise?

Facebook lahko pridobi privolitve le za svoje registrirane člane. Pri uporabnikih, ki niso člani Facebooka, pa se spletna stran, ki uporablja vtičnik, ne more zanašati na to, da je privolitve že pridobil Facebook in mora  posledično za skladnost z zakonodajo poskrbeti upravljavec spletne strani. Upravljavec mora navesti najmanj namene uporabljanih piškotkov, npr. "piškotki za to, da delujejo vtičniki družbenih medijev". V podrobnejšem opisu piškotkov je lahko navedena povezava na pojasnila ponudnika. 

Kakšne so smernice glede piškotkov ki jih zapisujejo na stran vstavljeni Youtube ali Vimeo videji, ter Google zemljevidi?

V smernicah lahko preberete, kdaj piškotki multi-medijskih storitev, ki jih omenjate, spadajo pod izjeme. Če njihovo delovanje ni tako, kot jih predvidevajo izjeme, torej se piškotki naložijo še preden uporabnik klikne na gumb "predvajaj", potem potrebujete privolitve uporabnikov. Enako velja za Google zemljevide. Če je piškotek naložen še preden uporabnik pogleda zemljevid, potem ga ni mogoče šteti pod izjemo in je potrebna privolitev. Če je zemljevid zgolj slika, običajno ne naloži piškotka.

8. Za koga in v katerih primerih velja zakonodaja?

Glede na ogromno število spletnih strani, kjer tega nisem zasledil, me zanima, ali je obveščanje o uporabi piškotkov striktno določeno za vse, ali obstajajo izjeme? Za majhne spletne strani, ki se trudijo na prostovoljni bazi in ki niso odvisne od finančnih sredstev, je težko dobiti strokovnjaka za programiranje in implementiranje takih sprememb v kodo.

Novo zakonodajo morajo upoštevati tiste spletne strani, ki uporabljajo piškotke oz. druge podobne tehnologije ali pa imajo vključene storitve tretjih, ki morda uporabljajo piškotke, ne glede na velikost ali doseg. Če spletna stran piškotkov ne uporablja, zakonodaja zanjo ne velja.  

Ali je potrebno z zahtevo uskladiti tudi specializirane storitve, namenjene ozkemu krogu uporabnikom (npr. aplikacijo za prijavo napak za stranke), ki uporabljajo spletne tehnologije?

Zakonodaja se uporablja kjerkoli gre za shranjevanje podatkov na uporabnikovo napravo ali pridobivanje podatkov shranjenih na njej, čeprav ne gre za klasične spletne strani. Po naših izkušnjah gre pri storitvah, ki jih omenjate, v večini za piškotke, ki spadajo med izjeme in privolitev ni potrebna. 

Kot izvajalci številnih spletnih mest, bo pri kar nekaj naročnikih/strankah treba implementirati ta zakon. Ker vsak naknaden poseg v stran stane… me zanima sledeče… Kaj če stranka zavrne ta poseg? Koga potem lahko doleti kazen ? Kako se v primeru zavrnitve lahko zaščitimo mi, izvajalci, pa čeprav smo stranke seznanili in opozorili na to zadevo, a je vseeno odklonila?

Odgovornost za skladnost z novo zakonodajo je na strani upravljavca spletne strani (lastnika) in ne na strani morebitnih izvajalcev gostovanja, urejanja, kreiranja, ipd.  Upravljalec spletne strani je torej tisti, ki mora presoditi, kakšen poseg je potreben zato, da bo njegova spletna stran, oz. uporaba piškotkov skladna z zakonodajo. 

Ali direktiva glede uporabe piškotov velja tudi za intranet strani? Ali se v teh primerih lahko 'privolitev' uredi v sklopu zaposlitvenih pogodb ali internih aktov?
 
ZEKom-1 se nanaša na shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika in kot tak ne ločuje med tem, ali gre za intranet ali internet, temveč je bistveno, ali gre za javno dostopno komunikacijsko storitev. Pojma naročnik in uporabnik se namreč glede na definicije ZEKom-1 nanašata na uporabo javno dostopnih elektronskih komunikacijskih  storitev. Če intranet integrira vsebine, ki so tudi sicer javno dostopne in ki shranjujejo podatke ali pridobivajo dostop do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, zato v takšnih primerih veljajo ista pravila kot za spletne strani. Če intranet ne vključuje javno dostopnih elektronskih komunikacijskih storitev (in vsebuje zgolj zaprte aplikacije, kot so npr. evidenca delovnega časa, interni portal za izmenjavo dokumentov in podobno), potem menimo, da se zahteve glede piškotkov ne nanašajo na tak primer intraneta. Privolitve sicer lahko pridobite tudi v okviru internih aktov oz. zaposlitvenih pogodb, a morate biti pozorni na omejitve delovnopravne zakonodaje, torej, da se ne obdeluje več podatkov, kot je to potrebno za izvajanje pogodbe o zaposlitvi in da privolitev ni izsiljena ali pogojevana. Tehnične implementacije so zato posledično verjetno primernejše kot pridobivanje privolitev s pomočjo internih aktov ali pogodb, saj posameznika ne smete prisiliti v strinjanje s piškotki.

9. Ali lahko zaupam vsem ponudnikom rešitev za piškotke, katerih ponudbe prejemam?

Prejeli smo oglase, kjer nam različni ponudniki oglašujejo svoje rešitve za zagotovitev skladnosti z zakonodajo glede piškotkov. Nekateri opozarjajo na zelo visoke kazni in trdijo, da so njihove rešitve popolnoma skladne z zakonodajo. Se lahko zanesemo na te ponudnike?

Informacijski pooblaščenec želi upravljavce spletnih strani posebej opozoriti, da se v zadnjem času pojavljajo številni ponudniki, ki želijo z zastraševanjem predvsem malih upravljavcev poskrbeti za lastno korist. Pri tem se poslužujejo različnih nepoštenih prijemov in praks, med katerimi so tudi takšni, ki zavajajo glede zagroženih sankcij ali skladnosti svojih rešitev, zahteve zakonodaje pa sprevrženo označujejo za plenilske.

Informacijski pooblaščenec poudarja, da je mogoče skladnost določene implementacije potrditi samo v inšpekcijskem postopku. Glede sankcij pojasnjujemo, da Informacijski pooblaščenec kot prekrškovni organ lahko izreče le globo v najnižjem predpisanem znesku, višje pa lahko odredi le sodišče. Prav tako je od okoliščin posameznega primera odvisno, ali bo dejansko izrečena globa, saj se pod pogoji, ki jih določa zakon o prekrških, lahko določi tudi opomin ali opozorilo. 

Vsem upravljavcem spletnih strani zato svetujemo naj ne nasedajo pompoznim in zavajajočim ponudbam in naj se pred odločitvijo za zunanje ponudnike ustrezno informirajo o dejanskih zahtevah zakonodaje ter trezno ocenijo, ali je ponudnik zaupanja vreden ali pa gre zgolj za takšnega, ki želi pridobiti stranke z nepoštenimi prijemi. Ponudnikom, ki se jasno ne identificirajo in katerih lastne spletne strani nimajo nobenih obvestil o piškotkih ali izjav o varovanju zasebnosti, je verjetno težko zaupati.

10. Kako je s privolitvijo preko brskalnikov?

Zakaj morajo zahteve zakonodaje implementirati spletne strani, če pa bi lahko uporabniki v brskalniku nastavili, da ne želijo piškotkov? Zakaj EU ne pritiska na brskalnike namesto na spletne strani?

ZEKom-1 dopušča, da je privolitev lahko dana tudi preko nastavitev v brskalniku ali v drugih primernih aplikacijah, vendar pa le, če je to tehnično izvedljivo in učinkovito ter v skladu z zakonom, ki ureja varstvo osebnih podatkov. Trenutno noben brskalnik, niti ne druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev uporabnikov. Ena od težav je, da noben brskalnik privzeto ne blokira vseh piškotkov, pač pa privzeto dovoljuje vse piškotke. Ker je piškotek lahko naložen šele po tem, ko uporabnik izjavi svojo voljo, trenutne rešitve v brskalnikih torej ne zadovoljujejo zakonskih kriterijev. Prav tako brskalniki še ne omogočajo različnih nastavitev za različne piškotke. Omogočajo le, da blokirate piškotke tretjih strani, ne glede na to, kako bo to vplivalo na delovanje strani.

V prihodnosti pričakujemo, da bodo tudi v okviru brskalnikov na voljo ustrezne možnosti za pridobivanje soglasja od uporabnikov. Taka rešitev bi bila s stališča uporabnikove izkušnje najbolj zaželena. Trenutno potekajo pogovori in pogajanja glede ne-sledi-mi standarda (do-not-track). S tem orodjem bi lahko uporabnik spletnim stranem javljal svojo željo, da mu ne sledijo. Da pa bi bilo tako orodje skladno z evropsko zakonodajo, bi morali imeti brskalniki privzeto vključeno nastavitev ne-sledi-mi. Informacijski pooblaščenec bo te smernice po potrebi posodabljal in vključeval morebitne nove informacije s tega področja.

Standard razvija mednarodni konzorcij W3C, v katerem sodelujejo vsi brskalniki, več si lahko preberete na spletni strani www.w3.org. Standard je v razvoju že od leta 2011, a konzorcij do sedaj še ni uspel zaključiti razvoja in predstaviti standarda, ki bi bil lahko uporabljen globalno. Ker standarda do-not-track še ni, po zadnjih informacijah ga v kratkem niti ni realno pričakovati, se uporabniki ne morejo zanašati na brskalnike. EU razvoj standarda podpira, a žal nima vpliva na delovanje konzorcija in na to, kdaj bodo brskalniki sami pripravljeni predstaviti rešitev, ki bo resnično omogočala upravljanje s piškotki. S stališča EU zakonodaje bi bil močan standard ne-sledi-mi vsekakor boljši kot implementacije na vsaki strani posebej, a je to žal vprašanje, na katero lahko podajo odgovor le brskalniki sami.

11. Kako bo Informacijski pooblaščenec izvajal nadzor?

Kako bo Informacijski pooblaščenec preverjal, ali spletna stran krši pravila o piškotkih? Kakšne dokaze naj bi spletna stran imela, da so posamezniki podali privolitve?

Informacijski pooblaščenec poudarja, da je za dokazovanje ustrezne rabe piškotkov glede na določbe ZEKom-1 bistven mehanizem obvestil in/ali privolitve, ki ga spletna stran zagotavlja. Informacijski pooblaščenec bo tako predvsem na sistemski ravni preverjal, ali spletna stran uporabnike pravilno obvešča o uporabi piškotkov in ali v primeru določenih piškotkov ustrezno pridobiva privolitve. V primeru, da obvestilo ali mehanizem za privolitev ne delujeta ustrezno, to pomeni kršitev po ZEKom-1.

12. Ali veljajo določbe glede spletnih piškotkov tudi za sledenje uporabnikom spleta s prstnim odtisom uporabnikove naprave ali z drugimi podobnimi tehnologijami? 

Da je uporabnikom prek spleta mogoče slediti tudi brez uporabe piškotkov ali podobnih tehnologij, ki se naložijo na uporabnikovo napravo, ter tako omogočajo prepoznavanje, je znano že dlje časa. Vse bolj se namreč razvija sledenje preko prstnega odtisa naprave (angl. device fingerprinting) oz. brskalnika (angl. browser fingerprinting), kjer na uporabnikovo napravo ni naložena nobena datoteka, pač pa sledilec uporabnika prepozna in mu sledi na podlagi edinstvene kombinacije različnih informacij, ki jih ta naprava (računalnik, telefon, tablica, igralna konzola, pametni TV, brskalnika) oddaja med brskanjem po spletu. To so lahko npr. informacije o nastavitvah naprave, operacijskem sistemu in brskalniku, IP naslovu, informacije o nastavitvah ure, nameščenih pisavah, Java Script nastavitvah, informacije o vtičnikih, ipd. Na podlagi skupka teh informacij je mogoče točno določeno napravo, in s tem tudi njenega uporabnika, prepoznati ter podatke uporabiti za namen izdelave analitike, ciljno oglaševanje, ipd.

Vplivi na zasebnost in varstvo osebnih podatkov so pri sledenju na podlagi prstnega odtisa naprave daljnosežni, saj se uporabnik takemu sledenju praktično  ne more izogniti, še posebej v času razvoja interneta stvari, kjer bo vse več naprav povezanih na internetno omrežje (pametni števci, bela tehnika, ipd). Informacij o napravi in njenih konfiguracijah namreč ni mogoče enostavno spreminjati ali preprečiti njihovega spremljanja.

Kot poudarja Delovna skupina za varstvo podatkov iz člena 29 v svojem mnenju   mora biti tudi sledenje prek prstnega odtisa naprave, enako kot sledenje preko piškotkov in podobnih tehnologij, skladno s 3. odstavkom 5. člena Direktive o zasebnosti v elektronskih komunikacijah in torej s 157. členom Zakona o elektronskih komunikacijah, saj  gre pri takem sledenju nedvomno za pridobivanje informacij o uporabnikovih napravah. Zmotno je prepričanje, da sledenje na takšen način omogoča izogib pravilom, ki veljajo glede spletnih piškotkov.

Za sledenje uporabnikom na podlagi prstnega odtisa naprave je torej potrebna vnaprejšnja informirana privolitev uporabnika naprave, enako kot pri uporabi piškotkov. Privolitev ni potrebna le, kadar gre za eno od izjem iz 157. člena ZEKom-1, če je torej pridobivanje informacij z uporabnikove naprave:

•    nujno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju,
•    ali če je nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.