Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Piškotki - odgovori na pogosta vprašanja

+ -

1. Kaj če spletna stran strinjanje s piškotki zahteva kot pogoj za uporabo spletne strani?

Ali v praksi že obstaja kakšna uporabna spletna stran (kjerkoli, ne samo Slovenija), ki bi uporabniku omogočala zavrniti določene skupine piškotkov (npr. oglaševalske), odvisno od namena posameznih piškotkov, še vedno pa bi omogočala uporabo strani in ostalih piškotkov na strani (npr. jezik uporabnika)?

Primerov je na tujih spletnih straneh precej.

2. Kako omogočiti uporabniku, da spremeni svoje nastavitve za piškotke?

Kot ste zapisali v smernicah, mora biti uporabniku vedno ponujena možnost, da naknadno spremeni nastavitve piškotkov. Upravljanje s piškotki omogočajo vsi spletni brskalniki. Ali je dovolj, da v pogojih uporabe zapišemo, da lahko nastavitve piškotkov spremeni tam?

Trenutno noben brskalnik, niti ne druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev ali spremembo nastavitev glede piškotkov. Težava je v tem, da brskalniki še ne omogočajo različnih nastavitev za različne piškotke. Če bi uporabnik želel spremeniti nastavitev za en piškotek, bi to veljalo za vse piškotke, tudi tiste, ki spadajo pod izjeme in so potrebni za delovanje spletne strani.

Ali je dovolj, če za naknadno odstranitev samih piškotkov iz uporabniške naprave (potem ko se je uporabnik strinjal z uporabo) napišem navodila kako si  uporabnik lahko sam odstrani piškotke z naprave. Ali je potrebno zagotoviti mehanizem, ki bo pobrisal piškotek iz uporabniške naprave. Meni osebno se zdi ta druga metoda bolj sporna, saj mehanizem posega po uporabniški napravi tako, da briše podatke (v tem primeru sicer lastni piškotek)?

Kot pojasnjujemo v smernicah, mora biti uporabnikom na voljo možnost, da si glede piškotkov, ki niso potrebni za delovanje spletne strani premislijo in spremenijo svoje nastavitve. Zato je zelo pomembno, da je na vaši spletni strani vedno na voljo vidna informacija, kje lahko uporabnik spremeni svoje nastavitve. Uporabnika lahko obvestite o tem, da s spremenjenimi nastavitvami stran morda ne bo delovala tako, kot želi.

Upravljavec spletne strani v primeru, da uporabnik prekliče privolitev, ne sme več shranjevati podatkov na uporabnikovo opremo ali pa na tak način pridobivati dostop do podatkov, shranjenih na opremi uporabnika. Tehničnega načina, na katerega je to mogoče zagotoviti (z brisanjem lastnih piškotkov ali ne), zakonodaja ne predpisuje, pač pa je odgovornost na upravljavcu spletne stran, da primerno zagotovi delovanje skladno z zakonom.

3. Kdaj in kako pridobiti soglasje od uporabnika?

Smernice in zakon se pri uporabi piškotkov vedno navezujejo na uporabnika. Znano je, da se preko spleta uporabnika ne da popolnoma identificirati. Za identifikacijo se lahko uporabijo piškotki ali IP naslov računalnika. Če uporabnik uporablja več različnih naprav, se ga prav zaradi teh tehničnih omejitev ne da natančno slediti. Ali lahko uporabniku v primeru, da na eni napravi privoli v uporabo piškotkov, namestimo piškotke tudi na drugi napravi, če ugotovimo, da gre za istega uporabnika?

Če upravljavec spletnega mesta lahko zagotovo določi enega uporabnika preko različnih naprav, njegova privolitev ob eni priložnosti lahko velja preko različnih naprav, do morebitnega preklica.

Ali je potrebno v primeru, da ima podjetje več spletnih strani, od uporabnika dobiti soglasje za vsako spletno stran posebej? Ali to velja tako za poddomene (npr www.aaa.si in blog.aaa.si) kot tudi za različne domene (npr www.aaa.si in www.bbb.si)?

Upravljavec lahko pridobi privolitve enkrat, tako v primeru poddomen kot v primeru različnih domen. Pri slednjih pa je pomembno, da je uporabnik natančno obveščen, za katere različne domene privolitev velja.

Ali je treba obdelati vse poznane tehnologije, ki se lahko uporabljajo za hrambo v terminalski opremi uporabnika?

Zakonodaja je tehnološko nevtralna, torej morate razumno upoštevati tehnologije, ki se za ta namen uporabljajo.

Ali je kjerkoli določeno, kakšno veljavnost lahko ima piškotek, ki ga namestimo v brskalnik po tem, ko je uporabnik dovolil uporabo? Če res želimo zaščititi uporabnike, mora biti veljaven le za čas trajanja seje (obiska) in nič več.

Kot pojasnjujejo smernice, zakonodaja določa, da upravljavci spletnih strani smejo uporabljati piškotke ali druge tehnologije za to, da shranjujejo podatke na uporabnikovo opremo ali pa na tak način pridobivajo dostop do podatkov, shranjenih na opremi uporabnika, le, če se uporabnik s tem strinja in če so mu bile vnaprej ponujene vse informacije glede take obdelave njegovih podatkov, kot to določata Zakon o varstvu osebnih podatkov-2 in Splošna uredba o varstvu podatkov.

Zakonodaja ne razrešuje vprašanja več uporabnikov, ki si morda delijo isto napravo. Če si več uporabnikov deli isto napravo in upravljavec spletne strani ne razločuje med uporabniki (npr. nimajo vsak svojega uporabniškega računa ali podobno), potem je upravičena  domneva, da gre za enega uporabnika, od katerega mora pridobiti soglasje v primeru določenih piškotkov. Če pa spletna stran lahko loči uporabnike med sabo, potem je privolitev potrebno pridobiti od vsakega uporabnika.

Ali je obvezno, da v besedilu, kjer razlagamo uporabo piškotkov, navedemo celotno tabelo uporabljenih piškotkov? Ali pa je dovolj, da se piškotki zgolj opišejo (npr. uporabljamo sejne piškotke + opis, trajne piškotke + opis, analitične piškotke + opis, piškotke, vezane na socialne vtičnike + opis)? Pri nobeni od naših rešitev ne uporabljamo invazivnih piškotkov, npr. oglaševanja tretjih partnerjev ipd., temveč zgolj za delovanje obvezne piškotke ter dovoljene izjeme.

Potrebno je navesti vsak posamezen piškotek, njegov namen in trajanje.

Ali mora biti rešitev takšna, da se po 15.6.2015 izbrišejo vsi že parmanentni piškoti (sploh npr. registriranim uporabnikom) ali se lahko tudi tem uporabnikom prikaže obvestilo, kjer se jih vpraša, ali ga morda želijo izbrisati?

Po 15. 6. 2013 je uporaba nekaterih piškotkov dovoljena le na podlagi uporabnikovega soglasja. Od tega dne dalje mora uporabnik pri takih piškotkih prejeti obvestilo in imeti možnost privoliti. Pri piškotkih, ki so že naloženi pri uporabniku pa velja, da upravljavec spletne strani po tem datumu brez soglasja ne sme pridobivati ali obdelovati podatkov o uporabniku na podlagi piškotka. Tehnična implemetacija je v vaših rokah, bodisi lahko piškotke izbrišete (če je to z vaše strani mogoče) ali pa blokirate njiovo nadaljnje branje oz. uporabo pri uporabnikih, ki niso podali privolitve.

Ali je potrebno obiskovalca strani obvestiti o piškotkih, tudi če ti po končani seji potečejo in so samo nujni za delovanje strani? Če uporabljate le piškotke, ki spadajo med izjeme, zanje ni potrebna privolitev posameznika, a jih morate vseeno navesti na določenem mestu v okviru vaše spletne strani (npr. v okviru izjave o zasebnosti, pogojev delovanja, ipd.). Navesti morate imena piškotkov, njihovo trajanje ter namene, za katere so uporabljeni.

4. Kako je s spletnimi stranmi iz tujine ali v tujih jezikih?

Ali je v primeru, ko je spletna stran prevedena v različne jezike in cilja različne države, potrebno upoštevati smernice na vseh jezikovnih različicah? Če je spletna stran v nemškem jeziku in cilja nemški trg, verjetno zanjo veljajo nemške smernice in nemška zakonodaja? 

Veljavnost zakonodaje je predvsem odvisna od države, v kateri je ustanovljen upravljavec spletnega mesta, ki ga primarno zavezuje njegova lokalna zakonodaja. V primeru, da s svojo storitvijo nastopa tudi na trgih drugih držav (v lokalnem jeziku, cilja na lokalne uporabnike), pa mora do določene mere vsekakor upoštevati tudi zakonodajo druge države. Splošna uredba o varstvu podatkov, ki jo je mogoče uporabiti tudi na področju piškotkov, tako določa, da se evropsko pravo uporablja tudi kadar upravljavec ni ustanovljen v državi članici, pač pa tam uporablja opremo. 

Če je lastnik spletne strani iz Slovenije, pa cilja s spletno stranjo na druge države EU, je dobro preveriti, ali ne veljajo morda v drugi državi članici kaki posebni predpisi ali smernice glede privolitve v piškotke. Načeloma pa enaka pravila glede piškotkov veljajo preko celotne EU in mora biti v vseh državah uporabnik obveščen o piškotkih. Odločitev, ali bo obvestilo prevedano, če je stran namenjena  drugemu trgu, pa je na lastniku spletne strani. Prevedeno obvestilo je prijaznejše do uporabnika.

Če pa gre za državo, ki zakonodaje o piškotkih ne pozna, torej izven EU, niti tam ne velja evropska zakonodaja, pa je upravljavec/lastnik spletne strani ustanovljen v Sloveniji, ga strogo gledano vseeno veže slovenska zakonodaja, čeprav uporabniki na drugem trgu morda obvestil o piškotkih ne pričakujejo in ne poznajo. Odločitev o prevajanju je na strani lastnika spletne strani. 

Ali se zakon nanaša le na slovenske spletne strani ali slovenske uporabnike? Ali se lahko v primeru, če zaznamo, da uporabnik prihaja iz tujine (tuj IP), izognemo prikazovanju obvestila o piškotkih?

Slovenska zakonodaja velja za upravljavca, ki je ustanovljen v Sloveniji ali uporablja opremo na območju Slovenije, ne glede na to, od kod so njegovi uporabniki.

Kaj ta nova pravila morebiti pomenijo za tuje spletne strani, do katerih dostopajo slovenski internetni uporabniki?

Za spletne strani iz Evrope veljajo enaka pravila kot v Sloveniji, saj evropska direktiva, ki ureja piškotke, velja v vseh državah članicah. V primeru kršitve s strani spletnega mesta iz druge evropske države se uporabnik lahko obrne na Informacijskega pooblaščenca, mi pa bomo zadevo predali kolegom iz države, kjer je ustanovljen upravljavec. Evropska zakonodaja velja tudi za upravljavce, ki niso ustanovljeni v Evropi, pa s svojo storitvijo nastopajo tudi na trgih držav članic EU (v lokalnem jeziku, ciljajo na lokalne uporabnike).  Katere države EU so že uvedle podobna pravila?

Sprememba Direktive o zasebnosti v elektronskih komunikacijah, ki se nanaša na piškotke, je bila sprejeta leta 2009 in velja v vseh državah članicah EU. V nacionalno zakonodajo so jo morale prenesti vse države članice do maja 2011. 

5. Ali morajo pisci blogov tudi upoštevati nova pravila?

Kaj uvedba novih pravil pomeni za pisce spletnih blogov, ki gostujejo na Wordpressu ali kakšni drugi storitvi - torej za blogerje, ki pač imajo blog pri nekem domačem ali tujem ponudniku platforme za bloge, ki pa je blogerji sami ne upravljajo na ravni tega, kateri piškotki se na njej uporabljajo?

Kot pojasnjujemo v smernicah o uporabi piškotkov, ima dolžnost zagotavljanja skladnosti z zakonodajo predvsem tisti, ki piškotek naloži, oz. prebere. Če je to ponudnik storitve bloga, potem je dolžnost primarno na njegovi strani. Če pa uporabnik te storitve – pisec bloga - uporablja piškotke, ali morda storitve tretjih strank, ki postavljajo piškotke (npr. vtičniki družbenih medijev za deljenje vsebin), potem tudi on nosi odgovornost za piškotke, ki jih omogoča na svojem blogu, neodvisno od ponudnika storitve bloga.

6. Kakšne so sankcije za nespoštovanje pravil?

Se kot kršitev smatra spletna stran, ki ne ustreza spremembam v zakonu? Ali pa se morda kot kršitev smatra vsak posameznik, ki bo prek strani prejel piškotek, brez da bi to prej dovolil? V tem primeru bi potem stran, ki ne ustreza zakonu in je piškotek v enem dnevu namestila 100 obiskovalcem smatrala kot 100 kršitev, ki bo vsaka kaznovana in obravnavana posamično?

Zakon velja za vse spletne strani, ki uporabljajo piškotke, ne glede na tip ali doseg. Kazenska določba je vezana na spletno stran in ne na število posameznikov, ki prejmejo piškotek.

Višina sankcije v primeru prekrška je določena glede na velikost pravne osebe, ki je lastnik spletne strani (velika ali srednja gospodarska družba od 1000 do 20000 eur), zakon pa določa tudi sankcijo za manjšo pravno osebo ali samostojnega podjetnika (200 do 1000 eur), oziroma odgovorno osebo (100 do 500 eur).

301. člen Zakona o elektronskih komunikacijah -2 določa sankcijo tudi za posameznika, ki krši pravila o piškotkih: od 300 do 1000 Evrov.

V prekrškovnem postopku lahko Informacijski pooblaščenec izreče le najnižjo predpisano mero globe. V primeru pomanjkljivosti nadzornik najprej odredi, kaj mora spletna stran popraviti, če je ugotovljen prekršek pa lahko glede na okoliščine prekrška izreče opozorilo, opomin ali globo v najnižjem znesku.

7. Kako je z vsebinami tretjih strank na izvorni spletni strani? 

Kako je z odgovornostjo za spremembe piškotkov tretje stranke, in kako z odgovornostjo za piškotke ki prihajajo iz "drugega kolena" tretjih strank in "naslednjih kolen"? V praksi je to zelo težko nadzorovati, če vključimo količkaj vsebin iz drugih strani.

Kot pojasnjujemo v smernicah, imata določne odgovornosti tako izvorna spletna stran kot tudi tretja stran. Tretja stran (ali katera koli od njihovih nadaljnjih tretjih strani) bo od uporabnika težje neposredno pridobila privolitev, saj ni nujno, da ima neposredni stik z njim. Neposredni stik pa ima vedno izvorna spletna stran, ki ima tako tudi boljšo priložnost, da uporabnika obvesti o uporabi storitev tretjih strani in pridobi privolitev. Izvorna spletna stran je tista, ki v svoji storitvi dopušča udeležbo tretjih in kot taka ima jasno odgovornost glede pravic svojih uporabnikov. Svetujemo vam pregled piškotkov, ki se naložijo na uporabnikovo napravo ob obisku vaše spletne strani. Uporabnike morate o teh piškotkih (ne glede na to, od katere tretje strani prihajajo) obvestiti in če to niso piškotki, ki spadajo med izjeme, pridobiti privolitve uporabnikov. Kako uporabnike obvestite in kako pridobite privolitev si lahko prebere v smernicah in dodatnem mnenju Informacijskega pooblaščenca. 

Spletna stran vsebuje povezave, ki ob izbiri brez opozorila (tiho) preusmerijo na druge spletne strani, ki brez opozorila postrežejo s kupom "cookijev" (google analytics in php session id). Kdo je odgovren za te piškotke, izvorna spletna stran, ki vsebuje povezave?

Informacijski pooblaščenec meni, da tihe povezave na druga spletna mesta na splošno niso priporočljive s stališča informiranosti posameznika in v nekateri primerih s stališča varnosti.

Glede piškotkov, ki jih nalagajo spletne strani, do katerih je mogoče dostopati preko povezav, pa menimo, da je izvorna spletna stran, ki povezave vključuje, za piškotke spletnih strani na povezavah odgovorna le v primeru, da bi te uporabljale svoje piškotke še preden uporabnik klikne na povezavo in je preusmerjen na drugo spletno stran (torej ko se še vedno giba na izvorni spletni strani). V primeru, da temu ni tako, in da vključene povezave ne generirajo nobenih piškotkov, dokler posameznik ne klikne nanje, menimo, da je odgovornost za skladnost z zakonodajo na vsaki spletni strani posebej, torej mora biti uporabnik po tem, ko klikne na povezavo in pristane na spletni strani B skladno z zakonom obveščen o piškotkih in mora spletna stran B od njega pridobiti potrebne privolitve. 

Informacijski pooblaščenec nima pristojnosti predpisovanja ali potrjevanja posameznih tehničnih rešitev, v pomoč pri oblikovanju teh so vam lahko pojasnila zahtev zakonodaje v smernicah.  

Ali je način, na katerega Facebook pridobiva soglasje uporabnikov za namestitev piškotkov (ob registraciji uporabnik potrdi, da sprejema Data Use Policy, vključno z Cookie Use, pri čemer so na drugi povezavi natančno razloženi način uporabe piškotkov in nameni obdelave zbranih podatkov), skladen z ZEKom-1, ali pa mora ponudnik, ki na svoje spletno mesto doda Facebook vtičnik, od uporabnikov posebej pridobiti soglasje za Facebookove piškotke? Če velja to drugo, ali zadostuje, da ponudnik pri namenih obdelave podatkov zagotavlja povezavo na zgoraj navedene Facebookove opise?

Facebook lahko pridobi privolitve le za svoje registrirane člane. Pri uporabnikih, ki niso člani Facebooka, pa se spletna stran, ki uporablja vtičnik, ne more zanašati na to, da je privolitve že pridobil Facebook in mora  posledično za skladnost z zakonodajo poskrbeti upravljavec spletne strani. Upravljavec mora navesti najmanj namene uporabljanih piškotkov, npr. "piškotki za to, da delujejo vtičniki družbenih medijev". V podrobnejšem opisu piškotkov je lahko navedena povezava na pojasnila ponudnika. 

8. Za koga in v katerih primerih velja zakonodaja?

Glede na ogromno število spletnih strani, kjer tega nisem zasledil, me zanima, ali je obveščanje o uporabi piškotkov striktno določeno za vse, ali obstajajo izjeme? Za majhne spletne strani, ki se trudijo na prostovoljni bazi in ki niso odvisne od finančnih sredstev, je težko dobiti strokovnjaka za programiranje in implementiranje takih sprememb v kodo.

Novo zakonodajo morajo upoštevati tiste spletne strani, ki uporabljajo piškotke oz. druge podobne tehnologije ali pa imajo vključene storitve tretjih, ki morda uporabljajo piškotke, ne glede na velikost ali doseg. Če spletna stran piškotkov ne uporablja, zakonodaja zanjo ne velja.  

Ali je potrebno z zahtevo uskladiti tudi specializirane storitve, namenjene ozkemu krogu uporabnikom (npr. aplikacijo za prijavo napak za stranke), ki uporabljajo spletne tehnologije?

Zakonodaja se uporablja kjerkoli gre za shranjevanje podatkov na uporabnikovo napravo ali pridobivanje podatkov shranjenih na njej, čeprav ne gre za klasične spletne strani.

Kot izvajalci številnih spletnih mest, bo pri kar nekaj naročnikih/strankah treba implementirati ta zakon. Ker vsak naknaden poseg v stran stane… me zanima sledeče… Kaj če stranka zavrne ta poseg? Koga potem lahko doleti kazen ? Kako se v primeru zavrnitve lahko zaščitimo mi, izvajalci, pa čeprav smo stranke seznanili in opozorili na to zadevo, a je vseeno odklonila?

Odgovornost za skladnost z novo zakonodajo je na strani upravljavca spletne strani (lastnika) in ne na strani morebitnih izvajalcev gostovanja, urejanja, kreiranja, ipd.  Upravljalec spletne strani je torej tisti, ki mora presoditi, kakšen poseg je potreben zato, da bo njegova spletna stran, oz. uporaba piškotkov skladna z zakonodajo. 

Ali direktiva glede uporabe piškotov velja tudi za intranet strani? Ali se v teh primerih lahko 'privolitev' uredi v sklopu zaposlitvenih pogodb ali internih aktov?
 
ZEKom-2 se nanaša na shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika in kot tak ne ločuje med tem, ali gre za intranet ali internet, temveč je bistveno, ali gre za javno dostopno komunikacijsko storitev. Pojma naročnik in uporabnik se namreč glede na definicije ZEKom-2 nanašata na uporabo javno dostopnih elektronskih komunikacijskih  storitev. Če intranet integrira vsebine, ki so tudi sicer javno dostopne in ki shranjujejo podatke ali pridobivajo dostop do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, zato v takšnih primerih veljajo ista pravila kot za spletne strani. Če intranet ne vključuje javno dostopnih elektronskih komunikacijskih storitev (in vsebuje zgolj zaprte aplikacije, kot so npr. evidenca delovnega časa, interni portal za izmenjavo dokumentov in podobno), potem menimo, da se zahteve glede piškotkov ne nanašajo na tak primer intraneta. Privolitve sicer lahko pridobite tudi v okviru internih aktov oz. zaposlitvenih pogodb, a morate biti pozorni na omejitve delovnopravne zakonodaje, torej, da se ne obdeluje več podatkov, kot je to potrebno za izvajanje pogodbe o zaposlitvi in da privolitev ni izsiljena ali pogojevana. Tehnične implementacije so zato posledično verjetno primernejše kot pridobivanje privolitev s pomočjo internih aktov ali pogodb, saj posameznika ne smete prisiliti v strinjanje s piškotki.

9. Ali lahko zaupam vsem ponudnikom rešitev za piškotke, katerih ponudbe prejemam?

Prejeli smo oglase, kjer nam različni ponudniki oglašujejo svoje rešitve za zagotovitev skladnosti z zakonodajo glede piškotkov. Nekateri opozarjajo na zelo visoke kazni in trdijo, da so njihove rešitve popolnoma skladne z zakonodajo. Se lahko zanesemo na te ponudnike?

Informacijski pooblaščenec želi upravljavce spletnih strani posebej opozoriti, da se v zadnjem času pojavljajo številni ponudniki, ki želijo z zastraševanjem predvsem malih upravljavcev poskrbeti za lastno korist. Pri tem se poslužujejo različnih nepoštenih prijemov in praks, med katerimi so tudi takšni, ki zavajajo glede zagroženih sankcij ali skladnosti svojih rešitev, zahteve zakonodaje pa sprevrženo označujejo za plenilske.

Informacijski pooblaščenec poudarja, da je mogoče skladnost določene implementacije potrditi samo v inšpekcijskem postopku. Glede sankcij pojasnjujemo, da Informacijski pooblaščenec kot prekrškovni organ lahko izreče le globo v najnižjem predpisanem znesku, višje pa lahko odredi le sodišče. Prav tako je od okoliščin posameznega primera odvisno, ali bo dejansko izrečena globa, saj se pod pogoji, ki jih določa zakon o prekrških, lahko določi tudi opomin ali opozorilo. 

Vsem upravljavcem spletnih strani zato svetujemo naj ne nasedajo pompoznim in zavajajočim ponudbam in naj se pred odločitvijo za zunanje ponudnike ustrezno informirajo o dejanskih zahtevah zakonodaje ter trezno ocenijo, ali je ponudnik zaupanja vreden ali pa gre zgolj za takšnega, ki želi pridobiti stranke z nepoštenimi prijemi. Ponudnikom, ki se jasno ne identificirajo in katerih lastne spletne strani nimajo nobenih obvestil o piškotkih ali izjav o varovanju zasebnosti, je verjetno težko zaupati.

10. Kako je s privolitvijo preko brskalnikov?

Zakaj morajo zahteve zakonodaje implementirati spletne strani, če pa bi lahko uporabniki v brskalniku nastavili, da ne želijo piškotkov? Zakaj EU ne pritiska na brskalnike namesto na spletne strani?

ZEKom-2 dopušča, da je privolitev lahko dana tudi preko nastavitev v brskalniku ali v drugih primernih aplikacijah, vendar pa le, če je to tehnično izvedljivo in učinkovito ter v skladu z zakonom, ki ureja varstvo osebnih podatkov. Trenutno noben brskalnik, niti ne druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev uporabnikov. Ena od težav je, da noben brskalnik privzeto ne blokira vseh piškotkov, pač pa privzeto dovoljuje vse piškotke. Ker je piškotek lahko naložen šele po tem, ko uporabnik izjavi svojo voljo, trenutne rešitve v brskalnikih torej ne zadovoljujejo zakonskih kriterijev. Prav tako brskalniki še ne omogočajo različnih nastavitev za različne piškotke. Omogočajo le, da blokirate piškotke tretjih strani, ne glede na to, kako bo to vplivalo na delovanje strani.

V prihodnosti pričakujemo, da bodo tudi v okviru brskalnikov na voljo ustrezne možnosti za pridobivanje soglasja od uporabnikov. Taka rešitev bi bila s stališča uporabnikove izkušnje najbolj zaželena. Trenutno potekajo pogovori in pogajanja glede ne-sledi-mi standarda (do-not-track). S tem orodjem bi lahko uporabnik spletnim stranem javljal svojo željo, da mu ne sledijo. Da pa bi bilo tako orodje skladno z evropsko zakonodajo, bi morali imeti brskalniki privzeto vključeno nastavitev ne-sledi-mi. Informacijski pooblaščenec bo te smernice po potrebi posodabljal in vključeval morebitne nove informacije s tega področja.

Standard razvija mednarodni konzorcij W3C, v katerem sodelujejo vsi brskalniki, več si lahko preberete na spletni strani 
www.w3.org. Standard je v razvoju že od leta 2011, a konzorcij do sedaj še ni uspel zaključiti razvoja in predstaviti standarda, ki bi bil lahko uporabljen globalno. Ker standarda do-not-track še ni, po zadnjih informacijah ga v kratkem niti ni realno pričakovati, se uporabniki ne morejo zanašati na brskalnike. EU razvoj standarda podpira, a žal nima vpliva na delovanje konzorcija in na to, kdaj bodo brskalniki sami pripravljeni predstaviti rešitev, ki bo resnično omogočala upravljanje s piškotki. S stališča EU zakonodaje bi bil močan standard ne-sledi-mi vsekakor boljši kot implementacije na vsaki strani posebej, a je to žal vprašanje, na katero lahko podajo odgovor le brskalniki sami.

11. Kako bo Informacijski pooblaščenec izvajal nadzor?

Kako bo Informacijski pooblaščenec preverjal, ali spletna stran krši pravila o piškotkih? Kakšne dokaze naj bi spletna stran imela, da so posamezniki podali privolitve?

Informacijski pooblaščenec poudarja, da je za dokazovanje ustrezne rabe piškotkov glede na določbe ZEKom-2 bistven mehanizem obvestil in/ali privolitve, ki ga spletna stran zagotavlja. Informacijski pooblaščenec bo tako predvsem na sistemski ravni preverjal, ali spletna stran uporabnike pravilno obvešča o uporabi piškotkov in ali v primeru določenih piškotkov ustrezno pridobiva privolitve. V primeru, da obvestilo ali mehanizem za privolitev ne delujeta ustrezno, to pomeni kršitev po ZEKom-2..

12. Ali veljajo določbe glede spletnih piškotkov tudi za sledenje uporabnikom spleta s prstnim odtisom uporabnikove naprave ali z drugimi podobnimi tehnologijami? 

Da je uporabnikom prek spleta mogoče slediti tudi brez uporabe piškotkov ali podobnih tehnologij, ki se naložijo na uporabnikovo napravo, ter tako omogočajo prepoznavanje, je znano že dlje časa. Vse bolj se namreč razvija sledenje preko prstnega odtisa naprave (angl. device fingerprinting) oz. brskalnika (angl. browser fingerprinting), kjer na uporabnikovo napravo ni naložena nobena datoteka, pač pa sledilec uporabnika prepozna in mu sledi na podlagi edinstvene kombinacije različnih informacij, ki jih ta naprava (računalnik, telefon, tablica, igralna konzola, pametni TV, brskalnika) oddaja med brskanjem po spletu. To so lahko npr. informacije o nastavitvah naprave, operacijskem sistemu in brskalniku, IP naslovu, informacije o nastavitvah ure, nameščenih pisavah, Java Script nastavitvah, informacije o vtičnikih, ipd. Na podlagi skupka teh informacij je mogoče točno določeno napravo, in s tem tudi njenega uporabnika, prepoznati ter podatke uporabiti za namen izdelave analitike, ciljno oglaševanje, ipd.

Vplivi na zasebnost in varstvo osebnih podatkov so pri sledenju na podlagi prstnega odtisa naprave daljnosežni, saj se uporabnik takemu sledenju praktično  ne more izogniti, še posebej v času razvoja interneta stvari, kjer bo vse več naprav povezanih na internetno omrežje (pametni števci, bela tehnika, ipd). Informacij o napravi in njenih konfiguracijah namreč ni mogoče enostavno spreminjati ali preprečiti njihovega spremljanja.

Kot poudarja Delovna skupina za varstvo podatkov iz člena 29 v svojem mnenju   mora biti tudi sledenje prek prstnega odtisa naprave, enako kot sledenje preko piškotkov in podobnih tehnologij, skladno s 3. odstavkom 5. člena Direktive o zasebnosti v elektronskih komunikacijah in torej s 225. členom Zakona o elektronskih komunikacijah-2, saj  gre pri takem sledenju nedvomno za pridobivanje informacij o uporabnikovih napravah. Zmotno je prepričanje, da sledenje na takšen način omogoča izogib pravilom, ki veljajo glede spletnih piškotkov.

Za sledenje uporabnikom na podlagi prstnega odtisa naprave je torej potrebna vnaprejšnja informirana privolitev uporabnika naprave, enako kot pri uporabi piškotkov. Privolitev ni potrebna le, kadar gre za eno od izjem iz 225. člena ZEKom-2, če je torej pridobivanje informacij z uporabnikove naprave:

•    nujno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju,
•    ali če je nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.