Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 04.11.2015
Naslov: Uporaba lastne analitike brez obvestila o rabi piškotkov
Številka: 0712-1/2015/2793
Vsebina: Svetovni splet
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem navajate, da nameravate na svojo spletno stran dodati orodje za vodenje statistike obiskov Piwik (http://piwik.org/). Navedeno orodje za svoje delovanje uporablja tudi določene piškotke, in sicer za namene ločevanja posameznih obiskovalcev oz. za vodenje podrobnejših statistik o njihovih obiskih.

 

Menite, da gre pri tem za relativno neinvazivno obdelavo osebnih podatkov, ter da bi bilo posledično dopustno navedene piškotke uporabljati tudi brez uporabnikove izrecne privolitve (podobno kot je to pod določenimi pogoji že dopustno s sorodnim orodjem Google Analytics, mnenje IP št. 0712-1/2014/2942 z dne 15.9.2015[i], oz. lastno analitiko na splošno[ii]). Se pravi, Piwikove piškotke se sme naložiti že takoj ob prvem obisku vaše strani, v kolikor se seveda uporabnika potem o njih ustrezno obvesti in v kolikor se mu ponudi možnost naknadne zavrnitve njihove uporabe (opt-out). Zanima vas, ali navedeno stališče drži.

 

V kolikor drži, vas dalje zanima, ali bi se kot zadostno obvestilo uporabniku štela tudi zgolj ustrezna pojasnila v splošnih pogojih, ali pa mu je potrebno pokazati izrecno opozorilo (npr. skozi banner ali popup)?

 

Še dalje vas zanima, ali na vse skupaj kako vpliva okoliščina, da nameravate Piwik postaviti na ločeno domeno (y.si, ne na domeno x.si, kjer gostuje spletna stran), pri čemer pa ste vi upravljavec obeh domen.

 

 

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Piškotke orodja za analizo obiskov spletne strani Piwik je po mnenju IP zavoljo nizke invazivnosti z njimi povezane obdelave osebnih podatkov dopustno uporabljati na podlagi uporabnikove domnevne privolitve (angl. implied consent), tj. na podlagi dejstva, da uporabnik obišče spletno stran.

 

Kot zadostno obvestilo o rabi tovrstnih piškotkov se štejejo tudi zgolj pojasnila v splošnih pogojih uporabe spletne strani oz. na namenski podstrani z več informacijami o piškotkih.

 

Okoliščina, da je orodje postavljeno na ločeno domeno, ne spreminja navedenega mnenja, v kolikor je upravljavec te ločene domene isti subjekt oz. v kolikor ima uporabnik analitike z upravljavcem te ločene domene sklenjeno ustrezno pogodbo o pogodbeni obdelavi osebnih podatkov.

 

Obrazložitev:

 

Uporabo t.i. http piškotkov[iii] ter drugih tehničnih rešitev za shranjevanje oz. pridobivanje podatkov iz terminalske opreme uporabnika[iv] ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B in 54/14 – odl. US, v nadaljevanju ZEKom-1). ZEKom-1 glede tega v 157. členu določa, da je uporaba piškotkov dovoljena šele po tem, ko je uporabnik v to ustrezno privolil, točneje takrat, ko uporabnik v to »privoli[l], [potem] ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov« (1. odst. navedenega člena). Izjema so zgolj piškotki, ki so nujno potrebni za delovanje zahtevane spletne strani, kjer takšno soglasje ni potrebno (2. odst. istega člena). S tem členom Republika Slovenija v svoj pravni red prevzema obveznosti po členu 5(3) Unijine Direktive o zasebnosti in elektronskih komunikacijah[v].

 

Kar zadeva način oz. standard pridobitve uporabnikove privolitve, je IP svoje stališče že podrobneje obrazložil v svojih Smernicah glede uporabe piškotkov (stran 13 in sledeče)[vi], v skupnem stališču s pristojnimi organi drugih držav članic – v okviru Delovne skupine po členu 29[vii], oz. v nekaterih svojih mnenjih na to temo (glej npr. že odkazano mnenje o Google Analytics, št. 0712-1/2014/2942 z dne 15.9.2015[viii] oz. mnenje o MOSS/Gemius piškotkih, št. 0712-1/2013/3578 z dne 27.9.2013[ix]). Ključni elementi veljavne privolitve v piškotke so:

1.     Jasno obvestilo o piškotkih, ki so v uporabi, in njihovemu namenu ter jasno obvestilo o tem, na kakšen način uporabnik poda privolitev.

2.     Neuporaba piškotkov do trenutka privolitve. Dokler uporabnik ne izrazi privolitve, ne smejo biti naloženi nobeni piškotki, razen izjem in pod določenimi pogoji analitičnih piškotkov.

3.     Aktivnost privolitve. Uporabnik mora privolitev podati aktivno – praviloma s klikom na gumb, povezavo, pod določenimi pa lahko že z nadaljnjo aktivno uporabo spletne strani.

4.     Svobodna izbira. Na vstopni strani mora biti uporabniku ponujena resnična in vsebinska izbira med tem, da z aktivnim dejanjem sprejme piškotke oz. jih lahko na vstopni strani zavrne ali preko enostavne povezave spremeni njihovo nastavitev.

 

Navedeni (strožji) standard potrebe po aktivni in predhodni privolitvi uporabnika je bil uveden po l. 2009, s takratno spremembo Direktive o zasebnosti in elektronskih komunikacijah. Prejšnja ureditev iz l. 2002 je namreč zahtevala obveščanje uporabnika in možnost naknadne zavrnitve rabe piškotkov (t.i. opt-out), nova pa zahteva že opisano aktivno in predhodno privolitev (opt-in)[x]. Razlog za takšno vsebinsko spremembo je bil predvsem v vedno širši pojavi uporabe podatkov v naročnikovi terminalski opremi s strani tretjih oseb za najrazličnejše namene, vključno s tistimi, ki »obsegajo neupravičen vdor v [uporabnikovo] zasebnost« (recital št. 66 k novelirni direktivi, glej opombo vi).

 

Spričo takšnega namena člena 5(3) direktive oz. posledično tudi 157. člena ZEKom-1 je IP v svojih dosedanjih stališčih navedeni standard aktivne in predhodne privolitve (tudi »izrecne privolitve«) štel za potreben zlasti za uporabo piškotkov, povezanih z oglaševalskimi, sledilnimi in drugimi za uporabnikovo zasebnost bolj invazivnimi nameni.

 

Medtem pa IP za »manj invazivne piškotke«, ki so »nizko invaziv[ni] v smislu posega v posameznikovo zasebnost in ni[so] uporabljen[i] za namen grajenja profilov«, dopušča tudi (blažji) standard t.i. domnevne privolitve, kjer je kot uporabnikovo aktivno privolitev mogoče šteti že sam obisk spletne strani, seveda pod pogojem, da je uporabnik strani potem ustrezno obveščen o rabi piškotkov na spletni strani (glej že odkazani mnenji). Kot kategorijo piškotkov, kjer bi bila domnevna privolitev primerna, posebej izpostavljamo zlasti analitične piškotke, tj. »različne piškotke, uporabljene za namen merjenja obiska spletne strani in učinkovitosti, vendar le kadar je njihov namen strogo omejen in podatki niso nadalje uporabljeni za druge namene, kot je npr. vedenjsko oglaševanje, profiliranje, zbiranje in obdelava podatkov o preferencah uporabnika«. Takšna raba analitike namreč (in vsaj v zasebnem sektorju) povzroča minimalne posege v interese posameznih obiskovalcev, medtem ko upravljavcu spletne strani priskrbi potrebne in že agregirane podatke za potrebe vodenja spletne strani in za razreševanje morebitnih tehničnih težav, ki bi se lahko pri tem pojavile.

 

IP mora zatorej preveriti, ali je obdelave obiskovalčevih podatkov, ki jih s pomočjo piškotkov izvaja analitika Piwik, mogoče šteti za nizko invazivne v gornjem smislu.

 

Pri tem IP ob pregledu dokumentacije[xi] ter izvorne kode[xii] analitičnega orodja Piwik uvodoma ugotavlja, da  Piwik uporablja štiri oz. 5 piškotkov (glej opombo I), in sicer:

1.     piškotek _pk_id, v katerega se ob prvem obisku do Piwika namesti uporabnikov enolični identifikator, s pomočjo katerega lahko Piwik sledeče obiske pripiše prav temu uporabniku ter pripravlja statistike števila unikatnih obiskovalcev;

2.     piškotek _pk_ses, s pomočjo katerega Piwik identificira zaporedne obiske v eni uporabniški seji (trajajoče največ 30 minut) in s tem pripravlja statistike povprečnega števila obiskov oz. preživetega časa na strani po obiskovalcu;

3.     piškotek _pk_ref, v katerega Piwik shrani identifikator spletne strani ali drugega medija, s katerega je prišel konkretni obisk na dano spletno stran (t.i. referer), zato da lahko pripravi podrobnejše statistike uspešnosti posameznih promocijskih akcij (angl. campaings);

4.     piškotek _pk_cvar, ki omogoča upravljavcu spletne strani, da za posamezne zahtevke nastavi dodatne vrednosti in z njimi še podrobneje kategorizira posamezne obiske na dano spletno stran[xiii];

5.     piškotek piwik_ignore, ki se nastavi, če uporabnik prepove rabo Piwik analitike[xiv].

 

Vsi ti piškotki so vezani na posamezno spletno stran oz. spletišče in služijo pripravi analiz obiska tega spletišča (kot so štetje obiskov v posameznih časovnih obdobjih, geografski in tehnični podatki o obiskovalcih (po državah, platformah, operacijskih sistemih, resolucija zaslona), preživetem času na spletni strani (angl. engagement), seznami najbolj obiskanih strani oz. prenesenih datotek, uspešnostjo posameznih promocijskih akcij, idr.)[xv]. Priprava teh analiz je mogoča skozi Piwikov zaledni vmesnik (angl. dashboard).

 

IP dalje ugotavlja, da Piwik podpira še določene dodatne nastavitve zasebnosti[xvi], ki jih je mogoče vklopiti na navedenem zalednem vmesniku, in sicer avtomatizirano anonimizacijo uporabnikovega IP-ja (z brisanjem vsaj zadnjih 8 bitov IPv4 IP naslova), avtomatizirano brisanje surovih dnevnikov obiska po določenem obdobju (priporočamo največ 6 mesecev), pri čemer se rezultati analiz seveda ohranijo; ter vklop možnosti za naknadni umik privolitve v obdelavo uporabnikovih podatkov za analitične namene (opt-out).

 

Še dalje IP ugotavlja, da je navedena rešitev na voljo brezplačno, skupaj z prosto licencirano izvorno kodo (pod licenco GPL 2.0), kvalitetno dokumentacijo, ter da jo kot skladno s pravili varstva osebnih podatkov že priporoča francoski državni nadzornik za varstvo osebnih podatkov (CNIL)[xvii].

 

Upoštevaje navedene ugotovitve, IP meni, da je analitično orodje Piwik in z njim povezane piškotke mogoče uporabljati zgolj za nizko invazivne namene - tj. zgolj za zbiranje agregiranih analitičnih podatkov o obisku določenega spletnega mesta, in ne tudi za sledilne, oglaševalske ali druge bolj invazivne namene, ki temeljijo na izgradnji profila posameznika. V primeru torej, ko so izpolnjeni sledeči pogoji (kot pri mnenju o Google Analytics), je po mnenju IP analitično orodje Piwik dopustno uporabljati na podlagi mehanizma domnevne privolitve, torej že ob prvem obisku spletne strani:

 

1.     Piwik se uporablja zgolj za potrebe zagotavljanja analitike uporabe določene spletne strani ali družine spletnih strani;

2.     V zalednem vmesniku se vklopi anonimizacijo obiskovalčevega IP naslova (z brisanjem vsaj zadnjih 8 bitov IPv4 naslova), tako da se v dnevnike obiska ne zabeleži celoten IP naslov;

3.     V zalednem vmesniku se vklopi avtomatično brisanje surovih dnevnikov, takoj ko ti niso več potrebni (npr. po 3 ali 6 mesecih).

4.     Uporabnika se ob obisku spletne strani primerno obvesti o rabi pripadajočih piškotkov ter mu ponudi možnost, da umakne privolitev za uporabo piškotkov.

 

Kar zadeva primerni način obveščanja o rabi piškotkov, IP (iz istih razlogov kot zgoraj - nizka invazivnost uporabljanih piškotkov), meni, da bi za zagotovitev »jasnega in izčrpnega« obvestila o »upravljavcu piškotkov in namenih njihove obdelave« za navedene piškotke zadoščalo ustrezno pojasnilo v splošnih pogojih rabe spletne strani ali na posebni podstrani z več informacijami o piškotkih. Potrebe po tem, da bi se uporabniku kazalo posebno (in eventualno moteče) obvestilo, po mnenju IP ni, seveda zgolj v kolikor spletna stran ne uporablja tudi kakšnih bolj invazivnih piškotkov. V slednjem primeru bi bilo treba mehanizma obveščanja in pridobivanja uporabnikove privolitve seveda ustrezno prilagoditi.

 

Pri tem mora biti na vsaki podstrani na voljo jasna in enostavno dosegljiva povezava do navedenih pojasnil, v njih pa morajo biti navedeni piškotki, ki se uporabljajo, kdo je njihov upravljavec, ter kakšni so nameni uporabe teh piškotkov. Priprava takšnega besedila je naloga upravljavca spletne strani, bi pa IP kot primerno besedilo štel npr. sledeče:

 

Obvestilo o uporabi piškotkov

 

Spletna stran … za svoje delovanje uporablja tudi določene piškotke. Piškotki so majhne datoteke, ki jih ob vašem prvem obisku naložimo v vaš brskalnik, zato, da vas lahko prepoznamo, ko se naslednjič vrnete na našo spletno stran.

 

Uporabljamo sledeče piškotke:

 

piškotki

upravljavec

namen uporabe

_pk_id*, _pk_ses*, _pk_ref*, _pk_cvar*, piwik_ignore

Piškotki analitičnega orodja Piwik. Z njimi štejemo obiskovalce naše spletne strani ter pridobivamo podrobnejši vpogled v njihovo strukturo, zato da lahko …

 

Podatki o vašem obisku so takoj pred zajemom deloma anonimizirani, po določenem času pa izbrisani. Podatkov ne bomo posredovali tretjim osebam. Podrobnosti so na voljo v dokumentaciji orodja Piwik (link).

 

V kolikor bi želeli prepovedati obdelavo vaših podatkov za namene priprave analitike obiska, kliknite tukaj (link do opt-out vmesnika).

 

 

Končno, kar zadeva vprašanje glede gostovanja analitične rešitve na ločeni domeni, IP meni, da navedena okoliščina ne vpliva na vsebino pričujočega mnenja, v kolikor je upravljavec te ločene domene isti, oz. v kolikor gre za pogodbenega upravljavca, ki ima z uporabnikom analitike sklenjeno ustrezno pogodbo o pogodbeni obdelavi. Do tega vidika se je IP sicer že podrobneje opredelil v že odkazanem mnenju o Google Analytics.

 

 

S pozdravi,

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ.dipl.prav.,

pooblaščenka

 

 

Pripravil:

-       Igor Kolar, projektni sodelavec.


[i] Mnenje IP o pogojih za uporabo Google Analtics, glej https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-varstvo-osebnih-podatkov/?tx_jzvopdecisions_pi1[showUid]=2459&cHash=0390529eee8772da878cdd4199694768)

[ii] Odgovori IP na pogosta vprašanja v zvezi s piškotki, https://www.ip-rs.si/varstvo-osebnih-podatkov/informacijske-tehnologije-in-osebni-podatki/piskotki-odgovori-na-pogosta-vprasanja/#c1250

[iii] Splošno o http piškotkih: https://en.wikipedia.org/wiki/HTTP_cookie

[iv] Terminalska oprema je v tem primeru uporabnikov spletni brskalnik.

[v] Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah), http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:SL:HTML, ter njena sprememba, DIREKTIVA 2009/136/ES EVROPSKEGA PARLAMENTA IN SVETA z dne 25. novembra 2009 o spremembah Direktive 2002/22/ES o univerzalnih storitvah in pravicah uporabnikov v zvezi z elektronskimi komunikacijskimi omrežji in storitvami, Direktive 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij in Uredbe (ES) št. 2006/2004 o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov, http://eur-lex.europa.eu/legal-content/SL/TXT/HTML/?uri=CELEX:32009L0136&qid=1445584513204&from=EN 

[vi] Smernice IP glede uporabe piškotkov https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_uporabi_piskotkov.pdf, oz. pripadajoče sporočilo za javnost, https://www.ip-rs.si/novice/detajl/informacijski-pooblascenec-izdal-smernice-glede-uporabe-piskotkov

[vii] Delovni dokument Delovne skupine po členu 29, št. 02/2013 o smernicah za pridobivanje privolitve v piškotke, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf, v angleškem jeziku

[viii] Glej opombo i zgoraj.

[ix] Mnenje IP o pogojih za uporabo piškotkov MOSS/Gemius, glej https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-varstvo-osebnih-podatkov/?tx_jzvopdecisions_pi1%5BshowUid%5D=2314&cHash=06f740f5e2b499cab501d9ddbdddf06d

[x] Besedilo 3. odstavka 5. člena Direktive (“Zaupnost sporočil”) se je pred spremembo glasilo: “3. Države članice zagotovijo, da je uporaba elektronskih komunikacijskih omrežij z namenom shranjevanja podatkov ali pridobitve dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljena samo pod pogojem, da sta naročnik ali uporabnik jasno in izčrpno obveščena v skladu z Direktivo 95/46/ES, med drugim o namenih obdelave in da mu kontrolor podatkov zagotovi pravico do zavrnitve take obdelave. To ne prepreči nobenega tehničnega shranjevanja ali dostopa izključno za namen opravljanja ali lajšanja prenosa sporočila prek elektronskega komunikacijskega omrežja, ali če je nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.”. Od spremembe dalje se glasi (tč. 5. 2. člena novelirane direktive): “Države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo 95/46/ES, med drugim o namenih obdelave. To ne prepreči nobenega tehničnega shranjevanja ali dostopa izključno za namen opravljanja prenosa sporočila prek elektronskega komunikacijskega omrežja, ali, če je nujno potrebno, da ponudnik zagotovi storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.“

[xi] Dokumentacijo Piwika o rabi piškotkov, http://piwik.org/faq/general/faq_146/

[xii] Izvorna koda Piwika, https://github.com/piwik/piwik

[xiii] Dokumentacijo o rabi piškotka _pk_cvar, glej http://piwik.org/docs/custom-variables/ oz. http://developer.piwik.org/api-reference/tracking-javascript.

[xiv] Namenski vmesnik za opt-out, glej dokumentacijo na naslovu http://piwik.org/docs/privacy/#step-3-include-a-web-analytics-opt-out-feature-on-your-site-using-an-iframe

[xv] Zmogljivosti Piwika, glej http://piwik.org/features/

[xvi] Nastavitve zasebnosti v zalednem vmesniku Piwika, glej http://piwik.org/docs/privacy/

[xvii] Stališče CNIL o Piwiku, http://piwik.org/blog/2014/01/independent-center-data-privacy-protection-france-cnil-recommends-piwik-compliance-data-protection-laws/