Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 14.03.2018
Naslov: Privolitev v piškotke
Številka: 0712-1/2018/598
Vsebina: Moderne tehnologije, Svetovni splet, Pogodbena obdelava OP, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem ste zaprosili za odgovore na naslednja vprašanja:

  • Ali se lahko vtičnik Facebook Pixel naloži v brskalnik takoj, brez izrecne ali domnevne privolitve obiskovalca spletne strani?
  • Ali je za uporabo vtičnika za klepet tawk.to potreba izrecna privolitev ali zadostuje obiskovalčeva domnevna privolitev, ko ta klikne na klepet?
  • Ali je sprejemljivo, da se v primeru uporabe Google Analytics za svoj lastni namen piškotki naložijo takoj, ko obiskovalec obišče spletno stran, svojo izrecno privolitev pa poda na način, da skladno z obvestilom, da »z brskanjem po spletni strani soglaša s piškotki«, nadaljuje z brskanjem po spletni strani (ima pa možnost, da svojo izrecno privolitev poda tudi s klikom na gumb »soglašam«). Istočasno pa je obiskovalcu omogočeno, da s klikom na gumb »podrobnosti«, v novo odprti strani sledi navodilom za izbris piškotkov?
  • Kakšna privolitev je potrebna pri uporabi Facebook Pixel, Google AdWords, Google Tag Manager, Google UTM?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Vtičnik Facebook Pixel je Facebook-ovo orodje, ki olajša trženje preko omenjenega socialnega omrežja in deluje le za tiste uporabnike, ki so hkrati prijavljeni tudi v svoj Facebook račun. Piškotki, vezani na vtičnike družbenih omrežij, kadar so ti uporabljeni kot sledilni piškotki in ne prenehajo po tem, ko se uporabnik izpiše iz družbenega omrežja, sodijo med piškotke, ki jih ni dovoljeno uporabljati brez soglasja. S takimi piškotki lahko upravljavec družbenega omrežja sledi uporabniku (članu ali ne-članu) preko vseh različnih spletnih mest, kjer se nahajajo vtičniki družbenega omrežja. Kot taki predstavljajo velik poseg v zasebnost uporabnika, saj je uporaba vtičnikov zelo razširjena na praktično vseh spletnih straneh. Družbena omrežja lahko pridobijo privolitev za tako sledenje po nepovezanih spletnih straneh ob procesu vpisa svojega člana, medtem ko je sledenje ne-članom omrežja brez privolitve nedopustno. Priporočljivo je, da za privolitev v takih primerih poskrbijo družbena omrežja sama, saj imajo za to najboljša orodja (ob registraciji ali vpisu njihovega člana). V vsakem primeru pa mora spletna stran, preden uporablja vtičnike tretjih – družbenih omrežij, preveriti, ali so ta že pridobila privolitve uporabnikov. V nasprotnem primeru mora za to poskrbeti spletna stran sama.

 

Kot smo pojasnili v smernicah IP na to temo (https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_uporabi_piskotkov.pdf) se lahko v nekaterih okoliščinah spletne strani zanesejo tudi na t.i. domnevno privolitev, predvsem kadar je govora o manj intenzivnih piškotkih. IP meni, da je pri uporabi manj intenzivnih piškotkov, ki so pogosto potrebni za normalno delovanje spletnih strani oz. bi bila njihova odstranitev oz. pogojna uporaba povezana z znatnimi tehničnimi izzivi (v konkretnem primeru brez predhodne privolitve funkcija klepeta ne bi delovala) standard zagotavljanja nedvoumnosti privolitve lahko nižji.

 

Na podlagi zgoraj pojasnjenega, lahko uporabo vtičnika za klepet implementirate na način, da spletna stran naloži osnove piškotke za delovanje vtičnika ob domnevni privolitvi, ki je podana z dejstvom, da je obiskovalec nadaljeval z uporabo spletne strani kljub obvestilu o piškotkih. IP na tem mestu še enkrat pojasnjuje, kaj šteje, kot domnevno privolitev:

  • Na vhodni strani (ob prvem obisku) uporabnik ne prejme piškotka.
  • Na vhodni strani je uporabnik (v skladu s 1. točko) seznanjen glede piškotka in z dejstvom, da bo z nadaljnjo uporabo spletne strani izrazil soglasje in bo piškotek naložen.

 

Vsi ostali piškotki potrebni za uporabo klepeta se lahko naložijo, ko uporabnik klikne na klepet, torej ko je podana privolitev na podlagi uporabnikove izvedene aktivnosti (klik na klepet).

 

Piškotke orodij za analizo obiskov spletne strani je po mnenju IP zavoljo nizke intenzivnosti z njimi povezane obdelave osebnih podatkov v nekaterih primerih dopustno uporabljati na podlagi uporabnikove domnevne privolitve, vendar le, če gre za lastno analitiko (t.j. s podatki se ne seznanja nobena tretja stran) ali za osnovno različico t.i. 3rd party analitike (npr. Google Analytics). Nameščanje piškotkov, ki omogočajo napredno rabo orodja Google Analytics, je dopustno le, če uporabnik predhodno poda izrecno privolitev. Podobno velja za naprednejšo analitiko drugih 3rd party strani oz. ponudnikov.

 

Pri analitičnih podatkih je sicer pomemben že prvi obisk spletne strani, zato IP ocenjuje, da je dopustno lastne analitične piškotke uporabiti še preden uporabnik izrazi svoje soglasje, torej ob prvem obisku spletne strani, hkrati pa je na tak način mogoče uporabiti tudi osnovno 3rd party analitiko. V takem primeru je treba uporabniku omogočiti, da lahko naknadno spremeni svojo izbiro ter implementirati dodatne varovalke (kot je anonimizacija IP-naslovov, kratek rok trajanja), kjer je to mogoče. Ta implementacija velja le za lastne piškotke za namen analitike, oz. za analitiko, ki jo izvaja pogodbeni partner, vendar podatkov ne obdeluje za svoje namene (primer je osnovna različica Google Analytics). Med izvajalcem in upravljavcem spletne strani morajo obstajati pogodbena določila, ki jasno omejujejo uporabo zbranih podatkov za druge namene. Taki piškotki prav tako ne smejo biti povezani z drugimi identifikacijskimi podatki o uporabniku in se jih ne sme uporabljati za sledenje uporabnikom preko različnih spletnih strani.

 

 

 

Lep pozdrav,

 

                                                                                              Mojca Prelesnik, univ.dipl.prav.,                                                  

                                                                                               informacijska pooblaščenka

 

Pripravil:                                                                                                                                

Tomaž Brodgesell,
informatik