Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih VOP

+ -
Datum: 23.04.2013
Naslov: Implementacija pravil glede piškotkov na spletnih straneh
Številka: 0712-1/2013/1562
Vsebina: Svetovni splet
Pravni akt: Mnenje

Prejeli smo vaše sporočilo, v katerem vas zanimajo odgovori na vprašanja glede implementacije novih pravil o piškotkih.

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

1.    Ali lahko od uporabnika brezpogojno zahtevamo, da, če želi uporabljati spletno stran, sprejme piškotke? Pri tem ga seveda informiramo o uporabi piškotkov glede na zakon in smernice. V primeru, da jih uporabnik ne sprejme, le-tega preusmerimo stran od spletne strani. V smernicah sicer navajate, da sistem »vzemi ali pusti« ni sprejemljiv, vendar bi tukaj radi poudarili, da so vse vsebine spletne strani kljub temu uporabnikom dostopne preko kopij »cache« strani na spletnih iskalnikih. S tem postopkom uporabniku torej ne omejujemo dostopa do informacij, temveč zgolj pogojujemo uporabo funkcionalnosti spletne strani.

Kot smo pojasnili v smernicah, je pri pogojevanju uporabe spletnega mesta s strinjanjem s splošnimi pogoji ključen premislek o sorazmernosti uporabe piškotkov v okviru določene storitve. Pogojevati uporabo storitve s privolitvijo v piškotke, ki nimajo pomenljive in argumentirane zveze s storitvijo samo, po mnenju Pooblaščenca pomeni nesorazmerno obdelavo osebnih podatkov uporabnikov in tako ni v skladu z zakonodajo. Ni ključno vprašanje dostopnosti vsebin, do katerih uporabniki morda lahko dostopajo po drugih poteh, kot so cache verzije, pač pa dejstvo, da, pri tistih uporabnikih, ki se s takimi pogoji strinjajo, prihaja do nesorazmerne obdelave podatkov. Spletno mesto namreč ne potrebuje vseh podatkov, ki jih prejema od takega uporabnika, za izvajanje svoje storitve. Pri izbiri mehanizma za pridobivanje privolitve Pooblaščenec svetuje, da upravljavci spletnih strani razmislijo o načinih, ki so primerni glede na situacijo, na tip uporabnikov in na tip piškotkov. Kombinacija različnih mehanizmov je lahko v kompleksnejših situacijah primernejša kot npr. prisilitev uporabnikov v strinjanje s splošnimi pogoji. Vedno obstaja tudi tveganje, da bo uporabnik opustil uporabo take storitve.

2.    Kot ste zapisali v smernicah, mora biti uporabniku vedno ponujena možnost, da naknadno spremeni nastavitve piškotkov. Upravljanje s piškotki omogočajo vsi spletni brskalniki. Ali je dovolj, da v pogojih uporabe zapišemo, da lahko nastavitve piškotkov spremeni tam?
Trenutno noben brskalnik, niti ne druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev ali spremembo nastavitev glede piškotkov. Težava je v tem, da brskalniki še ne omogočajo različnih nastavitev za različne piškotke. Če bi uporabnik želel spremeniti nastavitev za en piškotek, bi to veljalo za vse piškotke, tudi tiste, ki spadajo pod izjeme in so potrebni za delovanje spletne strani.

3.    Ali je v primeru, ko je spletna stran prevedena v različne jezike in cilja različne države, potrebno upoštevati smernice na vseh jezikovnih različicah? Če je spletna stran v nemškem jeziku in cilja nemški trg, verjetno zanjo veljajo nemške smernice in nemška zakonodaja?
Veljavnost zakonodaje je predvsem odvisna od države, v kateri je ustanovljen upravljavec spletnega mesta, ki ga primarno zavezuje njegova lokalna zakonodaja. V primeru, da s svojo storitvijo nastopa tudi na trgih drugih držav (v lokalnem jeziku, cilja na lokalne uporabnike), pa mora do določene mere vsekakor upoštevati tudi zakonodajo druge države. Direktiva o varstvu osebnih podatkov, ki jo je mogoče uporabiti tudi na področju piškotkov, tako določa, da se evropsko pravo uporablja tudi kadar upravljavec ni ustanovljen v državi članici, pač pa tam uporablja opremo.

4.    Smernice in zakon se pri uporabi piškotkov vedno navezujejo na uporabnika. Znano je, da se preko spleta uporabnika ne da popolnoma identificirati. Za identifikacijo se lahko uporabijo piškotki ali IP naslov računalnika. Če uporabnik uporablja več različnih naprav, se ga prav zaradi teh tehničnih omejitev ne da natančno slediti. Ali lahko uporabniku v primeru, da na eni napravi privoli v uporabo piškotkov, namestimo piškotke tudi na drugi napravi, če ugotovimo, da gre za istega uporabnika?
Če upravljavec spletnega mesta lahko zagotovo določi enega uporabnika preko različnih naprav, njegova privolitev ob eni priložnosti lahko velja preko različnih naprav, do morebitnega preklica.

5.    V smernicah ste zapisali, da je dovolj, če tretja stran pridobi privolitev enkrat in da potem to velja za vse spletne strani, na katerih nastopa. Ali to v praksi pomeni, da če se uporabnik strinja z uporabo Google Analytics piškotkov na spletni strani A, lahko te piškotke namestimo brez privolitve tudi na spletni strani B?
Če spletna stran uporablja Google analitiko le za svoje namene in podatkov ne obdeluje Google tudi za lastne namene, potem je taka privolitev veljavna le v okviru tiste določene spletne strani, kateri je uporabnik podal privolitev.

V primeru, da podatkov ne uporablja le spletna stran, pač pa se delijo tudi z Googlom za njegove lastne namene, pa imata, kot smo pojasnili v smernicah, določne odgovornosti tako izvorna spletna stran kot tudi tretja stran (npr. oglaševalska mreža, ki servira oglase). Tretja stran bo od uporabnika težje neposredno pridobila privolitev, saj ni nujno, da ima neposredni stik z njim (kot npr. pri analitičnih storitvah). Neposredni stik pa ima vedno izvorna spletna stran, ki ima tako tudi boljšo priložnost, da uporabnika obvesti o uporabi storitev tretjih strani in pridobi privolitev. Izvorna spletna stran je tista, ki v svoji storitvi dopušča udeležbo tretjih in kot taka ima jasno odgovornost glede pravic svojih uporabnikov. V interesu obeh strani je, da je poskrbljeno za ustrezne mehanizme privolitve, bodisi s strani izvorne spletne strani ali pa tretje strani. Pridobitve ni treba pridobivati obema, vendar pa mora biti v njunem odnosu jasno določeno, kdo je/bo pridobil privolitev uporabnikov. To lahko zagotovita tudi z vključitvijo pogodbenih določb v pogodbi med upravljavcem spletne strani in tretjo stranko glede obveznosti ene ali druge strani, da bo pridobila privolitve uporabnikov.

Veljavnost privolitve, ki naj bi veljala preko različnih spletnih strani, je tako odvisna predvsem od informiranosti uporabnika, ki podaja svojo privolitev. Pri vsaki privolitvi je bistveno, da posameznik natančno ve, komu jo dejansko daje – ali gre za enega upravljavca podatkov ali več, v  slednjem primeru komu vse daje privolitev, neposredno Googlu, za njegovo storitev analitike, ki se izvaja preko neomejenega števila spletnih strani, ali določenemu upravljavcu spletne strani, ki deli podatke z Googlom. Uporabnik bi ob privolitvi namreč moral biti seznanjen s tem, kje vse bodo njegovi podatki uporabljeni za namen analitike, kar je pri tako široko uporabljani storitve kot je Google Analytics težko doseči, če privolitev ne zbira Google sam. Predvsem pa bi take informacije uporabniku lahko zagotavljal le Google sam. Glede na pojasnjeno Pooblaščenec meni, da je v smislu jasnosti in obveščenosti uporabnikov primerneje, da je privolitev pridobljena v okviru enega spletnega mesta oz. hkrati za obvladljivo število spletnih mest.

6.    V primeru, da se uporabnik z uporabo piškotkov ne strinja in hkrati ne dovoli, da se njegova izbira shrani, se takemu uporabniku obvestilo o piškotkih pojavi na vsaki podstrani. To je precej agresiven pristop, vendar iz besedila sklepamo, da druge možnosti ni. Ali le-ta morda obstaja?
Kot pojasnjeno v smernicah, menimo, da, v kolikor uporabnik želi, da si zapomnite njegovo izbiro glede zavrnitve piškotkov in če je za to uporabljen piškotek, za je namestitev takšnega piškotka uporabnik dal privolitev, če se strinja s ponujenim. V nasprotnem primeru bo lahko vsakič izpostavljen istemu vprašanju. Ena od možnosti je, da je ob gumbu »ne strinjam se« pojasnilo, da bo spleta stran uporabila piškotek, da si to izbiro zapomni in da je mogoče izbiro spremeniti na povezavi »zasebnost in piškotki« (primer). Na tak način ni potrebno vedno znova prikazovati izbirnega teksta, saj je vedno na voljo poudarjena možnost, da uporabnik spremeni svoje nastavitve.

7.    Ali je za privolitev uporabe tehnologij za spremljanje uporabnika znotraj mobilnih aplikacije dovolj strinjanje s pogoji uporabe aplikacije? Uporabniku se pogoji uporabe aplikacije pokažejo ob prvem zagonu aplikacije, pri čemer ima možnost, da se s pogoji strinja in aplikacijo uporablja ali da se s pogoji ne strinja. V zadnjem primeru uporaba aplikacije ni možna.
Pravila o uporabi piškotkov so lahko vključena v pogoje uporabe aplikacije, ključno pa je, da so ti pogoji na voljo uporabniku preden aplikacijo naloži oz. preden aplikacija pridobi dostop do podatkov na napravi.

8.    V smernicah navajate, da z uporabo Google Analytics-a dostop do podatkov o uporabnikih omogočamo tudi tretji strani, v tem primeru Googlu. V praksi temu ni tako, saj lahko za vsak račun znotraj Google Analyticsa določimo, ali dovoljujemo uporabo zbranih podatkov tudi Googlu ali ne. Do omenjenih podatkov brez fizične privolitve prav tako ne more dostopati nihče na Googlu. S tega stališča smatramo, da uporaba piškotkov, povezanih z Google Analytics-om, ne pomeni večjega posega v zasebnost uporabnika in izpolnjuje vse kriterije za umestitev tega servisa med izjeme.
Kot je pojasnjeno v smernicah, kadar spletno mesto s svojimi lastnimi piškotki analizira dogajanje za svoj namen, taki analitični piškotki ne pomenijo nesorazmernega posega v zasebnost uporabnikov. Spletna stran lahko uporablja tudi storitev pogodbenega partnerja, vendar ta ne sme zbranih podatkov uporabljati za svoje namene. V primeru, da Google Analytics omogoča tak način delovanja (pozorno je potrebno preveriti politike zasebnosti in natančne pogoje uporabe storitve!), potem lahko tako uporabo smatramo kot relativno nizko-invazivno v smislu zasebnosti.

9.    Ali se zakon nanaša le na slovenske spletne strani ali slovenske uporabnike? Ali se lahko v primeru, če zaznamo, da uporabnik prihaja iz tujine (tuj IP), izognemo prikazovanju obvestila o piškotkih?
Slovenska zakonodaja velja za upravljavca, ki je ustanovljen v Sloveniji ali uporablja opremo na območju Slovenije, ne glede na to, od kod so njegovi uporabniki.

10.    Ali je potrebno v primeru, da ima podjetje več spletnih strani, od uporabnika dobiti soglasje za vsako spletno stran posebej? Ali to velja tako za poddomene (npr www.aaa.si in blog.aaa.si) kot tudi za različne domene (npr www.aaa.si in www.bbb.si)?  
Upravljavec lahko pridobi privolitve enkrat, tako v primeru poddomen kot v primeru različnih domen. Pri slednjih pa je pomembno, da je uporabnik natančno obveščen, za katere različne domene privolitev velja.


Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka