Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih VOP

+ -
Datum: 24.05.2013
Naslov: Piškotki, privolitev
Številka: 0712-1/2012/1925
Vsebina: Svetovni splet
Pravni akt: Mnenje

Prejeli smo vaše predloge glede piškotkov, za katere menite, da spadajo med izjeme po ZEKom-1 (npr. analitični piškotki, MOSS piškotki, itd.).

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.


1.    Opredelitev glede določenih vrst piškotkov

 

Kot je pojasnjeno v smernicah o uporabi piškotkov (stran 9) med izjeme, pri katerih privolitev ni potrebna, spadajo piškotki, ki so potrebni izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, in piškotki, ki so nujno potrebni za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. Prva izjema se nanaša na piškotke, ki so potrebni izključno zato, da se prenese sporočilo, kar je treba interpretirati zelo ozko: brez takega piškotka sporočilo v komunikacijskem omrežju ne bi bilo preneseno. Piškotki, ki npr. omogočajo le hitrejši prenos sporočila ali boljše upravljanje s prenosom, niso del te izjeme. Edini kriterij, ki velja, je, da sporočila brez piškotka tehnično ni mogoče prenesti. Druga izjema se nanaša na piškotke, brez katerih uporabnik ne bi mogel prejeti storitve, ki jo je izrecno zahteval. Termin »nujno potrebno« je spet potrebno interpretirati ozko – če piškotka ni, ponudnik take storitve ne more izvesti, hkrati pa je uporabnik aktivno izrazil svojo voljo, da želi to storitev. Argument, da piškotek zagotavlja boljše delovanje določenih funkcionalnosti spletnega mesta ali da je piškotek »zelo pomemben«, ni dovolj, izjema se uporabi le, kadar je uporabnik določeno storitev, funkcionalnost, ipd. aktivno zahteval (s klikom na določeno mesto, določeno izbiro, nastavitvijo, ipd.), za izvedbo te želje pa je nujno potreben piškotek. V smernicah je navedenih nekaj primerov, pri katerih lahko govorimo o tovrstnih izjemah.

Kot nadalje pojasnjujemo v smernicah, je za piškotek vedno treba pridobiti soglasje uporabnika takrat, ko ni mogoče govoriti o enem izmed kriterijev, opisnih zgoraj. Med izjeme tako ni možno prišteti piškotkov za boljše delovanje spletne strani, če tega uporabnik ni izrecno zahteval, piškotkov vezanih na vtičnike družbenih omrežij, ki so uporabljeni za sledenje preko različnih spletnih strani, oglaševalskih piškotkov, pa tudi analitičnih piškotkov, in drugih.

Piškotki, ki jih v svojem predlogu navajate pod točko 2 in 3, po našem mnenju ne spadajo med izjeme, saj ne zadovoljujejo kriterijev, ki jih postavlja 159. člen ZEKom-1. Ti piškotki sicer vplivajo na kakovost uporabniške izkušnje in kakovost delovanja spletne strani, niso pa nujni za delovanje spletne strani, oz. nujno potrebni za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. Kot pojasnjujemo v smernicah, ki povzemajo mnenje Delovne skupine iz člena 29 o piškotkih in izjemah (dostopno preko: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf), piškotki, ki omogočajo boljše funkcionalnosti, piškotki, vezani na vtičnike družbenih omrežij, kadar se jih uporablja kot sledilni piškotke, piškotki za namen analiziranja prometa in piškotki vezani na namen oglaševanja in trženja (npr. za namen omejevanja števila prikazovanja oglasov, zaznavanje prevar pri klikanju, raziskave in marketinške analize, izboljšave produkta glede na podatke o uporabi …) ne spadajo med izjeme in je zanje treba pridobiti privolitev. Odgovor na vprašanje, kakšen mehanizem privolitve (izrecen ali domneven) pomeni veljavno privolitev, pa je, kot pojasnjujemo v smernicah, odvisen od invazivnosti posameznega piškotka in njegovega trajanja. V primeru, da se za kakršen koli namen uporablja piškotke, s katerimi je mogoče slediti uporabniku preko različnih spletnih strani (npr. analitika, oglaševanje, razvoj produkta, vtičniki družbenih medijev, tretjih strank), smernice pojasnjujejo, da je potreba izrecna privolitev.

Glede piškotkov raziskave MOSS - Pooblaščenec na podlagi vaših pojasnil meni, da gre za piškotke, s katerimi je mogoče uporabniku slediti preko različnih spletnih strani in ki imajo daljši rok trajanja. Kot je razvidno iz smernic, naj bi bila privolitev v primeru takih piškotkov izrecna, v nobenem primeru pa takih piškotkov ni mogoče šteti kot izjeme. Glede navedbe, da je uporaba MOSS/Gemius piškotkov omejena na agregat podatkov za statistične namene, opozarjamo, da naknadna agregacija podatkov, pridobljenih s pomočjo piškotkov, oziroma statistična obdelava teh podatkov ni razlog, da bi bila podana izjema. Posameznikom je tako v realnem kot v virtualnem svetu treba priznati pravico, da se lahko odločajo, ali želijo sodelovati v raziskavi ali ne. 

V zvezi s Piano piškotki pojasnjujemo, da bi jih bilo kot izjemo mogoče šteti le v primeru tistih uporabnikov, ki so prijavljeni v sistem Piano, in še to samo v primeru, da so nujno potrebni za izvajanje storitve Piano. V nasprotnem primeru lahko ponudnik storitve Piano pridobi privolitve v procesu registracije svojih uporabnikov. Pri uporabnikih, ki ne uporabljajo storitve Piano, pač pa le spletni medij, je za te piškotke treba pridobiti privolitev. Če piškotki lahko sledijo uporabniku preko različnih spletnih strani, naj bo privolitev izrecna.


2.    Lastna analitika (»1st party analitika«)

 

Glede merjenja obiskanosti spletne strani, ki se izvaja z lastnimi piškotki (»1st party analitika«), Pooblaščenec v smernicah pojasnjuje, da se taka raba sicer ne more kvalificirati kot izjema, a ker je taka raba piškotkov relativno neinvazivna, zadošča mehanizem domnevne privolitve: v primeru analitike, ki jo izvaja spletno mesto za lastne potrebe in kjer se osebni podatki ne obdelujejo s strani tretjih, za njihove lastne namene, Pooblaščenec meni, da je mehanizem pridobivanja privolitve lahko domnevna privolitev, s tem, da mora biti spletna stran pozorna tudi na dodatna varovala – uporabnikom mora biti na voljo možnost naknadne zavrnitve, torej možnosti izbire, da uporabnik lahko označi, da ne želi tovrstnih piškotkov, ki jo mora spletno mesto upoštevati, priporočljivo je, da je mogoča anonimizacija IP- naslovov, idr.

Kot pojasnjujete, je pri analitičnih piškotkih izredno pomemben že prvi obisk spletne strani, ob katerem piškotki pred privolitvijo posameznika ne bi smeli biti naloženi, s tem pa bi bile izgubljene pomembne informacije o obisku spletne strani. Pooblaščenec meni, da je glede na pomen analitike in glede na napore, ki se na evropskem področju usmerjajo v to, da bi za lastno analitiko obstajala zakonska izjema, dopustno lastne analitične piškotke uporabiti, še preden uporabnik izrazi svoje soglasje, torej ob prvem obisku spletne strani. Hkrati pa mu je treba omogočiti, da naknadno spremeni svojo izbiro in to izbiro je nato seveda treba upoštevati (tudi če je za to treba uporabniku namestiti piškotek, ki si bo zapomnil njegovo izbiro) ter implementirati dodatne varovalke (kot je anonimizacija IP-naslovov, kratek rok trajanja), kjer je to mogoče. Ta interpretacija velja le za lastne piškotke za namen analitike, oz. za analitiko, ki jo izvaja pogodbeni partner, vendar podatkov ne obdeluje za svoje namene. Taki piškotki ne smejo biti povezani z drugimi identifikacijskimi podatki o uporabniku in se jih ne sme uporabiti za sledenje uporabnikom preko različnih spletnih strani.
Specifično glede piškotkov Google Analytics menimo, da gre v osnovi za sledilne piškotke, za katere je potrebna izrecna privolitev uporabnika. Hkrati pa v smernicah pojasnjujemo, da kadar spletno mesto s svojimi lastnimi piškotki analizira dogajanje za svoj namen, taki analitični piškotki ne pomenijo nesorazmernega posega v zasebnost uporabnikov. V takem primeru je mehanizem domnevne privolitve lahko ustrezen. Spletna stran lahko uporablja tudi storitev pogodbenega partnerja, vendar ta zbranih podatkov ne sme uporabljati za svoje namene. V primeru, da Google Analytics omogoča tak način delovanja, da torej podatkov ne uporablja za svoje namene, npr. za izboljševanje svojega produkta ipd., potem lahko tako uporabo ocenimo kot relativno nizko-invazivno v smislu zasebnosti in je mehanizem domnevne privolitve lahko ustrezen. Pomembno pa je, da pozorno preučite vsa pogodbena določila, ki upravljavca spletne strani in ponudnika analitike vežejo v primeru uporabe storitve in se prepričate, da Google (podobno velja tudi za druge ponudnike analitike) dejansko ne uporablja podatkov za svoje namene (tudi npr. Google politiko zasebnosti, posebne pogoje uporabe za Google Analytics in ne le par pojasnil, ki jih upravljavec lahko označi in s katerimi izrazi svoje preference glede deljenja podatkov z Googlom). V kolikor so določila nejasna, je priporočljivo zagotovilo pridobiti neposredno od ponudnika storitve, saj vendarle - kot vsi drugi ponudniki - ponuja določeno storitev na trgu in pričakujemo, da lahko svojim naročnikom poda natančna pojasnila o delovanju svoje storitve.


3.    Izrecna in domnevna privolitev

 

Kot pojasnjujemo v smernicah, nova zakonodaja zelo jasno govori o privolitvi v piškotke, potem, ko je bil uporabnik o njihovem delovanju obveščen. Rešitve, pri katerih so piškotki postavljeni takoj, ko uporabnik obišče spletno stran, preden je uspel prebrati obvestilo in še preden je izrazil strinjanje s piškotki, ter omogočajo le, da uporabnik piškotke naknadno zavrne, tako niso primerne in niso skladne z novo zakonodajo. Pred privolitvijo so lahko naloženi le piškotki, ki spadajo med izjeme in pod zgoraj pojasnjenimi pogoji lastni analitični piškotki. Mehanizme za pridobivanje privolitve lahko glede na stopnjo formalnosti in zanesljivosti umestimo na različne stopnje, od takih, ki zagotavljajo »domnevno«privolitev (implied consent) pa do bolj zanesljivih, ki od uporabnika zahtevajo izrecno privolitev (explicit consent). Izraz »domnevna privolitev« v teh smernicah označuje privolitev s konkludentnim dejanjem.

Mehanizmi za domnevno privolitev običajno močneje temeljijo na poudarjenem obvestilu o piškotkih, ki je zelo vidno postavljeno na začetno spletno stran in uporabnika obvesti o tem, da spletna stran uporablja piškotke, ki bodo naloženi na uporabnikovo napravo, če bo nadaljeval z brskanjem. Če uporabnik nadaljuje z brskanjem, spletna stran domneva, da se strinja s piškotki. Če uporabnik ne nadaljuje z brskanjem, s tem izrazi svoje nestrinjanje. Uporabnik torej nima možnosti nadaljnjega brskanja, če se s piškotki ne strinja, saj mu na začetni strani ni ponujena možnost izbire, da morda zavrne (določene) piškotke oz. spremeni nastavitve. Kot pojasnjujemo v smernicah, model domnevne privolitve ni primeren za piškotke, s katerimi je mogoče slediti uporabniku preko različnih spletnih strani, prav tako pa ni primeren v kontekstu profiliranja (tudi kadar se to izvaja le znotraj enega spletnega mesta z lastnimi piškotki), obdelave občutljivih osebnih podatkov ter za piškotke z neomejenim rokom trajanja, saj posameznik nima možnosti izbire glede uporabe piškotkov.

Mehanizmi za izrecno privolitev so bolj zanesljivo orodje za pridobivanje privolitve uporabnika. Tu je uporabniku predstavljena možnost, da privoli v uporabo piškotkov ali pa jo zavrne. Z izrecno akcijo uporabnik opravi izbiro (klikne na gumb ali povezavo, označi potrditveno polje, pošlje e-pošto, se strinja s pogoji storitve, ipd.) in na tak način zelo jasno in aktivno izrazi svojo prostovoljno voljo. Kot izrecno privolitev razumemo tudi rešitve, kjer je uporabniku ponujena izbira tako, da strinjanje izrazi s tem, da naprej brska, nestrinjanje pa tako, da klikne na izbiro “ne strinjam se” oziroma na polje/povezavo, kjer lahko spremeni nastavitve piškotkov. Če mu opcija, da označi »ne strinjam se« ali polje/povezava, kjer lahko spremeni nastavitve piškotkov, ni dana, ne moremo govoriti o izrecni privolitvi, temveč gre dejansko za prisilitev v smislu vzemi ali pusti, kar pa je  - kot smo izpostavili v smernicah – problematično z vidika načela sorazmernosti. Privolitev je namreč po definiciji iz zakona o varstvu osebnih podatkov »prostovoljna izjava volje«. Pomembno je, da je obvestilo o uporabi piškotkov jasno razvidno na spletni strani, da natančno opredeli za kakšne namene se piškotki uporabljajo in da je uporabniku jasno predstavljeno, s kakšnim dejanjem se s piškotki strinja in kako jih lahko zavrne.

Ključno je, da je posamezniku na vstopni strani jasno in zelo vidno ponujena resnična in vsebinska izbira med tem, da z aktivnim dejanjem (naj bo to klik na gumb/potrditev polja ali nadaljevanje brskanja) sprejme piškotke oz. jih lahko na vstopni strani zavrne ali preko enostavne povezave spremeni njihovo nastavitev. Uporabniku mora biti vedno ponujena možnost, da naknadno spremeni nastavitve za piškotke in naknadno zavrne tako obdelavo njegovih podatkov. Primere izrecnih modelov soglasja lahko najdete na precejšnjem številu tujih spletnih strani iz različnih držav članic EU (tako Velike Britanije, kot tudi Nizozemske, itd.), ki so že implementirale nova pravila, tudi takih, ki uporabljajo veliko število piškotkov in so prav tako odvisne od oglaševalskih prihodkov.

Prijazen pozdrav.

Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka