Ozadje

V sodbi opr. št.: C-673/17[1] je Sodišče Evropske unije (CEU) 1.10.2019 podalo pojasnila glede privolitev v piškotke na spletnih straneh in aplikacijah (ter podatkovnih paketih in t.i. ”web beacons”). Čeprav se zahteva po soglasju s piškotki nanaša na Direktivo o zasebnosti in elektronskih komunikacijah (PECR)[2], zahtevano stopnjo soglasja narekujejo tudi standardi, določeni v GDPR, ki imajo v primeru spora med njima prednost.

Vpliv sodbe

Sodba določa, da mora biti soglasje glede piškotkov nedvoumno, natančno in da ga je mogoče podati izključno z aktivnim ravnanjem. Obiskovalcem spletnih mest mora biti ponujena izbira glede podajanja soglasja zgolj za bistvene oziroma hkrati tudi za nebistvene piškotke. Upravljavci na svojih spletnih mestih ne smejo preprosto navesti, da se uporabljajo piškotki in ponuditi gumba “V redu” ali “Zapri”, prav tako pa tudi ne smejo obiskovalcem spletnih strani zgolj predložiti vnaprej označenih polj, s klikom na katere bi slednji avtomatsko sprejeli vse piškotke. Takšne metode bi namreč nasprotovale zahtevanim standardom, kot jih določata zgoraj omenjena predpisa.

Esencialni (bistveni) in nebistveni piškotki

Bistveni piškotki so tisti, ki spletnemu mestu omogočajo delovanje po zasnovanih smernicah. Vključujejo piškotke, ki si zapomnijo prejšnje izbore strani, nastavitve, izbrane s strani uporabnika in omogočajo uporabo funkcij, kot so na primer nakupovalne košarice.

Nebistveni piškotki so podobni analitičnim piškotkom, ki jih ustvarijo tretje osebe, kot sta na primer Google in Optimizely, ali piškotki za sledenje s strani oglaševalskih omrežij, kot sta DoubleClick in Facebook. Med nebistvene bi poleg navedenih lahko uvrstili še piškotke iz sistema CRM, kot sta HubSpot ali SalesForce, in piškotke za optimizacijo, kakršna sta Hotjar in CrazyEggw.

Googlovi analitični piškotki

Nekaj zmede na tem področju povzročajo Googlovi analitični piškotki. V skladu s PECR se namreč ti analitični piškotki štejejo za nebistvene, zato je zanje potrebno posebno podati soglasje. Prihajajoča Uredba o zasebnosti in elektronskih komunikacijah – ”eZasebnost”, ki bo nadomestila PECR, pa bo kljub temu verjetno (poenostavljeno rečeno) vsebovala določbe o tem, da za takšne piškotke soglasje ni nujno potrebno.

Kratka navodila DPO

Priporočamo, da upravljavci, upoštevajoč zahteve po skladnosti, možnost privolitve v piškotke določenega spletnega mesta uredijo na naslednji način:

– Ob prvem vstopu na spletno mesto je potrebno zagotoviti delovanje spletnega mesta brez uporabe nebistvenih piškotkov. Obiskovalcu se predloži zahtevo za soglasje, ki ponuja možnost, da slednji potrdi zgolj bistvene piškotke, ali (najverjetneje zeleno in večji gumb) da sprejme vse piškotke. Poleg zahteve za privolitev mora biti navedena tudi povezava do pravilnika o zasebnosti in piškotkih. Najbolje je, da se navede seznam piškotkov v politiko zasebnosti (skladno s 13. členom GDPR), njihov namen, trajanje in ali gre za piškotke upravljavca spletne strani oziroma za piškotke tretje osebe.

– Če obiskovalci spletnega mesta izberejo ”Uporabi samo nujne piškotke”, je priporočeno, da spletno mesto ne uporablja nobenega od nebistvenih piškotkov. Tudi v takem primeru pa je potrebno zagotoviti, da lahko obiskovalci spletno mesto kljub temu, da v slednje ne privolijo, nemoteno uporabljajo.

– Če obiskovalci spletnega mesta izberejo možnost ”Sprejmi vse”, s tem privolijo tako v uporabo bistvenih kot tudi v nebistvenih piškotkov, ki jih ponuja spletno mesto.

Posodobitev soglasja

GDPR določa, da mora biti obiskovalcem spletnih mest dana možnost (na enak način, kot so soglasje podali), da s preprostim klikom svoje že dano soglasje prekličejo. Mora jim biti torej ponujena možnost spreminjati svoje predhodne nastavitve glede privolitev v uporabo bistvenih oziroma nebistvenih piškotkov. Ta možnost jim je lahko zagotovljena na primer v obliki povezave v pravilniku o piškotkih, ki ponovno prikaže isto začetno sporočilo glede privolitve, kot se je prikazalo predhodno in s katerim je obiskovalec že predhodno soglašal.

Če si obiskovalci premislijo in svoje soglasje spremenijo iz ”Sprejmi vse piškotke” v ”Uporabi samo bistvene piškotke”, morajo biti vsi obstoječi nebistveni piškotki odstranjeni ali blokirani. V takem primeru pa je upravljavcem kljub temu še vedno odprta možnost za podajanje ponovne prošnje za soglasje z uporabo vseh vrst piškotkov in poznejšo pridobitev polne privolitve obiskovalcev.

Navajamo še, da bi bilo najbolj optimalno, da se na zgoraj opisane načine pridobljeno soglasje obnavlja vsaj enkrat na leto.

Pripravila Mateja Jakša (študentka na praksi)

[1] Dostopno tukaj (27. 2. 2020).

[2] Dostopno tukaj (27. 2. 2020).