Portal TFL

TFL Vsebine / TFLGlasnik

Uvod v delovanje piškotkov na spletnih mestih po GDPR

O PUBLIKACIJI in AVTORJU
ŠTEVILKA in LETO IZDAJE
AVTOR
Maša Tomažič, mag. prav., direktorica marketinške agencije SLEEK d.o.o.
Datum
06.12.2023
Rubrika
Članki
Pravna podlaga
Povezave
Podsistem TAX
 
Podsistem FIN
 
Povzetek
O piškotkih na spletnih mestih smo v zadnjih letih slišali mnogo.
BESEDILO
O piškotkih na spletnih mestih smo v zadnjih letih slišali mnogo. Kljub temu pa še zmeraj premalokrat govorimo o tem, kako morajo biti piškotki na spletnih mestih urejeni, kdo jih sme uporabljati in kdo ne, ter predvsem, na kak način lahko s pomočjo piškotkov zbiramo osebne podatke.

Ne glede na to, da je govora o pravilni uporabi piškotkov še vedno precej malo, nekateri lastniki spletnih mest pa se ne zavedajo niti katere piškotke njihovo spletno mesto uporablja, kaj šele, da bi pravilno uredili soglasje k uporabi piškotkov, ki je po GDPR temelj za njihovo uporabo ali pripravili ustrezno politiko piškotkov, je njihova uporaba vse bolj razširjena in obsežna. Slednje vse pogosteje sproža pomisleke o tem, ali zasebnost uporabnikov na spletu sploh še obstaja. Skrb za zasebnost uporabnikov svetovnega spleta oz. vsaj skrb za zaščito njihovih osebnih podatkov je privedla do sprejemanja in izvajanja vse strožje zakonodaje v posameznih državah članicah in tudi na celotnem področju EU. Velik del te zakonodaje se osredotoča tudi na same piškotke.[1]

Piškotek kot osebni podatek

Piškotek je majhna tekstovna datoteka, ki se ob obisku spletnega mesta prenese v brskalnik na računalniku uporabnika, ki to spletno mesto obišče. Ta tekstovna datoteka oz. »piškotek« običajno vsebuje:

  • ime strežnika, s katerega je bil piškotek poslan,
  • življenjsko dobo piškotka,
  • vrednost (običajno naključno generirana edinstvena številka).

Da bi razumeli problematiko piškotkov skozi varstvo osebnih podatkov, moramo najprej razumeti, kako piškotki pravzaprav delujejo, pa tudi zakaj jih spletna mesta za svoje delovanje potrebujejo.

Delovanje piškotkov lahko zelo nazorno prikažemo na (izmišljenem) primeru spletne videoteke. Predpostavimo, da spletna videoteka uporablja trajen piškotek za beleženje režiserjev in naslovov filmov, ki jih je posameznik že pogledal. Ko se ta posameznik vrne v spletno videoteko, njegov brskalnik spletnemu mestu videoteke omogoči branje piškotka. Spletno mesto lahko nato sestavi seznam filmov istih režiserjev ali filmov o sorodnih temah in jih prikaže uporabniku.[2]

Vse zgoraj opisane aktivnosti so posamezniku nevidne in skoraj popolnoma nezaznavne. Posameznik lahko dogajanje opazi le v primeru, ko ima v svojem brskalniku nastavljena opozorila, ki ga opozarjajo na to, da se je na njegovo napravo oz. v njegov brskalnik naložil piškotek. Tega pa večina uporabnikov spleta ne počne. Prav zato posameznik, ki se vrne na določeno spletno mesto, ne ve, da se je piškotek v njegovem brskalniku ponovno prebral. Z njegovega vidika bi v zgornjem primeru preprosto obiskali spletno videoteko in »čarobno« bi se pojavil seznam filmov, ki bi ga lahko zanimali.

Piškotki in GDPR

Piškotek je v smislu GDPR razumljen kot osebni podatek. Prav zato je nujno tudi v primeru urejanja piškotkov na spletnih mestih določila zanje iskati v GDPR, v Sloveniji pa tudi v ZVOP-2.[3]

Skladno z GDPR morajo vsi lastniki spletnih mest uporabnikom spletnega mesta, ki se nahajajo na območju EU, omogočiti nadzor nad aktiviranjem piškotkov in sledilnikov, ki na njihovih spletnih mestih zbirajo osebne podatke obiskovalcev.[4] Tudi, če se spletno mesto nahaja zunaj EU, mora biti skladno z GDPR, če se na njem zbirajo podatki uporabnikov znotraj EU.

Temelj skladnosti z GDPR za spletna mesta, ki pridobivajo podatke uporabnikov s področja EU je soglasje, o katerem bomo podrobneje spregovorili prihodnjič.

Vidimo lahko, da GDPR zelo natančno določa, na kak način lahko spletna mesta, ki na področju EU zbirajo podatke posameznikov, uporabljajo piškotke. Spletna mesta morajo biti skladna z naslednjimi zahtevami (o katerih bomo govorili v prihodnjih vsebinah), ki jih GDPR podaja glede piškotkov:

  • Pred kakršno koli aktivacijo piškotkov (razen nujnih piškotkov na beli listi) je treba pridobiti predhodno in izrecno soglasje.[5]
  • Soglasja morajo biti razdrobljena, tj. uporabniki morajo imeti možnost aktivirati nekatere piškotke namesto drugih in ne smejo biti prisiljeni soglašati z vsemi ali nobenim.
  • Privolitev mora biti dana svobodno, torej ne sme biti izsiljena.
  • Privolitev mora biti mogoče tudi enostavno preklicati.
  • Soglasja morajo biti varno shranjena kot pravna dokumentacija.

Opombe:

[1] Tomažič, M. (2023). Pravne napake pri delovanju spletnih trgovin v Republiki Sloveniji, magistrsko delo

[2] Ibid.

[3] Kaj so osebni podatki, Evropska komisija, e-vir.

[4] GDPR and cookies, Usercentrics A/S, 2022, e-vir.

[5] Zadeva C-673/17.

BREZPLAČNI PREIZKUS

Tax-Fin-Lex d.o.o.
pravno-poslovni portal,
založništvo in
izobraževanja

Tax-Fin-Lex d.o.o.
Železna cesta 18
1000 Ljubljana
Slovenija

T: +386 1 4324 243
E: info@tax-fin-lex.si

CERTIFIKATI IN EU PROJEKTI

 
x - Dialog title
dialog window