Zavajajoči vzorci pri piškotkih

Datum

12.12.2024

Številka

07121-1/2024/1536

Kategorije

Moderne tehnologije, Svetovni splet

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis glede piškotkov. Moti vas, da določene spletne strani ne ponudijo opcije »potrdi samo obvezne piškotke«. Zdi se vam sporno, da če se uporabnik ne strinja z vsemi piškotki, se mu ves čas prikazuje okence za privolitev.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu s predpisi, ki urejajo varstvo osebnih podatkov. Da je privolitev veljavna mora biti dokazljiva, prostovoljna, konkretna (specifična), informirana in nedvoumna. Obstajata dve izjemi, pri katerih lahko upravljavec spletne strani uporablja piškotke, ne da bi od uporabnika vnaprej pridobil privolitev: 1) piškotki za prenos sporočila ter 2) nujni piškotki.

V praksi so pogosti zavajajoči vzorci upravljavcev spletnih strani, ki z zasnovo pojavnih pasic in oken skušajo na uporabnika vplivajo tako, da ta nenamerno in nehote sprejme odločitev, ki ni v njegovem največjem interesu glede obdelave osebnih podatkov. S takšnimi vzorci lahko upravljavci na primer vplivajo na veljavnosti privolitve posameznika (na primer če privolitev ni svobodno podana), na načelo najmanjšega obsega podatkov, v skladu s katerim se lahko obdelujejo le tisti podatki, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, prav tako so lahko v neskladju z načelom poštenosti, ki zahteva, da se podatki obdelujejo na pošten način v zvezi s posameznikom.

Obrazložitev

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. IP tudi pojasnjuje, da večje upravljavce medijskih vsebin v zvezi s piškotki obravnava v okviru inšpekcijskih postopkov.

Uporabo t.i. spletnih piškotkov v 225. členu ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O; v nadaljevanju ZEKom-2), ki v prvem odstavku določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu s predpisi, ki urejajo varstvo osebnih podatkov. Drugi odstavek določa dve izjemi, pri katerih lahko upravljavec spletne strani uporablja piškotke, ne da bi od uporabnika vnaprej pridobil privolitev:

-piškotki, ki so potrebni izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju (»piškotki za prenos sporočila«), in

-piškotki, ki so nujno potrebni za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata (»nujni piškotki«).

Pogoje za veljavno privolitev ureja zakonodaja s področja varstva osebnih podatkov, ki se uporablja tudi pri presoji veljavnosti privolitve naročnika ali uporabnika v namestitev piškotkov na njegovo terminalsko napravo. Izjava ali jasno pritrdilno dejanje mora izpolnjevati naslednje pogoje, da jo lahko štejemo za veljavno privolitev, in sicer mora biti dokazljiva, prostovoljna, konkretna (specifična), informirana in nedvoumna.

Na temo spletnih piškotkov in podobnih sledilnih tehnologij je IP pripravil posebne smernice, kjer so med drugim pojasnjeni temeljni pojmi, razlike med različnimi piškotki in drugimi podobnimi sledilnimi tehnologijami, na katerih pravnih podlagah se lahko obdelujejo podatki v okviru teh tehnologij, katere informacije morajo biti posamezniku zagotovljene, (ne)skladne prakse upravljavcev iz prakse: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-uporabi-pi%C5%A1kotkov-in-podobnih-sledilnih-tehnologij.

V praksi IP zaznava številne kršitve s strani upravljavcev spletnih strani pri pasicah za piškotke, prav tako v povezavi s tem vodi številne inšpekcijske postopke. Pogosti so t.i. zavajajoči vzorci pri zasnovi pasic, namen katerih je, da na uporabnika vplivajo tako, da ta nenamerno in nehote sprejme odločitev, ki ni v njegovem največjem interesu glede obdelave osebnih podatkov. Pogosto se uporabljajo t.i. zidovi iz piškotkov (ang. cookie walls), ki od uporabnikov zahtevajo, da privolijo v vse piškotke, ki jih spletno mesto uporablja, če želijo dostopati do vsebine spletne strani. Takšna praksa obdelave osebnih podatkov je neskladna s Splošno uredbo o varstvu podatkov, saj posamezniku ne omogoča prostovoljne privolitve v obdelavo podatkov. Prav tako lahko med zavajajoče vzorce sodi praksa, kjer je uporabnik, ki se z obdelavo osebnih podatkov ne strinja, vedno znova povprašan glede svoje odločitve, saj lahko takšen vzorec prav tako vpliva na njegovo svobodno odločitev glede obdelave podatkov.

Evropski odbor za varstvo podatkov je na temo zavajajočih vzorcev na družbenih omrežjih pripravil smernice (se pa enaki vzorci uporabljajo tudi drugod, torej ne le na družbenih omrežjih):

-https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_en.

Na to temo je Evropski odbor za varstvo podatkov objavil tudi poročilo posebne delovne skupine, ki se je v okviru koordiniranih nadzornih postopkov v EU ukvarjala s pasicami za piškotke (Report of the work undertaken by the Cookie Banner Taskforce):

-https://www.edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-cookie-banner-taskforce_en.

Lepo vas pozdravljamo,

Pripravila

Neja Domnik, Državna nadzornica za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka