Privola za kolačiće: Što zakon zapravo zahtijeva
Privola za kolačiće jedan je od najčešće pogrešno shvaćenih zahtjeva u području digitalne privatnosti. Mnoga poduzeća vjeruju da su usklađena samo zato što prikazuju traku za kolačiće. No traka nije privola. Privola je specifičan pravni koncept s preciznim zahtjevima — a nemogućnost ispunjenja tih zahtjeva može značiti da je cjelokupno prikupljanje podataka nezakonito.
Pravni temelj
Privola za kolačiće počiva na dva pravna stupa:
Članak 5. stavak 3. ePrivacy Direktive uspostavlja zahtjev: pohranjivanje informacija na korisnikov uređaj ili pristup njima zahtijeva korisnikovu privolu, osim ako je pohrana strogo nužna za uslugu koju je korisnik izričito zatražio. To je pravilo koje posebno uređuje kolačiće.
Članak 4. stavak 11. GDPR-a definira što privola znači: „‚privola‘ ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.”
Ove dvije odredbe djeluju zajedno. ePrivacy Direktiva govori vam kada je privola potrebna (za kolačiće koji nisu neophodni). GDPR govori vam kako valjana privola izgleda. Oba uvjeta moraju biti ispunjena.
Pet zahtjeva valjane privole
Prema članku 4. stavku 11., članku 7. GDPR-a te Smjernicama EDPB-a 05/2020 o privoli, valjana privola za kolačiće mora ispunjavati pet kriterija:
1. Dobrovoljno dana
Korisnik mora imati stvaran izbor. Privola nije dobrovoljna ako:
- Pristup je uvjetovan privolom. Ako korisnik ne može koristiti web-mjesto bez prihvaćanja svih kolačića (takozvani „cookie wall”), privola nije dobrovoljno dana. EDPB je potvrdio ovo stajalište, iako neka nacionalna nadzorna tijela dopuštaju ograničene cookie zidove u posebnim okolnostima — osobito ako postoji stvarna alternativa (poput plaćene verzije bez kolačića).
- Postoji značajna neravnoteža moći. U odnosima poslodavac-zaposlenik ili država-građanin privola možda nije doista dobrovoljna. Za većinu web-mjesta to je manje relevantno, ali je važno za državne usluge i intranet platforme.
- Odbijanje je znatno teže od prihvaćanja. Ako je „Prihvati sve” istaknuti gumb, a „Odbij sve” zahtijeva prolazak kroz postavke, privola nije dobrovoljno dana. Talijanski Garante i francuski CNIL izdali su konkretne smjernice koje zahtijevaju da odbijanje kolačića bude jednako jednostavno kao i njihovo prihvaćanje.
2. Posebna
Privola mora biti dana zasebno za svaku pojedinu svrhu. Zbog toga i postoje kategorije kolačića. Valjani mehanizam privole mora korisnicima omogućiti da prihvate analitičke kolačiće, a odbiju marketinške, ili obrnuto. Objedinjavanje svih kolačića u jedno „prihvati” ili „odbij” ne ispunjava zahtjev posebnosti — no nuđenje i „Prihvati sve” i „Odbij sve” kao prečaca uz kontrole po pojedinoj kategoriji prihvatljivo je.
3. Informirana
Prije davanja privole korisniku se mora reći:
- Tko postavlja kolačiće (operator web-mjesta i sve treće strane)
- Što radi svaka kategorija kolačića
- Koliko dugo kolačići traju
- Kako povući privolu
Ove informacije moraju biti predstavljene jasno i jednostavnim jezikom. Politika kolačića od 5000 riječi skrivena iza tri klika ne čini privolu „informiranom” ni u kojem smislenom smislu. Prvi sloj vašeg mehanizma privole trebao bi sadržavati dovoljno informacija da korisnik može donijeti informiranu odluku.
4. Nedvosmislena
Privola zahtijeva jasnu potvrdnu radnju. Korisnik mora aktivno nešto učiniti kako bi iskazao privolu — kliknuti gumb, označiti okvir, uključiti prekidač.
Što NE predstavlja nedvosmislenu privolu:
- Unaprijed označeni okviri. Sud EU-a je konačno presudio u predmetu Planet49 (predmet C-673/17, listopad 2019.) da unaprijed označeni okviri ne predstavljaju valjanu privolu. To se odnosi na postavke privole za kolačiće u kojima su kategorije zadano označene.
- Nastavak pregledavanja. „Nastavkom korištenja ovog web-mjesta pristajete na kolačiće” nije valjana privola. Puko pomicanje stranice ili klik na poveznicu nije „nedvosmisleno izražavanje”. Više nadzornih tijela to je potvrdilo, a smjernice EDPB-a izričite su po tom pitanju.
- Postavke preglednika. Regulatori su odbacili oslanjanje na korisnikove postavke preglednika kao oblik privole. Operator web-mjesta mora privolu pribaviti izravno.
- Šutnja ili neaktivnost. Ako korisnik zanemari traku i nastavi pregledavati, to nije privola. Nijedan kolačić ne bi trebao biti postavljen dok korisnik ne donese aktivni izbor.
5. Prethodna
Iako nije naveden kao zaseban element u članku 4. stavku 11. GDPR-a, ePrivacy Direktiva jasno navodi da se privola mora pribaviti prije postavljanja kolačića. To je zahtjev koji mnoga web-mjesta i dalje ne ispunjavaju. Skripte koje se aktiviraju pri učitavanju stranice — postavljajući analitičke i marketinške kolačiće prije nego što je korisnik uopće ugledao traku za privolu — krše ovaj temeljni zahtjev.
Tehnički, to znači da skripte koje nisu neophodne moraju biti blokirane dok se privola ne da. Puko prikazivanje trake dok se kolačići već postavljaju ne zadovoljava zahtjev prethodne privole.
Kako valjana privola izgleda u praksi
Usklađena implementacija privole za kolačiće:
- Blokira sve kolačiće koji nisu neophodni prije nego što korisnik stupi u interakciju s mehanizmom privole.
- Prikazuje jasan prvi sloj koji objašnjava korištene kategorije kolačića, s mogućnostima prihvaćanja ili odbijanja svake kategorije.
- Nudi „Prihvati sve” i „Odbij sve” na istoj razini istaknutosti — iste veličine, iste vizualne težine, s istim brojem potrebnih klikova.
- Ne koristi obmanjujuće obrasce (dark patterns) — bez zavaravajućih boja gumba, bez skrivenih opcija odbijanja, bez zbunjujućeg jezika, bez usmjeravanja prema prihvaćanju.
- Povezuje na detaljnu politiku kolačića koja navodi svaki kolačić po nazivu, svrsi, trajanju i pružatelju.
- Bilježi privolu s vremenskom oznakom i konkretnim kategorijama koje je korisnik prihvatio ili odbio.
- Aktivira samo relevantne skripte nakon što je za tu konkretnu kategoriju dana privola.
Životni ciklus privole
Privola nije jednokratan događaj. Ima životni ciklus koji vaša implementacija mora podupirati:
Prikupljanje
Prvi posjet: prikažite mehanizam privole, blokirajte kolačiće koji nisu neophodni, pričekajte na korisnikovu radnju.
Pohrana
Kada je privola dana, pohranite korisnikov izbor u strogo nužni kolačić (za ovaj kolačić privola nije potrebna jer je nužan za poštivanje korisnikovih postavki privatnosti). Također pohranite i zapis na strani poslužitelja kao dokaz o privoli.
Primjena
Pri sljedećim učitavanjima stranice pročitajte kolačić privole i aktivirajte samo skripte koje odgovaraju kategorijama koje je korisnik prihvatio. Ne prikazujte ponovno traku — poštujte pohranjeni izbor.
Povlačenje
Članak 7. stavak 3. GDPR-a izričit je: „Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.” Vaše web-mjesto mora korisnicima pružiti trajan i lako dostupan način da u bilo kojem trenutku promijene svoje postavke kolačića. Uobičajen pristup je mala ikona ili poveznica u podnožju koja ponovno otvara sučelje za upravljanje privolom.
Obnova
Privola ne traje zauvijek. CNIL preporučuje obnovu privole svakih 13 mjeseci. EDPB nije odredio konkretno trajanje, ali zahtijeva da privola ostane valjana te da korisnikov izbor i dalje odražava njegove stvarne želje. Najbolja je praksa ponovno zatražiti privolu barem jednom godišnje ili kad god se vaše korištenje kolačića znatno promijeni.
Izmjene
Ako dodate nove kolačiće, nove usluge trećih strana ili nove svrhe, postojeća ih privola možda više ne pokriva. Korisnicima treba ponovno zatražiti da daju (ili uskrate) privolu za novu obradu.
Zapisi o privoli i dokazi
Članak 7. stavak 1. GDPR-a navodi: „Ako se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.” Za privolu za kolačiće to znači da morate voditi zapise o tome:
- Kada je privola dana (vremenska oznaka)
- Na što je korisnik pristao (koje su kategorije prihvaćene, a koje odbijene)
- Kako je privola prikupljena (kako je mehanizam privole izgledao u tom trenutku — identifikator verzije ili snimka zaslona)
- Tko je dao privolu (obično anonimizirani identifikator, a ne korisnikovo ime)
Ako regulator zatraži da dokažete da je određeni kolačić postavljen uz valjanu privolu, ovi su zapisi vaša obrana. Bez njih nemate dokaza da vaš mehanizam privole funkcionira — a teret dokaza je na vama, a ne na regulatoru.
Uobičajeni propusti u privoli
Na temelju provedbenih mjera diljem Europe, ovo su najčešće sankcionirani propusti u privoli:
- Kolačići postavljeni prije privole. Analitičke i marketinške skripte aktiviraju se pri učitavanju stranice, prije nego što korisnik stupi u interakciju s trakom.
- Nema opcije odbijanja u prvom sloju. Od korisnika se traži klik na „Postavke” ili „Upravljanje postavkama” za odbijanje kolačića, dok je „Prihvati sve” odmah dostupan.
- Unaprijed označene kategorije. Prekidači privole koji su zadano „uključeni” za analitiku i marketing.
- Nema načina za povlačenje privole. Nakon što je traka zatvorena, korisnik nema mogućnost promjene svog izbora.
- Zid privole / cookie wall. Blokiranje pristupa sadržaju osim ako se prihvate svi kolačići.
- Obmanjujući dizajn. Korištenje zelene boje za „Prihvati” i sive za „Odbij”, izrada većeg gumba za prihvaćanje ili korištenje zbunjujućeg jezika poput „Nastavi bez prihvaćanja” nasuprot „Prihvati i nastavi”.
Passiro skenira implementaciju privole za kolačiće na vašem web-mjestu i provjerava ove uobičajene propuste, pomažući vam da uočite i ispravite nedostatke u usklađenosti prije nego što to učini regulator.
Sljedeće: kada je točno privola potrebna? Odgovor uključuje nekoliko važnih nijansi, uključujući izuzeće za strogo nužne kolačiće te stalnu raspravu o analitici prve strane.
U ovom odjeljku
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće