GDPR i kolačići: cjeloviti vodič za usklađenost
Opća uredba o zaštiti podataka (GDPR) preobrazila je način na koji web-mjesta rukuju kolačićima od trenutka kada je stupila na snagu 25. svibnja 2018. Iako je ePrivacy Direktiva primarni propis EU-a koji uređuje kolačiće, GDPR se primjenjuje uvijek kada kolačići obrađuju osobne podatke — što, u praksi, znači gotovo uvijek. Razumijevanje načina na koji se GDPR primjenjuje na kolačiće ključno je za svako web-mjesto koje posluje u Europskom gospodarskom prostoru ili se obraća korisnicima u njemu.
Kako se GDPR primjenjuje na kolačiće
GDPR ne spominje kolačiće poimence. Umjesto toga, uređuje obradu osobnih podataka, definiranih u članku 4. stavku 1. kao svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi. Uvodna izjava 30. GDPR-a izričito navodi da se internetski identifikatori — uključujući identifikatore kolačića — mogu upotrebljavati za izradu profila fizičkih osoba i njihovu identifikaciju. To znači da svaki kolačić koji sadrži jedinstveni identifikator ili je s njime povezan predstavlja osobni podatak prema GDPR-u.
U praksi to obuhvaća gotovo sve kolačiće osim onih najosnovnijih funkcionalnih. Analitički kolačići koji dodjeljuju jedinstveni ID posjetitelja, oglašivački kolačići koji prate ponašanje pri pregledavanju, pa čak i kolačići sesije povezani s korisničkim računom, svi obrađuju osobne podatke i stoga potpadaju pod zahtjeve GDPR-a.
Članak 6.: pravna osnova za obradu
Prema članku 6. GDPR-a, svaka obrada osobnih podataka zahtijeva pravnu osnovu. Za obradu povezanu s kolačićima najčešće se pozivaju dvije osnove:
- Privola (članak 6. stavak 1. točka (a)): Ispitanik je dao privolu za obradu u jednu ili više posebnih svrha. To je primarna pravna osnova za većinu obrade kolačića, osobito za analitičke, marketinške i oglašivačke kolačiće.
- Legitimni interes (članak 6. stavak 1. točka (f)): Obrada je nužna za potrebe legitimnih interesa voditelja obrade, pod uvjetom da nad tim interesima ne prevladavaju prava i slobode ispitanika.
Osnova legitimnog interesa bila je predmet znatnih rasprava u kontekstu kolačića. Neki operateri web-mjesta tvrdili su da analitičko praćenje služi legitimnom interesu. Međutim, brojna tijela za zaštitu podataka odbacila su taj argument za kolačiće koji nisu strogo nužni. Francuski CNIL, austrijski DSB te Europski odbor za zaštitu podataka (EDPB) zauzeli su stajalište da je privola potrebna za analitičke kolačiće te da legitimni interes ne može poslužiti kao pravna osnova za postavljanje neophodnih kolačića na uređaj korisnika.
Smjernice EDPB-a 05/2020 o privoli nedvosmisleno navode: „Pomicanje ili nastavak pregledavanja web-mjesta ne predstavlja valjanu privolu.” Doba prešutne privole za kolačiće je završilo.
Članak 7.: uvjeti za valjanu privolu
Članak 7. utvrđuje uvjete koje privola mora ispunjavati. Da bi privola za kolačiće bila valjana prema GDPR-u, mora biti:
- Dobrovoljno dana: Korisnik mora imati stvarni izbor. Privola nije dobrovoljno dana ako korisnik ne može odbiti ili povući privolu bez štete. Nekoliko tijela za zaštitu podataka utvrdilo je da zidovi za kolačiće koji blokiraju pristup web-mjestu ako se ne prihvate svi kolačići nisu usklađeni, iako se pravno okruženje razlikuje ovisno o jurisdikciji.
- Posebna: Privola mora biti dana za svaku pojedinačnu svrhu. Jedan gumb „Prihvati sve” bez mogućnosti pristanka na pojedine kategorije ne ispunjava taj zahtjev.
- Informirana: Korisniku mora biti jasno rečeno na što pristaje. To znači da se moraju navesti kolačići, njihove svrhe, prikupljeni podaci i sve uključene treće strane.
- Nedvosmislena: Privola mora biti dana jasnom potvrdnom radnjom. Unaprijed označene kućice, šutnja ili neaktivnost ne predstavljaju valjanu privolu.
Članak 7. stavak 3. dodaje ključan zahtjev: povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Ako korisnik može prihvatiti kolačiće jednim klikom, mora ih moći povući jednako jednostavno. Traka za kolačiće koja gumb „Prihvati” ističe, ali mogućnost odustajanja zakopava na stranici postavki nekoliko klikova duboko, nije usklađena.
Članak 4. stavak 11.: definicija privole
Članak 4. stavak 11. definira privolu kao „svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose”.
Ta je definicija potkrijepljena uvodnom izjavom 32., koja navodi:
„Privolu bi trebalo dati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu. To bi moglo obuhvaćati označivanje kućice pri posjetu internetskom web-mjestu. Šutnja, unaprijed označene kućice ili neaktivnost stoga se ne bi smjeli smatrati privolom.”
Prijelomna presuda u predmetu Planet49 Suda Europske unije (CJEU) iz listopada 2019. (predmet C-673/17) potvrdila je to tumačenje, presudivši da unaprijed označene kućice ne predstavljaju valjanu privolu za kolačiće.
Obveze transparentnosti: članci 12.–14.
Članci od 12. do 14. zahtijevaju od voditelja obrade da informacije o obradi podataka pruže u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika. Za kolačiće to znači:
- Vaša pravila o kolačićima moraju biti napisana jezikom koji obični korisnici razumiju — a ne pravnim žargonom.
- Informacije se moraju pružiti u trenutku prikupljanja podataka (tj. prije postavljanja kolačića).
- Korisnicima se mora reći identitet voditelja obrade, svrhe obrade, kategorije podataka, eventualni primatelji, razdoblja pohrane i njihova prava.
- Ako se kolačići dijele s trećim stranama (kao što su Google Analytics, Facebook Pixel ili oglašivačke mreže), te treće strane moraju biti navedene.
Članak 17.: pravo na brisanje
Članak 17. daje ispitanicima pravo na brisanje njihovih osobnih podataka. U kontekstu kolačića to znači da, ako korisnik zatraži brisanje svojih podataka, svi osobni podaci prikupljeni putem kolačića moraju biti izbrisani. To uključuje analitičke profile, oglašivačke identifikatore i sve druge podatke povezane s identifikatorima kolačića.
Za operatere web-mjesta koji koriste analitičke ili oglašivačke usluge trećih strana to može biti osobito izazovno jer podatke može držati treća strana. Vaši sporazumi o obradi podataka s pružateljima kolačića trećih strana trebali bi sadržavati odredbe o postupanju sa zahtjevima za brisanje.
GDPR nasuprot ePrivacy: koji se propis kada primjenjuje?
Odnos između GDPR-a i ePrivacy Direktive može biti zbunjujuć. Evo kako oni djeluju zajedno:
- ePrivacy Direktiva (članak 5. stavak 3.) uređuje pohranjivanje informacija ili pristup informacijama na uređaju korisnika. Zahtijeva privolu za sve kolačiće osim onih koji su strogo nužni. To je lex specialis (poseban propis) za kolačiće.
- GDPR uređuje naknadnu obradu svih osobnih podataka prikupljenih putem kolačića. Pruža okvir za to što predstavlja valjanu privolu, prava ispitanika i obveze voditelja obrade.
U praktičnom smislu: ePrivacy Direktiva vam govori da vam je potrebna privola za postavljanje kolačića. GDPR vam govori kako izgleda valjana privola, što možete činiti s podacima i koja prava korisnici imaju u vezi s tim podacima. Oba se primjenjuju istodobno.
Tijela za zaštitu podataka i provedba
Svaka država članica EU-a ima tijelo za zaštitu podataka (DPA) odgovorno za provedbu GDPR-a i nacionalnih provedbi ePrivacy Direktive. Ta tijela imaju ovlast istraživati pritužbe, provoditi revizije i izricati novčane kazne do 4 % globalnog godišnjeg prometa ili 20 milijuna eura, ovisno o tome što je veće.
Provedba povezana s kolačićima dramatično se ubrzala od 2020. Tijela za zaštitu podataka diljem Europe prešla su sa smjernica i upozorenja na znatne kazne, čime je usklađenost s kolačićima postala stvaran poslovni rizik, a ne teoretska briga.
Najveće kazne prema GDPR-u povezane s kolačićima
Sljedeće provedbene mjere pokazuju stvarne financijske posljedice neusklađenosti s kolačićima:
| Tvrtka | Kazna | Tijelo | Godina | Ključni problem |
|---|---|---|---|---|
| Amazon Europe | 746 milijuna eura | CNPD (Luksemburg) | 2021. | Neusklađeno oglašivačko praćenje i mehanizmi privole |
| Google LLC | 150 milijuna eura | CNIL (Francuska) | 2022. | Odbijanje kolačića nije bilo jednako jednostavno kao njihovo prihvaćanje |
| Facebook (Meta) | 60 milijuna eura | CNIL (Francuska) | 2022. | Nepostojanje jednostavnog mehanizma za odbijanje kolačića |
| Microsoft (Bing) | 60 milijuna eura | CNIL (Francuska) | 2022. | Kolačići postavljeni bez privole, nepostojanje jednostavnog mehanizma odbijanja |
| TikTok | 5 milijuna eura | CNIL (Francuska) | 2023. | Odbijanje kolačića zahtijevalo je više klikova od prihvaćanja |
| Criteo | 40 milijuna eura | CNIL (Francuska) | 2023. | Neuspjeh u dobivanju valjane privole za kolačiće za praćenje |
| Vueling Airlines | 30.000 eura | AEPD (Španjolska) | 2020. | Nepostojanje mogućnosti odbijanja kolačića, samo „prihvati” |
Te kazne nisu ograničene na velike korporacije. I mala i srednja poduzeća suočila su se s provedbenim mjerama, osobito u Francuskoj, Italiji i Njemačkoj. Samo je CNIL 2021. izdao više od 100 formalnih obavijesti web-mjestima svih veličina u vezi s usklađenošću s kolačićima.
Praktični popis za provjeru usklađenosti kolačića s GDPR-om
Upotrijebite ovaj popis za provjeru ispunjava li vaše web-mjesto zahtjeve GDPR-a za kolačiće:
- Identificirajte sve kolačiće koje vaše web-mjesto postavlja, uključujući one koje postavljaju skripte trećih strana kao što su analitika, oglašavanje i widgeti društvenih mreža.
- Klasificirajte svaki kolačić kao strogo nužan, funkcionalan, analitički ili marketinški/oglašivački.
- Provedite prethodnu privolu za sve neophodne kolačiće. Nijedan analitički ili marketinški kolačić ne bi se smio aktivirati prije nego što korisnik da privolu.
- Predstavite mogućnosti privole pravedno. Mogućnost odbijanja kolačića mora biti jednako istaknuta i dostupna kao i mogućnost njihova prihvaćanja.
- Ponudite granularnu privolu. Korisnici moraju moći dati privolu za pojedine kategorije kolačića umjesto da budu prisiljeni na izbor „sve ili ništa”.
- Ne upotrebljavajte unaprijed označene kućice. Sve neobavezne kategorije kolačića moraju prema zadanim postavkama biti neoznačene.
- Pružite jasne informacije o svrsi svakog kolačića, podacima koje prikuplja, tko ima pristup podacima i koliko dugo kolačić traje.
- Identificirajte treće strane. Navedite usluge trećih strana koje postavljaju kolačiće na vašem web-mjestu (Google Analytics, Facebook Pixel, HubSpot itd.).
- Olakšajte povlačenje. Osigurajte trajan i lako dostupan način na koji korisnici mogu promijeniti svoje postavke kolačića nakon početne privole. Poveznica u podnožju ili plutajuća ikona uobičajeni su pristupi.
- Pohranjujte evidenciju privole. Vodite zapis o tome kada je svaki korisnik dao privolu, na što je pristao i koja je verzija pravila o kolačićima bila na snazi u tom trenutku.
- Poštujte odabire privole tehnički. Osigurajte da odbijanje privole doista spriječi postavljanje odgovarajućih kolačića. To zahtijeva blokiranje skripti prije privole, a ne samo brisanje kolačića naknadno.
- Održavajte pravila o kolačićima koja su aktualna, točna i napisana jednostavnim jezikom. Ažurirajte ih svaki put kada dodate nove kolačiće ili usluge trećih strana.
- Postupajte sa zahtjevima ispitanika. Uspostavite postupak za odgovaranje na zahtjeve za brisanje koji uključuje podatke prikupljene putem kolačića.
- Skenirajte redovito. Pokrećite automatizirana skeniranja kolačića barem mjesečno i nakon svake implementacije kako biste uhvatili nove kolačiće koje uvode ažurirane skripte ili dodaci.
Usklađenost s kolačićima prema GDPR-u nije jednokratna vježba. Zahtijeva stalnu pozornost kako se vaše web-mjesto razvija, dodaju nove skripte i ažuriraju regulatorne smjernice. Organizacije koje to tretiraju kao kontinuiran proces, a ne kao ispunjavanje formalnosti, one su koje izbjegavaju provedbene mjere — i pritom grade povjerenje sa svojim korisnicima.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće