Kada je privola za kolačiće obavezna?
Opće je pravilo jednostavno: privola je potrebna za sve kolačiće osim onih koji su nužno potrebni. No detalji su bitni. Točno znati kada privola jest i kada nije obavezna sprječava i pretjeranu usklađenost (dosađivanje korisnicima nepotrebnim zahtjevima za privolu) i nedostatnu usklađenost (postavljanje kolačića bez pravne osnove).
Opće pravilo
Članak 5. stavak 3. Direktive o e-privatnosti utvrđuje polazišnu točku:
Države članice osiguravaju da je pohranjivanje informacija ili pristup već pohranjenim informacijama na terminalnoj opremi pretplatnika ili korisnika dopušteno samo pod uvjetom da je dotični pretplatnik ili korisnik dao svoju privolu, nakon što mu je pružena jasna i razumljiva informacija [...] o svrhama obrade.
Ovo obuhvaća sve kolačiće, sve lokalno spremište, svu pohranu ili pristup na razini uređaja. Ako vaša web-stranica bilo što zapisuje na korisnikov uređaj, privola je zadani uvjet.
Izuzeće za nužno potrebne kolačiće
Isti članak predviđa jedino izuzeće:
Ovime se ne sprječava svaka tehnička pohrana ili pristup s isključivom svrhom obavljanja prijenosa komunikacije putem elektroničke komunikacijske mreže, ili u mjeri koja je nužno potrebna kako bi pružatelj usluge informacijskog društva koju je pretplatnik ili korisnik izričito zatražio mogao pružiti tu uslugu.
To izuzeće ima dva dijela:
- Tehnički prijenos: kolačići koji su tehnički potrebni da bi se komunikacija odvijala. Ovo je usko definirano — u biti ograničeno na kolačiće za raspoređivanje opterećenja i slične nužnosti na razini mreže.
- Nužno potrebni za uslugu: kolačići koji su ključni za uslugu koju je korisnik izričito zatražio. Ključna je fraza „koju je pretplatnik ili korisnik izričito zatražio”. Usluga mora biti nešto što je korisnik zatražio, a kolačić mora biti neophodan za njezino pružanje.
Kolačići koji su nužno potrebni (privola nije obavezna)
- Kolačići za autentifikaciju sesije. Kada se korisnik prijavi, kolačić sesije koji održava njegovo autentificirano stanje nužno je potreban za uslugu koju je zatražio (pristup vlastitom računu).
- Kolačići košarice za kupnju. Na stranici za e-trgovinu, kolačić koji prati proizvode u košarici nužno je potreban za uslugu kupnje kojom se korisnik koristi.
- Tokeni za zaštitu od CSRF-a. Nužno su potrebni za sigurno slanje obrazaca.
- Kolačići za pohranu preferencija privole. Kolačić koji pohranjuje korisnikove izbore privole nužno je potreban — bez njega ne možete poštovati njegove postavke privatnosti.
- Kolačići povezani s unosom. Kolačići koji pamte unos u obrazac tijekom višekoračnog procesa (poput obrasca za naplatu) u kojem je korisnik pokrenuo proces.
- Kolačići za raspoređivanje opterećenja. Tehnički kolačići koji usmjeravaju zahtjeve na ispravan poslužitelj. Spadaju pod „prijenosni” dio izuzeća.
- Kolačići za prilagodbu korisničkog sučelja. Kada korisnik izričito odabere jezik ili temu putem kontrole na stranici, kolačić koji pohranjuje taj izbor nužno je potreban za uslugu koju je zatražio. Međutim, to ovisi o kontekstu — vidjeti niže.
Kolačići koji NISU nužno potrebni (privola je obavezna)
- Analitički kolačići. Mjerenje prometa na web-stranici koristi operateru stranice, a ne korisniku. Korisnik nije zatražio uslugu analize prometa.
- Oglašivački kolačići i kolačići za retargetiranje. Oni služe interesima oglašivača i operatera stranice, nikada korisniku.
- Kolačići za dijeljenje na društvenim mrežama. Postavljaju ih društvene mreže trećih strana, ne za uslugu koju je korisnik zatražio.
- Kolačići za A/B testiranje. Služe ciljevima optimizacije operatera.
- Kolačići za praćenje affiliatea. Prate koji je partner uputio korisnika, čime služe poslovnim interesima operatera.
- Kolačići za trajnu prijavu („zapamti me”). EDPB je istaknuo da je kolačić sesije za trenutnu prijavu potreban, ali da trajni kolačić koji korisnika drži prijavljenim između sesija prekoračuje ono što je nužno potrebno. Korisnik se može ponovno prijaviti.
- Kolačići za praćenje performansi. Kolačići koji se koriste za praćenje vremena učitavanja stranice, stopa pogrešaka i sličnih tehničkih metrika služe operateru, a ne korisniku.
Rasprava o analitici prve strane
Jedno od najspornijih područja u usklađenosti kolačića jest smiju li se analitički kolačići prve strane koristiti bez privole. Odgovor se razlikuje ovisno o jurisdikciji i još se razvija.
Stav CNIL-a (Francuska)
Francuski CNIL izdao je posebne smjernice u kojima navodi da određeni kolačići za mjerenje publike mogu biti izuzeti od privole, pod uvjetom da:
- je svrha strogo ograničena na mjerenje publike (bez praćenja između stranica)
- se podaci ne dijele s trećim stranama
- su kolačići isključivo prve strane
- se podaci koriste samo za izradu anonimne statistike
- kolačići imaju ograničeno trajanje (najviše 13 mjeseci)
- su korisnici obaviješteni o njihovoj uporabi
- se korisnici mogu isključiti
Pod tim uvjetima CNIL smatra da određeni alati (poput Matoma konfiguriranog u načinu koji poštuje privatnost) ispunjavaju uvjete za izuzeće. Google Analytics ne ispunjava uvjete, prvenstveno zato što Google obrađuje podatke na vlastitoj infrastrukturi i može ih koristiti za vlastite svrhe.
Stav nizozemskog AP-a (Nizozemska)
Nizozemski Autoriteit Persoonsgegevens slično je naznačio da se analitički kolačići s minimalnim utjecajem na privatnost mogu koristiti bez privole, ali je postavio uvjete usporedive s onima CNIL-a.
Ostale jurisdikcije
Većina drugih europskih nadzornih tijela za zaštitu podataka nije usvojila izričito izuzeće za analitiku. ICO (Ujedinjeno Kraljevstvo) izjavio je da analitički kolačići zahtijevaju privolu. Njemačka nadzorna tijela općenito zahtijevaju privolu za sve kolačiće koji nisu nužni. Stav španjolskog AEPD-a usklađen je sa zahtijevanjem privole.
Praktična preporuka
Ako ne poslujete isključivo u Francuskoj ili Nizozemskoj i ne možete ispuniti sve uvjete CNIL-a/AP-a, najsigurniji je pristup tretirati analitičke kolačiće kao one koji zahtijevaju privolu. Ako se ipak oslanjate na izuzeće za analitiku, dokumentirajte svoje obrazloženje, osigurajte da ispunjavate svaki uvjet i pratite regulatorna kretanja — ovo se područje još razvija.
Izuzeća od privole prema svrsi kolačića: dijagram odlučivanja
Za svaki kolačić na vašoj web-stranici prođite kroz ova pitanja:
- Je li kolačić tehnički potreban za prijenos komunikacije? (npr. raspoređivanje opterećenja) Ako da: privola nije potrebna. Ako ne: nastavite.
- Je li korisnik izričito zatražio uslugu koja zahtijeva ovaj kolačić? (npr. prijava, dodavanje proizvoda u košaricu) Ako da: nastavite. Ako ne: privola je obavezna.
- Bi li zatražena usluga prestala funkcionirati bez ovog konkretnog kolačića? Ako da: privola nije potrebna (nužno potreban). Ako bi usluga funkcionirala, ali bi bila manje praktična: privola je obavezna.
- Je li kolačić prve strane, ograničen na agregiranu analitiku, s podacima koji se ne dijele s trećim stranama, i nalazite li se u jurisdikciji s izuzećem za analitiku? Ako je odgovor na sve da: potencijalno izuzet, ali dokumentirajte svoje obrazloženje. Ako je odgovor na bilo koje pitanje ne: privola je obavezna.
- U svim ostalim slučajevima: privola je obavezna.
Posebne situacije
Zidovi kolačića (cookie walls)
Zid kolačića blokira pristup web-stranici osim ako korisnik ne prihvati kolačiće. Stav EDPB-a jest da zidovi kolačića općenito onemogućuju da privola bude „dobrovoljno dana” te stoga nisu usklađeni. Međutim, neka nadzorna tijela (posebice nizozemski AP, nakon sudske odluke) naznačila su da zidovi kolačića mogu biti prihvatljivi ako se ponudi istinska, ekvivalentna alternativa — poput plaćene verzije usluge bez kolačića. Ovo ostaje sporno područje.
Plaćeni pristup nasuprot zidu kolačića
Neki izdavači nude model „privola ili plaćanje”: prihvatite kolačiće za praćenje za besplatan pristup ili platite za iskustvo bez kolačića. EDPB je 2024. izdao mišljenje o toj praksi, priznajući da može biti dopuštena pod određenim uvjetima, ali izražavajući zabrinutost da alternativa „plaćanja” mora biti istinski razumna i ne postavljena po cijeni osmišljenoj da prisili na davanje privole.
Djeca
Prema članku 8. GDPR-a, privola za usluge informacijskog društva namijenjene djeci zahtijeva provjeru te, za djecu ispod određene dobi (od 13 do 16 godina, ovisno o državi članici), roditeljsku privolu. Ako je vaša web-stranica usmjerena na djecu, zahtjevi za privolu za kolačiće stroži su.
Konteksti zaposlenika i B2B
Direktiva o e-privatnosti primjenjuje se na „pretplatnika ili korisnika” — ne samo na potrošače. Ako vaša B2B SaaS platforma koristi kolačiće koji nisu nužni, privola je i dalje potrebna od pojedinačnog korisnika, čak i u poslovnom kontekstu.
Što se događa bez valjane privole
Ako postavite kolačiće koji nisu nužni bez valjane privole:
- Podaci koje prikupljate mogu biti nezakoniti prema Direktivi o e-privatnosti i GDPR-u.
- Suočavate se s mogućim novčanim kaznama prema GDPR-u u iznosu do 20 milijuna EUR ili 4 % globalnog godišnjeg prometa, ovisno o tome što je veće (članak 83. stavak 5.).
- Može vam biti naloženo da izbrišete nezakonito prikupljene podatke.
- Vaši analitički i oglašivački podaci mogu biti kompromitirani — ako je pravna osnova za prikupljanje nevaljana, podaci se ne mogu zakonito koristiti.
- Naknadni primatelji tih podataka (oglašivačke mreže, pružatelji analitike) također se mogu suočiti s odgovornošću.
To nisu hipotetski rizici. CNIL je Googleu izrekao kaznu od 150 milijuna EUR, a Facebooku 60 milijuna EUR upravo zbog kršenja pravila o privoli za kolačiće. Manje tvrtke suočile su se s kaznama u iznosu od nekoliko desetaka tisuća eura za slične propuste.
Passiro prepoznaje svaki kolačić na vašoj web-stranici i označava one koji zahtijevaju privolu, tako da možete biti sigurni da vaš mehanizam privole obuhvaća prave kolačiće — ni više ni manje.
Zatim, usporedimo dva temeljna modela privole: opt-in nasuprot opt-out, i koji se od njih gdje primjenjuje.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće