Skip to main content

Privolitev za piškotke: kaj zakon dejansko zahteva

Privolitev za piškotke je ena najbolj napačno razumljenih zahtev digitalne zasebnosti. Mnoga podjetja verjamejo, da so skladna, ker prikazujejo pasico o piškotkih. Toda pasica ni privolitev. Privolitev je poseben pravni koncept z natančnimi zahtevami — in če teh zahtev ne izpolnite, je lahko celotno zbiranje vaših podatkov nezakonito.

Pravni temelj

Privolitev za piškotke temelji na dveh pravnih stebrih:

Člen 5(3) Direktive o zasebnosti in elektronskih komunikacijah (ePrivacy) določa zahtevo: shranjevanje ali dostop do informacij na uporabnikovi napravi zahteva uporabnikovo privolitev, razen če je shranjevanje nujno potrebno za storitev, ki jo je uporabnik izrecno zahteval. To je pravilo, ki posebej ureja piškotke.

Člen 4(11) GDPR opredeljuje, kaj privolitev pomeni: »'privolitev' posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje k obdelavi osebnih podatkov, ki se nanašajo nanj.«

Ti dve določbi delujeta skupaj. Direktiva ePrivacy vam pove, kdaj je privolitev potrebna (za nenujne piškotke). GDPR vam pove, kako izgleda veljavna privolitev. Izpolniti morate obe.

Pet zahtev veljavne privolitve

Na podlagi člena 4(11) GDPR, člena 7 in Smernic EDPB 05/2020 o privolitvi mora veljavna privolitev za piškotke izpolnjevati pet meril:

1. Prostovoljna

Uporabnik mora imeti resnično izbiro. Privolitev ni prostovoljna, če:

  • je dostop pogojen s privolitvijo. Če uporabnik spletnega mesta ne more uporabljati brez sprejetja vseh piškotkov (»zid piškotkov«), privolitev ni prostovoljna. EDPB je to stališče potrdil, čeprav nekateri nacionalni nadzorni organi pod določenimi pogoji dovoljujejo omejene zidove piškotkov — zlasti če obstaja resnična alternativa (na primer plačljiva različica brez piškotkov).
  • obstaja znatno neravnovesje moči. V razmerjih med delodajalcem in zaposlenim ali med državo in državljanom privolitev morda ni resnično prostovoljna. Pri večini spletnih mest to ni tako pomembno, je pa pomembno pri državnih storitvah in intranetnih platformah.
  • je zavrnitev bistveno težja od sprejetja. Če je »Sprejmi vse« vidni gumb, za »Zavrni vse« pa se je treba prebijati skozi nastavitve, privolitev ni prostovoljna. Italijanski Garante in francoski CNIL sta izdala posebne smernice, ki zahtevajo, da je zavrnitev piškotkov enako preprosta kot njihovo sprejetje.

2. Konkretna

Privolitev mora biti dana za vsak posamezen namen ločeno. Zato obstajajo kategorije piškotkov. Veljaven mehanizem privolitve mora uporabnikom omogočati, da sprejmejo analitične piškotke, a zavrnejo tržne piškotke, ali obratno. Združevanje vseh piškotkov v en sam »sprejmi« ali »zavrni« ne izpolnjuje zahteve po konkretnosti — čeprav je ponujanje bližnjic »Sprejmi vse« in »Zavrni vse« poleg nastavitev za posamezne kategorije sprejemljivo.

3. Informirana

Pred podajo privolitve mora biti uporabnik obveščen o:

  • tem, kdo nastavlja piškotke (upravljavec spletnega mesta in morebitne tretje osebe)
  • tem, kaj počne vsaka kategorija piškotkov
  • tem, kako dolgo piškotki trajajo
  • tem, kako preklicati privolitev

Te informacije morajo biti predstavljene jasno in v razumljivem jeziku. Politika piškotkov s 5.000 besedami, skrita za tremi kliki, privolitve ne naredi »informirane« v nobenem smiselnem pomenu. Prva raven mehanizma privolitve mora vsebovati dovolj informacij, da lahko uporabnik sprejme informirano odločitev.

4. Nedvoumna

Privolitev zahteva jasno pritrdilno dejanje. Uporabnik mora aktivno storiti nekaj, s čimer izrazi privolitev — klikniti gumb, obkljukati polje, preklopiti stikalo.

Kaj NE predstavlja nedvoumne privolitve:

  • Vnaprej obkljukana polja. Sodišče EU je v zadevi Planet49 (zadeva C-673/17, oktober 2019) dokončno razsodilo, da vnaprej obkljukana polja ne pomenijo veljavne privolitve. To velja za nastavitve privolitve za piškotke, kjer so kategorije privzeto obkljukane.
  • Nadaljnje brskanje. »Z nadaljnjo uporabo tega spletnega mesta privolite v piškotke« ni veljavna privolitev. Samo drsenje ali klikanje povezave ni »nedvoumna izjava volje«. To je potrdilo več nadzornih organov, smernice EDPB pa so glede tega izrecne.
  • Nastavitve brskalnika. Zanašanje na uporabnikove nastavitve brskalnika kot obliko privolitve so regulatorji zavrnili. Upravljavec spletnega mesta mora privolitev pridobiti neposredno.
  • Molk ali neaktivnost. Če uporabnik prezre pasico in nadaljuje z brskanjem, to ni privolitev. Dokler uporabnik ne sprejme aktivne odločitve, se ne sme namestiti noben piškotek.

5. Predhodna

Čeprav v členu 4(11) GDPR ni naveden kot ločen element, Direktiva ePrivacy jasno določa, da je treba privolitev pridobiti preden se piškotki namestijo. To je zahteva, ki je mnoga spletna mesta še vedno ne izpolnjujejo. Skripte, ki se sprožijo ob nalaganju strani — in nastavijo analitične in tržne piškotke, preden uporabnik sploh vidi pasico o privolitvi — kršijo to temeljno zahtevo.

Tehnično to pomeni, da morajo biti nenujne skripte blokirane, dokler ni podana privolitev. Zgolj prikazovanje pasice, medtem ko se piškotki že nastavljajo, ne izpolnjuje zahteve po predhodni privolitvi.

Kako izgleda veljavna privolitev v praksi

Skladna izvedba privolitve za piškotke:

  1. Blokira vse nenujne piškotke še preden uporabnik uporabi mehanizem privolitve.
  2. Predstavi jasno prvo raven, ki pojasni uporabljene kategorije piškotkov, z možnostmi sprejetja ali zavrnitve vsake kategorije.
  3. Ponuja »Sprejmi vse« in »Zavrni vse« na enako vidnem mestu — enake velikosti, enake vizualne teže, z enakim številom potrebnih klikov.
  4. Ne uporablja zavajajočih vzorcev — brez zavajajočih barv gumbov, brez skritih možnosti zavrnitve, brez zmedenega jezika, brez usmerjanja k sprejetju.
  5. Se povezuje s podrobno politiko piškotkov, ki navaja vsak piškotek po imenu, namenu, trajanju in ponudniku.
  6. Zabeleži privolitev s časovnim žigom in konkretnimi kategorijami, ki jih je uporabnik sprejel ali zavrnil.
  7. Sproži samo ustrezne skripte po podani privolitvi za to konkretno kategorijo.

Življenjski cikel privolitve

Privolitev ni enkraten dogodek. Ima življenjski cikel, ki ga mora vaša izvedba podpirati:

Zbiranje

Prvi obisk: prikažite mehanizem privolitve, blokirajte nenujne piškotke, počakajte na dejanje uporabnika.

Shranjevanje

Ko je privolitev podana, shranite uporabnikovo izbiro v nujno potreben piškotek (za ta piškotek ni potrebna privolitev, saj je nujen za spoštovanje uporabnikovih nastavitev zasebnosti). Shranite tudi zapis na strežniški strani kot dokazilo o privolitvi.

Uporaba

Ob naslednjih nalaganjih strani preberite piškotek privolitve in sprožite samo skripte, ki ustrezajo kategorijam, ki jih je uporabnik sprejel. Pasice ne prikazujte znova — spoštujte shranjeno izbiro.

Preklic

Člen 7(3) GDPR je izrecen: »Privolitev je enako preprosto preklicati kot podati.« Vaše spletno mesto mora uporabnikom nuditi trajen, lahko dostopen način za spreminjanje nastavitev piškotkov kadar koli. Pogost pristop je majhna ikona ali povezava v nogi, ki znova odpre vmesnik za upravljanje privolitve.

Obnavljanje

Privolitev ne traja večno. CNIL priporoča obnavljanje privolitve vsakih 13 mesecev. EDPB ni določil konkretnega trajanja, a zahteva, da privolitev ostane veljavna in da uporabnikova izbira še vedno odraža njegovo dejansko voljo. Najboljša praksa je ponovno vprašanje vsaj enkrat letno ali kadar koli se vaša uporaba piškotkov bistveno spremeni.

Spremembe

Če dodate nove piškotke, nove storitve tretjih oseb ali nove namene, obstoječa privolitev morda ne pokriva več teh. Uporabnike je treba znova vprašati za privolitev (ali njeno zadržanje) za novo obdelavo.

Zapisi o privolitvi in dokazila

Člen 7(1) GDPR določa: »Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.« Pri privolitvi za piškotke to pomeni, da morate voditi zapise o:

  • Kdaj je bila privolitev podana (časovni žig)
  • V kaj je uporabnik privolil (katere kategorije so bile sprejete, katere zavrnjene)
  • Kako je bila privolitev zbrana (kako je mehanizem privolitve takrat izgledal — identifikator različice ali posnetek zaslona)
  • Kdo je podal privolitev (običajno anonimiziran identifikator, ne uporabnikovo ime)

Če vas regulator zaprosi, da dokažete, da je bil določen piškotek nameščen z veljavno privolitvijo, so ti zapisi vaša obramba. Brez njih nimate dokaza, da vaš mehanizem privolitve deluje — dokazno breme pa je na vas, ne na regulatorju.

Pogoste napake pri privolitvi

Na podlagi ukrepov pregona po vsej Evropi so to najpogosteje kaznovane napake pri privolitvi:

  1. Piškotki, nameščeni pred privolitvijo. Analitične in tržne skripte se sprožijo ob nalaganju strani, preden uporabnik uporabi pasico.
  2. Ni možnosti zavrnitve na prvi ravni. Uporabniki morajo za zavrnitev piškotkov klikniti »Nastavitve« ali »Upravljaj nastavitve«, medtem ko je »Sprejmi vse« takoj na voljo.
  3. Vnaprej obkljukane kategorije. Stikala za privolitev, ki so za analitiko in trženje privzeto vklopljena.
  4. Ni načina za preklic privolitve. Ko je pasica zaprta, uporabnik nima možnosti spremeniti svoje izbire.
  5. Zid privolitve / zid piškotkov. Blokiranje dostopa do vsebine, dokler niso sprejeti vsi piškotki.
  6. Zavajajoča zasnova. Uporaba zelene barve za »Sprejmi« in sive za »Zavrni«, večji gumb za sprejem ali zmeden jezik, kot je »Nadaljuj brez sprejetja« proti »Sprejmi in nadaljuj«.

Passiro pregleda izvedbo privolitve za piškotke na vašem spletnem mestu in preveri te pogoste napake ter vam pomaga prepoznati in odpraviti vrzeli v skladnosti, preden to stori regulator.

Naslednje: kdaj natanko je privolitev potrebna? Odgovor vključuje nekaj pomembnih odtenkov, med drugim izjemo za nujno potrebne piškotke in tekočo razpravo o analitiki prve osebe.

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke