Direktiva o e-zasebnosti: pojasnilo zakonodaje EU o piškotkih
Ko ljudje omenjajo »zakonodajo EU o piškotkih«, običajno mislijo na Direktivo o e-zasebnosti — natančneje na člen 5(3). Čeprav največ pozornosti požanje GDPR, je prav Direktiva o e-zasebnosti predpis, ki neposredno ureja uporabo piškotkov in podobnih tehnologij za sledenje. Razumevanje te direktive, njenega odnosa do GDPR in prihajajoče Uredbe o e-zasebnosti je nujno za vsakogar, ki je odgovoren za skladnost piškotkov na evropskem spletnem mestu.
Kaj je Direktiva o e-zasebnosti?
Direktiva o e-zasebnosti (uradno Direktiva 2002/58/ES) je bila sprejeta 12. julija 2002 kot del okvira EU za varstvo zasebnosti v telekomunikacijah. Sprva se je osredotočala na zasebnost pri elektronskih komunikacijah — obravnavala je teme, kot so zaupnost komunikacij, podatki o prometu, neželena pošta in identifikacija klicatelja.
Leta 2009 je bila direktiva bistveno spremenjena z Direktivo 2009/136/ES (pogosto imenovano »Direktiva o pravicah državljanov«). Ta sprememba je uvedla zahtevo po privolitvi za piškotke, kot jo poznamo danes, in prejšnjo ureditev z možnostjo zavrnitve nadomestila z modelom aktivne privolitve. Pred letom 2009 so morala spletna mesta uporabnike o piškotkih le obvestiti in jim omogočiti pravico do zavrnitve. Po letu 2009 je predhodna privolitev postala obvezna za vse nenujne piškotke.
Za razliko od GDPR, ki je uredba (neposredno uporabljiva v vseh državah članicah), je Direktiva o e-zasebnosti direktiva (vsaka država članica jo mora prenesti v nacionalno zakonodajo). To pomeni, da se konkretna pravila o piškotkih razlikujejo od države do države, čeprav so temeljne zahteve enake.
Člen 5(3): pravilo o privolitvi za piškotke
Člen 5(3) Direktive o e-zasebnosti je določba, ki neposredno ureja piškotke. V spremenjeni obliki določa:
»Države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, že shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil in da so mu bili v skladu z [Direktivo o varstvu podatkov, zdaj GDPR] zagotovljeni jasni in izčrpni podatki, med drugim o namenih obdelave.«
Ta določba vzpostavlja več ključnih zahtev:
- Področje uporabe: Zajema vsakršno shranjevanje podatkov v uporabnikovi napravi ali dostop do podatkov, shranjenih v njej. To vključuje piškotke, pa tudi lokalno shrambo, IndexedDB, prstne odtise naprav, sledilne piksle in vse druge tehnologije, ki berejo iz uporabnikove naprave ali vanjo zapisujejo.
- Predhodna privolitev: Privolitev je treba pridobiti, preden se podatki shranijo ali do njih dostopa — ne pozneje.
- Informirana privolitev: Uporabniku je treba zagotoviti jasne in izčrpne informacije o namenih shranjevanja ali dostopa.
- Standard privolitve: Sklic na GDPR (prvotno na Direktivo o varstvu podatkov) pomeni, da veljajo opredelitev in pogoji za privolitev iz GDPR. Privolitev mora biti prostovoljna, specifična, informirana in nedvoumna.
Izjema »nujno potrebnih« piškotkov
Člen 5(3) v svojem drugem stavku vsebuje pomembno izjemo:
»To ne prepreči nobene tehnične hrambe ali dostopa izključno za namen izvedbe prenosa komunikacije po elektronskem komunikacijskem omrežju ali kolikor je nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahteva.«
Ta izjema zajema dve kategoriji piškotkov, ki privolitve ne zahtevata:
- Piškotki, potrebni za prenos komunikacije (npr. piškotki za porazdelitev obremenitve).
- Piškotki, nujno potrebni za zagotavljanje storitve, ki jo uporabnik izrecno zahteva (npr. piškotki nakupovalne košarice, piškotki za sejo preverjanja pristnosti, piškotki uporabniških nastavitev za storitev, ki jo uporabnik aktivno uporablja).
Predhodnica Evropskega odbora za varstvo podatkov, Delovna skupina iz člena 29, je v Mnenju 04/2012 podala podrobne smernice o tem, kateri piškotki se štejejo za nujno potrebne. Primeri vključujejo:
- Izvzeti (privolitev ni potrebna): sejni piškotki za uporabniški vnos (večstopenjski obrazci), piškotki za preverjanje pristnosti, piškotki nakupovalne košarice, varnostni piškotki (žetoni CSRF), sejni piškotki multimedijskih predvajalnikov, piškotki za porazdelitev obremenitve, piškotki za prilagoditev uporabniškega vmesnika (nastavitev jezika) za trenutno sejo.
- Neizvzeti (privolitev je potrebna): analitični piškotki (vključno z Google Analytics), oglaševalski piškotki, piškotki za deljenje/sledenje na družbenih omrežjih, trajni piškotki nastavitev, ki trajajo dlje od seje, in vsi piškotki tretjih oseb za sledenje.
Ključno razlikovanje je med piškotki, ki služijo izrecni zahtevi uporabnika, in piškotki, ki služijo interesom upravljavca spletnega mesta. Piškotek jezikovne nastavitve, ki je nastavljen, ker je uporabnik kliknil izbirnik jezika, je nujno potreben. Analitični piškotek, nastavljen za pomoč upravljavcu spletnega mesta pri razumevanju prometa, ni — čeprav ga upravljavec šteje za pomembnega.
Kako e-zasebnost in GDPR delujeta skupaj
Odnos med Direktivo o e-zasebnosti in GDPR je odnos med lex specialis (specialnim zakonom) in lex generalis (splošnim zakonom). Direktiva o e-zasebnosti je specialni zakon, ki ureja zasebnost pri elektronskih komunikacijah, GDPR pa je splošni okvir za varstvo podatkov.
V praksi to pomeni:
- Direktiva o e-zasebnosti ureja, ali smete piškotek namestiti na uporabnikovo napravo. Za nenujne piškotke zahteva privolitev, ne glede na to, ali piškotek vsebuje osebne podatke.
- GDPR ureja, kaj predstavlja veljavno privolitev in kako smete obdelovati osebne podatke, zbrane prek piškotkov. Prav tako določa okvir izvrševanja, vključno s pravico do vložitve pritožb pri organih za varstvo podatkov in ureditvijo znatnih glob.
To pomeni, da tudi piškotek, ki ne vsebuje osebnih podatkov (na primer naključno ustvarjen analitični identifikator brez povezave s katerimi koli drugimi podatki), po Direktivi o e-zasebnosti še vedno zahteva privolitev, saj se člen 5(3) uporablja za vsakršno shranjevanje v uporabnikovi napravi — ne le za shranjevanje osebnih podatkov.
Nasprotno pa morate, če prek piškotkov obdelujete osebne podatke, upoštevati celoten okvir GDPR: pravno podlago, preglednost, pravice posameznikov, na katere se nanašajo osebni podatki, ocene učinka na varstvo podatkov in vse druge obveznosti.
Nacionalna izvajanja
Ker je Direktiva o e-zasebnosti direktiva in ne uredba, jo je vsaka država članica EU prenesla v nacionalno zakonodajo z nekaterimi razlikami. Čeprav je osnovna zahteva — privolitev pred nenujnimi piškotki — dosledna v vseh državah članicah, obstajajo opazne razlike v:
- Intenzivnosti izvrševanja: Francija (CNIL) in Italija (Garante) sta bili najbolj dejavni pri izvrševanju predpisov o piškotkih, druge države pa so svoje vire usmerile drugam.
- Konkretnih izjemah: Nekatere države so sprejele nekoliko širše ali ožje razlage izjeme »nujno potrebnih«.
- Analitičnih piškotkih: Nekateri organi za varstvo podatkov so preučevali, ali bi lahko ustrezno konfigurirana orodja za analitiko, ki varujejo zasebnost (npr. anonimizirana analitika brez sledenja med spletnimi mesti), izpolnjevala pogoje za podlago zakonitega interesa. Izjema francoskega CNIL za orodja za merjenje občinstva pod določenimi pogoji je najbolj znan primer, čeprav ostaja sporna.
- Zidovih za piškotke: Zakonitost zidov za piškotke (ki za dostop do spletnega mesta zahtevajo privolitev) se razlikuje glede na jurisdikcijo. Nizozemski organ za varstvo podatkov in EDPB sta zavzela strogo stališče proti njim, medtem ko je francoski Conseil d'Etat ugotovil, da so pod določenimi pogoji dopustni.
Predlagana Uredba o e-zasebnosti
Evropska komisija je januarja 2017 objavila predlog Uredbe o e-zasebnosti, ki naj bi nadomestila Direktivo o e-zasebnosti in uskladila pravila o piškotkih z GDPR. Več kot devet let pozneje je uredba še vedno v pogajanjih, kar jo uvršča med najdlje trajajoče zakonodajne postopke v zgodovini EU.
Ključne spremembe v predlagani uredbi
Čeprav končno besedilo še ni dogovorjeno, so predlog in poznejša stališča Sveta nakazali več pomembnih sprememb:
- Neposredna uporabljivost: Kot uredba in ne direktiva bi se Uredba o e-zasebnosti enotno uporabljala v vseh državah članicah in odpravila sedanjo razdrobljenost.
- Privolitev na ravni brskalnika: Zgodnji predlogi so vključevali določbe, ki bi uporabnikom omogočale nastavitev preferenc glede piškotkov na ravni brskalnika, namesto da bi se odzivali na posamezna pasica o piškotkih na vsakem spletnem mestu. To bi občutno poenostavilo uporabniško izkušnjo, čeprav so tehnični in politični izzivi znatni.
- Razširjeno področje uporabe: Uredba bi zajela tudi komunikacijske storitve OTT (over-the-top), kot sta WhatsApp in Skype, ki jih sedanja direktiva ne zajema.
- Jasnejše izjeme: Uredba želi razjasniti, katere vrste piškotkov so izvzete iz privolitve, in bi lahko izjemo razširila na določene vrste merjenja občinstva.
- Pravila o metapodatkih: Nove določbe, ki urejajo obdelavo komunikacijskih metapodatkov (podatki o lokaciji, čas povezave), presegajo tisto, kar zajema sedanja direktiva.
- Usklajeno izvrševanje: Uredba bi vzpostavila dosleden mehanizem izvrševanja, verjetno po vzoru načela »vse na enem mestu« iz GDPR.
Trenutno stanje in časovnica
Na začetku leta 2026 Uredba o e-zasebnosti ostaja v trialoških pogajanjih med Evropskim parlamentom, Svetom EU in Evropsko komisijo. Napredek je počasen zaradi temeljnih nesoglasij o več točkah, vključno z mehanizmom privolitve na ravni brskalnika, obsegom izjeme »nujno potrebnih« in pravili za obdelavo metapodatkov.
Najbolj realističen scenarij je, da uredba ne bo dokončana pred letom 2027, temu pa bo sledilo dodatno prehodno obdobje 12 do 24 mesecev, preden začne veljati. Upravljavci spletnih mest bi morali še naprej upoštevati sedanjo Direktivo o e-zasebnosti, kot je prenesena v njihovo nacionalno zakonodajo, dopolnjeno z okvirom privolitve po GDPR.
Praktične posledice za lastnike spletnih mest
Ne glede na regulativno negotovost okoli prihajajoče Uredbe o e-zasebnosti so sedanja pravila jasna in dejavno izvrševana. Lastniki spletnih mest bi morali:
- Sedanjo ureditev obravnavati kot izhodišče. Zahteva po privolitvi za nenujne piškotke je uveljavljena zakonodaja po vsej EU. Ne čakajte na Uredbo o e-zasebnosti, da uvedete skladnost.
- Blokirati nenujne piškotke pred privolitvijo. To je tehnično najzahtevnejši vidik skladnosti, a je nepogajljiv. Vaš mehanizem za privolitev za piškotke mora preprečiti, da bi skripti nastavljali piškotke, dokler uporabnik ni aktivno privolil.
- Uporabljati standard privolitve po GDPR. Ko Direktiva o e-zasebnosti govori o »privolitvi«, misli na privolitev po GDPR: prostovoljno, specifično, informirano, nedvoumno in izkazano z jasnim pritrdilnim dejanjem.
- Dokumentirati svoje nujno potrebne piškotke. Vzdržujte jasno evidenco o tem, katere piškotke štejete za nujno potrebne in zakaj. Bodite pripravljeni to razvrstitev utemeljiti, če jo organ za varstvo podatkov izpodbija.
- Spremljati nacionalna dogajanja. Ker se Direktiva o e-zasebnosti v vsaki državi izvaja drugače, bodite obveščeni o smernicah in dejavnostih izvrševanja organov za varstvo podatkov v državah, kjer se nahajajo vaši uporabniki.
- Pripraviti se na Uredbo o e-zasebnosti. Čeprav je časovnica negotova, je smer razvoja jasna: bolj usklajena pravila, potencialno širši mehanizmi privolitve in nadaljnji poudarek na zasebnosti uporabnikov. Z izgradnjo robustnega sistema za upravljanje privolitev zdaj bo prehod, ko bo prišel, potekal gladkeje.
Direktiva o e-zasebnosti je morda stara več kot dve desetletji, a ostaja temelj zakonodaje o piškotkih v Evropi. V kombinaciji z okvirom privolitve po GDPR in dejavnimi programi izvrševanja nacionalnih organov za varstvo podatkov ustvarja regulativno okolje, v katerem skladnost piškotkov ni izbirna — je pravna obveznost z resničnimi finančnimi posledicami za neskladnost.
Je vaše spletno mesto skladno s pravili o piškotkih?
Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.
Brezplačno skenirajte piškotke