Skip to main content

GDPR in piškotki: celovit vodnik po skladnosti

Splošna uredba o varstvu podatkov (GDPR) je z uveljavitvijo 25. maja 2018 korenito spremenila način, kako spletna mesta ravnajo s piškotki. Čeprav je Direktiva o zasebnosti in elektronskih komunikacijah (ePrivacy) primarni predpis EU, ki ureja piškotke, se GDPR uporablja vedno, kadar piškotki obdelujejo osebne podatke – kar v praksi pomeni skoraj vedno. Razumevanje, kako se GDPR nanaša na piškotke, je bistveno za vsako spletno mesto, ki deluje v Evropskem gospodarskem prostoru ali cilja na uporabnike v njem.

Kako se GDPR nanaša na piškotke

GDPR piškotkov ne omenja poimensko. Namesto tega ureja obdelavo osebnih podatkov, ki so v členu 4(1) opredeljeni kot vsaka informacija v zvezi z določenim ali določljivim posameznikom. Uvodna izjava 30 GDPR izrecno navaja, da se spletni identifikatorji – vključno z identifikatorji piškotkov – lahko uporabijo za ustvarjanje profilov posameznikov in za njihovo prepoznavanje. To pomeni, da vsak piškotek, ki vsebuje enolični identifikator ali je z njim povezan, po GDPR predstavlja osebni podatek.

V praksi to zajema skoraj vse piškotke, razen najosnovnejših funkcionalnih. Analitični piškotki, ki obiskovalcu dodelijo enolični ID, oglaševalski piškotki, ki sledijo vedenju pri brskanju, in celo sejni piškotki, vezani na uporabniški račun, vsi obdelujejo osebne podatke in zato spadajo pod zahteve GDPR.

Člen 6: pravna podlaga za obdelavo

V skladu s členom 6 GDPR vsaka obdelava osebnih podatkov zahteva pravno podlago. Pri obdelavi, povezani s piškotki, se najpogosteje uporabljata dve podlagi:

  • Privolitev (člen 6(1)(a)): Posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo za enega ali več določenih namenov. To je primarna pravna podlaga za večino obdelave piškotkov, zlasti za analitične, tržne in oglaševalske piškotke.
  • Zakoniti interes (člen 6(1)(f)): Obdelava je potrebna zaradi zakonitih interesov upravljavca, pod pogojem, da nad temi interesi ne prevladajo pravice in svoboščine posameznika.

Podlaga zakonitega interesa je bila v kontekstu piškotkov predmet obsežnih razprav. Nekateri upravljavci spletnih mest trdijo, da analitično sledenje služi zakonitemu interesu. Vendar so številni nadzorni organi za varstvo podatkov ta argument za piškotke, ki niso nujno potrebni, zavrnili. Francoski CNIL, avstrijski DSB in Evropski odbor za varstvo podatkov (EDPB) so vsi zavzeli stališče, da je za analitične piškotke potrebna privolitev in da zakoniti interes ne more služiti kot pravna podlaga za shranjevanje nebistvenih piškotkov v napravo uporabnika.

Smernice EDPB 05/2020 o privolitvi nedvoumno navajajo: »Drsenje ali nadaljevanje brskanja po spletnem mestu ne pomeni veljavne privolitve.« Obdobje domnevane privolitve za piškotke je končano.

Člen 7: pogoji za veljavno privolitev

Člen 7 določa pogoje, ki jih mora privolitev izpolnjevati. Da je privolitev za piškotke po GDPR veljavna, mora biti:

  1. Prostovoljna: Uporabnik mora imeti resnično izbiro. Privolitev ni prostovoljna, če je uporabnik ne more zavrniti ali preklicati brez negativnih posledic. Več nadzornih organov je zidove za piškotke, ki blokirajo dostop do spletnega mesta, dokler niso sprejeti vsi piškotki, spoznalo za neskladne, čeprav se pravna ureditev razlikuje med jurisdikcijami.
  2. Specifična: Privolitev mora biti dana za vsak posamezen namen. Enotno »Sprejmi vse« brez možnosti privolitve v posamezne kategorije te zahteve ne izpolnjuje.
  3. Informirana: Uporabniku mora biti jasno povedano, v kaj privoli. To pomeni navedbo piškotkov, njihovih namenov, zbranih podatkov in vseh vključenih tretjih oseb.
  4. Nedvoumna: Privolitev mora biti dana z jasnim pritrdilnim dejanjem. Vnaprej označena potrditvena polja, molk ali nedejavnost ne pomenijo veljavne privolitve.

Člen 7(3) dodaja ključno zahtevo: preklic privolitve mora biti tako enostaven kot njena podelitev. Če lahko uporabnik sprejme piškotke z enim klikom, mora imeti možnost, da to privolitev enako preprosto prekliče. Pasica za piškotke, ki poudari »Sprejmi«, možnost zavrnitve pa skrije na strani z nastavitvami, dosegljivo po več klikih, ni skladna.

Člen 4(11): opredelitev privolitve

Člen 4(11) opredeljuje privolitev kot »vsako prostovoljno, specifično, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj«.

To opredelitev podkrepi uvodna izjava 32, ki navaja:

»Privolitev bi bilo treba dati z jasnim pritrdilnim dejanjem, s katerim se izrazi prostovoljna, specifična, informirana in nedvoumna privolitev posameznika. To bi lahko vključevalo označitev okenca ob obisku spletne strani. Molk, vnaprej označena okenca ali nedejavnost torej ne bi smeli pomeniti privolitve.«

Prelomna sodba Planet49 Sodišča Evropske unije (CJEU) iz oktobra 2019 (zadeva C-673/17) je to razlago potrdila in odločila, da vnaprej označena potrditvena polja ne pomenijo veljavne privolitve za piškotke.

Obveznosti glede preglednosti: členi 12–14

Členi od 12 do 14 od upravljavcev podatkov zahtevajo, da zagotovijo informacije o obdelavi podatkov v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter z uporabo jasnega in preprostega jezika. Pri piškotkih to pomeni:

  • Vaš pravilnik o piškotkih mora biti napisan v jeziku, ki ga povprečni uporabniki razumejo – ne v pravnem žargonu.
  • Informacije morajo biti podane ob zbiranju podatkov (tj. preden se piškotki nastavijo).
  • Uporabnikom je treba sporočiti identiteto upravljavca, namene obdelave, kategorije podatkov, morebitne prejemnike, obdobja hrambe in njihove pravice.
  • Če se piškotki delijo s tretjimi osebami (kot so Google Analytics, Facebook Pixel ali oglaševalska omrežja), je treba te tretje osebe navesti.

Člen 17: pravica do izbrisa

Člen 17 posameznikom daje pravico do izbrisa njihovih osebnih podatkov. V kontekstu piškotkov to pomeni, da je treba ob zahtevi uporabnika za izbris podatkov izbrisati vse osebne podatke, zbrane prek piškotkov. To vključuje analitične profile, oglaševalske identifikatorje in vse druge podatke, povezane z identifikatorji piškotkov.

Za upravljavce spletnih mest, ki uporabljajo analitične ali oglaševalske storitve tretjih oseb, je to lahko še posebej zahtevno, saj lahko podatke hrani tretja oseba. Vaše pogodbe o obdelavi podatkov s ponudniki piškotkov tretjih oseb morajo vsebovati določbe o obravnavi zahtevkov za izbris.

GDPR proti ePrivacy: kaj velja kdaj?

Razmerje med GDPR in Direktivo ePrivacy je lahko zmedeno. Takole delujeta skupaj:

  • Direktiva ePrivacy (člen 5(3)) ureja dejanje shranjevanja informacij ali dostopa do njih v napravi uporabnika. Zahteva privolitev za vse piškotke, razen za tiste, ki so nujno potrebni. To je lex specialis (poseben zakon) za piškotke.
  • GDPR ureja nadaljnjo obdelavo vseh osebnih podatkov, zbranih prek piškotkov. Določa okvir za to, kaj je veljavna privolitev, kakšne so pravice posameznikov in obveznosti upravljavcev podatkov.

V praksi: Direktiva ePrivacy vam pove, da za nastavitev piškotka potrebujete privolitev. GDPR vam pove, kako izgleda veljavna privolitev, kaj lahko počnete s podatki in kakšne pravice imajo uporabniki glede teh podatkov. Oba veljata sočasno.

Nadzorni organi za varstvo podatkov in izvrševanje

Vsaka država članica EU ima nadzorni organ za varstvo podatkov (DPA), ki je odgovoren za izvrševanje tako GDPR kot nacionalnih izvedb Direktive ePrivacy. Ti organi imajo pooblastilo za preiskovanje pritožb, izvajanje revizij in nalaganje glob do 4 % svetovnega letnega prometa ali 20 milijonov EUR, kar je višje.

Izvrševanje v zvezi s piškotki se je od leta 2020 dramatično pospešilo. Nadzorni organi po vsej Evropi so od smernic in opozoril prešli na znatne globe, s čimer je skladnost s piškotki postala resnično poslovno tveganje in ne teoretična skrb.

Večje globe GDPR v zvezi s piškotki

Naslednji ukrepi izvrševanja kažejo resnične finančne posledice neskladnosti s piškotki:

Podjetje Globa Organ Leto Ključna težava
Amazon Europe 746 milijonov EUR CNPD (Luksemburg) 2021 Neskladno oglaševalsko sledenje in mehanizmi privolitve
Google LLC 150 milijonov EUR CNIL (Francija) 2022 Zavrnitev piškotkov ni bila tako preprosta kot njihovo sprejetje
Facebook (Meta) 60 milijonov EUR CNIL (Francija) 2022 Ni preprostega mehanizma za zavrnitev piškotkov
Microsoft (Bing) 60 milijonov EUR CNIL (Francija) 2022 Piškotki naloženi brez privolitve, ni preprostega mehanizma za zavrnitev
TikTok 5 milijonov EUR CNIL (Francija) 2023 Zavrnitev piškotkov je zahtevala več klikov kot sprejetje
Criteo 40 milijonov EUR CNIL (Francija) 2023 Nepridobitev veljavne privolitve za sledilne piškotke
Vueling Airlines 30.000 EUR AEPD (Španija) 2020 Ni možnosti zavrnitve piškotkov, le »sprejmi«

Te globe niso omejene na velike korporacije. Ukrepom izvrševanja so bila izpostavljena tudi mala in srednja podjetja, zlasti v Franciji, Italiji in Nemčiji. Samo CNIL je v letu 2021 izdal več kot 100 uradnih obvestil spletnim mestom vseh velikosti glede skladnosti s piškotki.

Praktični kontrolni seznam za skladnost piškotkov z GDPR

Uporabite ta kontrolni seznam, da preverite, ali vaše spletno mesto izpolnjuje zahteve GDPR glede piškotkov:

  1. Prepoznajte vse piškotke, ki jih vaše spletno mesto nastavlja, vključno s tistimi, ki jih naložijo skripti tretjih oseb, kot so analitika, oglaševanje in gradniki družbenih omrežij.
  2. Razvrstite vsak piškotek kot nujno potreben, funkcionalen, analitičen ali tržni/oglaševalski.
  3. Uvedite predhodno privolitev za vse nebistvene piškotke. Noben analitični ali tržni piškotek se ne sme sprožiti, preden je uporabnik podal privolitev.
  4. Izbire privolitve predstavite pošteno. Možnost zavrnitve piškotkov mora biti tako vidna in dostopna kot možnost njihovega sprejetja.
  5. Ponudite podrobno privolitev. Uporabniki morajo imeti možnost privoliti v posamezne kategorije piškotkov, namesto da so prisiljeni v izbiro po načelu vse ali nič.
  6. Ne uporabljajte vnaprej označenih polj. Vse izbirne kategorije piškotkov morajo biti privzeto neoznačene.
  7. Zagotovite jasne informacije o namenu vsakega piškotka, podatkih, ki jih zbira, o tem, kdo ima dostop do podatkov, in kako dolgo piškotek obstaja.
  8. Prepoznajte tretje osebe. Poimenujte storitve tretjih oseb, ki na vašem mestu nastavljajo piškotke (Google Analytics, Facebook Pixel, HubSpot itd.).
  9. Preklic naredite preprost. Uporabnikom zagotovite stalno, lahko dostopno možnost za spreminjanje nastavitev piškotkov po prvotni privolitvi. Pogosti pristopi so povezava v nogi ali plavajoča ikona.
  10. Shranjujte zapise o privolitvah. Vodite dnevnik, kdaj je vsak uporabnik podal privolitev, v kaj je privolil in katera različica pravilnika o piškotkih je takrat veljala.
  11. Tehnično upoštevajte izbire privolitve. Poskrbite, da zavrnitev privolitve dejansko prepreči nastavitev ustreznih piškotkov. To zahteva blokiranje skriptov pred privolitvijo, ne le brisanje piškotkov naknadno.
  12. Vzdržujte pravilnik o piškotkih, ki je ažuren, točen in napisan v preprostem jeziku. Posodobite ga vsakič, ko dodate nove piškotke ali storitve tretjih oseb.
  13. Obravnavajte zahtevke posameznikov. Vzpostavite postopek za odzivanje na zahtevke za izbris, ki vključuje podatke, zbrane prek piškotkov.
  14. Redno pregledujte. Izvajajte samodejne preglede piškotkov vsaj mesečno in po vsaki uvedbi, da zaznate nove piškotke, ki jih uvedejo posodobljeni skripti ali vtičniki.

Skladnost piškotkov z GDPR ni enkratna naloga. Zahteva stalno pozornost, ko se vaše spletno mesto razvija, dodajajo se novi skripti in posodabljajo regulativne smernice. Organizacije, ki to obravnavajo kot neprekinjen proces in ne kot odkljukanje na seznamu, se izognejo ukrepom izvrševanja – in ob tem gradijo zaupanje pri svojih uporabnikih.

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke