Pretražujući internet sigurno ste do sada primijetili na stotine natpisa (tzv. bannera) o kolačićima (eng. cookies), eventualno i politikama ili pravilima privatnosti (eng. privacy policy) te se vrlo vjerojatno zapitali što je to i jesu li te sve obavijesti nužne. Treba li doista svaka stranica to imati?
Potonje vas možda posebno zanima ako ste već kreirali ili tek planirate kreirati svoju stranicu. Osmislili ste dizajn, sadržaj i sve željene funkcionalnosti stranice i zasigurno ne želite da preko cijelog pažljivo osmišljenog sadržaja stoji „banner“ s nekim suhoparnim obavijestima o kolačićima i sličnome. S druge strane, želite biti sigurni da će svi vašu stranicu bez teškoća koristiti, a možda želite prikazati i oglase ili poboljšati funkcionalnosti stranice pamćenjem određenih odabira od strane ranijih posjetitelja kao što su jezik stranice, lokacija i slično. Isto vrijedi i za posjetitelje web stranica – zasigurno želite što jednostavnije pregledavanje i korištenje interneta, ali istovremeno, želite i da se vaša privatnost i osobni podaci poštuju.
Kompromis je moguć i možda manje kompliciran nego što se to na prvu čini. No, krenimo redom.
Što su to kolačići (cookies)?
Kolačić je mala tekstualna datoteka koju web stranica pohranjuje na uređaj putem kojeg se pristupa toj web stranici (računalo, mobitel, tablet i sl). Svrhe i funkcije tih kolačića mogu biti različiti, pri čemu su osnovni kolačići po njihovim svrhama (svrhama u koje se koriste): tehnički nužni kolačići i analitički kolačići. Prva vrsta je potpuno anonimna i nužna, dok druga vrsta nije nužna, a ne mora uvijek biti ni potpuno anonimna.
S obzirom da su tehnički nužni kolačići upravo ono što im ime govori (tehnički i nužni), njih koriste sve web stranice i nije ih moguće izbjeći, ako želite ostati na stranici odnosno koristiti se njome onako kako je to predviđeno.
Analitički kolačići, s druge strane, nisu nužni, ali ih koristi većina stranica jer poboljšavaju korisničko iskustvo te daju neke druge pogodnosti. Njima se, npr. prikupljaju podaci o broju posjeta, vremenu provedenom na stranici ili pojedinim njenim dijelovima, eventualno i podaci o lokaciji, podaci o pretraživanjima u svrhu ciljanog oglašavanja i slično.
Pročitajte više: Što je e-mail marketing i kako ga uskladiti s GDPR-om
Trebaju li sve stranice imati obavijesti o kolačićima?
Kratki odgovor na ovo pitanje je: da, trebaju. Čak i ako pojedina stranica koristi samo tehnički nužne kolačiće, što je vrlo rijetko u današnje doba, treba postojati obavijest o njihovom korištenju i kratko pojašnjenje što su, jer se posjetitelja treba informirati da će nastavkom korištenja stranice ti kolačići biti primijenjeni.
Pravni temelj za ove obveze je Opća uredba o zaštiti podataka ili punim nazivom Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (skraćeni naziv na eng. General Data Protection Regulation ili samo kratko GDPR). U pripremi je nova ePrivacy uredba koja bi trebala dodatno regulirati ovo područje, no dok se ona me donese i ne stupi na snagu, primjenjuje se GDPR.
Treba li posjetitelj stranice pristati na upotrebu kolačića i što ako ne pristane?
Kratki odgovor na ovo pitanje je: ovisi. Za upotrebu tehnički nužnih kolačića ne treba pristanak posjetitielja (jer postoji legitiaman interes vlasnika stranice da koristi te kolačiće). Za upotrebu analitičkih kolačića treba pristanak – sve drugo vodi u mnogo dilema oko pravilne primjene GDPR-a, a što nikome nije potrebno i svakako treba izbjeći.
Dakle, za upotrebu analitičkih kolačića treba se ostaviti mogućnost posjetitelju da odabere pristaje li ih koristiti ili ne te poštivati njegov odabir odnosno onemogućiti njihovo korištenje ako posjetitelj odabere da ih ne želi.
Što ako posjetitelj ne označi ništa na natpisu o kolačićima?
Moguće su, naravno, i situacije da posjetitelj potpuno izignorira natpise o kolačićima na stranici te ništa ne odabere, dakle, ne odabere niti da se slaže, niti da se ne slaže s kolačićima. Jednostavno mu natpis (banner) cijelo vrijeme stoji na ekranu onako kako je postavljen. Može li takav posjetitelj nastaviti s korištenjem stranice i što je s kolačićima koje stranica koristi? I takvim posjetiteljima, a kojih, prema nekim istraživanjima, ima čak više od onih koji nešto označe, treba omogućiti korištenje stranice, no samo uz upotrebu tehnički nužnih kolačića.
Za njih i tako ne treba pristanak korisnika, već je dovoljna obavijest o njihovom postojanju, što se ispunjava postavljanjem bannera. Onemogućavanje pristupa stranici bez prethodnog pristanka na sve kolačiće (analitičke i ostale ne-nužne kolačiće) dovodi u pitanje pravnu valjanost takvih pristanaka (jer pristanak nije slobodno dan) pa takve opcije svakako treba izbjegavati.
Pročitajte više: Kako uskladiti svoj web shop s GDPR-om?
Imam/vidim natpis o kolačićima. Trebaju li mi uz to još neka pravila?
Pravila privatnosti, privacy policy i slični pravni dokumenti su vrlo poželjni dokumenti kojima se dodatno osigurava transparentnost obrade podataka i sukladnost GDPR-u. Natpisi o kolačićima svakako trebaju uputiti na neki dokument gdje će dodatno biti pojašnjeno što su to kolačići te koji, kada i kako se kolačići koriste.
Radi preglednosti i jednostavnosti, takve informacije često se daju baš u pravilima privatnosti, kao jednom njihovom dijelu. Ovisno o prirodi i sadržaju web stranice, pravila privatnosti na internetu trebat će objasniti i sve druge obrade podataka koje se događaju u sklopu pojedinačnog korištenja stranice i to na način na koji zahtijeva GDPR. Ako stranica ima web-shop, omogućava prijavu (login) ili pruža bilo koje on-line usluge, pravila privatnosti su nešto bez čega se nikako ne može.
Ima li još nekih pravila o postavljanju bannera i pravila privatnosti na internetu?
Treba obratiti pažnju na trenutak, način davanja i sadržaj obavijesti. U pogledu trenutka, GDPR-om je propisano da se informacija o obradi osobnih podataka mora dati najkasnije u trenutku prikupljanja osobnih podataka. Za web stranice to onda znači da se obavijest mora dati odmah prilikom prvog pristupa na stranicu. Svaka kasnija obavijest predstavlja povredu GDPR-a.
Što se tiče načina davanja obavijesti, propisano je da to mora, prije svega, biti razumljivo i jasno. To znači da se obavijest mora dati jasnim i lako razumljivim jezikom, tako da omogućuje potpunu informaciju i informirani pristanak, ako se on traži. U pogledu davanja pristanka (privole), nije strogo propisano kako se oni trebaju dati, no preteže stav da opt-out opcije nisu u skladu s GDPR-om (to su opcije gdje su privola ili pristanak unaprijed označeni pa se od posjetitelja traži da aktivno označe da ne pristaju na obradu podataka, ako ju ne žele).
Zaključno, propisano je i koje se sve informacije trebaju pružiti. Radi se o podacima kao što su označavanje voditelja obrade, svrha i pravnih temelja obrade, rokova konkretnih obrada, tko može pristupiti podacima, koja su prava ispitanika i slično.
Nisu li sva pravila privatnosti i natpisi o kolačićima isti? Koliko moram pažnje njima zapravo posvećivati?
Iako na prvi pogled slični, čak možda i vrlo slični, svaka web stranica ima (i treba imati) vlastite bannere (natpise) o kolačićima i pravilima privatnosti, kao i sama pravila. Naravno, model i način njihova postavljanja su slični, jer su dijelom i zadani, no sama obrada podataka odnosno tko ih obrađuje, radi čega, kako i koliko dugo, to se doista razlikuje od stranice do stranice. Iz tog razloga isplati se obratiti dodatnu pažnju.
Potonje vrijedi kako za situacije kada pristupate tuđim web stranicama (kada su vaši podaci u pitanju), tako i za situacije kada vi izrađujete web stranicu (kada vi obrađujete tuđe podatke). Dobro pripremljeni natpisi i pravila rješavaju mnogo dilema i briga u pogledu konkretnog korištenja osobnih podataka, posebice ako obrada ovisi o privoli, a što je vrlo često slučaj. Naime, ako privola nije dana na temelju dovoljnih, pravovremenih i jasnih obavijesti, dovodi se u pitanje njena valjanost, a time i sva obrada temeljena na privoli za cijelo vrijeme trajanja te obrade.
Autorica: Jelena Mustafa, odvjetnica
Foto: Canva / Privatna arhiva