» »

Kako Informacijski pooblaščenec vidi dobre prakse pri spletni zasebnosti v Sloveniji

Kako Informacijski pooblaščenec vidi dobre prakse pri spletni zasebnosti v Sloveniji

Slo-Tech - “Informacijski pooblaščenec (IP) pojasnjuje, da je pri spletnih piškotkih potrebno razlikovanje glede na njihovo vlogo in invazivnost. “ Tako informacijski pooblaščenec prek svoje PR službe posredno odgovarja na vprašanja in problematiko glede zasebnosti na internetih, ki smo jih v zadnjih tednih izpostavili prek serije člankov (1., 2., 3., 4). Ne bomo trdili, da je bil to odziv prav na naše zapise, čeprav objave časovno sovpadajo.

V tem članku bomo primerjali zadnje medijske objave Informacijskega pooblaščenca z našimi ugotovitvami glede zasebnosti na internetih v Sloveniji.

Prvič: Zakonito in neživljenjsko

Uporabo piškotkov na spletnih straneh v Sloveniji ureja ZEKom-1 v 157. členu. Člen določa kdaj je piškotke dopustno shraniti v terminalski opremi uporabnika, in sicer “[…] samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov […]”. Zakonska dikcija je dokaj trda, neživljenjska in do upravljavcev spletnih strani res neprijazna. IP je, kot smo že ugotovili v prejšnjih člankih, izhaja pa tudi iz zapisa, sprejel nekoliko blažji pristop. Njihova teleološka razlaga zakona razlikuje med tipi piškotov, njihovo vlogo in invazivnostjo in jih na podlagi teh razlik tudi različno obravnava. IP se v svojem zapisu osredotoča predvsem na piškotke za lastno analitiko.

Dobra praksa glede piškotkov za lastno analitiko, ki jo predpisuje IP, je torej naslednja:

  • obiskovalcu je na vstopni strani spletnega mesta na voljo jasno in izčrpno obvestilo o upravljavcu piškotkov in namenih njihove obdelave, jasna in enostavno dosegljiva povezava do pojasnil, kjer so navedeni piškotki, ki se porabljajo, kdo je njihov upravljavec ter nameni njihove uporabe (e.g. Namen je spremljanje obiskanosti spletnega mesta in posledično prilagajanje vsebin in izboljšave spletnega mesta, tako vsebinske kot funkcionalne.),

  • obiskovalcu je na voljo mehanizem za preklic privolitve (ki ne rabi povsem delovati),

  • zbrani podatki se uporabljajo izključno za zbiranje agregiranih analitičnih podatkov o obisku enega (ali manjšega števila vsebinsko povezanih) spletnega mesta, brez namena sledenja uporabniku čez različna spletna mesta in brez namena profiliranja. Priporočljiva (a ne nujna) je tudi anonimizacija obiskovalčevega naslova IP.


Na srečo skladno z IPjevimi navodili za postavitev piškotkov ni treba pridobivati izrecne privolitve, ki jo je mogoče podati šele po predhodnem jasnem in izčrpnem obvestilu o teh piškotkih. Lahko jih postavimo že prej, ob prvem obisku, in lahko jih postavimo tudi, če uporabnik soglasje za zbiranje analitičnih podatkov umakne. Kot pojasnjuje IP, sami umik soglasja zabeležijo v nov piškotek, ki potem povzroči, da analitično orodje ne beleži podatkov o obisku (še vedno pa nastavlja piškotke).

Drugič: Piškotki niso problem, obdelava osebnih podatkov pa je

Kot je razbrati iz pojasnil, ki jih je podal IP, je mogoče umik soglasja za obdelavo podatkov (opt-out) ne pomeni nujno, da ne smemo uporabljati piškotkov, pač pa da ne smemo obdelovati podatkov o uporabniku. Kot smo že poročali v članku “Še ena nova dobra praksa: Informacijski pooblaščenec opušča ti. kavč inšpekcije”, je glede na novo interpretacijo in glede na prakso IP nemogoče ugotoviti, kako se uporabljajo podatki, ki jih upravljavcu posredujejo piškotki. Za Matomo lahko morda sklepamo, da resnično ne obdelujejo podatkov uporabnikov, če je prisoten piškotek, ki naj bi to preprečil. Težava se pojavi pri kakšnih “in house” rešitvah, kjer to ni povsem jasno. V takih primerih mora IP na terenu preveriti dejansko stanje glede obdelave podatkov.

Ta praksa postavlja pod vprašaj potrebo po ureditvi možnosti preiskovalnih pooblastil IP, ki jih predvideva nov predlog ZVOP-2. Ta namreč v tretjem odstavku 65. člena določa, da IP lahko “brez predhodne najave in brez navzočnosti zavezanca, njegovega zakonitega zastopnika oziroma pooblaščenca opravi[…] pregled vsebine in preveri[…] način delovanja zavezančevih spletnih strani in drugih elektronsko dostopnih storitev”. Ta odstavek, ki ureja pravno podlago za "kavč inšpekcije" je že pred sprejemom bolj ali manj neuporaben.

Tretjič: Ni problematično, če uporabniku sledimo le na eni napravi?

Naslednja zanimiva dobra praksa se nanaša na jasno in izčrpno pojasnilo o upravljavcu piškotkov in namenih njihove obdelave. Tukaj zadošča takšno besedilo:

Namen je spremljanje obiskanosti spletnega mesta in posledično prilagajanje vsebin in izboljšave spletnega mesta, tako vsebinske kot funkcionalne.


Besedilo je kratko in jedrnato. In izčrpno.

Zanimivo je tudi pojasnilo v delu, kjer IP zapiše, da ne izdelujejo profilov, ki bi sledili uporabnikom med različnimi napravami. Iz tega je sklepati, da ni problematično, če uporabniku sledimo le na eni napravi in profile ustvarimo temu primerno.

Nadalje mora biti uporabniku dana možnost, da prekliče privolitev v zbiranje podatkov. IP se je potrudil in implementiral celo dva mehanizma - izklop sledenja, ki postavi nov piškotek, ki naj bi preprečeval obdelavo podatkov (ne pa tudi nastavljanja piškotov) ter upoštevanje brskalniške nastavitve “do-not-track”. Kot razumemo zapisano, je treba ponuditi vsaj eno rešitev, obe navedeni sta primerni. Škoda samo, da nekateri brskalniki ravno te dni razmišljajo o ukinitvi zastavice “do-not-track”. Ta nova dobra praksa, ki jo je predstavil IP, bi res olajšala delo programerjem spletnih strani, poleg tega bi se relativno hitro znebili grdih pop-upov.

Četrtič: Edina stalnica so spremembe pravil igre

Informacijski pooblaščenec je s svojim zapisom potrdil večino ugotovitev Slo-techa o dobrih praksah in dodal še nekaj novih. Sicer se napovedujejo že nove spremembe, nekaj jih omenja tudi IP. Prihajajo ZVOP-2, Uredba o zasebnosti in elektronskih komunikacijah, dobre prakse francoskega pooblaščenca za varstvo osebnih podatkov, sledili pa bodo verjetno tudi novi popravki ZEKom-1.

Vendar medtem, ko si državne agencije lahko vzamejo mesece in celo leta za premislek in vzpostavitev “ustreznega zakonodajnega okvirja”, pa so podjetja in posamezniki podvrženi vsem negativnim eksternalijam nedelujočega sistema. Od negotovosti v poslovnem okolju do množične obdelave osebnih podatkov za zagotavljanje boljše uporabniške izkušnje (beri: bolj učinkovitega oglaševanja).

28 komentarjev

hruske ::

Zdi se mi, da se IPRS postavlja nekoliko nad Državni zbor, glede na to, da v vseh mnenjih vedno najprej napiše, da lahko avtentično razlago zakona daje le DZ, v novicah na strani IPRS pa se to čudežno pozabi omenit.

Naj IP vloži pobudo za avtentično razlago zakona v Državni zbor, pa bo jasno kako in kaj.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

Zgodovina sprememb…

  • spremenilo: hruske ()

vahid ::

IPRS se ne postavlja samo nad drzavni zbor ampak tudi nad gdpr, ki izrecno zapoveduje opt-in, medtem, ko sam podpira opt-out. Pac cisto je nesposoben in ima uradnike neprimerne za to pozicijo. Mislim, da bi bilo odprto pismo za njih in slovenske medije na mestu (ceprav ga verjetno ne bi objavili, ker gre za konflikt interesov).

poweroff ::

Za začetek lahko kdo skuša napisati pravno utemeljen spis o tem, da je ravnanje IPRS v nasprotju z zakonom. (Če je).

To je potem lahko osnova za sprožitev postopka za razrešitev predstojnika.
sudo poweroff

Glugy ::

Najbolj me moti to da niso nobene raziskave naredil kako bi se lahko morebitna ureditev lahko zlorabljala in kako bi jo bi bilo morebiti treba dopolniti z dobro prakso Informacijskega pooblaščenca. V bistvu pravijo ja ni problem v piškotkih ; problem je v določenih piškotkih. Pa niso o piškotkih nobene raziskave naredil. V bistvu kr neki na pamet ocenjujejo to ker so jim programerji zacvikal.

b3D_950 ::

Je potem (vsaj sodeč po tem kaj drugi počnejo) uporaba GA piškotka, ki ima izklopljen remarketing dovoljena?

Zdaj ko je mir, jemo samo krompir.

Zgodovina sprememb…

  • zavaroval slike: Primoz ()

PaX_MaN ::

Kao:
Konkretno, v kolikor se Google Analytics izvede tako, da

se uporablja izključno za zbiranje agregiranih analitičnih podatkov o obisku enega (ali kvečjemu manjšega števila vsebinsko povezanih) spletnih mest, brez namena sledenja posameznemu uporabniku čez različna spletna mesta in brez namena profiliranja posameznih uporabnikov;
se uporabi običajna analitika (ga.js oz. novejši analytics.js), ne pa analitika s podporo za prikazno oglaševanje (dc.js) ali druge oglaševalske funkcije;
se vklopi anonimizacijo IP-jev;
se v administracijskem vmesniku izklopi vse možnosti deljenja zbranih podatkov z Googlom in tretjimi osebami;
se v administracijskem vmesniku sprejme Googlovo pogodbo o pogodbeni obdelavi; ter
se uporabnika o rabi analitike ustrezno obvesti (kot sicer) in mu tudi omogoči, da naknadno umakne privolitev za uporabo teh piškotkov,

... se zadevna analitična rešitev po mnenju Pooblaščenca, zadevši rabo piškotkov, šteje za nizko invazivno in enakovredno lastni analitiki, zatorej se lahko uporablja že ob prvem obisku spletne strani, na podlagi domneve uporabnikove privolitve.

Sicer menim da zakon to domnevo privolitve izključuje.

slitkx ::

vahid ::

b3D_950 je izjavil:

Je potem (vsaj sodeč po tem kaj drugi počnejo) uporaba GA piškotka, ki ima izklopljen remarketing dovoljena?



Ne. GA piskotek ne sme obstajati razen ce je uporabnik dal dovoljenje za sledenje (ki mora biti po defaultu izklopljeno). Zakaj ne obstaja? Ker google analitics skript ne nalozis brez dovoljenja. Tile sliderji na tvoji sliki morajo biti po defaultu na off, uporabnik pa jih mora obvesceno, zavestno in neprisiljeno ("stran lahko obiscete, samo ce vklopite...") sam klikniti.

Zgodovina sprememb…

  • spremenilo: vahid ()

Netrunner ::

Piškotki niso problem, sledenje je. Če se GA cookie naloži ni nič narobe, če le ta ne pošilja podatkov.
Doing nothing is very hard to do... you never know when you're finished.

antonija ::

Cisto vseeno je kaj je problem, zakon pravi tole:
Uporabo piškotkov na spletnih straneh v Sloveniji ureja ZEKom-1 v 157. členu. Člen določa kdaj je piškotke dopustno shraniti v terminalski opremi uporabnika, in sicer "[...] samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov [...]".


Oz. z drugimi besedami: thou shalt not set cookies without opt-in from user. Vse drugo je predrkavanje nesposobnih "programerjev" in ene zmedene drzavne piskotkarice.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

spegli ::

A je res tako težko spremenit zakon madona ? Ni človeški in razumem, da posredno prinaša velike dobičke korporacijam.

LeQuack ::

hruske je izjavil:

Zdi se mi, da se IPRS postavlja nekoliko nad Državni zbor, glede na to, da v vseh mnenjih vedno najprej napiše, da lahko avtentično razlago zakona daje le DZ, v novicah na strani IPRS pa se to čudežno pozabi omenit.

Naj IP vloži pobudo za avtentično razlago zakona v Državni zbor, pa bo jasno kako in kaj.


Državni zbor nima tehničnih znanj, da bi karkoli razlagali.
Quack !

starfotr ::

Jaz sem bil leta nazaj prav ponosen na IPRS in tudi na KPK. Bilo je pregledno, učinkovitno. Sedaj so pa vse uničili, eno samo sranje.

Ales ::

spegli je izjavil:

A je res tako težko spremenit zakon madona ? Ni človeški in razumem, da posredno prinaša velike dobičke korporacijam.

Narobe razumeš. Velike dobičke korporacijam prinašate le tisti, ki ne spoštujete zakone o zasebnosti.

Dejansko tragično pa je, da je velik odstotek razvijalcev in lastnikov spletnih strani enostavno preveč zabit, da bi sploh razumel, o čem se gre.

starfotr je izjavil:

Jaz sem bil leta nazaj prav ponosen na IPRS in tudi na KPK. Bilo je pregledno, učinkovitno. Sedaj so pa vse uničili, eno samo sranje.

Točno.

Kam uvrstiti, v kategorijo "tragično zabiti" ali v "podlegli lobijem"?

MrStein ::

Ej, ne zdaj Šarca kritizirat!
Ima ja rekordno priljubljenost.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Markoff ::

110%. Samo što nije.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

vahid ::

Ales je izjavil:

Dejansko tragično pa je, da je velik odstotek razvijalcev in lastnikov spletnih strani enostavno preveč zabit, da bi sploh razumel, o čem se gre.


Mislim, da imas kar prav, tule sem ze vsaj 10x razlagal najbolj osnovne stvari, pa se vedno najde nov "razvijalec", ki mu nic ni nic jasno. Ampak saj to smo hoteli, ne? 20 let nazaj so developerji spadali med intelektualce (vsaj kar sem jih jaz poznal), pa je bilo "premalo programerjev in bili so predragi"... in smo popreprostili tehnologije, javascript, java, .net, browser... In zdaj imamo rezultat, software je crap (milo receno) in vsaka potencial za smetarja danes " programira" (copy pasta iz neta). Seveda nima ne razgledanosti, ne intelekta, da bi razumel nekaj skrajno preprostega.

Ales je izjavil:

starfotr je izjavil:

Jaz sem bil leta nazaj prav ponosen na IPRS in tudi na KPK. Bilo je pregledno, učinkovitno. Sedaj so pa vse uničili, eno samo sranje.

Točno.

Kam uvrstiti, v kategorijo "tragično zabiti" ali v "podlegli lobijem"?


Za slednje se prav ne bi cudil. Aktivno iscem nacin, kam IPRS prijaviti na EU instance, tole neupostevanje GDPR je krsenje EU zakonodaje, sicer mi je zal, ampak ne gre drugace, dokler Slovenija ne dobi kazni iz EU, se ne bo nic spremenilo. Sicer pa kot je Matthai napisal, pravnik se bo moral na tole spraviti... Mogoce Piratska stranka, so vsaj za silo tehnicno osvesceni. Mogoce Mesec & Co., =/ Tistega, ki tole uredi volim na naslednjih volitvah...

MrStein ::

vahid je izjavil:

Mogoce Mesec & Co.

Pirati? Zna biti.
Mesec???? Se hecaš?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

vahid ::

MrStein je izjavil:

vahid je izjavil:

Mogoce Mesec & Co.

Pirati? Zna biti.
Mesec???? Se hecaš?


Ne se ne. Edini dve stranki, ki sta vsaj za silo, mogoce, racunalnisko pismeni. Na skrajno desnico (v sloveniji imenovano desnica) in desnico (v sloveniji imenovano levica) se lahko pozabi, ti dve sta edino kar ostane =/

Zgodovina sprememb…

  • predlagalo izbris: Samael ()

Markoff ::

Prefarbane komuniste imenuješ skrajna desnica? Potomce komunistov imenuješ desnica? Samo iz ultraskrajnolevega političnega pola lahko vidiš svet na tak način.

Predalčkanje kompleksnega političnega prepričanja ljudi po nekih arhaičnih pavšalnih modelih tako ali tako sodi med duševne bolezni.

PS: če so Kordiš, Mesec, teta Violeta, Vatovec in do nedavnega še Hanžek računalniško pismeni, sem jaz Alfakentavrijec.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • predlagalo izbris: Samael ()

MrStein ::

Markoff je izjavil:


PS: če so Kordiš, Mesec, teta Violeta, Vatovec in do nedavnega še Hanžek računalniško pismeni, sem jaz Alfakentavrijec.

To mene tudi zanima, kako vezo imajo tile z računalniki.
Da znajo email napisati in poslat?

Aja, ker Twitter uporabljajo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

poweroff ::

Trček recimo je kar računalniško pismen. Ne vem pa če je še poslanec (včasih je bil).
sudo poweroff

MrStein ::

Pa je takrat predlagal kaj "računalniškega"?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jype ::

MrStein je izjavil:

Ej, ne zdaj Šarca kritizirat!
Ima ja rekordno priljubljenost.
Ne kritiziramo Šarca. Glede na to, za kakšne reči desnica glasuje v našem imenu, je Šarec na oblasti precej manj škodljiv, kot bi bila desnica.

MrStein je izjavil:

Mesec???? Se hecaš?
Ne, se ne. Za razliko od tebe, opazujem dejstva, ne pa ideoloških plašnic.

Zgodovina sprememb…

  • predlagal izbris: MrStein ()

vahid ::

MrStein je izjavil:

Pa je takrat predlagal kaj "računalniškega"?


Mislim, da si prevec zapel na ta detajl. Dejstvo je, da desnica, ne leva, ne "bolj desna" (beri: SDS in "ljudska" sodrga) ne bo storila nic za ljudi. Je skregano z njimi, delujejo pac v interesu "veleposestnikov", ki jim je GDPR trn v petu. Ostane, kar pac ostane, pirati so na robu, Mesec je pa vsaj v koaliciji in vsaj v teoriji, bi morali, glede na njihovo clanstvo biti proti tehnoloski distopiji.

Zgodovina sprememb…

  • spremenilo: vahid ()

jype ::

vahid je izjavil:

Mesec je pa vsaj v koaliciji in vsaj v teoriji, bi morali, glede na njihovo clanstvo biti proti tehnoloski distopiji.
Ja, saj so.

So pa tudi zelo leni in jim je treba vse njihovo delo prinest že narejeno, da lahko poberejo zasluge, kot vsak pravi politik. Kdo se javi?

vahid ::

jype je izjavil:

vahid je izjavil:

Mesec je pa vsaj v koaliciji in vsaj v teoriji, bi morali, glede na njihovo clanstvo biti proti tehnoloski distopiji.
Ja, saj so.

So pa tudi zelo leni in jim je treba vse njihovo delo prinest že narejeno, da lahko poberejo zasluge, kot vsak pravi politik. Kdo se javi?


Tehnicno se javim jaz. Pravno, sicer nisem nepodkovan, samo tule sem out of my league, oni pa so bellow my paygrade.. Ampak, ce se tole uredi, rade volje zastonj pomagam.

Zgodovina sprememb…

  • spremenilo: vahid ()

spegli ::

Ales je izjavil:

spegli je izjavil:

A je res tako težko spremenit zakon madona ? Ni človeški in razumem, da posredno prinaša velike dobičke korporacijam.

Narobe razumeš. Velike dobičke korporacijam prinašate le tisti, ki ne spoštujete zakone o zasebnosti.


Nerodno sem hotel opozoriti zakaj se sploh pogovarjamo o tem.

Zgodovina sprememb…

  • spremenilo: spegli ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pisarna informacijskega pooblaščenca ponovno presegla samo sebe

Oddelek: Novice / Zasebnost
137058 (5221) terryww
»

Dobre prakse Informacijskega pooblaščenca glede rabe piškotkov so se že ustalile (strani: 1 2 )

Oddelek: Novice / NWO
5217586 (14804) slitkx
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
12137996 (28856) spegli
»

Kako Informacijski pooblaščenec vidi dobre prakse pri spletni zasebnosti v Sloveniji

Oddelek: Novice / Zasebnost
287558 (5926) spegli
»

Informacijski pooblaščenec predstavil nove dobre prakse pri uporabi piškotkov (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
5821735 (15469) AštiriL

Več podobnih tem