Slo-Tech - Pred dvema tednoma smo poročali o pasivnosti pisarne informacijske pooblaščenke pri nadzoru nad rabo spletnih piškotkov (http cookies). Iz svoje spletne strani so namreč preprosto umaknili svoje smernice o rabi piškotkov. Prav tako so prenehali z izvajanjem nadzorov na tem področju. Številne javne spletne strani, na katere smo jih lani oz. predlani opozorili, namreč še vedno brezskrbno nastavljajo piškotke brez uporabnikove vnaprejšnje privolitve - npr. strani Vrhovnega državnega tožilstva, Javne agencije za civilno letalstvo ali Mestne občine Ljubljana. VDT je v času, od kar smo jih nazadnje vzeli pod drobnogled, celo dodal nekaj novih piškotkov (Userway vmesnik za osebe z okvaro vida).

Ugotovitev, da se je pisarna IP-RS odločila, da rabe piškotkov na slovenskih spletnih straneh več ne bo nadzirala, pa dokončno potrjuje lani prenovljena spletna stran slovenske vlade gov.si. Na strani, ki služi kot uradni portal za vse informacije vlade, ministrstev in drugih državnih organov in...

Slo-Tech - Kot smo davi že poročali, je francoski informacijski pooblaščenec Googlu in Amazonu izrekel več desetmilijonske globe zaradi nameščenja sledilnih piškotkov brez uporabnikove privolitve, ob tem pa zagrozil s še dodatnimi dnevnimi kaznimi, če težave ne bi kmalu odpravili.

Ob tej priložnosti smo preverili, kaj na tem področju počne naša pooblaščenka za piškotke informacijska pooblaščenka, Mojca Prelesnik. Konec lanskega leta je namreč na svoji spletni strani napovedala podobno oster pristop do skrbnikov spletnih strani ("Za namestitev piškotkov je potrebna aktivna privolitev internetnih uporabnikov"), obenem pa najavila prenovitev svojih smernic o rabi piškotkov v to smer.

Kot se izkaže, pisarna pooblaščenke dobro leto kasneje še vedno razmišlja, kaj bo naredila.

Novih smernic namreč še niso objavili, oziroma še več, stare smernice so potihoma in brez pojasnila preprosto umaknili s svoje spletne strani. Klik na neposredno povezavo, ki jo je mestoma še mogoče najti v nekaterih...

ECJ - Ni pomembno, ali gre za osebne podatke uporabnikov ali ne, obiskovalci spletnih strani morajo v vseh primerih AKTIVNO dati soglasje za sprejem piškotkov. Tako je odločilo Evropsko sodišče v primeru nemških organizacij za varstvo potrošnikov proti podjetju Planet49. Ta je v preteklosti premagoval branilce potrošnikov na nižjih inštancah nemškega sodstva z argumenti, da je predizpolnjen “checkbox” (ko spletna stran obiskovalcu ponudi že “odkljukane” trditve - ponavadi so te ločene na piškotke za analitiko in piškotke za oglaševanje - in jih obiskovalec v paketu vse potrdi) skladen z zahtevami GDPR.

Ko so zaščitniki potrošnikov izčrpali vsa pravna sredstva na nižjih inštancah, so se obrnili na nemško vrhovno sodišče, ki je za mnenje zaprosilo Evropsko sodišče. GDPR je namenjen zaščiti zasebnega življenja posameznikov in mora poskrbeti, da je uporabnikom popolnoma jasno, s čim soglaša pri potrditvi sprejetja piškotkov. In rešitev “Checkbox” uporabnikom odvzema transparenten način...

ECJ - Ponudnik spletne strani, ki uporablja Facebookov gumb »Všeč mi je«, se šteje za skupnega upravljavca osebnih podatkov, ki jih ameriški spletni velikan Facebook na ta način zbere o obiskovalcih njegove spletne strani. Je namreč tisti, ki se je odločil ta gumb postaviti na svojo spletno stran in s tem Facebooku pomagati pri zbiranju podatkov o obiskovalcih. Posledično ima iz tega naslova nekatere dolžnosti po predpisih o varstvu osebnih podatkov. Tako je ta teden razsodilo Sodišče Evropske unije v primeru nemške nevladne organizacije za zaščito uporabnikov interneta Verbraucherzentrale NRW proti nemškemu modnemu portalu in zagrizenemu uporabniku Facebookovih vtičnikov Fashion ID.

Facebook kot prednost pred konkurenco
Sodišče je v omenjenem primeru ugotovilo, da...

Slo-Tech - Na Slo-Techu smo v letošnjem letu večkrat poročali o primerih dobrih praks, ki jih je v zvezi z uporabo piškotkov na spletni strani vzpostavila pisarna Informacijskega pooblaščenca.

Ker je potrebno tudi v drugi polovici leta 2019 slovenskim spletnim razvijalcem zagotoviti posel, se je prejšnji teden Informacijski pooblaščenec v duhu dobre prakse zagotavljanja stabilnega regulatornega okolja, kot predpogoja za kakršenkoli gospodarski razvoj, odločil, da je čas za spremembo smernic z opisom najboljših praks s tega področja:
...

Slo-Tech - “Informacijski pooblaščenec (IP) pojasnjuje, da je pri spletnih piškotkih potrebno razlikovanje glede na njihovo vlogo in invazivnost. “ Tako informacijski pooblaščenec prek svoje PR službe posredno odgovarja na vprašanja in problematiko glede zasebnosti na internetih, ki smo jih v zadnjih tednih izpostavili prek serije člankov (1., 2., 3., 4). Ne bomo trdili, da je bil to odziv prav na naše zapise, čeprav objave časovno sovpadajo.

V tem članku bomo primerjali zadnje medijske objave Informacijskega pooblaščenca z našimi ugotovitvami glede zasebnosti na internetih v Sloveniji.

Prvič: Zakonito in neživljenjsko

Uporabo piškotkov na spletnih straneh v Sloveniji ureja ZEKom-1 v 157. členu. Člen določa kdaj je piškotke dopustno shraniti v terminalski opremi uporabnika, in sicer “[…] samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov […]”. Zakonska dikcija je dokaj trda,...

Slo-Tech - Nov teden, nove zmage. Naši “kavč inšpektorji” so spet poiskali nekaj zanimivih primerov spletnih strani državnih organov, ki imajo piškotke urejene skladno z najboljšimi praksami Informacijskega pooblaščenca. Te nove prakse so res olajšale življenje programerjem. Hkrati pa so našli še nekatere nove trende, ki se tudi bliskovito širijo po slovenskem delu svetovnega spleta.

Vrhovno državno tožilstvo RS

Vrhovno državno tožilstvo lani ni dobilo le novega šefa, dobilo je tudi novo spletno stran. Seveda takšna moderna spletna...

Slo-Tech - Pravijo, da dober glas seže v deveto vas. Očitno bo to kar držalo, saj so se dobre prakse Informacijskega pooblaščenca v zvezi z uporabo spletnih piškotkov brez privolitve obiskovalca očitno že temeljito razpasle po spletnih straneh slovenske javne uprave.

Med sprehodom čez seznam na vladnem portalu Država na spletu smo namreč naleteli na bogato ponudbo piškotkov najrazličnejših ponudnikov in okusov. Prednjačijo zlasti Googlovi piškotki, se pa najde tudi piškotke Facebooka, Twitterja, Microsofta ter še številnih drugih...

Slo-Tech - O Informacijskem pooblaščencu (IP-ju) zadnje čase pišemo v zelo pozitivni luči, ker je postal bistveno bolj prijazen do domačih podjetij kot je bil prej. Kot že napisano, primer njihove trenutne najboljše prakse dovoljuje rabo spletnih piškotkov tudi brez predhodne privolitve obiskovalca oz. celo v primeru, da je uporabnik shranjevanje izrecno prepovedal. S to novo dobro prakso so razveselili številne upravljavce spletnih strani (tudi na primer Policijo, ki pa si je po naši objavi premislila in odločila za malo bolj konzervativno uporabo spletne analitike). Pravzaprav smo seznanjeni s še več drugimi državnimi organi in lokalnimi skupnostmi, ki piškotke že veselo uporabljajo na ta način, o čemer nameravamo pisati v kratkem. A to lahko še malo počaka, ker moramo...

Policija - Konec januarja smo objavili prispevek o novih pravilih uporabe piškotkov, ki jih je na svoji spletni strani prikazal Informacijski pooblaščenec (IP), sicer nadzorni organ na tem področju. Po vzoru številnih tujih spletnih strani so se namreč tudi oni odločili piškotke postavljati v vsakem primeru, ne da bi se kaj posebej ozirali na voljo obiskovalca. Takšne nove dobre prakse smo seveda pozdravili, ker so bistveno bolj prijazne do lastnikov spletnih strani. Pred tem je namreč veljalo, da je postavitev piškotkov dovoljena šele pod...

Slo-Tech - Zakonodaja s področja varstva zasebnosti je zapletena, še posebej ko govorimo o zasebnosti na spletu. Del teh zapletenih pravil se nanaša tudi na spletne piškotke ("cookies"), majhne podatkovne datoteke, s katerimi nas spletne strani identificirajo ob vsakem obisku. Glede na zapletenost pravil, ni čudno, da imajo skrbniki spletnih strani nemalo težav pri implementaciji teh pravil v praksi. Dobra novica za vse upravitelje spletnih strani: Informacijski pooblaščenec je na svoji spletni strani pokazal nov, bolj prijazen pristop k...

Slo-Tech - Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri...

Slo-Tech - Kot smo že pisali pred dvema tednoma, se je v Sloveniji pred kratkim izteklo petmesečno prehodno obdobje za zagotovitev skladnosti z novo ureditvijo piškotkov, ki ga je ob decembrski noveli Zakona o elektronskih komunikacijah predvidel zakonodajalec.

Zadnjič smo si ogledali (ne)skladnost spletnih strani najbolj eminentnih institucij slovenske države. Po dveh tednih je čas, da si ogledamo napredek.

Državni zbor nam še vedno takoj ob obisku postreže s štirimi piškotki, katerih namen ni pojasnjen, niti nismo o njih obveščeni, kaj šele, da bi za njihovo namestitev podali soglasje (na strani ni najti niti osnovne politike zasebnosti). V zadnjih štirinajstih dnevih niso naredili popolnoma nič.

Državni svet ima še vedno težave z izklopom privzetih sejnih piškotkov osnovne namestitve PHPja. Tudi v tem primeru namen ni pojasnjen, obvestila ni, soglasja ni, spremembe (oz. napredka) prav tako ne.

Tretje v vrsti je ustavno sodišče, ki spremembe zakona ravno tako ne priznava. Stran...

Slashdot - Pred poldrugim letom sta Evropski parlement in Svet sprejela serijo amandmajev, s katerimi so pomembno spremenili ureditev hranjenja piškotkov v krovni Direktivi o zasebnosti in elektronskih komunikacijah. Določilo 3. odstavka petega člena, ki bi ga države članice morale v svojo zakonodajo vnesti do tega četrtka, tako predvideva, da rabijo spletne strani pred shranjevanjem piškotka na uporabnikov računalnik od uporabnika pridobiti informirano soglasje (angl. informed consent). To pomeni, da morajo biti uporabniku še pred uporabo strani znani vsi piškotki in namen njihove uporabe, izvzemši piškotke, ki so bistveni za uporabo storitve.

Nov sistem obvezne predhodne privolitve (opt-in) je diametralno nasproten prejšnji ureditvi, ki je...

Washington Post - Od leta 2000 je v ZDA v veljavi določilo, ki zveznim agencijam prepoveduje uporabo sledilnih piškotkov in drugih tehnologij za profiliranje uporabnikov njihovih spletnih strani, če to ni nujno potrebno. Nova administracija pa si prizadeva to omejitev odpraviti. V ponedeljek se je izteklo dvotedensko obdobje, ko so zbirali pripombe javnosti na predlog, ki bi uporabo piškotkov spet dovolil.

Skupine za zaščito zasebnosti so ogorčene, saj naj bi vlada na tak način prišla do ogromne zbirke osebnih podatkov obiskovalcev vladnih strani. Hkrati se sprašujejo, ali se spremembe dogajajo pod pritiskom privatnih podjetjih, kot je Google. Electronic Privacy Information Center je namreč izbrskal pogodbo, ki jo je Google z neznano vladno agencijo sklenil 19. februarja, in podjetje izvzema iz omejitev. To pomeni, da vlada sicer ne sme zbirati podatkov, a ker je na spletno stran Bele hiše vgrajen YouTube, lahko Google spremlja podatke o uporabnikih, ki si ogledajo, denimo, predsedniške nagovore...