Slo-Tech - Kot smo davi že poročali, je francoski informacijski pooblaščenec Googlu in Amazonu izrekel več desetmilijonske globe zaradi nameščenja sledilnih piškotkov brez uporabnikove privolitve, ob tem pa zagrozil s še dodatnimi dnevnimi kaznimi, če težave ne bi kmalu odpravili.

Ob tej priložnosti smo preverili, kaj na tem področju počne naša pooblaščenka za piškotke informacijska pooblaščenka, Mojca Prelesnik. Konec lanskega leta je namreč na svoji spletni strani napovedala podobno oster pristop do skrbnikov spletnih strani ("Za namestitev piškotkov je potrebna aktivna privolitev internetnih uporabnikov"), obenem pa najavila prenovitev svojih smernic o rabi piškotkov v to smer.

Kot se izkaže, pisarna pooblaščenke dobro leto kasneje še vedno razmišlja, kaj bo naredila.

Novih smernic namreč še niso objavili, oziroma še več, stare smernice so potihoma in brez pojasnila preprosto umaknili s svoje spletne strani. Klik na neposredno povezavo, ki jo je mestoma še mogoče najti v nekaterih...

ECJ - Ni pomembno, ali gre za osebne podatke uporabnikov ali ne, obiskovalci spletnih strani morajo v vseh primerih AKTIVNO dati soglasje za sprejem piškotkov. Tako je odločilo Evropsko sodišče v primeru nemških organizacij za varstvo potrošnikov proti podjetju Planet49. Ta je v preteklosti premagoval branilce potrošnikov na nižjih inštancah nemškega sodstva z argumenti, da je predizpolnjen “checkbox” (ko spletna stran obiskovalcu ponudi že “odkljukane” trditve - ponavadi so te ločene na piškotke za analitiko in piškotke za oglaševanje - in jih obiskovalec v paketu vse potrdi) skladen z zahtevami GDPR.

Ko so zaščitniki potrošnikov izčrpali vsa pravna sredstva na nižjih inštancah, so se obrnili na nemško vrhovno sodišče, ki je za mnenje zaprosilo Evropsko sodišče. GDPR je namenjen zaščiti zasebnega življenja posameznikov in mora poskrbeti, da je uporabnikom popolnoma jasno, s čim soglaša pri potrditvi sprejetja piškotkov. In rešitev “Checkbox” uporabnikom odvzema transparenten način...

Slo-Tech - Na Slo-Techu smo v letošnjem letu večkrat poročali o primerih dobrih praks, ki jih je v zvezi z uporabo piškotkov na spletni strani vzpostavila pisarna Informacijskega pooblaščenca.

Ker je potrebno tudi v drugi polovici leta 2019 slovenskim spletnim razvijalcem zagotoviti posel, se je prejšnji teden Informacijski pooblaščenec v duhu dobre prakse zagotavljanja stabilnega regulatornega okolja, kot predpogoja za kakršenkoli gospodarski razvoj, odločil, da je čas za spremembo smernic z opisom najboljših praks s tega področja:
...

Slo-Tech - Vlada Republike Slovenije je včeraj predstavila prenovljeno osrednje spletno mesto državne uprave GOV.SI. Pol milijona evrov vredna spletna stran ima cilj uporabniku na prijaznejši način na enem mestu zagotoviti vsebino organov državne uprave.

In končno lahko rečemo, da je država cilj po odlični uporabniški izkušnji dosegla. Uporabniku izjemno prijazna spletna stran, ki je plod dela podjetja Innovatif, uporabnikov celo ne nadleguje z obvestilom o piškotkih, ki jih uporabniku naloži na njegovo napravo.

Na spletni podstrani, kjer opisujejo piškotke na GOV.si nam namreč lepo razložijo, da smo za upravljanje s piškotki odgovorni sami. Kot namreč pojasnjujejo, "večina spletnih brskalnikov samodejno sprejme piškotke", vendar pa imamo uporabniki možnost, da sami...

Slo-Tech - Dva meseca od zadnje objave smo preverili, ali so nove dobre prakse nastavljanja spletnih piškotkov brez privolitve (ali celo z izrecno izraženo prepovedjo) uporabnika še vedno v uporabi.

Informacijski pooblaščenec (ip-rs.si)
Z zadovoljstvom ugotavljamo, da pisarna informacijske pooblaščenke ostaja svetilnik dobrih praks na tem področju. Analitične piškotke Matomo še vedno uporabljajo brez privolitve posameznika. Prav tako vztrajajo, da je dovolj, da se na strani z več informacijami napiše, da bodo te piškotke v primeru...

Slo-Tech - “Informacijski pooblaščenec (IP) pojasnjuje, da je pri spletnih piškotkih potrebno razlikovanje glede na njihovo vlogo in invazivnost. “ Tako informacijski pooblaščenec prek svoje PR službe posredno odgovarja na vprašanja in problematiko glede zasebnosti na internetih, ki smo jih v zadnjih tednih izpostavili prek serije člankov (1., 2., 3., 4). Ne bomo trdili, da je bil to odziv prav na naše zapise, čeprav objave časovno sovpadajo.

V tem članku bomo primerjali zadnje medijske objave Informacijskega pooblaščenca z našimi ugotovitvami glede zasebnosti na internetih v Sloveniji.

Prvič: Zakonito in neživljenjsko

Uporabo piškotkov na spletnih straneh v Sloveniji ureja ZEKom-1 v 157. členu. Člen določa kdaj je piškotke dopustno shraniti v terminalski opremi uporabnika, in sicer “[…] samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov […]”. Zakonska dikcija je dokaj trda,...

Slo-Tech - Nov teden, nove zmage. Naši “kavč inšpektorji” so spet poiskali nekaj zanimivih primerov spletnih strani državnih organov, ki imajo piškotke urejene skladno z najboljšimi praksami Informacijskega pooblaščenca. Te nove prakse so res olajšale življenje programerjem. Hkrati pa so našli še nekatere nove trende, ki se tudi bliskovito širijo po slovenskem delu svetovnega spleta.

Vrhovno državno tožilstvo RS

Vrhovno državno tožilstvo lani ni dobilo le novega šefa, dobilo je tudi novo spletno stran. Seveda takšna moderna spletna...

Slo-Tech - Pravijo, da dober glas seže v deveto vas. Očitno bo to kar držalo, saj so se dobre prakse Informacijskega pooblaščenca v zvezi z uporabo spletnih piškotkov brez privolitve obiskovalca očitno že temeljito razpasle po spletnih straneh slovenske javne uprave.

Med sprehodom čez seznam na vladnem portalu Država na spletu smo namreč naleteli na bogato ponudbo piškotkov najrazličnejših ponudnikov in okusov. Prednjačijo zlasti Googlovi piškotki, se pa najde tudi piškotke Facebooka, Twitterja, Microsofta ter še številnih drugih...

Slo-Tech - O Informacijskem pooblaščencu (IP-ju) zadnje čase pišemo v zelo pozitivni luči, ker je postal bistveno bolj prijazen do domačih podjetij kot je bil prej. Kot že napisano, primer njihove trenutne najboljše prakse dovoljuje rabo spletnih piškotkov tudi brez predhodne privolitve obiskovalca oz. celo v primeru, da je uporabnik shranjevanje izrecno prepovedal. S to novo dobro prakso so razveselili številne upravljavce spletnih strani (tudi na primer Policijo, ki pa si je po naši objavi premislila in odločila za malo bolj konzervativno uporabo spletne analitike). Pravzaprav smo seznanjeni s še več drugimi državnimi organi in lokalnimi skupnostmi, ki piškotke že veselo uporabljajo na ta način, o čemer nameravamo pisati v kratkem. A to lahko še malo počaka, ker moramo...

Policija - Konec januarja smo objavili prispevek o novih pravilih uporabe piškotkov, ki jih je na svoji spletni strani prikazal Informacijski pooblaščenec (IP), sicer nadzorni organ na tem področju. Po vzoru številnih tujih spletnih strani so se namreč tudi oni odločili piškotke postavljati v vsakem primeru, ne da bi se kaj posebej ozirali na voljo obiskovalca. Takšne nove dobre prakse smo seveda pozdravili, ker so bistveno bolj prijazne do lastnikov spletnih strani. Pred tem je namreč veljalo, da je postavitev piškotkov dovoljena šele pod...

Slo-Tech - Zakonodaja s področja varstva zasebnosti je zapletena, še posebej ko govorimo o zasebnosti na spletu. Del teh zapletenih pravil se nanaša tudi na spletne piškotke ("cookies"), majhne podatkovne datoteke, s katerimi nas spletne strani identificirajo ob vsakem obisku. Glede na zapletenost pravil, ni čudno, da imajo skrbniki spletnih strani nemalo težav pri implementaciji teh pravil v praksi. Dobra novica za vse upravitelje spletnih strani: Informacijski pooblaščenec je na svoji spletni strani pokazal nov, bolj prijazen pristop k...

Slo-Tech - Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri...

Slo-Tech - Kot smo že pisali pred dvema tednoma, se je v Sloveniji pred kratkim izteklo petmesečno prehodno obdobje za zagotovitev skladnosti z novo ureditvijo piškotkov, ki ga je ob decembrski noveli Zakona o elektronskih komunikacijah predvidel zakonodajalec.

Zadnjič smo si ogledali (ne)skladnost spletnih strani najbolj eminentnih institucij slovenske države. Po dveh tednih je čas, da si ogledamo napredek.

Državni zbor nam še vedno takoj ob obisku postreže s štirimi piškotki, katerih namen ni pojasnjen, niti nismo o njih obveščeni, kaj šele, da bi za njihovo namestitev podali soglasje (na strani ni najti niti osnovne politike zasebnosti). V zadnjih štirinajstih dnevih niso naredili popolnoma nič.

Državni svet ima še vedno težave z izklopom privzetih sejnih piškotkov osnovne namestitve PHPja. Tudi v tem primeru namen ni pojasnjen, obvestila ni, soglasja ni, spremembe (oz. napredka) prav tako ne.

Tretje v vrsti je ustavno sodišče, ki spremembe zakona ravno tako ne priznava. Stran...

Slashdot - Pred poldrugim letom sta Evropski parlement in Svet sprejela serijo amandmajev, s katerimi so pomembno spremenili ureditev hranjenja piškotkov v krovni Direktivi o zasebnosti in elektronskih komunikacijah. Določilo 3. odstavka petega člena, ki bi ga države članice morale v svojo zakonodajo vnesti do tega četrtka, tako predvideva, da rabijo spletne strani pred shranjevanjem piškotka na uporabnikov računalnik od uporabnika pridobiti informirano soglasje (angl. informed consent). To pomeni, da morajo biti uporabniku še pred uporabo strani znani vsi piškotki in namen njihove uporabe, izvzemši piškotke, ki so bistveni za uporabo storitve.

Nov sistem obvezne predhodne privolitve (opt-in) je diametralno nasproten prejšnji ureditvi, ki je...

TechCrunch - Kot poročajo pri TechCrunch, so nemški vladnih uradniki, ki skrbijo za varstvo osebnih podatkov mnenja, da je početje Google Analyticsa v Nemčiji nezakonito, saj gre za zbiranje osebnih podatkov (predvsem brskalnih navad posameznikov) brez privolitve oz. ustrezne zakonske podlage.

Posebej zaskrbljeni so zaradi zbiranja podatkov na spletnih straneh povezanih z zdravjem. Zagovorniki uporabe Google Analyticsa (po nekaterih ocenah v Nemčiji to storitev uporablja okrog 13% spletnih strani na domeni .de), so mnenja, da tovrstno zbiranje osebnih podatkov ni sporno, saj imajo uporabniki možnost Googlove spletne piškotke zavrniti.

Vendar pa ta argumentacija morda ne bo vzdržala, saj je Evropska unija v začetku novembra pripravila novo direktivo s katero bodo za določene spletne piškotke uvedli načelo opt-in (in ne tim. opt-out, kot je to sedaj).

To pomeni, da bo uporabnik moral za namestitev (oz. sprejem) spletnega piškotka dati izrecno in informirano soglasje (ni torej dovolj, da ima...