Še ena nova dobra praksa: Informacijski pooblaščenec opušča ti. kavč inšpekcije

O Informacijskem pooblaščencu (IP-ju) zadnje čase pišemo v zelo pozitivni luči, ker je postal bistveno bolj prijazen do domačih podjetij kot je bil prej. Kot že napisano, primer njihove trenutne najboljše prakse dovoljuje rabo spletnih piškotkov tudi brez predhodne privolitve obiskovalca oz. celo v primeru, da je uporabnik shranjevanje izrecno prepovedal. S to novo dobro prakso so razveselili številne upravljavce spletnih strani (tudi na primer Policijo, ki pa si je po naši objavi premislila in odločila za malo bolj konzervativno uporabo spletne analitike). Pravzaprav smo seznanjeni s še več drugimi državnimi organi in lokalnimi skupnostmi, ki piškotke že veselo uporabljajo na ta način, o čemer nameravamo pisati v kratkem. A to lahko še malo počaka, ker moramo poročati o nečem še pomembnejšem. Zadnje aktivnosti na IP-jevi spletni strani namreč kažejo, da namerava prenehati z dolgoletno prakso - ti. "kavč inšpekcijami spletnih strani".

Naj pojasnimo. V državi imamo številne zakone in druge prepise, ki določajo, kako je treba opravljati te in one dejavnosti, ampak to samo po sebi še ni garancija, da bo tako. Podjetja predpise včasih kršijo. Gradbinci npr. včasih delajo v nedeljo, restavracije uporabljajo hrano. s pretečenim rokom, zasebni vrtci neusposobljeno osebje, spletne strani pa zbirajo več informacij o obiskovalcih kot bi bilo treba. Da teh kršitev ne bi bilo preveč, je potreben reden nadzor, tega pa izvajajo inšpekcijski organi, kot so tržni inšpektorat, gradbena inšpekcija, zdravstveni inšpektorat ali seveda IP. Vsi ti organi pa imajo en problem: inšpekcija je načeloma draga in zamudna operacija. Inšpekcijski organi morajo namreč v skladu z zakonom delovati »na terenu«, se pravi, na sedežu zavezanca. Zato je treba imeti kadre, vozila, plačati gorivo, zavarovanje, gume, vinjete … in tako dalje. Vse to potem inšpekcijske organe postavlja pred izbiro, pri kom izvajati inšpekcijski nadzor in pri kom ne. Kako narediti selekcijo in kako določiti prioritete.

Informacijski pooblaščenec je dosedaj imel to srečo, da je lahko zaradi narave svojega dela malo "optimiziral" delovne procese glede tega terenskega dela. Kot namreč izhaja iz njihovih letnih poročil, so se v zadnjih letih fokusirali zlasti na nadzor spletnih strani, te pa je po naravi stvari mogoče nadzirati tudi brez poti na sedež ponudkov, ampak kar iz “domačega naslonjača”. No, ne ravno domačega in ne ravno naslonjača, bolj iz pisarniškega fotelja. Preveriti, ali spletna stran uporablja za zasebnost invazivne piškotke, se da iz pisarne. Za razliko npr. od preverjanja gradnje, za kar se je nujno treba odpraviti na gradbišče. No, tem inšpekcijam, ki jih inšpektorji lahko delajo iz pisarne, ljubkovalno pravimo “kavč inšpekcije”.

Čeprav so te inšpekcije mnogo hitrejše in cenejše, se pravi »učinkovite«, predstavljajo inovativno rešitev za navidezno zagotavljanje ustavnih pravic strank v inšpekcijskem postopku. Zakon o inšpekcijskem nadzoru namreč pravi, da ima oseba, ki se je znašla v inšpekcijskem postopku pravico, da je prisotna pri inšpekcijskem nadzoru. Prav tako ima pravico, da se izjavi o vsakem uradnem dejanju, o vsaki ugotovitvi in vsaki odločitvi, ki jo sprejme organ. Temu se pravniškem žargonu reče pravica do kontradiktornosti postopka. Seveda ni težav, ko pride gradbeni inšpektor na gradbišče in izvede pregled. Izvajalec ima vso možnost, da je prisoten ob pregledu. Stvar se zaplete, ko se izvaja kavč inšpekcija. Ta se opravi … v pisarni. Brez strank. Stranka tudi ni prisotna pri pisanju zapisnika. In zapisnik ji ni prebran. Samo po pošti ga dobi in zraven navodilo, naj se o tem izjasni. Kar je lahko problem. Ker pač nek državni organ trdi, da je v nekem trenutku, ob pomoči nekega brskalnika naredil neke screenshote, iz katerih izdajajo nepravilnosti, zdaj pa se ti brani, in dokaži, da to ni bilo tako. Sicer drži, da se večina podjetij v strahu pred globami pokori takšnemu nadzoru, a kaj bi bilo, če se ne bi, kaj če bi kdo od njih ugovarjal in potem pred sodiščem dokazoval, da so mu bile kršene ustavne pravice? Za zdaj se Ustavno sodišče s takšnim primerom še ni soočilo in ne upamo napovedati, kako bi se odločilo. Vendar pa je IP vložil precej naporov (3. točka prvega odstavka 65 člena) v to, da bi nov Zakon o varstvu osebnih podatkov (ZVOP-2) za takšne inšpekcije zagotovil izrecno pravno podlago.

Zato moramo pohvaliti Informacijsko pooblaščenko, ki si je s spretnim pogajanjem v času, ko se številni drugi inšpekcijski organi po leta in leta borijo za eno ali dve dodatni zaposlitvi, s sklicevanjem na GDPR in nove naloge, ki jih le ta prinaša, zagotovila več kot 10 novih zaposlitev v zadnjih dveh letih, ob tem pa še selitev v nove poslovne prostore na Dunajski cesti. Te nove zaposlitve so zagotovile zadosten kadrovski bazen, da lahko IP opusti kavč inšpekcije in tudi nadzor spletnih strani izvaja tako, kot jim to veleva veljavna procesna zakonodaja (ZIN). Kot kažejo vse okoliščine, gre za dobro premišljeno in načrtovano spremembo politike organa.

Da se je ta proces že začel, jasno kažejo nedavne spremembe pravil rabe piškotkov na njihovi spletni strani. Kaj se je torej zgodilo?

Najprej ugotavljamo, da delovanje spletne strani ostaja praktično nespremenjeno že štirinajst dni. Vsak obiskovalec tako še vedno prejme analitične piškotke Matomo (Piwik), ne da bi ga spletna stran vprašala za privolitev. Tako kot prej je o tem še vedno zgolj obveščen, s pasico na dnu strani. Tam je še vedno tudi povezava, ki namiguje, da lahko »Upravlja z nastavitvami piškotkov«. Če klikne nanjo, je preusmerjen na podstran »O spletni strani«, na kateri mora tako kot prej poiskati razdelek »Upravljanje piškotkov«. Tam še vedno piše, da ima možnost »opt-out« od teh piškotkov, tako da klikne na za to pripravljeno stikalo. Če to stori, mu spletna stran postreže še en piškotek, »piwik_ignore«, vendar pa piškotke namenjene sledenju še vedno dobiva, ne glede na »opt-out«. Prav tako mu še vedno nič ne pomaga, če jih ročno izbriše, saj jih že ob naslednjem obisku dobi nazaj.

Je pa videti, da so pri IP nekoliko spremenili besedilo ob stikalu za »opt-out«. Medtem, ko je na njem prej pisalo »Trenutno se beleži analitični piškotek. Kliknite tu, če se želite odjaviti«, zdaj piše »Trenutno je nameščen analitični piškotek. Če ne želite, da se beleži vaš obisk, odkljukajte to možnost«. Prav tako je v pojasnilu nad stikalom prej bila poved »Za uveljavitev te odločitve, prosimo kliknite spodaj in prejeli boste piškotek, v katerega se je odločitev shranila«, ki je zdaj več ni.

Zdi se torej, da je Informacijski pooblaščenec hotel pojasniti, da so z januarsko spremembo resda mislili, da je piškotke dopustno postavljati ne glede na voljo obiskovalca, da pa jih ni dovoljeno uporabljati za sledenje, če uporabnik sporoči, da tega noče.

Tako iz sprememb politike jasno izhaja, da več ni ključno, ali podjetje postavlja piškotke ali ne, ampak predvsem kaj dela z njimi.

Tega pa se ne da ugotoviti zgolj iz pregleda spletnih strani, temveč je treba iti na teren k zavezancu in preveriti dejansko stanje. Ugotoviti je namreč treba, kaj točno se počne s podatki, ki jih piškotki sporočajo upravljavcu spletne strani. Tega se seveda ne da ugotoviti brez vpogleda v zaledne zbirke podatkov. Za vpogled v zaledne zbirke podatkov mora inšpektor na teren. Na sedež podjetja, v podatkovni center, v domačo garažo ali kamorkoli že, kjer zavezanec skriva svoj center za obdelavo osebnih podatkov.