Kako Informacijski pooblaščenec vidi dobre prakse pri spletni zasebnosti v Sloveniji

“Informacijski pooblaščenec (IP) pojasnjuje, da je pri spletnih piškotkih potrebno razlikovanje glede na njihovo vlogo in invazivnost. “ Tako informacijski pooblaščenec prek svoje PR službe posredno odgovarja na vprašanja in problematiko glede zasebnosti na internetih, ki smo jih v zadnjih tednih izpostavili prek serije člankov (1., 2., 3., 4). Ne bomo trdili, da je bil to odziv prav na naše zapise, čeprav objave časovno sovpadajo.

V tem članku bomo primerjali zadnje medijske objave Informacijskega pooblaščenca z našimi ugotovitvami glede zasebnosti na internetih v Sloveniji.

Prvič: Zakonito in neživljenjsko

Uporabo piškotkov na spletnih straneh v Sloveniji ureja ZEKom-1 v 157. členu. Člen določa kdaj je piškotke dopustno shraniti v terminalski opremi uporabnika, in sicer “[…] samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov […]”. Zakonska dikcija je dokaj trda, neživljenjska in do upravljavcev spletnih strani res neprijazna. IP je, kot smo že ugotovili v prejšnjih člankih, izhaja pa tudi iz zapisa, sprejel nekoliko blažji pristop. Njihova teleološka razlaga zakona razlikuje med tipi piškotov, njihovo vlogo in invazivnostjo in jih na podlagi teh razlik tudi različno obravnava. IP se v svojem zapisu osredotoča predvsem na piškotke za lastno analitiko.

Dobra praksa glede piškotkov za lastno analitiko, ki jo predpisuje IP, je torej naslednja:

• obiskovalcu je na vstopni strani spletnega mesta na voljo jasno in izčrpno obvestilo o upravljavcu piškotkov in namenih njihove obdelave, jasna in enostavno dosegljiva povezava do pojasnil, kjer so navedeni piškotki, ki se porabljajo, kdo je njihov upravljavec ter nameni njihove uporabe (e.g. Namen je spremljanje obiskanosti spletnega mesta in posledično prilagajanje vsebin in izboljšave spletnega mesta, tako vsebinske kot funkcionalne.),


• obiskovalcu je na voljo mehanizem za preklic privolitve (ki ne rabi povsem delovati),


• zbrani podatki se uporabljajo izključno za zbiranje agregiranih analitičnih podatkov o obisku enega (ali manjšega števila vsebinsko povezanih) spletnega mesta, brez namena sledenja uporabniku čez različna spletna mesta in brez namena profiliranja. Priporočljiva (a ne nujna) je tudi anonimizacija obiskovalčevega naslova IP.

Drugič: Piškotki niso problem, obdelava osebnih podatkov pa je

Kot je razbrati iz pojasnil, ki jih je podal IP, je mogoče umik soglasja za obdelavo podatkov (opt-out) ne pomeni nujno, da ne smemo uporabljati piškotkov, pač pa da ne smemo obdelovati podatkov o uporabniku. Kot smo že poročali v članku “Še ena nova dobra praksa: Informacijski pooblaščenec opušča ti. kavč inšpekcije”, je glede na novo interpretacijo in glede na prakso IP nemogoče ugotoviti, kako se uporabljajo podatki, ki jih upravljavcu posredujejo piškotki. Za Matomo lahko morda sklepamo, da resnično ne obdelujejo podatkov uporabnikov, če je prisoten piškotek, ki naj bi to preprečil. Težava se pojavi pri kakšnih “in house” rešitvah, kjer to ni povsem jasno. V takih primerih mora IP na terenu preveriti dejansko stanje glede obdelave podatkov.

Ta praksa postavlja pod vprašaj potrebo po ureditvi možnosti preiskovalnih pooblastil IP, ki jih predvideva nov predlog ZVOP-2. Ta namreč v tretjem odstavku 65. člena določa, da IP lahko “brez predhodne najave in brez navzočnosti zavezanca, njegovega zakonitega zastopnika oziroma pooblaščenca opravi[…] pregled vsebine in preveri[…] način delovanja zavezančevih spletnih strani in drugih elektronsko dostopnih storitev”. Ta odstavek, ki ureja pravno podlago za "kavč inšpekcije" je že pred sprejemom bolj ali manj neuporaben.

Tretjič: Ni problematično, če uporabniku sledimo le na eni napravi?

Naslednja zanimiva dobra praksa se nanaša na jasno in izčrpno pojasnilo o upravljavcu piškotkov in namenih njihove obdelave. Tukaj zadošča takšno besedilo:

Namen je spremljanje obiskanosti spletnega mesta in posledično prilagajanje vsebin in izboljšave spletnega mesta, tako vsebinske kot funkcionalne.

Besedilo je kratko in jedrnato. In izčrpno.

Zanimivo je tudi pojasnilo v delu, kjer IP zapiše, da ne izdelujejo profilov, ki bi sledili uporabnikom med različnimi napravami. Iz tega je sklepati, da ni problematično, če uporabniku sledimo le na eni napravi in profile ustvarimo temu primerno.

Nadalje mora biti uporabniku dana možnost, da prekliče privolitev v zbiranje podatkov. IP se je potrudil in implementiral celo dva mehanizma - izklop sledenja, ki postavi nov piškotek, ki naj bi preprečeval obdelavo podatkov (ne pa tudi nastavljanja piškotov) ter upoštevanje brskalniške nastavitve “do-not-track”. Kot razumemo zapisano, je treba ponuditi vsaj eno rešitev, obe navedeni sta primerni. Škoda samo, da nekateri brskalniki ravno te dni razmišljajo o ukinitvi zastavice “do-not-track”. Ta nova dobra praksa, ki jo je predstavil IP, bi res olajšala delo programerjem spletnih strani, poleg tega bi se relativno hitro znebili grdih pop-upov.

Četrtič: Edina stalnica so spremembe pravil igre

Informacijski pooblaščenec je s svojim zapisom potrdil večino ugotovitev Slo-techa o dobrih praksah in dodal še nekaj novih. Sicer se napovedujejo že nove spremembe, nekaj jih omenja tudi IP. Prihajajo ZVOP-2, Uredba o zasebnosti in elektronskih komunikacijah, dobre prakse francoskega pooblaščenca za varstvo osebnih podatkov, sledili pa bodo verjetno tudi novi popravki ZEKom-1.

Vendar medtem, ko si državne agencije lahko vzamejo mesece in celo leta za premislek in vzpostavitev “ustreznega zakonodajnega okvirja”, pa so podjetja in posamezniki podvrženi vsem negativnim eksternalijam nedelujočega sistema. Od negotovosti v poslovnem okolju do množične obdelave osebnih podatkov za zagotavljanje boljše uporabniške izkušnje (beri: bolj učinkovitega oglaševanja).