Pisarna informacijskega pooblaščenca ponovno presegla samo sebe

Na Slo-Techu smo v letošnjem letu večkrat poročali o primerih dobrih praks, ki jih je v zvezi z uporabo piškotkov na spletni strani vzpostavila pisarna Informacijskega pooblaščenca.

Ker je potrebno tudi v drugi polovici leta 2019 slovenskim spletnim razvijalcem zagotoviti posel, se je prejšnji teden Informacijski pooblaščenec v duhu dobre prakse zagotavljanja stabilnega regulatornega okolja, kot predpogoja za kakršenkoli gospodarski razvoj, odločil, da je čas za spremembo smernic z opisom najboljših praks s tega področja:

Pravila o uporabi piškotkov in drugih sledilnih tehnologij (kot so npr. sledilni pixli, tehnologije za določanje odtisa naprave/brskalnika, ipd) iz Zakona o elektronskih komunikacijah določajo, da upravljavci spletnih strani te tehnologije lahko uporabljajo, če posameznik v to vnaprej privoli, potem ko je bil jasno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov. Splošna uredba o varstvu podatkov zahteve za pridobivanje veljavne privolitve viša in kot veljavno opredeljuje le prostovoljno dano, konkretno, informirano in nedvoumno vnaprejšnjo privolitev posameznika. Kot pojasnjujejo nove skupaj izglasovane in sprejete smernice Evropskega odbora za varstvo podatkov glede privolitve teh pogojev ne zadovolji več zgolj obisk spletne strani oz. njena nadaljnja raba (npr. s pomikanjem navzdol ali podrsavanjem po spletišču oz t. i. »scrolling down«), iz katerega bi upravljavec spletne strani domneval, da posameznik podaja privolitev.

Določbe Splošne uredbe glede privolitve ne razlikujejo med različnimi piškotki in podobnimi tehnologijami, ki ne spadajo med izjeme, ne glede na to, ali gre za bolj invazivne ali za manj invazivne tehnologije, kot so npr. lastni analitični piškotki. V času odsotnosti nove zakonodaje, ki bi lastne analitične piškotke jasno umestila med izjeme, za katere ni potrebna vnaprejšnja privolitev (osnutek Uredbe o eZasebnosti, ki jih sicer umešča med izjeme, je žal še vedno v procesu usklajevanja pri Evropskem Svetu in ni jasno, kdaj bo sprejet), se Informacijski pooblaščenec pridružuje tistim vodilnim nadzornim organom v EU[1],[2], ki so v zadnjih dneh spremenili politiko uporabe lastnih analitičnih piškotkov na svojih spletnih straneh. Lastne analitične piškotke so bodisi umaknili, oziroma jih namestijo le ob predhodnem soglasju posameznika, in so pristopili k posodobitvi svojih smernic o piškotkih in podobnih tehnologijah. Četudi je zaenkrat ta strožji kriterij uporabila le manjšina nadzornih organov, Informacijski pooblaščenec tako trenutno s svoje spletne strani umika lastne analitične piškotke ponudnika Matomo. Pri tem poudarjamo, da gre za odločitev IP in trenutno ne predstavlja standarda, ki naj bi mu sledili tudi drugi upravljavci, ki uporabljajo lastno analitiko v skladu z izdanimi smernicami IP.

V naslednjih mesecih bo Informacijski pooblaščenec sledil praksam in stališčem vodilnih nadzornih organov v EU oz. EDPB in glede na razvoj dogodkov posodobil svoje Smernice o uporabi piškotkov na spletnih straneh in pogosta vprašanja o piškotkih in podobnih tehnologijah; po objavi posodobljenih smernic pa predvidevamo uvedbo prilagoditvenega obdobja, podobno kot drugi nadzorni organi v EU, v katerem bodo upravljavci spletnih strani lahko prilagodili svoje delovanje glede na tiste dele smernic, ki bodo v prihodnje morda spremenjeni, t. j. predvsem deli glede upoštevanja domnevne privolitve.

Kot pojasnjuje pisarna v svojem sporočilu za javnost, zaenkrat IP poudarja, da gre zaenkrat za njihovo povsem arbitrarno odločitev, ki trenutno še ne predstavlja standarda, ki naj bi mu sledili tudi drugi upravljavci. Napovedujejo pa, da bodo v naslednjih mesecih posodobili svoje Smernice o uporabi piškotkov na spletnih straneh.

Pisarna Informacijskega pooblaščenca tako v času, ko ni bilo nobene spremembe predpisov ne na evropski ne na nacionalni ravni, z napovedjo spremembe svojih nezavezujočih smernic na glavo postavlja trenutno razumevanje veljavnih predpisov in pri tem glede na to, da gre za spremembo nezavezujočega mnenja brez kakršnegakoli postopka ali celo javne razprave, napoveduje celo prehodno obdobje za lažjo prilagoditev spletnih strani novim (nezavezujočim) smernicam IP.

Upravljavci spletnih strani -- sploh državnih, ki so letos po nekaj letih ravno uspeli prilagoditi svoje spletne strani trenutnim dobrim praksam IP -- se tako lahko razveselijo novega investicijskega cikla, ki bo potreben jeseni. Tako bo IP poskrbel, da bo kruh slovenskih spletnih razvijalcev manj trd in suh. Slednji si namreč z ponovnim prilagajanjem spletnih strani muhastim željam IP lahko obetajo novo priložnost za zaslužek. Glede na muhasto naravo stališč IP verjamemo, da ne bo zadnja. Denar mora krožiti!