Odkar je začela veljati Splošna uredba o varstvu podatkov (GDPR), morate kot upravljavec nezasebnega spletnega mesta upoštevati pomembne vidike varstva podatkov. Vprašanje, kako ravnati s piškotki, je bilo sprva sporno. Sodišče Evropskih skupnosti (ES) je s sodbo (1. oktobra 2019) sprejelo posebne določbe glede piškotkov v zvezi s privolitvijo v obdelavo. Soglasje za uporabo piškotkov je znano tudi kot soglasje za piškotke. Ponudniki upravljanja privolitve (CMP) ponujajo poenostavitev pravno varne zasnove uporabe piškotkov. Sofisticirane rešitve piškotkov delujejo samodejno in uporabnikom omogočajo, da dovolijo vrsto in obseg uporabe piškotkov.
Sodba Sodišča Evropskih skupnosti in piškotki: pravni pomen na prvi pogled
Ozadje sodbe Sodišča Evropskih skupnosti je pravna zadeva Planet49 . Pod številko spisa: C-673/17 so zdaj jasnejše informacije o tem, kako mora biti strukturirano soglasje za uporabo piškotkov. Načeloma mora imeti obiskovalec spletne strani možnost, da se prostovoljno in izrecno strinja z uporabo piškotkov. V skladu s sodbo Sodišča Evropskih skupnosti o piškotkih sta uporaba in obdelava določenih piškotkov dovoljeni le po podani privolitvi. To izključuje piškotke, ki so nujno potrebni za delovanje spletne strani.
Sodišče Evropskih skupnosti v sodbi Evropskega sodišča o piškotkih navaja, da uredba ePrivacy že zahteva obvezno soglasje za piškotke, ki niso nujno potrebni (glej člen 5, odstavek 3 Direktive ePrivacy ). Načeloma je ta izjava SES o piškotkih znana že iz prejšnjih sodb.
Opozoriti je treba, da dobro znani 15. odst. 3 Zakona o digitalnih storitvah DDG (prej Zakon o telemedijih, TMG) se ne razume kot izvajanje Direktive ePrivacy . Prav tako ni mogoča niti razlaga DDG v skladu s smernicami niti neposredna uporaba direktive ePrivacy . Zato je uporaba in zbiranje piškotkov v osnovi predmet GDPR . V skladu z GDPR lahko uporaba temelji na zakonitem interesu ali soglasju (glej (člen 6, odstavek 1, točka a GDPR). Ker samo to ne pomeni obvezne zahteve po privolitvi, se Evropsko sodišče sklicuje na Direktivo ePrivacy .
Sodba SES o piškotkih in njihovih posledicah: soglasje za uporabo
Učinkovita privolitev je v praksi vezana na določene zahteve kot rezultat sodbe Sodišča Evropskih skupnosti o piškotkih. Sodišče Evropskih skupnosti je dalo bistvene izjave o piškotkih v zvezi z učinkovitostjo soglasja za njihovo uporabo. Gre za staro in novo zakonodajo o varstvu podatkov v skladu z GDPR.
Načeloma iz sodbe Sodišča Evropskih skupnosti o piškotkih izhaja, da privolitev v uporabo in obdelavo zahteva aktivno vedenje uporabnika . Če ni aktivnega vedenja, ni jasno, ali uporabniki dovolj poznajo situacijo. Iz tega že sledi
predhodno odkljukano potrditveno polje za piškotke ne more predstavljati dejanske privolitve . V smislu dejanske privolitve mora obiskovalec sam postati aktiven in s klikom dati svoje soglasje, da se piškotki lahko zbirajo in obdelujejo v skladu s sodbo Sodišča Evropskih skupnosti.
Poleg tega glede piškotkov v skladu s sodbo Sodišča Evropskih skupnosti privolitev na splošno zahteva ločene in neprednastavljene možnosti klikov za vse možne primere. Iz čistega gumba za pošiljanje ni mogoče pridobiti soglasja za posebne primere.
Poleg tega sodba Evropskega sodišča o piškotkih pomeni, da je treba ob upoštevanju direktive ePrivacy poudariti, ali informacije o piškotkih predstavljajo osebne podatke ali ne. Direktiva ima torej regulativno področje, ki celo presega zakonodajo o varstvu podatkov. Pravni strokovnjaki pa poudarjajo, da direktiva ePrivacy v Nemčiji še ni v celoti implementirana.
Kot rezultat sodbe Sodišča Evropskih skupnosti o piškotkih bi morali vi kot upravljavec spletne strani zagotoviti tudi natančne informacije o uporabi piškotkov. Informacije, ki se zahtevajo v zvezi s privolitvijo za piškotke, med drugim vključujejo čas obdelave podatkov. Prav tako je treba na podlagi sodbe SES o piškotkih obiskovalcem posredovati informacije o dostopu tretjih oseb do piškotkov . To vključuje tudi natančne informacije o prejemnikih podatkov ali kategorijah prejemnikov. Najkasneje po sodbi Sodišča Evropskih skupnosti mora obiskovalec vedeti, kateri oglaševalci obdelujejo zbrane podatke.
Pomen in nujnost soglasja za piškotke za upravljavce spletnih mest
Skoraj vsako komercialno spletno mesto zbira podatke. To vključuje ne le operativno potrebne podatke, ampak v večini primerov tudi podatke, za katere je v skladu s sodbo o piškotkih Sodišča Evropskih skupnosti potrebna izrecna privolitev vaših obiskovalcev. Tudi uporaba najpreprostejših analiz je povezana z zbiranjem številnih podatkov in ustvarjanjem ustreznih piškotkov. Pogost primer je orodje Google Analytics. Ta oblika zbiranja podatkov se pojavi tudi, ko nekdo postavi pripomoček na družbena omrežja. Zato je vsak upravljavec spletnega mesta, ki služi strankam na območju GDPR (EU in zunaj nje), odvisen od upravljanja soglasja za piškotke . V skladu s sodbo o piškotkih Sodišča Evropskih skupnosti je zakonito delovanje spletnega mesta možno le, če je zagotovljena pravilna obravnava soglasja za piškotke .
Soglasje za piškotke v praksi: implementacija kot privolitev
Sodba SES o piškotkih že ima jasne in konkretne učinke. Posledica tega je potreba po ukrepanju operaterjev spletnih mest. To se nanaša na vrsto in obliko privolitve piškotka, to je izrecnega soglasja za njegovo uporabo. To vpliva tudi na informacije, ki jih je treba sporočiti uporabnikom o uporabi piškotkov.
V tem kontekstu mora biti privolitev v praksi zasnovana kot prava izbira . To pomeni, da je za privolitev potrebno aktivno dejanje uporabnika. V bistvu od leta 2009 smernice EU o varstvu podatkov predvidevajo, da se obiskovalci zaprosijo za njihovo soglasje. V preteklosti pa so lahko upravljavci spletnih mest to zahtevo razlagali v obliki izključitve . To pomeni, da so bili piškotki na splošno nastavljeni, ne da bi uporabniku bilo treba kaj storiti. Uporabnik
bi lahko nasprotoval uporabi piškotkov, vendar je moral za to prevzeti pobudo. To se spremeni s sodbo Sodišča Evropskih skupnosti o piškotkih: prehod na opt-in določa, da spletno mesto na splošno ne nastavi piškotkov, razen če se uporabnik zanje odloči. Posledično je piškotke sploh mogoče nastaviti le, če je obiskovalec dal svoje soglasje. V skladu s tem soglasja za piškotke v skladu s SES ni mogoče pridobiti z odkljukavanjem polja, ki je že bilo nastavljeno vnaprej .
Zato je priporočljivo, da se podjetja in upravljavci spletnih mest na splošno čim prej prilagodijo sodbi SES o piškotkih in sprejmejo ustrezne varnostne ukrepe za pravno varno vsebino piškotkov. Rešitve za upravljanje privolitve, ki uporabnika celovito obveščajo o uporabi piškotkov in zahtevajo njegovo izrecno soglasje, operaterjem spletnih mest bistveno olajšajo delo.
Rešitve za soglasje za piškotke: standardi in kako delujejo
Okvir, ki ga je razvil IAB Europe (Interactive Advertising Bureau), je na voljo za privolitev v nastavitev in obdelavo piškotkov: to je okvir za transparentnost in soglasje (TCF) , ki se uveljavlja kot standard za soglasje za piškotke. Cilj razvoja tega okvira je celovita standardizacija pri vprašanju soglasja . Prva različica okvira je bila predstavljena aprila 2018. Trenutna različica TCF 2.0 je sledila maja 2020. Zlasti glede na sodbo o piškotkih Sodišča Evropskih skupnosti je okvir zelo pomemben, saj olajša pridobitev potrebne privolitve. Natančneje, IAB-jeva trditev je, da natančno razume informacije o uporabnikovi privolitvi v obdelavo piškotkov. To vpliva na celotno dostavno verigo uporabe piškotkov. V večini primerov je pri ustvarjanju več piškotkov vključenih več ponudnikov storitev. Ti se večinoma nanašajo na reklamne pasice in druge marketinške ukrepe. Vse strani, ki so vključene v ta postopek, so odvisne od informacij o tem, ali je bila obdelava piškotkov dana ali ne.
Po eni strani se v okviru upravljanja privolitve piškotkov na podlagi IAB okvira ugotavlja, ali je uporabnik sploh dal soglasje za uporabo piškotkov. V drugem koraku Upravitelj privolitve ugotovi, katera posebna soglasja je uporabnik podal na pasici s privolitvijo. Obiskovalci imajo možnost, da se strinjajo ali zavrnejo različne namene uporabe in obdelave piškotkov. Upravitelj privolitve piškotkov na podlagi strukture soglasja ustvari tako imenovani niz za soglasje, ki se nato ustvari v piškotku. Na podlagi tega niza soglasja imajo druge strani (npr. drugi ponudniki upravljanja privolitve) tudi način, kako ugotoviti soglasje obiskovalca.
CMP: rešitve za upravljanje soglasij za spletna mesta in njihove prednosti
Prednosti uporabe dobrega upravitelja soglasij so številne za upravljavce spletnih mest. Tako je mogoče zagotoviti pravno varno zasnovo soglasja za piškotke po SES. Vsako dobro spletno mesto želi zagotoviti najboljšo možno uporabniško izkušnjo. Zadovoljiti je treba potrebe obiskovalcev, da ostanejo na spletnem mestu. Najpomembnejša vidika dolgega hrambe sta visoka stopnja sprejemanja in nizka stopnja obiskov ene strani. Dober ponudnik upravljanja soglasij prispeva k zmanjšanju stopnje obiskov ene strani in s tem povečanju stopnje sprejema. Tako prispeva k dobremu delovanju spletne strani. Stranke je mogoče pridobiti in trajno obdržati na spletnem mestu le, če je stopnja obiskov ene strani na spletnem mestu nizka.
Z dobro premišljeno rešitvijo za upravljanje privolitev ne zagotavljate le skladnosti z zahtevami sodbe o piškotkih Sodišča Evropskih skupnosti, temveč imate tudi pregled trenutnega sprejema in stopnje obiskov ene strani v realnem času. Obnašanje obiskovalcev spletne strani, strank in potencialnih strank je mogoče razumeti. Iz tega je mogoče sklepati o možnih možnostih za izboljšanje.
Mednarodna naravnanost pasice za soglasje je pri sodobnih rešitvah za privolitev piškotkov samoumevna. Pojavno okno se samodejno prikaže v ustreznem jeziku države GDPR, iz katere obiskovalci dostopajo do vaše spletne strani. Ponudnik upravljanja privolitve prikazuje informacije v skupno 29 jezikih. Poleg tega CMP ponuja odzivno prilagajanje končni napravi, ki jo uporabljajo obiskovalci. Rešitev za soglasje za piškotke se odzove na vidike, kot so velikost zaslona in operacijski sistem (npr. iOS ali Android) in obiskovalcem prikaže optimiziran prikaz.
Zaključek
Sodba SES je nedvomno zapletla prakso varstva podatkov za upravljavce spletnih mest. Poleg tehničnih vprašanj je treba pri oblikovanju zakonsko skladne piškotne pasice upoštevati tudi vidike oblikovanja in predvsem pravno razsežnost pregledne obdelave podatkov. Kar dajejo predvsem upravljavci spletnih strani vtis pokroviteljskih smernic in specifikacij, na koncu služi uporabnikom kot zainteresiranim stranem in strankam. V tem smislu bi morali spletni trgovci, založniki ali agencije sodbo Sodišča Evropskih skupnosti razumeti kot spodbudo. Obiskovalci spletne strani vedo vse več o obsegu prenosa podatkov in zahtevajo največjo jasnost in preglednost pri upravljanju piškotkov. S tega vidika lahko upravljavci spletnih mest koristijo le pametnemu sistemu upravljanja privolitve v stiku s strankami – prek večjega zaupanja v povezavi z jasno uporabnostjo.