Pravna regulacija piškotkov med pravico do zasebnosti in ekonomsko realnostjo
(članek predstavljen na INFOKOMTEH 2012)law
Članek obravnava pravno regulacijo pridobivanja podatkov o uporabnikih s pomočjo piškotkov, ki jih ponudniki storitev informacijske družbe namestijo na terminalsko opremo (računalnike) uporabnikov, ki uporabljajo njihove storitve. Z željo po varovanja zasebnosti je EU leta 2009 predvidela obvezno vnaprejšnje soglasje uporabnika za namestitev piškotkov. Države bi morale to določbo v nacionalno zakonodajo prenesti do maja 2011. Nekatere članice zahtevo interpretirajo na način, da je privolitev lahko tudi implicitna, torej domnevna, in ne nujno izrecna. Trenutni predlog slovenskega Zakona o elektronskih komunikacijah zanesljivega odgovora glede tega vprašanja ne daje.
Piškotki (angleško cookies) so tekstovne datoteke, ki jih ponudnik storitev informacijske družbe (npr. spletna trgovina) namesti na uporabnikovo terminalsko opremo (npr. na računalniški disk) in s pomočjo katerih lahko zbira določene podatke o uporabniku oziroma njegovi terminalski opremi (npr. izbira jezika, tip brskalnika, operacijski sistem, preference in nastavitve na spletnem mestu). Čeprav podatki, zbrani s pomočjo piškotkov, ne predstavljajo nujno osebnih podatkov, saj ne omogočajo identifikacije uporabnika, je uporaba piškotkov na ravni Evropske unije (EU) vedno bolj regulirana. Dejstvo namreč je, da je s pomočjo piškotkov mogoče izdelati zelo natančne uporabniške profile ter predvideti želje in obnašanje uporabnikov, še posebej ob uporabi t.i. third party cookies (npr. piškotki, ki jih uporabljajo oglaševalske mreže), s katerimi je mogoče spremljati (slediti) uporabnike na spletnih mestih različnih ponudnikov storitev informacijske družbe.
Pričujoči članek vsebuje pregled trenutnih regulatornih zahtev EU glede uporabe piškotkov, trenutne britanske rešitve in rešitve nekaterih drugih držav ter analizo predloga domače ureditve v predlogu Zakona o elektronskih komunikacijah (ZEKom-1).
Regulatorne zahteve EU
Ni potrebna zelo poglobljena analiza, da ugotovimo, da se regulacija uporabe piškotkov s strani EU zaostruje.
Direktiva 2002/58/ES je piškotke, pod pogojem, da so namenjeni za zakonito uporabo (kot primere zakonite uporabe je direktiva navajala ocenjevanje učinkovitosti zasnove spletne strani in oglaševanja ter preverjanje identitete uporabnikov), dovoljevala, pod pogojem, da:
- uporabniki prejmejo jasne in natančne podatke v skladu direktivo 95/46/ES o namenih piškotkov oziroma o namenih obdelave podatkov, pridobljenih s pomočjo piškotkov, tako da je zagotovljeno, da so uporabniki seznanjeni s podatki, nameščenimi na terminalsko opremo, ki jo uporabljajo;
- je uporabnikom dana možnost, da zavrnejo namestitev piškotka na svojo terminalsko opremo oziroma da zavrnejo obdelavo podatkov.
Obenem je Direktiva 2002/58/ES določila dve izjemi ob obveznosti obveščanja uporabnika in od pravice zavrnitve, in sicer:
- kadar gre za t.i. tehnično shranjevanje ali dostop izključno za namen opravljanja ali lajšanja prenosa sporočila prek elektronskega komunikacijskega omrežja;
- kadar je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo uporabnik izrecno zahteva.
Po Direktivi 2002/58/ES je torej šlo za čisti opt-out princip, kjer ponudniki niso potrebovali soglasja za namestitev piškotka, pač pa so morali uporabnike o namestitvi piškotkov le obvestiti in jim dati možnost, da namestitev zavrnejo. Direktiva ni podrobno določila, kdaj in na kakšen način morajo biti uporabniki seznanjeni z uporabo piškotkov, prav tako ni bilo opredeljeno, na kakšen način mora biti uporabniku omogočeno, da uporabo piškotkov zavrne.
Direktiva 2002/58/ES je bila leta 2009 spremenjena z Direktivo 2009/136/ES. Novi 3. odstavek 5. člena uvaja t.i. opt in princip - shranjevanje podatkov in dostop do podatkov, shranjenih v terminalski opremi uporabnikov, je dovoljeno samo pod pogojem, da je uporabnik v to privolil, po tem, ko je bil jasno in izčrpno obveščen o namenih obdelave tako pridobljenih podatkov v skladu z Direktivo 95/46/ES. Direktiva 2009/136/ES ohranja izjemi, ki ju je poznala že Direktiva 2002/58/ES.
Obenem je točka 66 preambule k Direktivi 2009/136/ES predvidela (nejasno in neobrazloženo!) možnost, da se uporabnikova privolitev za obdelavo podatkov izrazi s pomočjo nastavitev v brskalniku, če je to “tehnično izvedljivo izvedljivo in učinkovito ter v skladu z ustreznimi določbami Direktive 95/46/ES”.
S stališča ponudnikov storitev informacijske družbe je sprememba izrazito sporna, posebej zato, ker Direktiva 2009/136/ES ni jasno odgovorila na vprašanje, ali mora biti soglasje izrecno ali pa se lahko domneva (angleško implied consent). Iz besedila preambule bi bilo mogoče sklepati, da soglasje ni nujno izrecno izraženo, vendar pa direktiva ni ponudila nobenih opornih točk, s pomočjo katerih bi lahko prišli do zanesljivega odgovora in rešitve. Morebitno stališče držav članic (ki bi morale Direktivo 2009/136/ES implementirati najkasneje do 25. maja 2011), da mora biti soglasje izrecno, bi ponudnike bodisi prisililo, da uporabo piškotkov opustijo ali vsaj izredno omejijo, bodisi bi pomenilo popolno spremembo načina, na katerega smo navajeni uporabljati spletne storitve.
Delovna skupina “Article 29” se je junija 2012 v svojem Mnenju natančneje opredelila do obeh izjem po 3. odstavku 5. člena Direktive 2009/136/ES in podala konkretne primere, ko soglasje za namestitev piškotka oziroma dostop do podatkov ni potrebno.
Stališče ICO in rešitve v nekaterih drugih članicah
Potem ko je Urad Informacijskega pooblaščenca Združenega kraljestva ponudnikom najprej podelil enoletni moratorij glede izvajanja nadzora nad spoštovanjem določb nove zakonodaje, je v Smernicah iz maja 2012 zavzel pragmatično stališče, da se soglasje za obdelavo podatkov, ki se zberejo s pomočjo piškotkov, lahko domneva in da torej ni nujno izrecno. Seveda je ob tem potrebno spoštovati nekatera pravila. Tako mora biti npr. uporabniku povsem jasno, da z uporabo spletnega mesta soglaša z namestitvijo piškotkov (torej zgolj informacija o tem v (spremenjenih) splošnih pogojih ali politiki zasebnosti ne bo dovolj). Hkrati mu mora biti dana enostavna možnost, da takšno namestitev piškotkov zavrne.
Belgijska ureditev tega področja predvideva soglasje, pri čemer ni navedeno, ali mora biti izrecno ali se lahko domneva.
V Španiji soglasje ni nujno izrecno, pač pa ga uporabnik lahko poda z ustreznimi nastavitvami v brskalniku ali v drugi aplikaciji, kar pa naj bi se po napovedih razlagalo zelo restriktivno.
Francoska ureditev predvideva izrecno soglasje, resda z mnogimi izjemami.
Bodoča ureditev v Sloveniji - predlog ZEKom-1
Trenutni predlog novega Zakona o elektronskih komunikacijah (ZEKom-1) je pravzaprav dobesedni prepis Direktive 2009/136/ES, le da se predlog namesto na Direktivo 95/46/ES - logično - sklicuje na ZVOP-1, ko gre za zahtevo po jasnem in izčrpnem obveščanje o namenih obdelave zbranih podatkov. Predvideni sta tudi obe izjemi iz Direktive, ko privolitev za obdelavo ni potrebna. Kot v direktivi se tudi v predlogu predvideva možnost podaje soglasja z ustreznimi nastavitvami v brskalniku ali drugih aplikacijah, če je to “tehnično izvedljivo in učinkovito ter skladno z zakonom, ki ureja varstvo osebnih podatkov”. Nadzor nad izvajanjem določb, ki se nanašajo na piškotke, naj bi izvajal Informacijski pooblaščenec.
Vlada torej zaenkrat zamuja priložnost, da bi evropsko direktivo ne le prepisala, pač pa tudi smiselno “prevedla” v svoj pravni red in se ob tem tudi opredelila do vprašanja, kakšno soglasje uporabnika se zahteva - izrecno ali domnevno.
Glede na dosedanjo prakso in stališča Informacijskega pooblaščenca lahko pričakujemo morda celo zahtevo po izrecni privolitvi.
Sklep
Vprašanje regulacije piškotkov (in drugih podobnih tehnologij) ni le politično ali akademsko. Ne da bi zanemarjali vprašanje zasebnosti uporabnikov, je jasno, da so na dolgi rok lahko uspešni le tisti ponudniki storitev informacijske družbe, ki lahko svoje uporabnike (potencialne kupce) nagovarjajo s ponudbami, ki so prilagojene njihovim željam, potrebam in interesom. Pot do spoznanja teh želja, potreb in interesov pa nujno vodi preko podatkov o obnašanju uporabnikov v telekomunikacijskih omrežjih, predvsem na spletu.
Slovenija ima dve možnosti. Lahko sledi znanemu principu, da je pri implementaciji evropskih direktiv “bolj papeška od papeža” ter domače ponudnike še dodatno postavi v inferioren položaj v primerjavi s tujimi ponudniki. Ali pa ubere bolj pragmatičen pristop, denimo po vzoru britanskega ICO, in ponudnikom zagotovi še znosne razmere za optimizacijo poslovanja, s tem pa tudi za preživetje in morebitno rast.
Avtor: Pravna pisarna JK Group
Objavljeno:
Oznake: