GDPR I PRAVILA O KORIŠTENJU KOLAČIĆA

GDPR politika o kolačićima

Opća uredba o zaštiti podataka ( GDPR ) stupila je na snagu još u svibnju 2018. godine no mnoge tvrtke još uvijek nisu uskladile poslovanje sa istom. 

 A što je sa internet stranicama i web shopovima?

Velika većina internet stranica i web shopova, također, nisu usklađene s GDPR-om i ePrivacy regulativom. Naime, prilikom pregleda 478 internetskih stranica, koje su provela tijela EU, u području e-trgovine, medija i javnog sektora primijećene su razlike u upotrebi kolačića u različitim ciljanim sektorima.

Natpis s obavijesti najpopularnija je metoda obavješćivanja posjetitelja stranice o kolačićima i to uz poveznicu na više informacija u zaglavlju, pri čemu je više od polovice (54 %) stranica koje ne traže pristanak korisnika. Među stranicama koje postavljaju najveći broj kolačića, ispostavilo se da je većina poduzela određene korake kako bi obavijestila korisnike o upotrebi kolačića, no s pomoću natpisa koji nestaje nakon sljedećeg klika korisnika bilo gdje na stranici ili koji ima vremenski rok u kojem nestaje.

Samo 16 % stranica nudi alat koji može kontrolirati i stvarno kontrolira određene tipove i kategorije kolačića tako da se oslanja na postavke preglednika ili alat za izuzeće koji omogućuje internetska stranica treće strane (oglasna stranica treće strane, primjerice), no pritom većina opet nije ispunila odredbe vezane uz privolu, odnosno nisu na adekvatan način “grupirale” kolačiće te za pojedine kategorije istih nisu na adekvatan način tražile privolu.

Vođeni navedenim podacima, ali i nedavnim kažnjavanjem od strane poljskog nadzornog tijela koje je kaznilo vlasnika internet stranice s čak 645,000 € kazne,  razgovarali smo s Dijanom Kladar, odvjetnicom i konzultanticom koja vodi pravni tim tvrtke Presido, konzultantske tvrtke koja se bavi pravnim aspektom IT sigurnosti i zaštitom osobnih podataka.

Što se na “internetu” promijenilo od stupanja GDPR-a na snagu? 

  • GDPR ima značajne implikacije na politiku kolačića, a najvidljiviji znak promjena na internetu su obavijesti o korištenju kolačića, koje susrećemo pri prvom posjetu gotovo svakom web mjestu. No, to ne znači da su sva web mjesta usklađena s GDPRom. Nažalost, većina nije makar imaju obavijest o kolačićićima koja je vidljiva korisniku prilikom posjete.  Ljudima je vrlo teško shvatiti problematiku kolačića i da ne bi plaćali konzultante radije prepisuju Pravila privatnosti i Pravila o korištenju kolačića sa stranica na kojima im se čini da je to “super” napravljeno. Naravno da je to krivi pristup i da na taj način riskiraju biti kažnjeni.

Primjenjuje li se GDPR i ePrivacy regulativa na sve?

  • Da, bez obzira jeste li fizički prisutni u EU ili ne, GDPR se primjenjuje na sve internet stranice ukoliko putem njih primjerice nudite robu i usluge ljudima u EU ili ukoliko vršite profiliranje. Mnogi administratori web mjesta žele znati koje vrste ljudi posjećuju njihove web stranice kako bi svoje oglase ciljali prema određenoj grupi potrošača, a to im omogućuju kolačići te upravo zbog toga GDPR smatraju velikim neprijateljem. No što god mislili o GDPR-u danas nije važno jeste li multinacionalna korporacija ili lokalna dobrotvorna organizacija koja na svojim web mjestima pokreće analitike ili oglase jer ako želite da ljudi posjećuju vašu web stranicu iz EU-a, morate se pridržavati GDPR-a. 

Što je ePrivacy Uredba?

  • To je Uredba koja bi mogla iz temelja promijeniti osnove marketinga.  Od trenutka kada je došla u proceduru donošenja mnogi predstavnici industrije u Bruxellesu nastoje odgoditi njezin datum stupanja na snagu. Međutim, kao što je poznato, odgađanje ne znači otkazivanje, a već se vidjelo i koliko Europska unija zna biti nepopustljiva. Novi, drugi nacrt značajno je postrožen u usporedbi s prvom verzijom. 

Kao odgovor na napore Europske unije oko zaštite podataka, neki proizvođači preglednika već su prilagodili svoje proizvode. Tako je, primjerice, Mozilla u srpnju predstavila novu značajku za privatno pregledavanje. “Pregledajte bez traga” glasi njihova poruka, a time i industrija preglednika postaje čuvar korištenja potrošačkih podataka u obliku kolačića.

Treba li svaka stranica imati pravila privatnosti, pravila o korištenju kolačića ili oboje?

  • Politika privatnosti je obvezna ako obrađujete osobne podatke bilo koga u EU. To uključuje upotrebu kolačića. Od svih vlasnika internet mjesta se traži da informacije o svim osobnim podacima koje obrađuju pruže u sažetom, transparentnom, razumljivom i lako dostupnom obliku, koristeći jednostavam i jasan jezik . Iako to znači da trebate navesti podatke o kolačićima, za to vam nisu nužno potrebna zasebna Pravila o kolačićima. Informacije o kolačićima možete jednostavno uključiti kao odjeljak  Politike privatnosti. Moja preporuka je podatke o kolačićima kao i pravila njihovog korištenja napisati u dokumentu koji će biti odvojen od Pravila privatnisti. Vaša Pravila o korištenju kolačićima trebaju biti prilagođena samo vašem web mjestu. Neka web mjesta koriste samo osnovne kolačiće sesije koji obavljaju osnovne funkcije. Neka web mjesta imaju sofisticirane marketinške kolačiće koji im omogućuju ciljanje korisnika pomoću oglasa. Bez obzira na to što koristite kolačiće, morate obavijestiti svoje korisnike kako to točno radite, što radite i koje kolačiće koristite za što. Korisnik kao ispitanik mora znati sve kako bi mogao dati privolu i zbog toga mu morate na njemu jasan i razumljiv način sve objasniti. Znam da je gotovo nemoguće izbjeći uporabu tehničkog jezika u cijelosti, ali potrudite se sve staviti u jednostavan kontekst.

Kako se upotrebljavaju kolačići?

  • Kolačići se razvrstavaju na vrste kolačića koje koristite i svrhe u kojima ih upotrebljavate. To bi trebalo uključivati ​​i sve bitne sesijske kolačiće za koje nećete tražiti pristanak. Morate biti vrlo konkretni i nabrojite sve načine na koje ćete ih koristiti. Nikako nemojte zaboraviti obavijestiti svoje korisnike hoće li se njihovi podaci dijeliti s bilo kojom trećom stranom. Vrlo je uobičajeno da web stranice omogućuju trećim stranama postavljanje kolačića na uređaje posjetitelja koji prikupljaju podatke. Primjerice koristite li alat poput Google AdSense-a morate posebnu pozornost posvetiti pravilima o korištenju kolačića. Sud EU bio je jasan vlasnik stranice suodgovoran je sa Google-om, dakle kaznu možete platiti i Vi i Google. Isto tako ukoliko na stranici imate poveznice sa društvenim mrežama, to može imati i posljedice na sadržaj Pravila o korištenju kolaćića, ali i na sadržaj privole.

Što je sa analitikom?

  • Google Analytics omogućuje vam praćenje načina na koji korisnici komuniciraju na vašoj web mjestu. Postoji nekoliko različitih analitičkih usluga i mnogo različitih načina na koje možete koristiti analitiku – a sve s različitim posljedicama na privatnost vaših korisnika. Vaša upotreba analitike treba biti objašnjena u pravilima o korištenju kolačića i/ili pravilima privatnosti. Također, morate voditi računa i o tome da korisnik da privolu za te vrste kolačića kao i da mora znati trajanje kolačića.

A Remarketing (također poznat kao “retargeting”)?

  • To je vrlo moćan alat za oglašavanje. Omogućuje vam „praćenje“ korisnika koji su napustili vašu web stranicu i prikazivanje oglasa na drugim web lokacijama koje posjećuju. Ako koristite remarketing, to zahtijeva posebnu pozornost.

Ostale tehnologije praćenja

Mnoge web stranice koriste druge tehnologije za praćenje i identifikaciju svojih korisnika, poput skripti za praćenje i oznaka piksela. To nisu kolačići, ali imaju implikacije na privatnost i oni međusobno komuniciraju s kolačićima. O ovim bi se tehnologijama trebalo raspravljati i u vašim Pravilima o kolačićima.  Dakle, morate obavijestite korisnike, ali i omogućiti im u skladu sa GDPR-om da daju privolu kao i da u bilo kojem trenutku mogh promijeniti mišljenje i mijenjati postavke o kolačićima.

Kako kontrolirati kolačiće

  • Mnoge web stranice uključuju “centar privatnosti” ili upravljačku ploču na kojoj korisnici mogu dopustiti, odbiti i povući pristanak za razne vrste kolačića. 
BBC-jeva stranica za promjenu postavki kolačića s mogućnošću prebacivanja

Imajte na umu da se “strogo potrebni” odnosno nužni  kolačići ne mogu isključiti. No druge vrste ne smiju biti prethodno označeni.

Bez obzira na to pružite li ili ne takvo sučelje, trebali biste objasniti i kako korisnici mogu kontrolirati svoj pristanak na kolačiće u vašim Pravilima o korištenju kolačića.

Jednostavnije web stranice možda će trebati pružiti osnovne informacije o kontroli kolačića samo ako se koriste nužni kolačići. Svakako o svemu tome korisnik mora biti obaviješten. Većina ljudi misle ako imaju samo nužne kolačiće da oni ne trebaju imati Pravila privatnosti i Pravila o korištenju kolačića

Kako zatražiti pristanak na kolačiće prema GDPR-u

  • Korisnici bi trebali imati mogućnost odbiti pohraniti kolačić ili sličan uređaj na svoju terminalnu opremu prije nego se pohrani prvi kolačić. To znači da morate dobiti pristanak prije nego što budete mogli koristiti kolačiće. Privola mora biti dana slobodno, ne smije biti uvjetovana, mora biti jasna, aktivna te se mora moći na jednako jednostavan način i povući. Većina web stranica traži pristanak kolačića putem skočnog bannera ili odredišne ​​stranice. Važno je da na svojoj web stranici ugradite sadržaje koji korisnicima omogućuju prihvaćanje, odbijanje i povlačenje pristanka za različite vrste kolačića. Vodite računa da se pristanak ne daje slobodno ako se ne može odbiti ili povući bez štete ili ako ga uvjetujete nekim popustom. 

Suglasnost kroz jasnu i aktivnu radnju

Kada pitate korisnike pristaju li na kolačiće, u većini slučajeva omogućava im se da kliknu “Prihvaćam” ili “U redu”, ili nešto u tom smislu. To je krivo jer korisnik nema načina da smisleno odbije pristanak, osim da odstupi od web mjesta. To se ne smatra dobrom praksom po GDPR-u odnosno nije u skladu s GDPR-om.

Možete nam dati primjer kolačića za koji ne treba privola?

  • Primjerice kolačić koji pamti kupnju korisnika u košaricu, dok se kreće po istom mjestu za e-trgovinu ili kolačić kojim se omogućava sigurnost putem internetskog bankarstva ili drugih sigurnih web stranica.

Jesu li privole, Pravila privatnosti i Pravila o korištenju kolačića jedine stvari koje su potrebne da internet stranica bude usklađena?

  •  Nisu, to je kompleksno područje. Uz te dokumente u određenim slučajevima mora se provoditi test legitimnosti/razmjernosti, test procjene učinka primjerice u slučaju profiliranja, ali to je samo jedna od mnogih situacija kada ga se mora provoditi, moraju se voditi evidencije aktivnosti obrade, donijeti odluke o ovlaštenju pristupa, propisati i provoditi procedure ostvarivanja ispitanikovih prava te procedure u slučaju incidenta. Nikako ne smijete zaboraviti i na internu analizu potrebe imenovanje službenika za zaštitu podataka te na imenovanje istoga. Ono što svima preporučam je da provjere Pravila privatnosti i Pravila o korištenju kolačića. Nedavno su donesene i nove presude Suda EU koje moraju biti implementirane u spomenute dokumente jer se istih morate pridržavati. Ukoliko zapnete uvijek se možete javiti u Presido d.o.o. 

Presido d.o.o. organizira i edukacije vezane uz kolačiće pod nazivom marketing@kolacici.GDPR, prva sljedeća edukacija je 28.1.2019. Tako da ovom prilikom pozivam sve da se prijave na mail ana.bacic@presido.hr, dođu i saznaju sve kako u budućnosti ne bi morali plaćati vanjske konzultante.