Ali je obvestilo o piškotkih na moji spletni strani (cookie banner) skladno z GDPR?

Ne glede na to, da je GDPR stopila v veljavo že leta 2018, slovenski Zakon o varstvu osebnih podatkov pa leta 2023, ta tematika še vedno ponuja kar nekaj pravnih zagonetk. Ena izmed takšnih pa je tudi kako pravilno oblikovati obvestilo o piškotkih, ki je bolj znano pod svojim angleškim imenom »cookie banner«.

Kaj so piškotki in zakaj jih potrebujemo?

Piškotki vsebujejo določene podatke o uporabniku, pri čemer njihova vsebina variira glede na vrsto piškotka, ki ga določena spletna stran uporabi. Še preden pa si ogledamo vrste piškotkov pa je potrebno izpostaviti, da so piškotki majhne datoteke, ki se ob obisku določene spletne strani, shranijo na napravo uporabnika (npr. računalnik ali druge elektronske naprave kot so mobilni telefoni, tablice ipd.). Ob ponovnem obisku spletne strani, bodo piškotki omogočali prenos določenih informacij o uporabniku ali pa zagotavljali določene funkcionalnosti, kot je to podrobneje opredeljeno spodaj.

Piškotke delimo glede na trajanje na začasne (ali sejne) piškotke in trajne (ali shranjene, oz. t.i. »persistent cookies«). Sejni so tisti, ki so aktivni samo v času trajanja uporabe brskalnika, trajni pa se shranijo za daljše časovno obdobje, ki pa je odvisno od samega piškotka. To časovno obdobje je lahko opredeljeno v nekaj dneh, mesecih ali pa tudi letih.

Prav tako lahko piškotke delimo na lastne piškotke, ki so piškotki s spletnega mesta, kjer se uporabnik nahaja, in na piškotke tretjih oseb, ki pa izvirajo s strani drugih spletnih mest (pogosto gre za prikazovanje oglasov in podobne funkcionalnosti).

Poleg tega pa lahko piškotke razdelimo tudi v različne kategorije in sicer:

• nujni ali obvezni piškotki,
• analitični piškotki,
• funkcionalni piškotki in
• oglaševalski piškotki.

Zgornja delitev pa je tudi ključna za pripravo obvestila o piškotkih oz. »cookie banner-ja«.

Zakaj na svoji spletni strani potrebujem obvestilo o piškotkih?

Zgoraj smo podrobneje spoznali piškotke in njihove funkcije, sedaj pa je čas, da pozornost posvetimo obvestilu o piškotkih.

Obvestilo o piškotkih (cookier banner) se ponavadi nahaja na dnu vsake spletne strani (največkrat v obliki pasice) in se uporabniku pojavi, ki prvič obišče spletno stran. V tem trenutku ima uporabnik namreč možnost, da uredi nastavitve piškotkov, za katere želi, da jih spletna stran uporablja

Obvestila o piškotkih so se skozi čas spreminjala; večino sprememb glede oblike in načina podajanja tega obvestila pa je zagotovila zakonodaja. Tako so se pasice spreminjale od tistih, kjer je obvestilo o piškotkih samo obveščalo o uporabi piškotkov, do takšnega, kjer se je uporabnik moral strinjati z uporabo piškotkov na spletni strani.

Slednja ureditev je veljala vse do uveljavitve GDPR, ki pa je prinesla zahtevo po informirani in jasni privolitvi ter zahtevo po t.i. granuliranem soglasju.

V praksi obe zgornji zahtevi pomenita naslednje:

• Vsa obdelava osebnih podatkov, ki temelji na soglasju, mora zagotoviti, da je soglasja jasno in informirano. Posameznik mora vedeti k čemu soglaša in mora aktivno podati soglasje (brez t.i. soft opt-in opcije, kjer mora posameznik odkljukati opcije, ki jih ne želi uporabljati).
• Poleg tega pa mora posameznik podati soglasje za vsak namen obdelave posebej, hkrati pa mu je upravljavec osebnih podatkov (za potrebe našega primera je to lastnik spletne strani), dolžan zagotoviti določene informacije o obdelavi.

In ravno zgornje zahteve so spremenile način kakšna obvestila o piškotkih (oz. »cookie banner«) so pravno skladna.

Katere funkcionalnosti mora torej imeti obvestilo o piškotkih, da je skladno z GDPR?

1. Zagotavljati mora granulirano soglasje. V kolikor na spletni strani uporabljate več kategorij piškotkov, morate posamezniku omogočiti, da svobodno izbere tiste kategorije, s katerimi se strinja.
2. Soglasje mora biti aktivno! Vnaprej obkljukana polja so obsojena na nezakonitost.
3. Soglasje ne sme biti netransparentno. Jezik mora biti enostaven, jasen in jedrnat. Prav tako niso dovoljene prakse, kjer je gumb »sprejmi« večji oz. na druge načine bolj viden kot gumb »zavrni«. Upoštevati je potrebno stališče, da mora biti podaja soglasja enako enostavna kot umik. 
4. Vaše obvestilo o piškotkih (»cookie banner«) mora spremljati politika piškotkov. Ne pozabite, da ste kot upravljavec spletne strani dolžni posameznikom zagotoviti določene informacije o obdelavi osebnih podatkov, saj vam to dolžnost nalagata 13. in 14. člen GDPR. Brez pravilno pripravljene politike piškotkov, bo vaše obvestilo o piškotkih nezakonito.

Katere korake je torej potrebno narediti za skladnost uporabe piškotkov na spletni strani?

1. Preglejte katere piškotke uporablja vaša spletna stran.
2. Pripravite politiko piškotkov.
3. Izberite ustrezen cookie banner, ki bo izpolnjeval zgornje zahteve.
4. Zagotovite ustrezno tehnično implementacijo.
5. Nadzorujte in revidirajte stanje.

Kdo mi lahko pomaga pri pravilni implementaciji obvestila o piškotkih na moji spletni strani?

Postavitev in vzdrževanje spletne strani čedalje bolj postaja tudi vprašanje pravne skladnosti, zato vam je pri vseh vprašanjih povezanih s piškotki na voljo pravna pisarna Consilium.

Pravilna tehnična implementacija in vzdrževanje, ki vam bo omogočilo, da je vaša spletna stran skladna z zakonodajo, pa je v najbolj varnih rokah pri digitalni agenciji Artbeat.