Invazija piškotkov
V soboto 15. junija so slovenske spletne strani začele množično streči piškotke, tako se je zdelo. Na katerokoli spletno stran smo odjadrali, povsod nas je čakalo opozorilo, da bo stran v naš računalnik za boljšo uporabniško izkušnjo shranila piškotek.
Piškotki (ali, angleško, cookies) so najbolj priljubljen način shranjevanja podatkov v obiskovalčevem računalniku za identifikacijo, a poznamo tudi druge. V osnovi ni piškotek nič drugega kot kratka besedilna datoteka, ki obsega troje informacij: podatek o strežniku oziroma domeni, ki je piškotek posredovala, rok trajanja in neko (naključno generirano) število. Brskalnik ob obisku strani piškotek prejme in ga shrani do preteka roka ali brisanja ter ga ob vsakem nadaljnjem obisku strani posreduje. S tem lahko spletna stran zazna, kdaj se je uporabnik potikal po strani in kod.
Shema delovanja piškotkov
Razlogi, zakaj je to koristno, so troji. Piškotki so nujno potrebni za vzdrževanje seje. To pomeni, da med brskanjem po strani ta stran ve, kaj je uporabnik že videl. Omogočajo na primer nalaganje izdelkov v košarico med spletnim nakupovanjem, označevanje prebranih sporočil med brskanjem po forumih, označevanje zanimivih oglasov na spletnih oglasnikih itn. Ti piškotki potečejo po koncu seje, to je navadno ob zaprtju okna. Druga pomembna naloga piškotkov je omogočanje avtoprijave, s čimer se izognemo vpisovanju uporabniškega imena in gesla ob vsakem obisku strani. To uporabljajo forumi, spletni časopisi, trgovine, družabna omrežja in vse druge strani, kjer je prijava nujna za dodajanje ali prejem osebne vsebine. Ne nazadnje piškotki omogočajo tudi sledenje uporabnikom z namenom izdelave statistike obiska ali prikazovanja merjenih (personaliziranih) oglasov. To je tudi glavni razlog, zakaj sta se EU in slovenski zakonodajalec tako ostro lotila piškotkov.
Kaj predpisuje nova zakonodaja
Ali je gledanje poosebljenih reklam dobrodošlo ali ne, je stvar polemik. Dejstvo je, da oglasi iz interneta ne bodo izginili. Nekateri zato trdijo, da, če jih že moramo gledati, naj bodo vsaj koristni in prikazujejo tisto, kar nas vsaj bežno zanima (torej poosebljeni); druga struja pa to šteje za hud udarec zasebnosti.
EU je zelo zaščitniška do zasebnosti, zato je slednje prevladalo. Leta 2009 sprejeta Direktiva 136/2009/ES spreminja številne člene stare Direktive 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij, tudi glede piškotkov. V slovenski pravni red jo je vnesel Zakon o elektronskih komunikacijah (ZEKom-1), ki je začel veljati konec prejšnjega leta. Poprejšnje obdobje za uveljavitev zahtev 157. člena, ki ureja piškotke, se je izteklo 15. junija letos, kar je tudi razlog za nenadno poplavo obvestil o uporabi piškotkov.
Ta predpisuje, da morajo strani za shranjevanje vseh podatkov v terminalski opremi uporabnika (sem sodijo piškotki) poprej pridobiti izrecno privolitev uporabnika in ga poučiti o posledicah, kot zahteva Zakon o varstvu osebnih podatkov (ZVOP-1), razen za nekaj zelo ozko določenih izjem. Ker vse strani veliko uporabljajo piškotke, so se povsod znašla obvestila, ponekod v obliki prikaznih oken, drugod kot pasica. Da torej popravimo prvi stavek v podnaslovu – spletne strani 15. junija niso začele streči piškotkov, le obveščati so nas začele o tem (šele) takrat.
Doma in po svetu
Med prvimi so evropsko direktivo v nacionalno zakonodajo vnesli Britanci. Čeprav tudi njihova zakonodaja pravi, da je pred shranjevanjem piškotkov nujno pridobiti poučeno privolitev obiskovalca, ravna njihov informacijski pooblaščenec za zdaj zelo prizanesljivo in ne izreka glob. Zato je večina strani uvedla tako imenovano domnevno privolitev (implied consent), ko stran obiskovalca obvesti o shranjevanju piškotkov, če bo nadaljeval z brskanjem po strani, in to šteje kot privolitev. Nekatere strani pa se za vse skupaj celo ne zmenijo. V Nemčiji ni bilo sprememb zakonodaje, ker je že skladna z direktivo. Privolitev je potrebna le za pišotke, ki zbirajo osebne informacije, za vse druge je dovolj možnost naknadne zavrnitve (opt-out). V Franciji je obvezno privoljenje uporabnika, a je izjem precej. Med njimi so tudi piškotki za vodenje statistike, ki jo dodeli lastna stran.
V Sloveniji smo spet bolj papeški od papeža, saj smo uzakonili drakonsko inačico direktive. Domnevna privolitev ali naknadna zavrnitev po mnenju informacijskega pooblaščenca, ki je tudi organ za inšpekcijski nadzor, ni ustrezna, temveč mora vsak obiskovalec pred prejetjem kakršnihkoli piškotkov izrecno izraziti privolitev. Nujno je tudi, da stran ponuja možnost zavrnitve piškotkov, česar v evropski direktivi ni. Odsotnost te možnosti po slovenskem tolmačenju ne omogoča svobode izjave volje, temveč gre za nesorazmerno prisilo.
RTV Slovenija se je odločil za britanski model domnevne privolitve.
Zakon dovoljuje nekaj izjem. Brez privolitve se sme shranjevati piškotke, ki so nujno potrebni, in piškotke, ki so potrebni za zagotovitev storitve, ki jo uporabnik izrecno zahteva. V prvo skupino lahko uvrstimo piškotke za pravilen pretok (load balancing), ne pa, recimo, piškotkov, ki zgolj omogočajo hitrejši prenos sporočila. V drugo skupino pa sodijo piškotki za zapomnitev prijave, dodajanje izdelkov v nakupovalno košarico in podobno. Ironično mednje sodi tudi piškotek, ki izraža zavrnitveno voljo glede shranjevanja drugih piškotkov. Izjeme obsegajo še piškotke za zagotavljanje varnosti (omejitev poizkusov napačne prijave), predvajanje zahtevanih večpredstavnih vsebin, prilagoditev željam uporabnikov (izbira jezika strani) in piškotke za vtičnike družabnih omrežij, ki imajo omejeno veljavnost do konca seje.
Pa še ena precej eksotična možnost je na voljo, ki jo dovoljuje zakon, a zanjo še ni tehničnih možnosti. Imeti bi morali brskalnik, ki bi imel izklopljeno sprejemanje piškotkov, in bi jih uporabnik po potrebi sam dovoljeval.
Zasebno brskanje mogoče tudi sicer
Brskalniki že danes omogočajo enostavno izognitev piškotkom. Poleg korenite nastavitve, naj se vsi piškotki odbijejo, ki oteži brskanje, priljubljeni brskalniki omogočajo zasebno brskanje (incognito, private mode). V tem primeru se iz trenutne seje na disk ne shrani nič, torej niti piškotki. Strani vam še vedno normalno delijo piškotke, tako da je trenutna seja normalno uporabna, po izhodu iz brskalnika pa se vse zbriše.
Oglaševanje in analitika
Poglavitni problem so seveda piškotki, ki se uporabljajo za streženje poosebljenih reklam in spremljanje statistike prometa (analitika). Ti piškotki so lahko lastni (first party) ali pa jih strežejo druge strani (third party). Zlasti slednji so trn v peti varuhov zasebnosti, ker uporabniku sledijo prek več strani, po drugi strani pa dajejo kruh številnim stranem. Google Analytics brez piškotkov ne more delovati, a ker gre za invazivne piškotke, zanje zahteva izrecno privolitev in možnost, da uporabnik ne dovoli, da bi jih shranjevali. Googlov AdSense je za veliko manjših strani poglavitni vir zaslužka, saj Google na straneh prikazuje merjene oglase, v zameno pa stran dobi delež prihodkov od reklam. Če uporabniki ne bodo potrdili uporabe piškotkov, bodo strani ostale brez prihodkov.
Tudi večje strani, ki same prodajajo svoj oglasni prostor, so življenjsko odvisne od piškotkov.
V praksi
Slovenske spletne strani so trenutno bolj ali manj prekopirale kar britanski način domnevne privolitve (med večjimi so rtvslo.si, Avto.net, 24ur.com). Nekatere omogočajo tudi zavrnitev (recimo Finance.si), a v tem primeru na vsaki strani prikažejo isto pasico prek celotnega okna, dokler se obiskovalec ne vda in klikne sprejmi. Univerza v Ljubljani omogoča sprejem ali zavrnitev piškotkov popolnoma v skladu z zakonodajo. Potem je tu še nekaj strani, ki niso storile nič in čakajo (državni zbor). Najdemo pa tudi strani (Slo-Tech.com), ki so preprosto nehale streči piškotke, ki niso izjema, zato jim obvestila ni treba prikazati, pa uporabniška izkušnja ni nič slabša.
Trenutno na tem področju vlada precejšnja zmešnjava, saj nihče ne ve natančno, kaj se od njega pričakuje. Ali pa vedo in se delajo neumne. Glavni problem je preohlapnost zakonodaje v primerjavi s strogim nastopom slovenskega informacijskega pooblaščenca, ki je izdal 22 strani dolgo zloženko za tolmačenje predpisov. Problematična je privolitev, saj je zakonodaja tehnično ne opredeljuje, informacijski pooblaščenec pa govori o več stopnjah formalnosti mehanizmov za pridobitev privolitve, ki jih morajo strani uporabiti sorazmerno z invazivnostjo piškotkov, nikjer pa ni natančnih navodil. Za zdaj vsi čakajo, kako bo ravnala informacijska pooblaščenka Nataša Pirc Musar. Ta pravi, da ne zagovarja glob in da bo ob kršitvah prvi korak vedno pogovor. Spletne strani pa seveda nočejo izgubiti oglaševalskega denarja, ki ga je že zdaj sila malo, brez piškotkov pa ga bo še bistveno manj, zato izvajajo zakon v najmanjši možni meri (ali še malo manj).
Epilog
Evropska direktiva je, kakršna je. Tudi slovenska zakonodaja ni tako slaba, saj je bolj ali manj zgolj prepisana direktiva. Problematično je tolmačenje informacijskega pooblaščenca in povezava z ZVOP-1, ki stvar precej zapleteta. Rezultat je nadlegovanje uporabnikov z obvestili in pojasnili, ki jih povprečen obiskovalec spletne strani ne razume, s tem pa se ustvarja vtis, da strani od nedavna zbirajo strašne količine podatkov. Slovenski piškotki sami po sebi tako ali tako niso večji problem. Véliki oglaševalci so v ZDA (recimo Googlov AdSense ali Facebook) – piškotki, ki jih strežejo na svojih straneh in vseh neslovenskih straneh, slovenske in evropske zakonodaje ne zadevajo, čeprav Evropa zagotavlja, da bo v kratkem »stisnila« tudi njih (tudi www.google.si že prikazuje obvestilo o piškotkih).
Informacijski pooblaščenec je povedal, da je neživljenjskost ureditve glede lastnih piškotkov za analitiko znana, zato se na evropski ravni dogovarjajo o uvrstitvi lastne analitike med piškotke, ki so dovoljene izjeme. Google Analytic, ki je de facto standard za spremljanje prometa, pa seveda ostaja med »prepovedanimi«.
Zanimivo bi bilo videti, koliko denarja se je porabilo za spremembo spletnih strani v skladu z zakonom. Prilagoditev je mogoče izvesti poceni in manjša podjetja so to nedvomno storila, večja podjetja in državne ustanove pa so »resni« ponudniki nedvomno »olupili« za velike denarje. V prihodnjih mesecih bo zelo poučno gledati podatke iz Supervizorja, koliko tisoč evrov so državne ustanove porabile za pripravo svojih strani.
Če sklenemo – zakonodaja ni prinesla bistvenih sprememb, razen nekaj tisoč programerskih ur za prilagoditev strani, nekaj tisoč evrov stroškov in nadležnih oken.