Objavljeno: 23.4.2013 | Avtor: Domen Savič | Monitor Maj 2013

Vroči piškotki

Letos poleti bo vroče. Ne samo v naravi, tudi na področju regulacije zasebnosti v spletu, saj bo Informacijski pooblaščenec sredi junija začel izvajati nadzor nad novo zakonodajo o pravicah zasebnosti pri serviranju sledilnih piškotkov, s katerimi upravljavci spletišč in oglaševalci profilirajo uporabnike in za serviranje katerih jih bodo morali od 15. junija naprej transparentno prositi za dovoljenje.

O izvajanju zakonodaje, spremembah za upravljavce spletnih mest in končne uporabnike smo se pogovarjali z asistentko svetovalca,  mag. Jeleno Burnik iz Informacijskega pooblaščenca.

Asistentka svetovalca, mag. Jelena Burnik, iz Informacijskega pooblaščenca.

Asistentka svetovalca, mag. Jelena Burnik, iz Informacijskega pooblaščenca.

 Počasi se približuje datum, ko bo evropsko direktivo o spletnih piškotkih tudi pri nas treba začeti izvajati.  Kakšni bodo pozitivni učinki direktive na končnega uporabnika?

Najprej se moramo vprašati, zakaj so sploh nastale spremembe pri zakonodaji o piškotkih. V spletu uporabniki puščamo sledi in teh sledi puščamo zelo veliko. Puščamo jih v spletnih trgovinah, pri spletnih iskalnikih, povsod. Različne industrije te sledi izkoriščajo v svoj prid, za izboljšavo izdelkov, za boljše targetiranje oglasov, za bolj zanimive vsebine, ki so nam prikrojene.

Večina teh dejavnosti temelji na profiliranju uporabnikov. To pomeni, da se o posameznem uporabniku zbirajo brskalne navade, na podlagi tega pa se vzpostavi njegov profil, ki rabi za prilagajanje vsebin in drugih funkcij uporabe spleta.

Težava je v tem, da uporabnik navadno tega ne ve, saj ti optimizacijski procesi tečejo v ozadju in uporabnik o njih ni bil nikoli jasno obveščen. Veliko se govori o spletnih trgovinah, ki cene prilagajajo posameznemu uporabniku, pri čemer jim pomagajo piškoti, ki so shranjeni v računalniku uporabnika. Upravljavec spletne trgovine ve, kateri izdelki vas zanimajo, kateri izdelek ste si že večkrat ogledali, in vam lahko izdelek, za katerega ste izkazali visoko stopnjo zanimanja, ponudi višjo ceno. Tudi industrija spletnega oglaševanja vam ob pomoči piškotkov načeloma servira oglase, ki so prikrojeni vašemu profilu, vse to pa se ponavadi dogaja, ne da bi bil uporabnik obveščen.

Ker so splet in elektronske komunikacije tako pomembne za naš vsakdan, vidimo, da je v tako zgrajenih profilih zapisan tudi zelo velik del našega intimnega življenja – računalnike uporabljamo v zasebnem življenju, doma, v postelji. Zato se je Evropska unija že leta 2009 odločila, da močneje zaščiti te podatke in uporabnika, in sklenila, da morajo ponudniki storitev uporabnike obveščati o optimizaciji teh storitev na podlagi profiliranja uporabnikov in za profiliranje pridobiti uporabnikovo privolitev.

Tako naj bi po uvedbi te direktive uporabnik načeloma imel možnost odkloniti profiliranje, ker hoče v spletu ostati anonimen.

 Kdo bo v Sloveniji v praksi skrbel za izvajanje direktive, oziroma kako se bo direktiva izvajala?

Nadzorni organ v Sloveniji je informacijski pooblaščenec, tako kot za marsikatero drugo poglavje varstva osebnih podatkov. Po petnajstem juniju 2013, ko poteče rok in bomo začeli zakonodajo izvajati, bomo začeli sprejemati prijave, izvajali bomo preglede po uradni dolžnosti, ki jih bomo izbirali tudi glede na vrsto spletnih mest ... Poudarila bi rada še, da zaradi velikega števila čezmejnih spletnih storitev informacijski pooblaščenci vseh evropskih držav zelo tesno sodelujemo pri vprašanjih nadzora in izvajanja teh direktiv, tako da bomo tudi pri primerih, ki zadevajo druge države, delovali zelo koordinirano.

So za kršitelje predvidene sankcije?

Po petnajstem juniju letos so predvidena opozorila in denarne kazni za kršitelje direktive.  Za večja in srednje velika podjetja je predvidena sankcija v razponu od 1000 do 20.000 evrov. Za manjša podjetja so predvidene globe od dvesto do tisoč evrov, za odgovorne osebe pa globe od sto do petsto evrov.

 Kdo bo ob kršitvi zakonodaje kaznovan – lastnik spletišča ali upravljavec spletišča? V primeru agencije, ki upravlja s spletnim mestom tretjega naročnika, se namreč govori, da bo kazen plačala agencija.

To ne bo držalo. Odgovornost za ureditev stanja je na strani tistega, ki je upravljavec piškotka. To je običajno spletno mesto, s katerim upravlja določeno podjetje, organizacija. Če za tehnično podporo tega spletnega mesta skrbi spletna agencija, bo ta zelo verjetno poskrbela za implementacijo rešitve, oz. bo naročnik ocenil rešitev, ki jo predlaga agencija, odgovornost pa nosi podjetje, organizacija, ki s tem spletnim mestom upravlja. Agencija ne more odgovarjati za vsa spletišča, ki jih je naredila za različne naročnike.

V Veliki Britaniji je pogosta uporaba modela implicitne privolitve, ko spletna stran uporabnika le opozori, da bo v njegov računalnik namestila piškotek. Glede na smernice Informacijskega pooblaščenca pri nas tak mehanizem ne bo zadoščal v vseh primerih (npr. pri sledilnih piškotkih z dolgim rokom trajanja, bolj invazivnih itd.).

V Veliki Britaniji je pogosta uporaba modela implicitne privolitve, ko spletna stran uporabnika le opozori, da bo v njegov računalnik namestila piškotek. Glede na smernice Informacijskega pooblaščenca pri nas tak mehanizem ne bo zadoščal v vseh primerih (npr. pri sledilnih piškotkih z dolgim rokom trajanja, bolj invazivnih itd.).

 Kakšni so bili rezultati pogovorov s stroko v tem enoletnem preizkusnem obdobju?

Največji odziv na novo zakonodajo je bil zagotovo s strani oglaševalske industrije, saj jih bodo tudi na ravni Evropske unije te spremembe precej prizadele. Pogovori so bili korektni, predstavniki industrije so z nami delili svoje skrbi, npr. glede vpliva nove zakonodaje na uporabniško izkušnjo, Informacijski pooblaščenec pa je večkrat izrazil dobrodošlico pri svetovanju in pogovorih z upravljavci o praktični implementaciji te direktive, hkrati pa smo kljub temu poudarili,  da nova zakonodaja predstavlja precejšnjo spremembo  v primerjavi s prejšnjim stanjem in je za nekatere piškotke treba pridobiti privolitve uporabnikov.

 V javnosti se je večkrat slišalo, da je Velika Britanija izvajanje te zakonodaje o piškotkih opustila, saj naj ne bi bila koristna. Je to res?

Ta neresnična novica dejansko kroži po spletu, bi pa poudarila, da evropska direktiva velja v vseh državah članicah, čas implementacije pa se od članice do članice razlikuje. V primeru Velike Britanije je bila implementacija zelo zgodnja, pri nas pa se je to z Zakonom o elektronskih komunikacijah zgodilo zelo pozno.

Britanski informacijski pooblaščenec tako direktivo že izvaja, je pa res, da se je v tem začetnem obdobju nadzora osredotočil na spletišča, ki po uvedbi direktive niso spremenila čisto ničesar. O boljših ali slabših rešitvah, ki so jih implementirale druge spletne strani, pooblaščenec še ni presojal. Med državami Evropske unije so sicer minimalne razlike pri opredelitvi privolitve v nacionalni zakonodaji,  v nekaterih državah je nujno potrebna izrecna privolitev (npr. na Nizozemskem, v Nemčiji, Italiji itd.), v drugih je vedno lahko veljavna  domnevna privolitev, če je uporabnik res jasno obveščen o uporabi piškotkov. A kljub tem razlikam se v Veliki Britaniji direktiva normalno izvaja.

 Če preidemo na konkretne zglede uporabniške izkušnje, me zanima, kaj storiti, ko uporabnik redno briše piškotke v svojem računalniku. Se bo moral tak uporabnik ob vsakem obisku strinjati z serviranjem piškotkov?

To je odvisno od tehnične implementacije te zakonodaje. Če uporabnik noče piškotkov in bo ta odločitev zapisana v piškotek, jo bo uporabnik ob brisanju piškotkov izničil in bo moral ponoviti postopek. Je pa res, da s to zakonodajo uporabnik ne bo imel več razlogov za brisanje piškotov, saj ga bodo spletišča vnaprej spraševala o privolitvi za serviranje in bo načeloma imel možnost vnaprej vplivati na to, katere piškotke bo dovolil.

 Drugi zgled se dotika več uporabnikov istega računalnika, pri katerih se samo nekateri strinjajo z uporabo piškotov, drugi pa ne. Kako bodo spletna mesta vedela, da se nekdo ne strinja z rabo piškotkov?

Prepoznavanje uporabnikov je odvisno od tehnične izvedbe posameznega spletišča, če spletno mesto ne more razlikovati med uporabniki z istega računalnika, pa to vprašanje zadeva uporabnike in dogovor med njimi.

 V zvezi z varovanjem pravic zasebnosti v spletu je veliko interesov in posledično lobističnih pritiskov.

Zagotovo imajo oglaševalska, iskalniška in analitična industrija največji interes, da tok podatkov od uporabnika ostane nepretrgan, saj ocenjujejo, da se tok podatkov,  ki je odvisen od privolitve uporabnika, lahko precej zmanjša. Zato je že od začetka sprejetja direktive pred tremi leti zelo veliko lobiranja, vzpostavljajo se pobude o možnosti zavrnitve profiliranja, to pa bi bilo kljub temu prednastavljeno in podobno.

Na drugi strani pa se vsi evropski informacijski pooblaščenci strinjamo, da je treba uporabniku omogočiti nadzor nad njegovimi podatki, in mehanizem privolitve v serviranje piškotkov to tudi dejansko prinaša.  

Lobistični pritiski pa so se začeli tudi na področju nove regulative o varstvu osebnih podatkov, ki je zdaj v procesu sprejemanja na evropski ravni. Pojavljajo se težnje po definiciji psevdonimnih podatkov, ki bi predstavljali osebne podatke, ki pa ne bi bili neposredno povezljivi s posameznim uporabnikom. Industrija si želi, da bi za te podatke veljala nižja stopnja varovanja in da bi jih lahko še naprej prejemali nemoteno.

Organe za varstvo osebnih podatkov taki pritiski skrbijo, saj primerjava profila, ki ga o uporabniku hrani določeno veliko spletno podjetje, s profilom uporabnika, ki ga npr. hrani bolnišnica oziroma trgovina, pokaže, da spletno podjetje o nas ve veliko več, zelo intimne podrobnosti našega življenja.

Če se bo tako mehčanje pravil tudi dejansko zgodilo, pomeni veliko nevarnost za zasebnost, saj gre za zelo podrobne profile in ti podatki morajo biti varovani z enako stopnjo zasebnosti kot vsi drugi.

 Za konec pa morda še vprašanje o funkcionalni (ne)pismenosti spletnih uporabnikov. Upravitelj spletišča se lahko potrudi z obveščanjem, a izkušnje kažejo, da uporabniki večinoma opozorila spregledajo, oziroma jih ne preberejo.

Zelo pomembno je, da se zavedamo, da rešitev spletnega profiliranja ni samo na strani upravljavcev spletnih mest. Sicer je res, da bodo oni morali uvesti mehanizme obveščanja, a je v to zgodbo vpletenih še veliko drugih udeleženih, od industrijskih interesnih združenj pa do nadzornih organov in nevladnih organizacij, ki moramo delovati na področju izobraževanja. Tehnični mehanizmi ne bodo nikoli dokončen odgovor na stanje, ko je treba ljudi izobraziti in jim razložiti načela delovanja spleta, pasti pri uporabi in kaj je na voljo, da obdržijo nadzor nad svojimi podatki.

Če bomo vsi deležniki delovali po teh načelih izobraževanja, se bo na dolgi rok izboljšala tudi kultura (ne)branja politik zasebnosti.

Več o direktivi:

www.monitor.si/DirektivaPiskotki

Več o direktivi v Sloveniji:

www.monitor.si/PiskotekSLO

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji