Kolačići i zaključci skupine Cookie Banner od 17.01.2023. 

Već 2018. godine objavili smo članak[1] na temu kolačića i pravila privatnosti, no protekom vremena došlo je do daljnjih usklađenja u navedenom području. Ovaj članak obrađuje objavljeni tekst skupine Cookie Banner koji predstavlja tumačenje primjenjivih odredbi ePrivacy Direktive i primjenjivih odredbi GDPR-a uzimajući u obzir postojeća tumačenja i smjernice. Naime, zaključci skupine Cookie Banner ne predstavljaju službene preporuke ili upute.  Istim tekstom također nije predviđena analiza koju će nacionalna nadzorna tijela morati provesti za svaku pritužbu i određenu web stranicu u pogledu usklađenosti s pitanjem postavljanja kolačića. Navedena stajališta moraju se kombinirati s primjenom dodatnih nacionalnih propisa koji proizlaze iz nacionalnih zakona kojima se ePrivacy Direktiva usklađuje u državama članicama (članak 100. stavak 4. Zakona o elektroničkim komunikacijama), kao i s daljnjim pojašnjenjima i smjernicama koje daju nacionalna nadležna tijela.

U tom pogledu potrebno je obratit pozornost na upute i smjernice koje su objavila naša nadzorna tijela[2]  kao i Mišljenje 5/2019 o povezanosti Direktive o e-privatnosti i Opće uredbe o zaštiti podataka, posebice u vezi s nadležnosti, zadaćama i ovlastima tijela za zaštitu podataka (doneseno 12. ožujka 2019)[3].

Zauzeta su sljedeća stajališta u pogledu nekih posebnosti postavljanja skočnog prozora (bannera) za postavljanje kolačića:

 

1.            Praksa tipa A: "nepostojanje gumba za odbijanje kolačića"

Većina nadležnih tijela smatra da nepostojanje opcije odbijanja ili nepristanka na bilo kojem sloju s gumbom za pristanak na skočnom prozoru kolačića nije u skladu sa zahtjevima za važeću privolu.

 

2.            Praksa tipa B: "unaprijed označene kućice"

Unaprijed označene kućice za privolu ne dovode do valjane privole kako je navedeno Općom uredbom o zaštiti podataka (posebice uvodna izjava 32:  šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom..”) i člankom 5. stavkom 3. Direktive o e-privatnosti.

 

 3.            Praksa tipa C  - varljiva poveznica

Varljiva "poveznica" čini da neki banneri kolačića koji se prikazuju sadrže poveznicu, a ne gumb, kao opciju za odbijanje postavljanja kolačića (izravna poveznica za odbijanje ili poveznica na drugi sloj gdje korisnik može odbiti pohranu kolačića).

Članovi radne skupine složili su se da bi u svakom slučaju trebala postojati jasna naznaka sadržaja bannera, o svrsi privole koja se traži i o tome kako pristati na kolačiće.

Kako bi valjana privola bila slobodno dana, članovi radne skupine su se složili da ni u kojem slučaju upravitelj web stranice ne smije dizajnirati bannere s kolačićima na način da kod korisnika ostavlja dojam da moraju dati privolu za pristup sadržaju web stranice, niti da navede korisnika na davanje privole.

4.            Prakse tipa D: "varljive boje gumbova" & E: "varljiv kontrast gumbova"

Čini se da bi konfiguracija nekih bannera za postavljanje kolačića u smislu boja i kontrasta gumbi ("omjer kontrasta između gumba za prihvaćanje i pozadine" – praksa tipa D) mogla dovesti do jasnog isticanja gumba "prihvati sve" iznad dostupnih opcija.

Zauzet je stav da bi npr.  ponuđena alternativna radnja (osim davanja pristanka) u obliku gumba gdje je boja ili kontrast između teksta i pozadine gumba toliko minimalan da je tekst nečitljiv mogla biti očito obmanjujuća za korisnike te time neprihvatljiva, no radna skupina upućuje da je u svakom slučaju potrebno pojedinačno procijeniti svaki slučaj posebno.

5.            Praksa tipa H: "zahtjev za legitimnim interesom, popis svrha"

Neki voditelji obrade postavljaju banner koji ističe mogućnost izmjena na prvom sloju (bannera), ali ne uključuje opciju odbijanja kolačića na istom sloju, što prosječnog korisnika može navesti da povjeruje da uopće nema mogućnost uskrate privole na pohranu kolačića te na naknadnu obradu koja iz njih proizlazi.

Osim toga, na drugom sloju (bannera), ponekad se stvara razlika između izmjena u pohrani kolačića i mogućnosti protivljenja na daljnju obradu koja bi potpadala pod legitimni interes voditelja obrade.

Članovi radne skupine potvrdili su da pravna osnova za postavljanje kolačića ne mogu biti legitimni interesi voditelja obrade.

 

6.            Praksa tipa I: "netočno klasificirani « nužni » kolačići"

Voditelji obrade ponekad kolačiće i obradu klasificiraju kao "nužnu " ili "strogo neophodnu" , iako takva obrada ne služi u svrhe koje bi se smatrale "strogo nužnom" u smislu članka 5. stavka 3. e-Direktive ili uobičajenog značenja "strogo nužnih" ili "bitnih" prema GDPR-u.

Članovi radne skupine složili su se da procjena kojom bi se utvrdilo koji su kolačići nužni izaziva praktične poteškoće, posebno zbog činjenice da se značajke kolačića redovito mijenjaju, što sprječava uspostavu stabilnog i pouzdanog popisa takvih bitnih kolačića.

7.            Praksa tipa K: "nepostojanje ikone za povlačenje privole"

Na mjestima gdje voditelji obrade daju opciju koja omogućuje povlačenje privole, prikazuju se različiti oblici opcija, ponekad se daju i rješenja koja nisu vidljiva korisnicima.

Voditelji  obrade trebali bi postaviti lako dostupna rješenja koja korisnicima omogućuju povlačenje privole u bilo kojem trenutku, poput ikone (male, lebdeće i trajno vidljive ikone) ili poveznice postavljene na vidljivo i standardizirano mjesto.

Zagreb, 07.11.2023.

[1] https://www.odvjetnik-dlacic.hr/e-data-log/50-kola%C4%8Di%C4%87i-i-pravila-privatnosti

[2] https://arc-rec-project.eu/wp-content/uploads/2022/01/Obavijesti-o-kolacicima-primjeri.pdf

https://azop.hr/obrada-osobnih-podataka-kolacici/

https://www.hakom.hr/UserDocsImages/2019/odluke_rjesenja_presude/Rje%C5%A1enje_privola%20krajnjih%20korisnika%20za%20pohranjivanje%20kola%C4%8Di%C4%87a%20prilikom%20posjeta%20internetskih%20stranica.pdf

[3] https://edpb.europa.eu/sites/default/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_hr.pdf