Ovih dana smo ponovno imali diskusiju s web administratorima nekih najpoznatijih web stranica na temu Google Analyticsa, koji smatraju da se GDPR ne primjenjuje na Google Analytics kolačiće ako se istima anonimizira IP adresa.
 
Moramo ponoviti gradivo:
 
Kad su u pitanju kolačići, primjenjuje se ePrivacy Direktiva kao specijalni zakon, dok GDPR kao opći propis određuje način kako se privola mora dati.
 
ePrivacy Direktiva prenesena je u hrvatsko zakonodavstvo kroz Zakon o elektroničkim komunikacijama.
 
Konkretno se radi o članku 100. stavku 4. Zakona o elektroničkim komunikacijama:
 
(4) Korištenje elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi pretplatnika ili korisnika usluga dopušteno je samo u slučaju kada je taj pretplatnik ili korisnik usluga dao svoju privolu, nakon što je dobio jasnu i potpunu obavijest u skladu s posebnim propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka. Time se ne može spriječiti tehnička pohrana podataka ili pristup podacima isključivo u svrhu obavljanja prijenosa komunikacija putem elektroničke komunikacijske mreže, ili, ako je to nužno, radi pružanja usluga informacijskog društva na izričit zahtjev pretplatnika ili korisnika usluga.
 
AZOP je na svojim web stranicama definirao koji se kolačići mogu instalirati bez prethodne privole:
 
https://azop.hr/osnovne-informacije-za-organizacije/
 
1. tzv. kolačići “Unos od strane korisnika” – to su sesijski kolačići prve strane koji se obično koriste za npr. praćenje korisnikovog unosa kod popunjavanja Internetskih obrazaca na nekoliko Internet stranica ili proizvoda/predmeta koje je korisnik odabrao prilikom kupovine putem Interneta, odabira jezika u kojem će biti prikazane stranice Internet mjesta, itd.
 
2. kolačići za autentifikaciju – to su obično sesijski kolačići koji se koriste za identificiranje korisnika nakon što se prijavi npr. na Internet mjesto za internetsko bankarstvo. Ti su kolačići potrebni kako bi se korisnicima omogućio pristup autoriziranom sadržaju, poput pregledavanja stanja njihovog računa, transakcije itd., bez potrebe autorizacije za svaku od autoriziranih opcija,
 
3. sigurnosni kolačići usmjereni na korisnika – kolačići koji se koriste npr. za otkrivanje ponovljenih neuspjelih pokušaja korisničke prijave na Internet mjestu ili drugi slični mehanizmi dizajnirani za zaštitu sustava za prijavu od zlouporaba,
 
4. kolačići sesije multimedijskog playera – kolačići koji se koriste se za pohranu tehničkih podataka potrebnih za reprodukciju videozapisa ili audio sadržaja, kao što su npr. kvaliteta slike, brzina mrežne veze i parametri međuspremnika (eng. buffer),
 
5. sesijski kolačići za uravnotežavanje učitavanja (eng Load balancing session cookies) – to su sesijski kolačići koji omogućuju da se ovisno o opterećenosti pojedinog Internet servera na kojima su pohranjeni sadržaji Internet mjesta kojeg korisnik posjećuje komunikacija preusmjeri na manje opterećeni server,
 
6. kolačići za dijeljenje korisničkog sadržaja u socijalnim mrežama putem dodataka za društvene mreže (eng. Social plug-in content sharing cookies) – to su sesijski kolačići koji omogućuju korisnicima koji su aktivno prijavljeni (eng. logged in) na neku društvenu mrežu prilikom posjete nekom Internet mjestu putem dodatka (eng. plug-in) za tu društvenu mrežu podjele sadržaj Internet mjesta s drugim korisnicima na društvenoj mreži (npr. objava članka na Facebooku).
 
Za Google Analytics ili bilo koju drugu vrsta analitičkih i statističkih kolačića mora se prije njihove instalacije dobiti privola posjetitelja web stranice.
 
Google Analytics kolačići nisu neophodni kolačići za funkcionalnost web stranice, stoga je obvezna privola prije instalacije.
 
Svaki jedinstveni identifikator pojedinog posjetitelja je njegov osobni podatak, stoga je privola obvezna.