Takvih web stranica ima i kod nas, a u mađarskoj je jednoj takvoj izrečena kazna za "legitimni interes" u iznosu od čak 25.650 EUR dok je kazna za slična „Dark Pattern“ nedjela u Španjolskoj iznosila 7.000 EUR.

Oba nadzorna tijela za zaštitu osobnih podataka pronašla su da posjetitelji web stranice pristaju na instalaciju kolačića jednim klikom na "OK" dok je odbijanje kolačića moguće samo ulaskom u dodatni meni postavki i s puno detalja.

Da stvar bude gora, u tim dodatnim postavkama se nudila mogućnost davanja ili odbijanja privole za pojedine vrste obrada osobnih podataka, a ako bi netko i pomislio odbiti dati privolu na instalaciju nenužnih kolačića (analitičkih i marketinških), tada bi se ista ta obrada osobnih podataka putem kolačića odvijala temeljem "legitimnog interesa" i kolačići bi se i dalje instalirali, jer bi takvi „slobodni odabiri“ bili uvijek predodabrani i posjetiteljima web stranice pri tom ne pada na pamet trošiti na vrijeme na odznačivanje svakog od desetina ili stotina predodabranih odabira..

U oba slučaja prekršen je niz odredbi GDPR-a, počevši od transparentnosti i jasnih informacija posjetiteljima, pa do zavaravanja posjetitelja i neželjene instalacije kolačića.

 

Privola sama po sebi nije bila zakonita jer nije omogućeno odbijanje kolačića na jednako jednostavan način kako se i pristaje na njih.

Mi ćemo samo ponoviti temeljno pravilo vezana za privole za nenužne kolačiće, koje je utvrđeno ePrivacy Direktivom i Zakonom o elektroničkim komunikacijama u članku 43.:

"(4) Uporaba elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi krajnjeg korisnika ili korisnika dopušteno je samo u slučaju kada je taj krajnji korisnik ili korisnik dao svoju privolu, nakon što je dobio jasnu i potpunu obavijest u skladu s propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka. Time se ne može spriječiti tehnička pohrana podataka ili pristup podacima isključivo u svrhu obavljanja prijenosa komunikacija putem elektroničke komunikacijske mreže, ili, ako je to nužno, radi pružanja usluga informacijskog društva na izričit zahtjev krajnjeg korisnika ili korisnika."

 

Nema tu nikakvog legitimnog interesa, zar ne?

 

Više o mađarskom slučaju:

https://gdprhub.eu/index.php?title=NAIH_(Hungary)_-_NAIH-3195-11/2022&mtc=today

 

Više o španjolskom slučaju:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS-00080-2023&mtc=today

 

Image from FreePik

#gdprcroatia