Kad je HAKOM (Hrvatska regulatorna agencija za mrežne djelatnosti) prije nekoliko mjeseci izdao rješenje inspektora
https://www.biconsult.hr/gdprcroatia/486-presedan-u-hrvatskoj-i-rjesenje-hakom-inspektora-za-kolacice
jednoj poznatoj banci u RH da uskladi svoje kolačiće s odredbama Zakona o elektroničkim komunikacijama u koje je transponirana stara e-Privacy Direktiva, bio je to presedan kojim smo mislili da kreće novo razdoblje u kojem će se postupanje s kolačićima na hrvatskim web stranicama napokon dovesti u red.
No, prvo korona-doba pa nakon toga odluka EU suda o prestanku valjanosti prijenosa podataka u SAD, skrenuli su fokus s ove teme koja u pojedinim EU zemljama uzima ozbiljnog zamaha.
Naš je čvrst dojam, a vjerujemo da će se i velika većina vas složiti, da u najvećem dijelu web stranice domaćih poslovnih subjekata nisu usklađene s regulativom koja određuje načine kako i pod kojim uvjetima se mogu i smiju koristiti kolačići i instalirati na računala posjetitelja web stranice.
Postoje kolačići koji služe za identifikaciju pojedine osobe koja je posjetila web stranicu, neki samo bilježe postavke posjete i pamte je (npr. odabrani jezik), neki pamte gdje ste bili na zadnjoj stranici da se ponovno vratite na istu točku prethodne stranice, neki će pamtiti vašu email adresu i lozinku, neki pak artikle koje ste stavili u košaricu u online trgovini, ali najvećim dijelom danas kolačići služe da bi se pratilo naše lutanje webom, naše navike, afiniteti, želje, potrebe, interesi - ukratko, naše ponašanje temeljem kojeg dobivamo marketinšku ponudu za proizvod ili uslugu koja bi nam baš sada dobro došla.
Pri tom moramo znati da postoji više tipova kolačića, od sesijskih ili privremenih do trajnih koji čuće i prate nas u našem računalu godinama.
Također, vrlo pojednostavljeno, postoje tzv. first-party kolačići koje instaliraju serveri u domeni posjećene web stranice, i toliko ozoglašeni third-party kolačići koji se instaliraju s domena različitih od domene web stranice koju ste posjetili.
Najčešći slučajevi third-party kolačića su kolačići društvenih mreža i oglašivača.
Ono što je puno važnije znati, postoje:
- NEOPHODNI kolačići, nužni za samu funkcionalnost web stranice i njenih temeljnih funkcionalnosti
- STATISTIČKI kolačići, koji prikupljaju informacije o tome kako se posjećuje web stranica, uobičajeno u agregiranoj formi bez identifikacije posjetitelja
- FUNKCIONALNI kolačići, koji daju posjetitelju proširenu funkcionalnost web stranice i osobno iskustvo pri posjećivaju stranice
- MARKETINŠKI kolačići, primarno u kontekstu već spomenutog praćenja našeg ponašanja i pružanja nam oglasa, najčešće instalirani kao third-party kolačići
- FLASH kolačići, također najčešće u svrhe praćenja našeg ponašanja na internetu i znatnije skriveni u našem računalu
- i tako dalje...
Moramo sami sebi priznati da je evolucija kolačića i tehnika instalacije raznih pratitelja (tracker) na webu uvijek korak do dva ispred dostupnih nam alata kojima bismo sprječili naše praćenje i očuvanje privatnosti.
Stoga nam je nasušno potrebna regulativa koja će strogim režimom i još strožim kaznama za prekršitelje dovesti našu privatnost pod našu kontrolu.
Nažalost, toliko je zakomplicirana i, moramo priznati, iz više razloga neučinkovita da je naša privatnost na webu i dalje kao na pladnju.
Od čega se sastoji regulativa kolačića?
1. ePrivacy Direktiva
Iako je donesena 2002. godine, tek izmjenama i dopunama 2009. godine unijela je konkretnija pravila instalacije kolačića, prvenstveno u javnim elektroničkim komunikacijskim mrežama. Tom Direktivom lijepo je određeno da se instaliranje kolačića i čitanje već pohranjenih informacija o pojedincu smije raditi samo uz njegov pristanak, uz prethodnu jasnu informaciju o tome, osim ukoliko se radi o kolačićima tehnički neophodnima za odvijanje komunikacije.
To je rezultiralo još uvijek danas opće prisutnim pop-up prozorima ili bannera s informacijom da se ovdje koriste kolačići.
A koji su to NEOPHODNI kolačići za koje nije potrebna privola posjetitelja web stranice prije njihove instalacije? Možete njihovu specifikaciju naći u dokumentu na stranicama Europske komisije:
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf
Da su ga zakomplicirali, jesu....
Ali za sve ostale kolačiće morala bi se tražiti privola posjetitelja web stranice, i tek kad je posjetitelj da, takvi ostali kolačići bi se smjeli instalirati. No, znamo iz prakse da tome nije tako.
Naime, ePrivacy Direktiva je "samo" direktiva EU, i da bi se primjenivala u praksi mora biti transponirana u nacionalno zakonodavstvo svake zemlje članice, čime se u svakoj zemlji transponira u nijansama ili znatnijim razlikama drugačije, posebice iz razloga što je regulatornim tijelima svake zemlje članice dana određena sloboda tumačiti pravila kolačića.
U RH je ePrivacy Direktiva uvedena u pravni sustav kroz Zakon o elektroničkim komunikacijama.
2. GDPR
E, od svibnja 2018. imamo određene pomake u konkretiziranju pravila korištenja kolačića, prvenstveno jer je GDPR Uredba EU i na identičan se način mora provoditi u svakoj zemlji članici.
GDPR regulira područje uporabe kolačića kada isti na bilo koji način obrađuju osobne podatke pojedinca povezanog s uređajem kojim posjećuje web stranicu.
Stoga se, pored ePrivacy Direktive, GDPR primarno odnosi na kolačiće za koje je potrebna privola, i utvrđuje jasna pravila kako ta privola mora izgledati, da mora biti posebna, informirana, predmetom jasne aktivnosti osobe, za svaku pojedinu svrhu, i da se na jednako jednostavan način mora moći u svakom trenutku povući bez posljedica za pojedinca.
Moramo znati da GDPR nije "jači" od ePrivacy Direktive, pravnici to znaju, GDPR je, iako uredba, ipak opći propis, dok je ePrivacy Direktiva u odnosu na GDPR lex-specialis i ima svoju snagu kad su u pitanju elektroničke komunikacije i instalacija kolačića.
Dok god EU ne donese toliko iščekivanu ePrivacy Uredbu, koja je btw trebala svjetlo dana ugledati također 2018. godine, moramo se držati trenutno važećeg pravnog okvira, koji se sastoji od GDPR-a i domaćeg Zakona o elektroničkim komunikacijama
https://mmpi.gov.hr/UserDocsImages/arhiva/ZEK2008-2017-procisceni.pdf
koji u svom članku 100. stavku 4. na svoj način kaže - za neophodne kolačiće ne treba privola, za sve ostale mora biti dobivena privola pojedinca prije nego se instaliraju, uz prethodnu jasnu informaciju o tome.
Ključ svega je u infomiranosti posjetitelja web stranica, posebice u informacijama koje moramo dati, o tome zašto se koriste kolačići, u koju svrhu, koji tipovi kolačića, koje treće strane su involvirane i kako se privola može bezbolno i jednostavno povući.
Pri tom prethodno označen odabir DA za pristanak na instalaciju kolačića ili instaliranje kolačića bez prethodne privole, ili pak onemogućavanje pristupa web stranici bez privole zabranjeni su.
Svjesni smo, vjerujemo, svi, koliko je danas web stranica u RH neusklađeno s prethodno opisanim...