Postavljanje cookie datoteka po slovu zakona

Kolačići su važan alat koji nam daje uvid u on-line aktivnosti posjetitelja naših web stranica. Ipak, treba misliti i na korisnike i pravilno implementirati mehanizam kolačića koji će štititi njihova prava, osigurati transparentnost i povjerenje.

Podijelite članak

Share on facebook
Share on twitter
Share on linkedin

U ljeto 2019 godine HAKOM je napisao svoje prvo rješenje i jednom domaćem trgovcu zaprijetio kaznom od čak 50.000 kn zbog nepravilno implementiranog sustava za postavljanje cookie datoteka.

Budući da ove datoteke koristi svaka web stranica/trgovina te da kolačići mogu sadržavati i neke osobne podatke posjetitelja, moramo se držati pravila igre.

 

DEFINICIJE POJMOVA

Što su kolačići?

Kolačići su male tekstualne datoteke koje web stranice postavljaju na naše uređaje dok pregledavamo sadržaj. Obrađuje ih i sprema naš internet preglednik (npr Chrome, Safari, Firefox …).

Sami po sebi, kolačići su potpuno sigurni i bezopasni i podržavaju ključne funkcionalnosti web stranica. Kolačići se općenito mogu jednostavno pregledavati i brisati. 

Ipak, kolačići mogu sadržavati cijelo bogatstvo informacija. Ponekad u toj mjeri da nas mogu identificirati i bez da smo im to dopustili.  Oni su primarni alat kojeg oglašivači koriste kako bi nam prikazivali personalizirane oglase.

S obzirom na količinu podataka koje u nekim slučajevima spremaju, cookie datoteke ponekad mogu sadržavati i osobne podatke. U tom slučaju potpadaju pod GDPR regulativu. 

Prije nego pogledamo što zakoni (GDPR  i ePrivacy direktive) govore o kolačićima, važno je da se upoznamo s njihovim osnovnim vrstama. 

 

Vrste kolačića

Općenito, imamo tri različita kriterija za klasifikaciju cookie datoteka: kojoj svrsi služe, koliko dugo traju i od kuda potječu.

Kolačići prema trajanju

  • Sesijski kolačići – privremene datoteke koje istječu prilikom zatvaranja internet preglednika (ili po prestanku sesije)
  • Trajni kolačići – U ovu kategoriju spadaju svi kolačići koji ostaju spremljeni na našem disku sve dok ih ručno ne obrišemo ili dok ih ne obriše preglednik nakon njihova isteka. Svi trajni kolačići u sebi imaju upisan podatak o trajanju, a trajanje može varirati. Iako prema ePrivacy direktivi, ne bi trebali trajati dulje od 12 mjeseci, u praksi mogu ostati spremljeni i dulje vrijeme. 
 
Kolačići prema izvoru
 
  • Kolačići “prve strane” (first-party cookies) – ovi kolačići se postavljaju izravno od web stranice koju posjećujemo.
  • Kolačići “trećih strana” – kolačići koji se spremaju na naše uređaje, ali ne od strane weba kojeg pregledavamo, nego od trećih strana poput oglašivača ili sustava za analitiku posjećenosti.
 
Kolačići prema svrsi
 
  • Neophodni kolačići – nužni su za ispravan rad web stranice i njezinih usluga, poput pristupa u zaštićene dijelove. Kolačići koji omogućuju web trgovini da zapamti proizvode koje smo stavili u košaricu su primjer neophodnog kolačića.  Ovi su kolačići, generalno, sesijski kolačići prve strane. Iako za postavljanje nužnih kolačića nije potrebno tražiti privolu (suglasnost), korisnicima treba objasniti čemu služe.
  • Kolačići za postavke – još se nazivaju i “funkcionalni” kolačići, a omogućuju web stranici da zapamti izbor opcija koje smo odabrali u prethodnim posjetima. Opcije mogu biti, primjerice, odabir jezika za prikaz sadržaja, valute u kojoj su izražene cijene proizvoda ili podaci poput korisničkog imena i lozinke za bržu prijavu pri sljedećim posjetima.
  • Statistički kolačići – kolačići koji prikupljaju informacije o tome kako posjetitelji upotrebljavaju web stranicu (npr. koje su stranice posjetili i koje su linkove kliknuli). Ništa od ovih informacija se ne može upotrijebiti za identifikaciju korisnika. Podaci su agregirani i, prema tome, anonimizirani, a njihova je svrha poboljšanje funkcionalnosti koje nudi web stranica. U statističke kolačiće ulaze i kolačići trećih strana (npr analitičkih alata poput Google Analytics-a). 
  • Marketinški kolačići – prate on-line aktivnost posjetitelja i pomažu oglašivačima u plasiranju relevantnih oglasa ili za limitiranje broja prikaza istog oglasa jednom posjetitelju. Ovi kolačići često razmjenjuju informacije s drugim tvrtkama ili oglašivačima (npr Google, Facebook …). Kad govorimo o marketinškim kolačićima, obično se radi o trajnim kolačićima trećih strana.
 
Ovo su osnovni načini podjele kolačića. Treba imati na umu kako će neke kolačiće ipak biti teže klasificirati, a neki mogu pripadati u više različitih kategorija. 

Kad govorimo o riziku povrede privatnosti zbog upotrebe kolačića, tu prvenstveno mislimo na trajne, marketinške kolačiće trećih strana. Oni mogu sadržavati velike količine informacija o on-line aktivnosti posjetitelja, njihovim preferencijama i lokaciji. 

REGULATIVA

Koji propisi se odnose na kolačiće?

U vrijeme pisanja ovog članka na kolačiće se odnose GDPR regulativa i ePrivacy  direktiva.

GDPR

Regulativa za zaštitu osobnih podataka (GDPR) jedan je od  najopsežnijih zakonskih dokumenata ikad donesenih. Ipak, iako je napisana na 88 stranica, kolačiće spominje samo jednom (članak 30)

Prema GDPR-u, ako se kolačići koriste za identifikaciju korisnika, oni predstavljaju osobne podatke i time spadaju u djelokrug GDPR-a. Tvrtke mogu prikupljati i obrađivati osobne podatke dok god za obradu imaju suglasnost ispitanika (posjetitelja) ili je obrada njihov legitiman interes. 

ePrivacy direktiva

ePrivacy direktiva donesena je još 2002 godine i dopunjena je u 2009. Kolokvijalno je nazivamo “zakon o kolačićima” jer je kao posljedicu donijela pojavu pop-up prozora na web stranicama diljem svijeta.  Dopunjuje pa čak i nadilazi GDPR te definira ključne aspekte o pouzdanosti elektroničkih komunikacija i praćenju ponašanja korisnika Interneta. 

Tijekom 2020. godine očekujemo novu ePrivacy direktivu koja će detaljnije definirati upotrebu cookie datoteka u skladu sa suvremenim praksama i tehnologijom. Prema sadašnjem nacrtu, nova se direktiva uvelike naslanja na ovu postojeću.

PRAVILA IGRE

Kako postići zakonsku usklađenost

1. Omogućiti posjetitelju davanje suglasnosti za upotrebu kolačića prema vrstama (osim za nužne kolačiće).

To postižemo tako da pri prvom posjetu stranice, korisniku prikazujemo informativni prozor u kojem mu dajemo mogućnost da omogući sve, ili samo neke kolačiće.  Ono što je jako važno, je da svi kolačići prethodno moraju biti klasificirani, kako bi mehanizam omogućio spremanje samo one vrste koju korisnik dopušta. U praksi nailazimo na dva rješenja: 

a) korisniku nudimo mogućnost spremanja “Samo nužnih kolačića” ili “Svih kolačića”.

prihvat cookie 1

b) korisniku nudimo mogućnost odabira različitih kategorija kolačića

prihvat cookie 2

Postavljanje kolačića (osim nužnih) prije nego je korisnik dao svoju suglasnost je ZABRANJENO

2. Pružiti točne i specifične informacije o podacima koje svaki kolačić prati, o svrsi kolačića i tko ima pristup cookie podacima

Za potrebe pružanja ovih informacija izrađujemo Politiku cookie datoteka. U ovom dokumentu korisnicima objašnjavamo što su kolačići, a koji način daju suglasnost za njihovo postavljanje, koje sve vrste kolačića koristimo, te za svaki pojedini kolačić navodimo njegov naziv, vrijeme čuvanja, svrhu i tko ima pristup cookie podacima. 

Pogledajte primjer Politike cookie datoteka

 

3. Omogućiti povlačenje suglasnosti koje mora biti jednako jednostavno kao i njeno davanje.

U sklopu stranice “Politika cookie datoteka” jednostavno je ugraditi mehanizam za povlačenje suglasnosti za korištenje cookie datoteka. Kod nekih web stranica nailazim na opise kako se cookie datoteke mogu onemogućiti u opcijama web preglednika. Ako je za davanje suglasnosti dovoljan samo jedan klik, onda i njeno povlačenje ne može biti kompliciranije od toga.  Obično se radi o jednostavnom gumbu kojeg je lako ugraditi u stranicu “Politika cookie datoteka”. 

Povlačenje privole

4. Omogućiti korisnicima pristup sadržaju za koji nisu potrebni marketinški kolačići

Mehanizam za cookie datoteke treba omogućiti prikaz sadržaja za koji nije potrebno postaviti marketinške i/ili statističke kolačiće. Ako korisnik želi pristupiti sadržaju koji zahtjeva  marketinšku cookie datoteku (npr youtube video), mehanizam ga treba na to upozoriti i omogućiti mu davanje suglasnosti za korištenje određene kategorije kolačića. 

Zaključak

Mehanizam za cookie datoteke treba se postaviti na svaku web stranicu koja ih koristi.  Ako niste sigurni da li je to i vaša obaveza, prvi je korak provjeriti koje kolačiće vaša web stranica postavlja.

Za provjeru, možete koristiti besplatan Cookiebot on-line alat