Kolačići su u posljednje vrijeme sve aktualnija tema – mada je zapravo već godinama potpuno jasno što to znači zakonito i transparentno postavljanje tih malenih datoteka na uređaj posjetitelja web stranice. Dva su osnovna dijela na koja treba obratiti pažnju: zakonito dobivanje privole od posjetitelja za sve kolačiće koji nisu neophodni za rad stranice i transparentna obavijest o njihovom korištenju. Nažalost, iznimno velik broj poslovnih subjekata još uvijek krši Opću uredbu o zaštiti podataka (GDPR), ali i hrvatski Zakon o elektroničkim komunikacijama, načinom na koji upravljaju kolačićima na svojim web stranicama.
Ako je bilo onih kojima zakonski tekst nije dovoljno jasan, sve eventualne dvojbe otklonila je presuda Suda Europske Unije iz 2019., poznata i kao “slučaj Planet49”: sud je istaknuo da privola za kolačiće mora biti izričita, nedvosmislena, aktivna i zasebna – nije valjana ako se radi o unaprijed danoj kvačici koju korisnik mora ukloniti kako bi odbio pristanak na pohranu podataka. Aktivna privola znači da je dana jasnom, potvrdnom radnjom, pa druge aktivnosti po web stranici ne mogu biti dio radnje davanja privole – dakle, obavijest s kojom se nerijetko susrećemo: “korištenjem web stranice slažete se s upotrebom kolačića” - automatski pada u vodu.
To da je zasebna znači da treba biti i odvojena za svaku pojedinu svrhu obrade – u prijevodu, posjetitelju trebate omogućiti da sam odabere u koju svrhu mu je u redu da koristite njegove podatke prikupljene kolačićima (primjerice: marketinške svrhe, analitika itd)
Ne treba zaboraviti načelo transparentnosti – informacije o pohrani kolačića moraju biti razumljive prosječnom građaninu, a moraju nam dati informaciju o trajanju kolačića, kao i imaju li treće strane pristup podacima.
Hrvatski HAKOM je u rješenju iz studenog 2019. zaprijetio trgovačkom društvu kaznom od 50.000 kuna ako nastavi postavljati kolačiće na uređaje posjetitelja bez njihove privole. Ističemo da posjetitelj web stranice mora imati dostupnu informaciju o kolačićima čim otvori stranicu te pristati na njihovo pokretanje – prije nego što su kolačići pokrenuti i postavljeni na uređaj posjetitelja.
U siječnju 2022., francusko nadzorno tijelo je izreklo dvije do sada najimpresivnije novčane kazne za kolačiće, uz istaknutu parolu: odbijanje kolačića na web stranicama mora biti jednako jednostavno kao i njihovo prihvaćanje! Budući da se nisu pridržavali navedenog načela, Google će morati platiti 150 milijuna eura, a Facebook 60 milijuna eura. Naime, nadzorno tijelo je otkrilo kako je na stranicama facebook.com, google.fr i youtube.com kolačiće jednostavno prihvatiti, dok korisnik mora napraviti čak nekoliko klikova kako bi ih uspio odbiti. Zaključili su da taj proces utječe na slobodu privole i naginje korisnika u smjeru davanja privole zbog otežanog odbijanja.
Duje Kozomara
Konzultant za zaštitu osobnih podataka | Osnivač tvrtke Consent
www.consent.hr