Ažurirano: 6.kolovoza 2024.
Agencija za zaštitu osobnih podataka (dalje u tekstu: Agencija), nadzorno tijelo u smislu odredbe članka 51. UREDBE (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 i članka 4. Zakona o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, 42/18, dalje u tekstu: Zakon), odgovorna je za praćenje primjene Opće uredbe o zaštiti podataka. Navedena Opća uredba o zaštiti podataka je od 25. svibnja 2018., u obvezujućoj primjeni u svim državama članicama, pa tako i u Republici Hrvatskoj. Vodeći računa o tome da Agencija, između ostalog, prati i provodi primjenu Opće uredbe o zaštiti podataka, te promiče osviještenost voditelja obrade i izvršitelja obrade o njihovim obvezama iz Opće uredbe o zaštiti podataka, u nastavku navodimo kako slijedi:
Obrada osobnih podataka putem kolačića u zakonodavnom okviru Europske unije propisana je Direktivom 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) te Direktivom 2009/136/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. o izmjeni Direktive 2002/22/EZ o univerzalnim uslugama i pravima korisnika s obzirom na elektroničke komunikacijske mreže i usluge (Direktiva o univerzalnim uslugama), a navedene direktive su u Republici Hrvatskoj implementirane u Zakon o elektroničkim komunikacijama (NN 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17, 76/22 i 14/24).
PRAVNI TEMELJI ZA OBRADU OSOBNIH PODATAKA PUTEM KOLAČIĆA
Vezano za korištenje tzv. kolačića kao poseban zakon primjenjuje se Zakon o elektroničkim komunikacijama („Narodne novine“ broj 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17, 76/22 i 14/24). Tako je člankom 43. stavak 4. citiranog Zakona propisano kako je korištenje elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi pretplatnika ili korisnika usluga dopušteno samo u slučaju kada je taj pretplatnik ili korisnik usluga dao svoju privolu, nakon što je dobio jasnu i potpunu obavijest u skladu s posebnim propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka. Time se ne može spriječiti tehnička pohrana podataka ili pristup podacima isključivo u svrhu obavljanja prijenosa komunikacija putem elektroničke komunikacijske mreže, ili, ako je to nužno, radi pružanja usluga informacijskog društva na izričit zahtjev pretplatnika ili korisnika usluga.
Sukladno navedenom, pravna osnova za prikupljanje osobnih podataka korištenjem kolačića (pohranjenih na računalo/terminalnu opremu krajnjeg korisnika), osim u točno navedenim iznimnim slučajevima, je privola krajnjeg korisnika koja treba biti usklađena sa odredbama Opće uredbe o zaštiti podataka, točnije člankom 4. stavkom 1. točkom 11. koja definira privolu kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Voditelji obrade ne mogu se oslanjati na legitimni interesa u smislu članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka kao pravni temelj za korištenje elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi pretplatnika ili korisnika usluga. Posebno ističemo da je oslanjanje na legitimni interes za obradu osobnih podataka ispitanika putem kolačića (pohranu kolačića na terminalnu opremu ispitanika/pristup već pohranjenim podacima u terminalnoj opremi ispitanika) u marketinške svrhe protivno zakonskim propisima o zaštiti osobnih podataka.
PRIVOLA KAO PRAVNI TEMELJ ZA OBRADU OSOBNIH PODATAKA PUTEM KOLAČIĆA
Potrebno je ponovno naglasiti da je pravna osnova za prikupljanje osobnih podataka korištenjem kolačića (pohranjenih na računalo/terminalnu opremu krajnjeg korisnika), osim u točno navedenim iznimnim slučajevima, ISKLJUČIVO privola krajnjeg korisnika koja treba biti usklađena sa odredbama Opće uredbe o zaštiti podataka, točnije člankom 4. stavkom 1. točkom 11. U tom smislu pod elementom „dobrovoljna“ podrazumijeva se istinski izbor korisnika web mjesta. U pravilu, Općom uredbom o zaštiti podataka propisuje se da ako ispitanik nema istinski izbor i ako smatra da je obvezan pristati ili će u protivnom trpjeti negativne posljedice, privola neće biti valjana tj. dobrovoljno dana. Ako je privola uključena u druge uvjete kao njihov neprenosivi dio, pretpostavlja se da nije dana dobrovoljno. Stoga se privola neće smatrati dobrovoljnom ako ispitanik ne može odbiti ili povući svoju privolu bez štetnih posljedica.
Usluga može uključivati višestruke postupke obrade u više svrha. U takvim slučajevima ispitanici bi trebali imati slobodu izbora svrhe koju prihvaćaju umjesto da moraju dati privolu za cijeli skup svrha obrade. U određenom slučaju može se dopustiti nekoliko privola za početak pružanja usluge, u skladu s Općom uredbom o zaštiti podataka. U uvodnoj izjavi 43. objašnjava se da se privola ne smatra dobrovoljnom ako proces/postupak dobivanja privole ne omogućuje ispitanicima davanje zasebne privole za pojedine postupke obrade osobnih podataka (npr. samo za neke postupke obrade, a ne za druge) unatoč tome što je primjerena pojedinačnom slučaju. U navedenom smislu potrebno je naglasiti kako bi to značilo kako za preglednike tako i za voditelje obrade, da bi bilo nevaljano kada bi nudili jedino opciju „Prihvati sve kolačiće“ jer tako ne bi omogućili korisnicima davanje potrebe precizno definirane privole. Međutim, preglednici bi trebali omogućiti korisnicima/ispitanicima donošenje informirane i svjesne odluke o prihvaćanju svih kolačića kako bi spriječili sve buduće zahtjeve za davanje privole za web mjesta koja budu posjećivali. O navedenom osobito govori i Radni dokument 02/2013 WP29 koji sadrži smjernice za dobivanje pristanka/privole za kolačiće kako slijedi:
„Iako je Direktivom o e-privatnosti propisana potreba za pristankom za pohranu ili pristup kolačićima praktična primjena zakonskih zahtjeva razlikuje se od operatora web stranica u državama članicama EU. Trenutno promatrane implementacije temelje se na jednoj ili više sljedećih praksi, iako je važno napomenuti da svaka može biti korisna komponenta mehanizma pristanka, korištenje pojedinačne prakse izolirano malo je vjerojatno da bi moglo dati valjanu suglasnost jer moraju biti prisutni svi elementi valjanog pristanka (npr. učinkovit mehanizam izbora također zahtijeva obavijest i informacije):
- odmah vidljiva obavijest da web mjesto koriste razne vrste kolačića, pružaju informacije slojevitog pristupa, obično nude vezu ili seriju veza, gdje korisnik može saznati više o vrstama kolačića koji se koriste,
- odmah vidljiva obavijest da korisnik upotrebom web stranice pristaje na kolačiće koje web stranice postavljaju,
- informacije o tome kako korisnici mogu označiti i kasnije povući svoje želje u vezi s kolačićima, uključujući podatke o radnji potrebnoj za izražavanje takve sklonosti,
- mehanizam kojim korisnik može odlučiti prihvatiti sve ili neke ili odbiti kolačiće,
- mogućnost da korisnik naknadno promijeni prethodnu privolu u vezi s kolačićima.
Navedeno je svakako primjenjivo kada govorimo, između ostalog, i o tzv. granularnosti/slojevitosti privole. Naime, člankom 6. stavkom 1. točkom (a) Opće uredbe o zaštiti podataka potvrđuje se da ispitanik mora dati privolu u jednu posebnu svrhu ili više njih i da u pogledu svake od njih ima mogućnost izbora. Zahtjevom da privola mora biti „posebna” nastoji se osigurati stupanj korisnikova nadzora i transparentnost za ispitanika. Taj zahtjev nije izmijenjen Općom uredbom o zaštiti podataka i ostaje usko povezan sa zahtjevom informirane privole. Ukratko, kako bi ispunio uvjet posebnosti privole, voditelj obrade mora osobito primijeniti specifikaciju svrhe kao zaštitnu mjeru od širenja namjene, granularnost u zahtjevima za privolu i jasno razdvajanje informacija koje se odnose na dobivanje privole za aktivnosti obrade podataka od informacija o drugim pitanjima.
Tu je svakako nužno spomenuti da su pravne osnove za obradu podataka pa tako i privolu usko i neodvojivo povezane sa svrhom obrade osobnih podataka, osobito uzimajući u obzir obvezu poštivanje načela obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka. Dakle, sukladno načelo „ograničenja obrade“ za zakonitu i poštenu obradu podataka moraju se ispuniti tri zahtjeva, odnosno osobni podaci se moraju prikupljati u posebne (određene/specificirane), izričite i zakonite svrhe. Stoga voditelj obrade mora pažljivo razmotriti u koju će svrhu ili svrhe biti obrađivani osobni podaci i ne smije prikupljati osobne podatke koji nisu potrebni, primjereni ili relevantni za svrhu ili svrhe kojima se namjerava služiti. Da bi se utvrdilo je li obrada podataka u skladu sa zakonom i utvrdi koje se zaštitne mjere zaštite podataka trebaju primijeniti preduvjet je da se utvrde konkretne svrhe za koje je potrebno prikupljanje i obrada osobnih podataka. Stoga se može zaključiti da se svrhe moraju navesti prije samog prikupljanja i obrade osobnih podataka. Svrha obrade mora biti jasno i posebno identificirana tj. ona mora biti dovoljno detaljna da se utvrdi kakva je vrsta obrade i je li uključena u određenu svrhu te da se omogući da se može procijeniti poštivanje zakona i primijeniti zaštitne mjere zaštite podataka.
SKOČNI PROZOR/ Traka za traženje privole za obradu osobnih podataka putem kolačića “COOOKIE BANNER”
Privole za prikupljanje osobnih podataka putem kolačića od korisnika na Internet mjestima se obično traže putem skočnog prozora (eng. pop-up window) ili putem banera (eng. banner) koji se pojavljuje na nekoj od rubnih strana prikaza sadržaja Internet mjesta, a najčešće u podnožju prikaza. Bitno je napomenuti da nakon učitavanja početne stranice Internet mjesta i daljnjeg kretanja korisnika kroz stranice na tom Internet mjestu, na terminalnoj opremi korisnika ne smije biti pohranjen niti jedan kolačić za kojeg je potrebna privola sve dok korisnik ne da izričitu privolu za pohranu tih kolačića. Sve dok korisnik nije dao izričitu privolu na terminalnoj opremi mogu biti pohranjeni samo kolačići za koje nije potrebna privola.
Prilikom postavljanja zahtjeva za privolom za prikupljanje osobnih podataka putem kolačića važno je napomenuti kako Opća uredba o zaštiti podataka propisuje da privola mora udovoljavati svim uvjetima propisanim člankom 7. Opće uredbe o zaštiti podataka, a između ostalog ne smije biti uvjetovana. Korisniku mora biti jasnim i jednostavnim jezikom objašnjeno koji opseg osobnih podataka će se prikupljati i u koju svrhu te mu omogućiti da sam odluči daje li pristanak na obradu tog opsega podataka ili ne. Također je bitno za napomenuti da se sukladno Općoj uredbi o zaštiti podataka privola treba davati za svaku vrstu kolačića po njihovoj funkcionalnosti posebno, odnosno da ne može biti objedinjena privola za sve vrste kolačića.
Međutim, potrebno je napomenuti kako se osobni podaci mogu prikupljati u više svrha. U nekim su slučajevima svrhe, iako različite, ipak mogu biti povezane u određenoj mjeri ili pak mogu biti nepovezane. Ovdje se postavlja pitanje u kojoj mjeri voditelj obrade treba specificirati svaku od tih zasebnih svrha i koliko dodatnih detalja treba navesti. Za „povezane“ procese obrade može biti koristan koncept sveukupne svrhe, a pod tim konceptom se odvija niz zasebnih operacija obrade. Voditelji obrade moraju izbjegavati navođenje samo jedne široke svrhe kako bi opravdali različite daljnje aktivnosti obrade koje su zapravo samo na daljinu povezane sa stvarnom početnom svrhom. U konačnici, kako bi se osigurala sukladnost s člankom 5. stavkom 1. točkom (b), svaka zasebna svrha trebala bi biti navedena dovoljno detaljno da se može procijeniti je li prikupljanje osobnih podataka u tu svrhu zakonito, pošteno i transparentno.
Od ključne je važnosti da ispitanik ima u svakom trenutku mogućnost povući svoju privolu. Iz tog razloga potrebno je da se poveznica na postavke kolačića nalazi u podnožju svake mrežne stranice Internet mjestu te da korisnik može na jednostavan način povući privolu za obradu osobnih podataka putem kolačića.
Agencija upućuje voditelje obrade da u prvom sloju “cookie bannera” omoguće ispitaniku da na jednostavan način, u jednom koraku prihvate ili odbiju sve kolačiće na Internet mjestu. Također, u prvom sloju “cookie bannera” potrebno je ispitaniku omogućiti da se dodatno informira o kolačićima na Internet mjestu (uputiti korisnika na politiku privatnosti koja će sadržavati detaljne informacije o obradi osobnih podataka putem kolačića ili na zaseban dokument naziva primjerice obavijest o obradi osobnih podataka putem kolačića koji sadrži navedene informacije). Nadalje, ispitaniku je potrebno pružiti mogućnost da klikom na oznaku X zatvori traku (cookie banner). U tom slučaju Internet mjesto neće obrađivati osobne podatke ispitanika putem kolačića ili drugih tehnologija za praćenje, a korisnik može nastaviti pregledavati Internet mjesto. Opcije “Odbijam kolačiće” i “Prihvaćam kolačiće” moraju biti dizajnirane na isti način, odnosno dizajn ne smije biti zavaravajuć na način da korisnika potiče da izabere opciju “Prihvaćam”. Ispitaniku je potrebno ponuditi i opciju “Postavke kolačića”. Odabirom ove opcije ispitanik ima mogućnost odabrati vrstu kolačića i svrhe za obradu svojih osobnih podataka za koje daje privolu.
OBAVIJEST O OBRADI OSOBNIH PODATAKA PUTEM KOLAČIĆA (eng. cookie notice)
Nadalje, da bi privola bila valjana ispitanik mora biti u dovoljnoj mjeri informiran na temelju članka 5. Opće uredbe o zaštiti podataka, odnosno zahtjev transparentnosti jedno je od temeljnih načela, koje je usko povezano s načelima poštenosti i zakonitosti. Pružanje informacija ispitanicima prije dobivanja njihove privole ključno je kako bi im se omogućilo donošenje utemeljene odluke, razumijevanje onoga na što pristaju te ostvarivanje prava na povlačenje privole. Ako voditelj obrade ne pruži dostupne informacije, korisnik ne može ostvariti nadzor te će privola biti nevažeća osnova za obradu osobnih poadtaka.
Stoga je obveza svakog voditelja obrade zadovoljiti minimalne zahtjeve u pogledu sadržaja kako bi privola bila „informirana” uzimajući u obzir članak 13. Opće uredbe o zaštiti podataka.
Naime, kako bi privola bila informirana potrebno je obavijestiti ispitanika o određenim elementima koji su ključni za izbor. Stoga, Agencija za zaštitu osobnih podataka uzimajući u obzir Smjernice o privoli u skladu s Uredbom 2016/679, WP29 i Odluku Suda Europske unije (ECLI:EU:C:2019:801) u predmetu C-673/17, smatra da je za dobivanje valjane privole prilikom obrade osobnih podataka putem kolačića (cookies) potrebno navesti najmanje sljedeće informacije iz članka 13. Opće uredbe o zaštiti podataka:
- identitet i kontakt podatke voditelja obrade,
- svrhu svakog pojedinog postupka obrade za koju se traži privola (specificirana i posebna svrha za svaki postupak obrade),
- vrste osobnih podataka koji će se prikupljati i obrađivati,
- postojanje prava na povlačenje privole (koje mora biti jednostavno kao i njezino davanje, obratiti pozornost na članak 7. stavak 3.),
- primatelje ili kategorije primatelja (ako se zna koji su to primatelji primjerice ako se koriste tzv. kolačići treće strane)
- razdoblje pohrane osobnih podataka ili bar kriterije kojima bi se utvrdilo to razdoblje (primjerice trajanje određenog kolačića ili skupine kolačića)
- prema potrebi informacije o korištenju podataka za automatizirano donošenje odluka u skladu s člankom 22. stavkom 2. točkom (c);
- moguće rizike ako dolazi do eventualnih prijenosa podataka zbog nepostojanja odluke o prikladnosti i odgovarajućih zaštitnih mjera (kako je opisano u članku 46.)
Navedene informacije ispitanicima će najčešće biti pružene kao dio dokumentu pod nazivom „Politika privatnosti“, “Izjava o obradi osobnih podataka” ili u dokumentu sličnog naziva, a voditelji obrade mogu se odlučiti pružiti navedene informacije ispitanicima i u zasebnom dokumentu naziva “Obrada osobnih podataka putem kolačića”, “Postavke kolačića” i sl. Ključno je da su informacije koje se pružaju ispitanicima napisane na jednostavan i razumljiv način te lako dostupan posjetiteljima web stranica. Informacije o obradi osobnih podataka putem kolačića trebaju se nalaziti u podnožju Internet mjesta i to na svakoj web stranici Internet mjesta kako bi ispitanicima bile lako dostupne u svakom trenutku.
PRIMJER ISPRAVNOG “COOKIE BANNERA” (PRVI SLOJ)
Ispitaniku su ponuđene opcije “Odbijam sve” kolačiće, “Prihvaćam sve” kolačiće te kolačiće može prihvatiti i odbiti na jednako jednostavan način, u jednoj radnji. Odabirom opcije “Postavke kolačića”, ispitanik može odabrati na koje svrhe za obradu svojih osobnih podataka putem kolačića daje svoju privolu. U prvom sloju cookie bannera nalazi se i poveznica na dodatne informacije o vrstama kolačića koji se koriste na Internet mjestu i njihovim svrhama. Odabirom oznake X traka za kolačiće se zatvara i korisnik može nastaviti koristiti Internet mjesto bez obrade osobnih podataka putem kolačića.
PRIMJERI “COOKIE BANNERA” KOJI NISU U SKLADU S OPĆOM UREDBOM O ZAŠTITI PODATAKA (PRVI SLOJ)
- Ispitanik nema mogućnost odbiti kolačiće. Jedina opcija koja mu se pruža je “OK”. Ispitaniku nisu pružene informacije o vrstama kolačića i svrhama obrade njegovih osobnih podataka putem kolačića.
2. Primjer manipulativnog (zavaravajućeg) dizajna. Korisniku se ne nudi mogućnost odbijanja kolačića. Opcija “Prihvaćam kolačiće” je unaprijed označena zelenom bojom. Na ovaj način potiče se ispitanika da prihvati kolačiće.
3. Primjer manipulativnog (zavaravajućeg) dizajna. Korisniku se ne nudi mogućnost odbijanja kolačića. Opcija “Prihvaćam kolačiće” je unaprijed označena bijelom bojom. Na ovaj način potiče se ispitanika da prihvati kolačiće.
4. Primjer manipulativnog (zavaravajućeg) dizajna. Opcija “Prihvati kolačiće” je unaprijed označena zelenom bojom. Na ovaj način potiče se ispitanika da prihvati kolačiće.
5. Primjer manipulativnog (zavaravajućeg) dizajna. Ispitaniku nije ponuđena opcija za odbijanje kolačića već samo opcija “DOZVOLI SVE” koja je unaprijed označena crvenom bojom.
PRIMJER ISPRAVNOG “COOKIE BANNERA” (DRUGI SLOJ)
- Ispitanik ima mogućnost odabrati vrste kolačića i svrhe obrade osobnih podataka za koje daje svoju privolu. Početne postavke su takve da su kolačići onemogućeni. Aktivnom radnjom korisnik odabire želi li da se njegovi osobni podaci obrađuju putem kolačića u određene svrhe. Ispitanik ima mogućnost prihvatiti sve kolačiće, odbiti sve kolačiće ili potvrditi svoje odabire. Također ima mogućnost kliknuti na oznaku X, nakon čega se traka za kolačiće zatvara, a Internet mjesto neće obrađivati osobne podatke korisnika putem kolačića. Ispitanik ima mogućnost i saznati više informacija o obradi svojih podataka putem kolačića na poveznici “Obavijest o kolačićima”.
2. Ispitanik ima mogućnost odabrati kolaćiće za koje daje privolu aktivnom radnjom. Prema zadanim postavkama kolačići su deaktivirani. Korisnik ima mogućnost i kliknuti na X, nakon čega se cookie banner zatvara i Internet mjesto ne obrađuje njegove osobne podatke putem kolačića, U prvom sloju korisnika se upućuje na dokument “Obavijest o obradi osobnih podataka putem kolačića” koja se nalazi u podnožju svake web stranice Internet mjesta.
3. Ispitanik ima mogućnost izabrati za koje kolačiće daje svoju privolu. Prema zadanim postavkama opcije su neoznačene. Aktivnom radnjom korisnik označuje na koje opcije pristaje. Klikom na crvenu oznaku i korisnik se može detaljnije informirati o vrstama kolačića i svrhama obrade. Korisnik na jednako jednostavan način i jednom radnjom može odbiti sve kolačiće, prihvatiti sve kolačiće ili potvrditi odabir kolačića. Više informacija može pronaći u obavijesti o kolačićima. Isto tako može klikom na X traka za kolačiće se zatvara. Nakon toga korisnik može nastaviti koristiti Internet mjesto bez da se njegovi osobni podaci obrađuju putem kolačića.
PRIMJERI NEISPRAVNOG COOKIE BANNERA (DRUGI SLOJ)
- Primjer manipulativnog (zavaravajućeg) dizajna gdje je unaprijed označena opcija legitiman interes. Prema zadanim postavkama kolačići moraju biti deaktivirani (a ne kao u ovom slučaju omogućeni), a korisnik radnjom odabire hoće li omogućiti kolačiće. Voditelj obrade se oslanja na legitiman interes kao pravni temelj za obradu osobnih podataka putem kolačića u svrhu oglašavanja, dok je u navedenom slučaju jedini odgovarajući pravni temelj privola.
2. Primjer manipulativnog (zavaravajućeg) dizajna. Jasno su navedene svrhe u koju se obrađuju osobni podaci putem kolačića, ali su opcije “Prihvaćam” unaprijed označene plavom bojom kako bi se korisnika potaknulo da prihvati kolačiće.
3. Primjer manipulativnog (zavaravajućeg) dizajna. Rubrike za odabir kolačića su unaprijed označene. Ispitanik može jednim klikom prihvatiti sve kolačiće, odabirom opcije “Slažem se”, ali nema mogućnost na jednako jednostavan način odbiti sve kolačiće.
U kojim slučajevima nije potrebno tražiti privolu ispitanika za obradu osobnih podataka putem kolačića?
Potrebno je napomenuti kako za određene vrste obrade podataka pa tako osobnih podataka putem kolačića postoji izuzetak kada govorimo o zakonitosti obrade za koji je voditeljima obrade potrebna privola ispitanika/korisnika. Tako članak 43. stavak 4. Zakona o elektroničkim komunikacijama uzimajući u obzir članak 5.3. Direktive o e-privatnosti omogućuje da se kolačići izuzmu iz zahtjeva informirane privole, ako ispunjavaju jedan od sljedećih kriterija:
- ako se kolačić se upotrebljava „isključivo u svrhu obavljanja prijenosa komunikacije preko elektroničke komunikacijske mreže“,
- ako je kolačić “strogo neophodan/nužan kako bi pružatelj usluge informacijskog društva izričito tražio od pretplatnika ili korisnika da pruži uslugu”.
Vezano uz navedene kriterije potrebno je napomenuti kako WP29 u Mišljenju 04/2012 o izuzeću privole za obradu osobnih podataka putem kolačića navodi da se najmanje 3 elementa mogu smatrati strogo potrebnim da bi se komunikacija odvijala preko mreže dviju strana: sposobnost usmjeravanja podataka preko mreže (osobito prepoznavanjem krajnjih točaka komunikacije), mogućnost razmjene podataka u njihovom predviđenom redoslijedu (posebno numeriranjem paketa podataka) te sposobnost otkrivanja pogrešaka u prijenosu ili gubitka podataka.
Nadalje, u drugom navedenom kriteriju sugerira se da europski zakonodavac želi osigurati da su kriteriji na oslanjanje na takvo izuzeće visoki, odnosno kolačić mora istodobno proći dva sljedeća ispitivanja: je li korisnik izričito zatražio uslugu informacijskog društva; je li korisnik (ili pretplatnik) učinio pozitivnu akciju odnosno zatražio uslugu s jasno definiranim perimetrom i je li kolačić strogo potreban za omogućavanje usluge informacijskog društva (ako su kolačići onemogućeni, usluga neće raditi).
Uzimajući u obzir analizu koja je provedena u navedenom Mišljenju o izuzeću kolačića, ista je pokazala da sljedeći kolačići mogu biti izuzeti iz informiranog pristanka pod određenim uvjetima, samo ako se ne koriste u dodatne svrhe:
1) kolačići za unos korisnika (id-sesije), za vrijeme trajanja sesije ili trajni kolačići u nekim slučajevima ograničeni na nekoliko sati,
2) kolačići za provjeru autentičnosti, koji se koriste za provjeru autentičnosti usluga, tijekom trajanja sesije,
3) sigurnosni kolačići usmjereni na korisnika, koji se koriste za otkrivanje zloupotrebe autentičnosti, ograničeno uporno trajanje,
4) kolačići sesije multimedijskog sadržaja (kao što su flash player-i) tijekom trajanja sesije,
5) kolačići sesije za uravnoteženije učitavanje, za vrijeme trajanja sesije,
6) kolačići za prilagođavanje korisničkog sučelja u trajanju sesije,
7) kolačići za dijeljenje sadržaja društvenih mreža/treće strane za prijavu njihovih članova.
Uzimajući u obzir društvene mreže, WP29 primjećuje da je za upotrebu kolačića društvenih mreža u druge svrhe, osim za pružanje funkcionalnosti koje su njihovi članovi izričito zatražili, potrebna privola osobito ako te svrhe uključuju praćenje korisnika na web stranicama. Marketinški kolačići trećih strana ne mogu izuzeti od privole te je privola potrebna i za operativne svrhe povezane s oglašavanjem trećih strana, kao što su ograničenje učestalosti, financijska evidencija, pridruživanje oglasa, otkrivanje prijevara klikova, istraživanje i tržište analiza, poboljšanje proizvoda i uklanjanje pogrešaka.
Sukladno navedenom Agencija za zaštitu osobnih podataka navodi kako je važno ispitati što je nužno i potrebno s gledišta korisnika/ispitanika, a ne davatelja usluga/voditelja obrade tj. za odlučivanje je li pojedini kolačić moguće izuzeti od načela davanja informirane privole važno je pažljivo provjeriti ispunjava li jedan od dva kriterija za izuzeće iz članka 43 stavka 4. Zakona o elektroničkim komunikacijama. Nakon pažljivog ispitivanja, ako se zadržavaju značajne sumnje u primjenu kriterija za izuzeće ili ne, operatori web stranica trebali bi pomno ispitati postoji li u praksi prilika za privlačenje korisnika na jednostavan, nenametljiv način, izbjegavajući na taj način bilo kakvu pravnu nesigurnost.
Sigurnost i povjerljivost obrade osobnih podataka
Također, podsjećamo na odredbe članaka 25. i 32. Opće uredbe o zaštiti podataka kojima je propisano provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka. Svaki voditelj obrade dužan je poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koristi (npr. smanjenje količine podataka, pristup osobnim podacima uporabom korisničkog imena i lozinke, podizanje sigurnosti web stranice-SSL certifikat/HTTPS protokol, pseudonimizacija, izrada sigurnosnih kopija, bilježenje pristupa podacima, potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka, i sl.).
Nastavno na prethodno navedene zakonske odredbe Opće uredbe o zaštiti podataka i Zakona o elektroničkim komunikacijama, Agencija upućuje voditelje obrade koji prikupljaju osobne podatke ispitanika na Internet stranicama putem kolačića, da obavijest o obradi osobnih podataka putem kolačića i privolu za obradu osobnih podataka putem kolačića i informiranje ispitanika o obradi osobnih podataka usklade s prethodno navedenim.