Nije tajna da prečesto nailazimo na web stranice u RH koje instaliraju kolačiće bez našeg pristanka ili još gore, čak i kad nas pitaju za pristanak i mi ga odbijemo dati, kolačići se instaliraju.
Ako se ne radi o kolačićima neophodnima za funkcionalnost web stranice, tada vlasnik web stranice ima obvezu zatražiti privolu posjetitelja web stranice za instalacijom takvih kolačića, a ako je ne da ili ignorira svojim jasnim i nedvojbenim pristankom instalaciju takvih kolačića, isti se ne smiju instalirati.
Članak 100. stavak 4. Zakona o elektroničkim komunikacijama, koji prenosi EU ePrivacy Direktivu u domaći pravni okvir definira ovo:
(4) Korištenje elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi pretplatnika ili korisnika usluga dopušteno je samo u slučaju kada je taj pretplatnik ili korisnik usluga dao svoju privolu, nakon što je dobio jasnu i potpunu obavijest u skladu s posebnim propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka. Time se ne može spriječiti tehnička pohrana podataka ili pristup podacima isključivo u svrhu obavljanja prijenosa komunikacija putem elektroničke komunikacijske mreže, ili, ako je to nužno, radi pružanja usluga informacijskog društva na izričit zahtjev pretplatnika ili korisnika usluga.
Potvrdila je to i presuda Europskog suda u slučaju Planet49 iz 2019. godine:
https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:62017CJ0673
koja jasno potvrđuje da se privola definira isključivo kao nedvojbeno aktivno djelovanje posjetitelja web stranice u cilju izražavanja privole i da se privolom ne smatra samo korištenje web stranice, kretnje mišem, scrollanje stranice i sl.
A kako se definira PRIVOLA? GDPR je jasno definira u uvodnoj izjavi 32.:
Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave.
To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka.
Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom.
U Hrvatskoj nazastupljeniji takvi ne-neophodni kolačići su Google Analytics, Google Tag, Goodle Ads, razni Facebook, YouTube ili Amazon trackeri...
Francusko nadzorno tijelo zbog nepoštivanja ovih pravila kaznilo je medijsku kuću drastičnim iznosom od 50.000 EUR nakon što su utvrdili da web stranica medijske kuće instalira ne-neophodne kolačiće odmah i bez pitanja.
Više o francuskom slučaju:
https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2021-013&mtc=today
