Donosimo egzaktne Smjernice iz Luksemburga, kakve se mogu primijeniti i u Hrvatskoj, a o čemu smo pisali bezbroj puta na www.biconsult.hr/gdprcroatia.
 
U pogledu Opće uredbe o zaštiti podataka, Smjernice napominju da, iako se tim zakonom ne uređuju izravno kolačići, uvjeti kojima se predviđa valjana suglasnost utječu na zahtjeve. U Smjernicama se navodi da upućivanja na pristanak treba tumačiti u skladu s člankom 4. stavkom 11. i člankom 7. GDPR-a. U pogledu potonjih, Smjernice dodaju da je presuda Suda Europske unije („CJEU”) u predmetu Bundesverband der Verbraucherzentralen und Verbraucherverbages - Verbraucherzentrale Bundesverband e. V. protiv Planet49 GmbH (C-673/17) („slučaj planet 49”) potvrđuje da bi za suglasnost koja se zahtijeva Direktivom o e-privatnosti za kolačiće trebalo zahtijevati GDPR standard suglasnosti. Slučaj planet 49 također potvrđuje da suglasnost nije valjano dana kada korisnici moraju poništiti označenu kučicu kako bi izrazili odbijanje, kao što su i naglasili važnost članka 13. GDPR-a, odnosno, obveze informiranja posjetitelja web stranice.
 
U pogledu kolačića koji se upotrebljavaju u statističke svrhe, luksemburško nadzorno tijelo smatra da, iako kolačići koji se upotrebljavaju za mjerenje statistike koja se odnosi na posjetitelje (tj. analitički kolačići) ne predstavljaju znatan rizik za privatnost ako ih izravno postavlja web stranica koja se posjećuje, a ne treća strana, ako su posjetitelji također jasno obaviješteni o tome da se takvi kolačići upotrebljavaju, potrebno je ipak ishoditi privolu u tom scenariju. Unatoč tome, zahtjev za suglasnost može se izuzeti ako su analitički kolačići potrebni za pružanje usluge (npr. za ocjenjivanje sposobnosti poslužitelja), pod uvjetom da se takvi kolačići:
 
- ne prenose na treće strane ili se uspoređuju s drugim podacima;
- ne koriste za praćenje pojedinaca u više aplikacija ili internetskih stranica; i
- prikupljaju isključivo za korištenje operatera lokacije i koriste se isključivo za izradu anonimnih statističkih podataka.
 
Kako bi se osigurala transparentnost, Smjernicama se preporučuje da subjekti obavijeste korisnike kada su kolačići nužni (npr. preko bannera kolačića). Kada takvi kolačići uključuju obradu osobnih podataka, preporučuje se da se informacije daju u skladu s člankom 13. GDPR-a, na primjer u Politici privatnosti ili Politici kolačića.
 
Nadalje, Smjernicama se razlikuju ključni kolačići koji ne uključuju ili ne uključuju obradu osobnih podataka. Napominje se da je, čak i kada se osobni podaci ne obrađuju, još uvijek dobra praksa objasniti korisniku što je kolačić i koje su svrhe za njegovo korištenje.
 
U Smjernicama se navodi da će kolačići koji ne odgovaraju gore navedenoj definiciji za osnovne kolačiće zahtijevati privolu u skladu s GDPR-om, uključujući kolačiće koji se upotrebljavaju za praćenje, profiliranje, usmjeravanje i geolokaciju, kao i „socijalne pluginove” (na primjer poveznice na društvene mreže), ako su takvi pluginovi povezani s uporabom kolačića. U Smjernicama se podsjeća da takva suglasnost mora prethoditi, što znači da se kolačići koji nisu ključni ne mogu instalirati prije dobivanja valjane suglasnosti.
 
Prema Smjernicama, potreban je informirani pristanak za kolačiće koji nisu ključni, s informacijama koje ispunjavaju standarde iz članaka 12. i 13. GDPR-a. Preporučuje se da se te informacije dostave na dvije razine, odnosno:
 
- Prva razina informacija, koja se općenito pruža putem bannera kolačića ili u „skočnom” prozoru (koji sadrži poveznicu na drugu razinu informacija), u kojoj se općenito prikuplja korisnikova odluka o davanju privole, pri čemu bi ova prva razina trebala omogućiti korisnicima razumijevanje da web stranica koristi kolačiće i kako ih mogu prihvatiti/odbiti te mogućnost povlačenja privole i posljedice odbijanja.
- Druga razina informacija, koja je „politika kolačića” ili sekcija o kolačićima u okviru opće Politike privatnosti.
 
Ta bi trebalo pružiti dodatna objašnjenja o kolačićima i ispuniti zahtjeve iz članaka 12. i 13. GDPR-a, dokumentirajući:
- tehničke informacije o korištenim kolačićima i detaljan opis njihovih svrha;
- točan i iscrpan popis osoba odgovornih za kolačiće;
- kategorije prikupljenih podataka;
- primateljima koji imaju pristup kolačićima ili podacima koji se prikupljaju putem njih;
- vrijeme rada korištenih kolačića i razdoblje čuvanja prikupljenih podataka;
- sve prijenose podataka prikupljenih podataka; i
- postojanje automatiziranog odlučivanja na temelju prikupljenih podataka.
 
U Smjernicama se navodi potreba da pristanak bude nedvosmislen te se navode neki praktični primjeri kada će to biti ispunjeno ili neće biti ispunjeno.
 
Na primjer, daljnje pregledavanje web stranice ili korištenje aplikacije ne smatra se valjanom privolom, kao i isključivanje unaprijed označene kučice.
 
Nadalje, Smjernice podsjećaju da bi privolu trebalo jednako lako povući ili odbiti.
 
Više o regulaciji kolačića u Lukemburgu;
 
https://www.dataguidance.com/opinion/luxembourg-overview-cookies-guidelines
 
 
 
Photo by Tim Douglas from Pexels