Prije nekoliko dana smo pisali o temi nezakonitog i nepotrebnog korištenja privola od strane organizacija u javnom i privatnom sektoru, što je pobudilo popriličan interes.
 
Od tada smo dobili više izravnih pitanja i komentara naših stručnih pratitelja u vezi nepostojanja privola za korištenje Google Analytics kolačića na brojnim web stranicama u Hrvatskoj.
 
Posebno su nam čitatelji skrenuli pozornost na korištenje Google Analytics kolačića na brojnim službenim stranicama tijela državne i javne uprave, bez valjane privole posjetitelja web stranice.
 
Zajedničko mnogim web stranicama domene gov.hr jest da na dnu web stranice imaju tzv. Cookie Wall koji kaže slijedeće:
 
"Ove internetske stranice koriste kolačiće (tzv. cookies) za pružanje boljeg korisničkog iskustva i funkcionalnosti. Postavke kolačića možete podesiti u svojem internetskom pregledniku. Više o kolačićima i načinu kako ih koristimo te načinu kako ih onemogućiti pročitajte "ovdje". Klikom na gumb 'U redu' pristajete na korištenje kolačića."
 
Kada kliknemo na "ovdje", stranice ministarstava preusmjeravaju na stranicu
 
https://gov.hr/cookies/1541, koja govori o ovoj temi:
 
"Bringing weapons and ammunition into the Republic of Croatia and taking weapons and ammunition into third countries"
 
Hmm, to ipak nema veze s kolačićima, zar ne?
 
Očito je ovdje došlo do nenamjerne pogreške web admina, s obzirom da znamo otprije da su se u svojim Cookie Wall linkovima te stranice zapravo preusmjeravale na stranicu e-Građani:
 
https://gov.hr/hr/uporaba-kolacica/1816
 
naslova "Uporaba kolačića", koja nam kaže slijedeće:
 
"Dodatno, ove stranice koriste i statističke kolačiće, i to Google Analytics kolačiće koji omogućuju analiziranje posjećenosti. Pružatelj te usluge je Google LLC.
 
Informacije koje Google Analytics kolačići generiraju o vašem načinu korištenja ovih stranica, među kojima je i IP adresa s koje ste pristupili stranicama, prenose se na poslužitelj tvrtke Google LLC i tamo pohranjuju. Te informacije bit će korištene u svrhu analize načina korištenja ovih stranica i izrade izvješća namijenjenih administratorima stranica o aktivnostima na tim stranicama.
 
Upravljanje kolačićima
 
Želite li onemogućiti spremanje kolačića na svoje računalo, možete to učiniti. Sâm čin blokiranja mogao bi imati negativan učinak na korištenje web-stranice. Kako biste isključili kolačiće, potrebno je namjestiti postavke i konfiguracije vašeg internetskog preglednika. U izborniku preglednika odaberite pomoć i informacije o kolačićima te slijedite upute.
 
Detaljne informacije o svakom pojedinom kolačiću, uključujući i period zadržavanja, moguće je pronaći u postavkama kolačića u korisničkom web-pregledniku.
 
Blokiranje kolačića je moguće, nakon čega ćete i dalje moći pregledavati stranicu, no neke njezine mogućnosti neće vam biti dostupne. Samo isključivanje kolačića može proizvesti negativan učinak na prikaz sadržaja te se ovim putem odričemo odgovornosti za moguć negativan učinak."
 
--------------
 
I tu dolazimo do srži ovog posta.
 
Da bi se Google Analytics kolačići smjeli instalirati na uređaje posjetitelja, oni prethodno moraju biti jasno informirani o tome i dati svoj jasan aktivan pristanak kao rezultat potpuno slobodnog izbora.
 
AZOP na svojim službenim web stranicama
 
https://azop.hr/obrada-osobnih-podataka-kolacici/
 
to lijepo pojašnjava:
 
"Vezano za korištenje tzv. kolačića kao poseban zakon primjenjuje se Zakon o elektroničkim komunikacijama kojim je propisano da je korištenje elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi pretplatnika ili korisnika usluga dopušteno samo u slučaju kada je taj pretplatnik ili korisnik usluga dao svoju privolu, nakon što je dobio jasnu i potpunu obavijest u skladu s posebnim propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka.
 
Sukladno navedenom, pravna osnova za prikupljanje osobnih podataka korištenjem kolačića (pohranjenih na računalo/terminalnu opremu krajnjeg korisnika), osim u točno navedenim iznimnim slučajevima, je privola krajnjeg korisnika koja treba biti usklađena sa odredbama Opće uredbe o zaštiti podataka, točnije člankom 4. stavkom 1. točkom 11 koja definira privolu kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
 
U tom smislu pod elementom „dobrovoljna“ podrazumijeva se istinski izbor korisnika web mjesta. U pravilu, Općom uredbom o zaštiti podataka propisuje se da ako ispitanik nema istinski izbor i ako smatra da je obvezan pristati ili će u protivnom trpjeti negativne posljedice, privola neće biti valjana tj. dobrovoljno dana. Ako je privola uključena u druge uvjete kao njihov neprenosivi dio, pretpostavlja se da nije dana dobrovoljno. Stoga se privola neće smatrati dobrovoljnom ako ispitanik ne može odbiti ili povući svoju privolu bez štetnih posljedica.
 
U navedenom smislu potrebno je naglasiti kako bi to značilo kako za preglednike tako i za voditelje obrade, da bi bilo nevaljano kada bi nudili jedino opciju „Prihvati sve kolačiće“ jer tako ne bi omogućili korisnicima davanje potrebe precizno definirane privole.
 
Nadalje, da bi privola bila valjana ispitanik mora biti u dovoljnoj mjeri informiran na temelju članka 5. Opće uredbe o zaštiti podataka, odnosno zahtjev transparentnosti jedno je od temeljnih načela, koje je usko povezano s načelima poštenosti i zakonitosti. Pružanje informacija ispitanicima prije dobivanja njihove privole ključno je kako bi im se omogućilo donošenje utemeljene odluke, razumijevanje onoga na što pristaju te ostvarivanje prava na povlačenje privole. Ako voditelj obrade ne pruži dostupne informacije, korisnik ne može ostvariti nadzor te će privola biti nevažeća osnova za obradu.
 
Stoga je obveza svakog voditelja obrade zadovoljiti minimalne zahtjeve u pogledu sadržaja kako bi privola bila „informirana” uzimajući u obzir članak 13. Opće uredbe o zaštiti podataka.
 
Uzimajući u obzir društvene mreže, WP29 primjećuje da je za upotrebu kolačića društvenih mreža u druge svrhe, osim za pružanje funkcionalnosti koje su njihovi članovi izričito zatražili, potrebna privola osobito ako te svrhe uključuju praćenje korisnika na web stranicama.
 
Također, WP29 podsjeća da se marketinški kolačići trećih strana ne mogu izuzeti od pristanka te dalje pojašnjava da bi privola bila potrebna i za operativne svrhe povezane s oglašavanjem trećih strana, kao što su ograničenje učestalosti, financijska evidencija, pridruživanje oglasa, otkrivanje prijevara klikova, istraživanje i tržište analiza, poboljšanje proizvoda i uklanjanje pogrešaka."
 
-------------------
 
Mi ćemo još samo dodati podsjetnik na presudu Europskog suda u slučaju Planet49 iz 2019. godine:
 
https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX:62017CJ0673
 
koja jasno potvrđuje da se privola definira isključivo kao nedvojbeno aktivno djelovanje posjetitelja web stranice u cilju izražavanja privole i da se privolom ne smatra samo korištenje web stranice, kretnje mišem, scrollanje stranice i sl.
 
Također, GDPR jasno definira kako zakonita privola mora izgledati, u svojoj uvodnoj izjavi 32.:
 
"Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave."
 
"Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom."
 
Jesmo li uočili riječi "nedvosmislen", "šutnja" ili "manjak aktivnosti"?
 
P.S. temom izvoza osobnih podataka u SAD se ovdje ne bavimo, pisali smo o tome puuuuno puta
 
#gdprcroatia