Svakim danom se susrećemo s web stranicama koje su upravljanje kolačićima, kao najvećim današnjim kradljivcima naše privatnosti, postavile pogrešno, odnosno, suprotno važećoj regulativi, zapravo nisu ništa mijenjale od samog puštanja web stranice u rad.

Stoga želimo i ovim putem skrenuti pozornost i pomoći tvrtkama i drugim organizacijama da uz male investicije vremena i novaca poprave svoje upravljanje kolačićima.

Kad je HAKOM (Hrvatska regulatorna agencija za mrežne djelatnosti) prije nekoliko mjeseci izdala rješenje inspektora

https://www.biconsult.hr/gdprcroatia/486-presedan-u-hrvatskoj-i-rjesenje-hakom-inspektora-za-kolacice

jednoj poznatoj banci u RH da uskladi svoje kolačiće s odredbama Zakona o elektroničkim komunikacijama u koje je transponirana stara ePrivacy Direktiva, bio je to upozoravajuć presedan.

Naš je čvrst dojam, a vjerujemo da će se i velika većina vas složiti, da u najvećem dijelu web stranice domaćih poslovnih subjekata nisu usklađene s regulativom koja određuje načine kako i pod kojim uvjetima se mogu i smiju koristiti kolačići i instalirati na računala posjetitelja web stranice.

Postoje kolačići koji služe za identifikaciju pojedine osobe koja je posjetila web stranicu, neki samo bilježe postavke posjete i pamte je (npr. odabrani jezik), neki pamte gdje ste bili na zadnjoj stranici da se ponovno vratite na istu točku prethodne stranice, neki će pamtiti vašu email adresu i lozinku, neki pak artikle koje ste stavili u košaricu u online trgovini, ali najvećim dijelom danas kolačići služe da bi se pratilo naše ponašanje na internetu temeljem kojeg dobivamo marketinšku ponudu za proizvod ili uslugu.

Pri tom moramo znati da postoji više tipova kolačića, od sesijskih ili privremenih do trajnih koji čuče i prate nas u našem računalu godinama.

Također, vrlo pojednostavljeno, postoje tzv. first-party kolačići koje instaliraju serveri u domeni posjećene web stranice, i toliko ozoglašeni third-party kolačići koji se instaliraju s domena različitih od domene web stranice koju ste posjetili.

Najčešći slučajevi third-party kolačića su kolačići društvenih mreža i oglašivača.

Ono što je puno važnije znati, postoje:

- NEOPHODNI kolačići, nužni za samu funkcionalnost web stranice i njenih temeljnih funkcionalnosti

- STATISTIČKI kolačići, koji prikupljaju informacije o tome kako se posjećuje web stranica, uobičajeno u agregiranoj formi bez identifikacije posjetitelja

- FUNKCIONALNI kolačići, koji daju posjetitelju proširenu funkcionalnost web stranice i osobno iskustvo pri posjećivaju stranice

- MARKETINŠKI kolačići, primarno u kontekstu već spomenutog praćenja našeg ponašanja i pružanja nam oglasa, najčešće instalirani kao third-party kolačići

- FLASH kolačići, također najčešće u svrhe praćenja našeg ponašanja na internetu i znatnije skriveni u našem računalu

- i tako dalje...

Od čega se sastoji regulatorni okvir kolačića?

1. ePrivacy Direktiva

Iako je donesena 2002. godine, tek izmjenama i dopunama 2009. godine unijela je konkretnija pravila instalacije kolačića, prvenstveno u javnim elektroničkim komunikacijskim mrežama.

Tom je Direktivom određeno da se instaliranje kolačića i čitanje već pohranjenih informacija o pojedincu smije raditi samo uz njegov pristanak, uz prethodnu jasnu informaciju o tome, osim ukoliko se radi o kolačićima tehnički neophodnima za odvijanje komunikacije.

To je rezultiralo još uvijek danas opće prisutnim pop-up prozorima ili bannera s informacijom da se ovdje koriste kolačići.

A koji su to NEOPHODNI kolačići za koje nije potrebna privola posjetitelja web stranice prije njihove instalacije? Možete njihovu specifikaciju naći u dokumentu na stranicama Europske komisije:

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf

Za sve ostale kolačiće morala bi se tražiti privola posjetitelja web stranice, i tek kad je posjetitelj da, takvi ostali kolačići bi se smjeli instalirati. No, znamo iz prakse da tome nije tako.

Naime, ePrivacy Direktiva je "samo" direktiva EU, i da bi se primjenjivala u praksi mora biti transponirana u nacionalno zakonodavstvo svake zemlje članice, čime se u svakoj zemlji transponira u nijansama ili znatnijim razlikama drugačije, posebice iz razloga što je regulatornim tijelima svake zemlje članice dana određena sloboda tumačiti pravila kolačića.

U RH je ePrivacy Direktiva uvedena u pravni sustav kroz Zakon o elektroničkim komunikacijama:

https://mmpi.gov.hr/UserDocsImages/arhiva/ZEK2008-2017-procisceni.pdf

koji u svom članku 100. stavku 4. na svoj način kaže - za neophodne kolačiće ne treba privola, za sve ostale mora biti dobivena privola pojedinca prije nego se instaliraju, uz prethodnu jasnu informaciju o tome.

Ključ svega je u informiranosti posjetitelja web stranica, posebice u informacijama koje moramo dati, o tome zašto se koriste kolačići, u koju svrhu, koji tipovi kolačića, koje treće strane su involvirane i kako se privola može bezbolno i jednostavno povući.

2. GDPR

Moramo znati da GDPR nije "jači" od ePrivacy Direktive kad su u pitanju kolačići. ePrivacy Direktiva je u odnosu na GDPR lex-specialis i ima svoju snagu kad su u pitanju elektroničke komunikacije i instalacija kolačića.

GDPR pak regulira područje uporabe kolačića kada isti na bilo koji način obrađuju osobne podatke pojedinca povezanog s uređajem kojim posjećuje web stranicu.

Stoga se, pored ePrivacy Direktive, GDPR primarno odnosi na kolačiće za koje je potrebna privola, i utvrđuje jasna pravila kako ta privola mora izgledati, da mora biti posebna, informirana, predmetom jasne aktivnosti osobe, za svaku pojedinu svrhu, i da se na jednako jednostavan način mora moći u svakom trenutku povući bez posljedica za pojedinca.

Pri tom prethodno označen odabir DA za pristanak na instalaciju raznih statističkih, marketinških i drugih tipova ne-neophodnih kolačića ili instaliranje kolačića bez prethodne privole, ili pak onemogućavanje pristupa web stranici bez privole zabranjeni su.