Dan direktnega marketinga 15: Jelena Burnik - Vroči piškotki Kaj prinašajo spremembe zakonodaje v EU?
1. Vroči piškotki
Kaj prinašajo spremembe zakonodaje v EU?
Jelena Burnik, Msc
Informacijski pooblaščenec RS Dan direktnega marketinga 15, 20. 9. 2012
2. Digitalni marketing in varstvo osebnih
podatkov
• Sodobni mediji - interaktivnost in natančnejše ciljanje.
• Ključno zbiranje podatkov o posameznikih (kontaktni podatki in
podatki o vedenju, preferencah…) – zelo pogosto s piškotki.
• Obdelava, analiza podatkov o posamezniku – segmentacija,
personalizirane vsebine in oglasi
• Uspešni poslovni modeli „spletnih velikanov“
temeljijo na obdelavi čim večje
količine osebnih podatkov!
• Potreba po večji zaščiti uporabnikov
elektronskih storitev – spremembe zakonodaje.
Vir: Office of the Privacy Commissioner of
Canada
3. Piškotki
Trenutna ureditev:
• 103(8). člen ZEKom (Direktiva o zasebnosti in elektronskih komunikacijah 2002/58) –
uporabniku ponuditi možnost, da zavrne piškotek (opt-out)
• uporaba pišktkov praktično neregulirana in neomejena
Spremembe – Direktiva 2009/136:
• predlog ZEKom-1 (v javni obravnavi) – sprejem pričakovan še letos –
nekaj mesecev prehodnega obdobja.
• uporabnik mora privoliti v piškotek (opt-in), na podlagi jasnega
obvestila o obdelavi osebnih podatkov.
Izjeme - piškotki, ki:
• so nujni za prenos sporočila
• so nujni za zagotovitev storitve, ki jo uporabnik izrecno zahteva (za izpolnjevanje
obrazcev, za nakupovalno košarico, nastavitev jezika…)
Analitični piškotki – niso nujni, torej ne izjema
Oglaševalski piškotki (1st in 3rd party) – vedno privolitev!
Vir: http://blog.rocktime.co.uk
4. Izjeme, kjer privolitev ni potrebna
• Mnenje Delovne skupine iz člena 29 glede izjem pri piškotkih
(Opinion 04/2012 on Cookie Consent Exemption)
• Izjema 1 – da je piškotek nujen za prenos sporočila – mora biti
interpretirana ozko (če ni piškotka, se sporočilo ne more prenesti)
• Izjema 2 – piškotek je nujen za (a) izvedbo storitve (določene
funkcionalnosti), ki (b) jo je zahteval uporabnik – morata biti
izpolnjena oba pogoja.
• Piškotki s krajšim rokom trajanja, vezanim na izvedbo neke storitve
ali funkcionalnosti, prej zadovoljijo kriterije.
• 3rd party piškotki – niso nujni za izvedbo storitve – ker prihajajo od 3.
strani in ne od upravljavca, ki ga je uporabnik obiskal.
5. Izjeme, kjer privolitev ni potrebna
Primeri iz mnenja WP29:
• „Multipurpose“ piškotki – izvzeti le, če bi bili izvzeti glede na vsak namen
• „user input“ piškotki – nakupovalna košarica, izpolnjevanje obrazcev, itd. -
izjema 2
• Piškotki za avtentikacijo uporabnika (uporabniški račun, transakcije) –
izjema 2
• „multi-media player“ piškotki (potrebni za predvajanje vsebine)
– izjema 2
• „load balancing“ piškotki – izjema 1
• „customisation“ piškotki (npr. nastavitev jezika,
načina predstavitve rezultatov…) – izjema 2
• piškotki socialnih mrež (like, +) – izjema so lahko le pri tistih
uporabnikih, ki so prijavljeni v storitev, pri „anonimnih“
izjeme ni. Prav tako ni izjeme za sledenje uporabnikom
na podlagi teh piškotkov preko različnih strani
Vir: Office of the Privacy Commissioner
of Canada
6. Analitika
• Čeprav so analitični piškotki pogosto „nujno potrebni“ za
delovanje spletne strani, običajno niso nujno potrebni za izvedbo
storitve, ki jo zahteva uporabnik.
• Lahko izvaja upravljavec sam ali pa uporabi zunanjega partnerja
(3rd party) – zunanji partner lahko podatke uporablja tudi za svoje
namene.
• Ker 1st party analitični piškotki, ki so uporabljeni samo za
generiranje statistik, niso invazivni, WP29 priporoča predvsem jasno
obvestilo in mehanizem za opt-out.
• Velika razlika med 1st in 3rd party analitiko - privolitev
7. Vedenjsko oglaševanje
Sledilni piškotki – privolitev, NI IZJEME
• Privolitev lahko dana tudi preko brskalnika (ZEKom-1) – trenutno še
noben brskalnik ne ustreza pogojem
• IP-naslov je osebni podatek, prav tako uporabnikove aktivnosti na spletu
– izvajalec vedenjskega trženja mora upoštevati določbe ZVOP
(privolitev, obvestilo, zavarovanje zbranih podatkov, pravice
posameznika...)
Največ odgovornosti nosijo oglaševalske mreže (3rd party), ki servirajo
oglase in so upravljavec osebnih podatkov.
Kako pridobiti privolitev?
• Pojavna okna, preko nastavitev,
preko „zbirnih spletnih strani“…
• Vpliv na uporabniško izkušnjo?
• Smernice Informacijskega pooblaščenca VB
8. Vedenjsko oglaševanje
Samo-regulativni kodeks EASA/IAB
• Temelji na spletni strani your online choices, ker se lahko uporabnik
odjavi in na ikoni na oglasu - ponuja opt-out.
• Mnenje WP29 o vedenjskem oglaševanju in kodeksu – opt-out ni
dovolj za skladnost z direktivo.
Razvoj do-not-track standarda
• naj bi omogočal opt-in preko brskalnika
• W3C delovna skupina
• vse kaže, da standard ne bo zadostoval
za skladnost
Nadzor: IP (predlog ZEKom-1)
• Globe: 2.000 do 20.000 eur pravna oseba (ne velika)
• 200 do 10.000 eur odgovorna oseba
9. Pripravljeni na spremembe?
Prvi koraki:
• Preglejte kakšne piškotke uporabljate in ocenite kako invazivni so, ali
padejo pod izjeme
• Odločite se za način pridobivanja privolitve
Obvestilo uporabnikom
• Pojasnite, kakšne piškotke uporabljate, kateri prihajajo od tretjih
• Obvestilo naj bo vidno, jasno…
Orodje za pridobivanje privolitev
• Pojavno okno, obvestilo o spremembah pogojev storitve, pri oblikovanju
nastavitev, med prijavo v račun…
Privolitev za več strani – obvestilo mora biti zelo jasno – katere strani obsega!
Smernice Informacijskega pooblaščenca, ko bo zakon sprejet.
10. Privolitev in izjava o varstvu OP
Kodeks obnašanja pri zbiranju
osebnih podatkov
PRIVOLITEV http://www.ip-
rs.si/fileadmin/user_upload/Pdf/s
• Obvestilo, kdo bo obdeloval podatke in za kakšen mernice/Smernice__kodeks_obn
asanja_pri_zbiranju_OP-slo.pdf
namen – jasno, transparentno, na vidnem mestu.
• Predhodno nepotrjena polja.
• Privolitev za posredovanje podatkov.
IZJAVA O VARSTVU OP (privacy policy)
• Vsebina – prilagojena bralcu ,ažurna, kratka, jasna,
pojasnite morebitno posredovanje podatkov.
• Oblika – jasno, vidno in dostopno mesto, večplasten
način, kazala.
• Uporaba vzorcev – prilagoditi jih je treba dejanski
situaciji.
•Namen zbiranja podatkov – uporaba baz podatkov za druge namene
•Pogodbena obdelava in posredovanje baz podatkov
Smernice za oblikovanje izjave o
•Rok hrambe podatkov varstvu osebnih podatkov na
•Sorazmernost pri zbiranju podatkov spletnih straneh
http://www.ip-
•Trženje otrokom rs.si/fileadmin/user_upload/Pdf/smer
nice/Smernice-za-oblikovanje-
izjave-o-varstvu-osebnih-podatkov-
na-spletnih-straneh.pdf.
11. Uredba o varstvu osebnih podatkov
Objavljena 25. 1. 2012 – pričakuje se sprejem v cca. 2 letih – spremembe
NOVOSTI:
• pristojnosti EU nadzornih organov – tudi za družbe izven EU, ki
ciljajo/obdelujejo podatke posameznikov iz EU
• pravica biti pozabljen – ključno na spletu
• profiliranje – ne na podlagi privolitve, ne samo na pogladi občutljivih OP
• obveščanje nadzornega organa o incidentih v zvezi z OP
• ocena vpliva na varstvo osebnih podatkov
• oseba odgovorna za področje varstva osebnih podatkov
• iznos podatkov v tretje države (strežniki, aplikacije, gostovanje…) -
poenostavljeno
• GLOBE!