Novosti glede piškotkov – predlog ZEKom-2

Piškotki so majhne besedilne datoteke, ki se shranijo na uporabnikovo napravo. Poznamo jih več vrst, običajno se delijo med nujne in nenujne piškotke (npr. statistični, analitični, marketing). Da bi upravljavec osebnih podatkov namestil nenujne piškotke na uporabnikovo napravo, mora pridobiti veljavno privolitev.

V Republiki Sloveniji so spletni piškotki urejeni z Zakonom o elektronskih komunikacijah (ZEKom) na podlagi implementirane EU Direktive o zasebnosti in elektronskih komunikacijah (2002/58/ES), ki je v praksi bolj znana kot ePrivacy direktiva.

Avgusta 2021 je Vlada RS objavila osnutek predloga novega Zakona o elektronskih komunikacijah (ZEKom-2), ki bo nadomestil trenutno veljavni ZEKom-1 in v slovenski pravni red prenesel Direktivo (EU) 2018/1972 Evropskega parlamenta in Sveta z dne 11. decembra 2018 o Evropskem zakoniku o elektronskih komunikacijah, ki je nadomestila štiri direktive dosedanjega regulativnega okvira za področje elektronskih komunikacij (t.i. Direktivo o dostopu, Direktivo o odobritvi, Okvirno direktivo in Direktivo o univerzalni storitvi).

Ključna sprememba v okviru določb, ki urejajo piškotke je, da se predlog ZEKom-2 sklicuje na predpise, ki urejajo varstvo osebnih podatkov in ne več le na zakon, ki ureja varstvo osebnih podatkov (ZVOP-1). Na podlagi načela primarnosti in neposredne uporabnosti je s predpisi mišljena tudi Splošna uredba o varstvu podatkov (GDPR, Uredba (EU) 2016/679). V zvezi z GDPR pa je bilo izdano ogromno smernic in mnenj delovne skupine za varstvo podatkov ter tudi Informacijskega pooblaščenca, zlasti na področju privolitve posameznika.

Pri pridobivanju soglasja posameznika je ključno, da zajema vse elemente veljavne privolitve: dokazljivost, prostovoljnost, specifičnost, informiranost in nedvoumnost. V praksi največkrat opažamo odstopanja od načela specifičnosti privolitve, saj imajo obrazci za piškotke na spletni strani upravljavca običajno vnaprej obljukano privolitev (opt-out) za obdelavo neobveznih piškotkov, kar odstopa od elementa specifičnosti privolitve.

Za upravljavce osebnih podatkov je smotrno, da uredijo svoje spletne strani na način, da se obdelava neobveznih piškotkov ne izvaja, dokler uporabnik ne poda veljavne privolitve skladno z zgoraj naštetimi elementi. Namreč s sprejetjem novega predloga Zakona o varstvu podatkov (ZVOP-2) in ZEKom-2 bo imel nadzorni organ vso podlago za izdajo upravnih glob.

Pri IEPRI smo svetovali že ogromno upravljavcem in zagotovili njihovo skladnost s predpisi, ki urejajo varstvo osebnih podatkov. Za povpraševanje nam pišite preko kontaktnega obrazca in si tudi vi zagotovite skladnost z določbami GDPR in ZEKom.