Zekom-2 in nova ureditev piškotkov

225. člen Zekom-2 (Uradni list 130/22 – ZEKom-2) prinaša nekoliko podrobnejšo ureditev piškotkov ki pa se ne razlikuje bistveno od prejšnjega 157. člena Zekom-1.

Pri piškotkih gre za shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika in so namenjeni boljši uporabniški izkušnji s shranjevanjem podatkov med različnimi sejami uporabnika v posamezni aplikaciji, spletni trgovini, tržnici itd. Pri tem gre lahko za standardne piškotke poznane iz spletnih brskalnikov ali pa druge zapise, ki na terminalski opremi uporabnika povezujejo več sej uporabnika v posamezni aplikaciji.

Za piškotke velja, da se delijo na nujne/tehnične ki so nujno potrebni za delovanje spletne strani in za katere ni potrebno eksplicitno soglasje uporabnika (ob pogoju, da so potrebni izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahteval) ter ostale za katere je potrebno eksplicitno dovoljenje uporabnika (da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu s predpisi, ki urejajo varstvo osebnih podatkov).

Razlika je v tem, da pri nujnih piškotkih uporabnik privoli ali zahteva izvedbo prenosa sporočila ali storitve informacijske družbe (in se ne ukvarja z vprašanji varstva osebnih podatkov), pri ostalih pa se uporabnik izrecno strinja z obdelavo osebnih podatkov ki je povezana s tem, ob upoštevanju vseh predpisov s področja varstva osebnih podatkov (predvsem GDPR, pa tudi ZVOP-2) kar predvsem pomeni, da mu morajo biti pred obdelavo predočena obvestila po 13. členu GDPR ter da mora biti privoljenje za obdelavo v skladu z 7. členom GDPR.

Pri tem 225. člen ZEkom-2 še določa, da lahko uporabnik izrazi svojo privolitev tudi z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah – če je to tehnično izvedljivo in učinkovito ter v skladu s predpisi, ki urejajo varstvo osebnih podatkov. Kljub temu, da zakon torej teoretično omogoča prednastavitev privoljenj v brskalniku in drugih aplikacijah pa je praktično vprašanje, ali so take prednastavitve dovolj podrobne, da ustrezajo vsem zahtevam 13. in 7. člena GDPR.

Praktično bo še naprej  bolj priporočljivo, kakor doslej, na spletnih straneh objavljati menije z eksplicitnimi informacijami o obdelavi podatkov in možnostjo izbire posameznih obdelav oz. namenov obdelav.