“Puno vlasnika web stranica ni ne zna koje sve kolačiće postavljaju”

Jeste li primijetili da skočni prozori koji vas pri posjetu nekoj web stranici traže da pristanete na postavljanje kolačića u posljednje vrijeme počinju izgledati drugačije?

Od tehnoloških giganata poput Twittera, preko najposjećenijih portala do stranica malih biznisa, mnogi su se u posljednjih par tjedana bavili dovođenjem u red načina na koji postavljaju kolačiće. I još više, kako to komuniciraju posjetiteljima i kako od njih za to traže privolu.

Posljedica je to nedavne odluke belgijskog regulatornog tijela prema kojoj tehnološki okvir za prihvaćanje kolačića koji je razvio IAB – a koji je dotad, prema procjeni, koristilo i do 80% svih web stranica – krši GDPR. Banneri kojima posjetitelje informiraju da ih prikupljaju te s kim sve te podatke skupljene putem kolačića dijele – nisu dovoljno transparentni, informativni i nisu, zapravo, nudili izbor oko (ne)prihvaćanja. Točnije, kako nam je tad rekao stručnjak za zaštitu privatnosti William Bello – ljudi često klikaju na Prihvaćam nesvjesni što su uopće prihvatili.

Kolačići: od nužnih do skrivenih…

Međutim, i vlasnici web stranica često postavljaju kolačiće nesvjesni što uopće prikupljaju i zašto te s kim te informacije dijele, dodaje konzultant za zaštitu privatnosti Duje Kozomara. Hrvatskim tvrtkama u usklađivanju s propisima Duje je odlučio pomoći kroz Regulu, alat koji bi im kroz sučelje i podršku na hrvatskom jeziku pomogao da cijeli proces bolje razumiju.

Za početak, objašnjava što su kolačići:

Kolačići su malene tekstualne datoteke koje web stranice ili aplikacije spremaju na naš uređaj kako bi nas identificirale i razlikovale od ostalih korisnika. To je korisno kad ih, primjerice, web shopovi koriste kako bi zapamtili proizvod koji smo spremili u košaricu dok nastavljamo pregledavanje stranice ili ako se na neku web stranicu ne želimo iznova prijavljivati svaki put kad je otvorimo.

Takve kolačiće, potrebne za funkcioniranje osnovnih značajki, obično kategoriziramo kao “nužne” i za njih nam prema važećem zakonodavstvu ne treba privola korisnika.

S druge strane, dodaje, kolačići se danas koriste i za niz drugih svrha, a kojima se prikuplja golema količina osobnih podataka koji se onda dijele sa stotinama trećih strana – bez da prosječan građanin ima pojma da se to događa u pozadini dok bezbrižno surfa internetom. Najčešći primjeri kolačića trećih strana su oni za praćenje posjećenosti i korisničkog ponašanja, Facebookov Pixel za prikazivanje oglasa samo posjetiteljima neke web stranice ili YouTubeov kolačić kada se embedda video:

Dio problema leži i u činjenici da velik broj vlasnika web stranica uopće nije ni svjestan da one sadržavaju sve te kolačiće – recimo, brojne agencije danas analitiku implementiraju bez pitanja, kao dio standardne procedure izrade weba. Također, hrpa “besplatnih” alata i plugina koji bi trebali pomoći u izradi weba ili omogućavanju neke dodatne značajke uglavnom postavljaju vlastite kolačiće i prikupljaju podatke u netransparentne svrhe – bez da jasno informiraju ikoga o tome.

Korisnici prihvaćaju, ali ne shvaćaju

Duje napominje da su kolačići zapravo zakonski uređeni dugo prije GDPR-a – ePrivacy direktivom, koja je u naše zakonodavstvo implementirana izmjenama Zakona o elektroničkim komunikacijama. A taj zakon jasno navodi kako je spremanje kolačića i korištenje srodne tehnologije kojima se na uređaj korisnika spremaju podaci ili se pristupa pohranjenim podacima – dopušteno samo u slučaju kada je korisnik dao privolu, nakon što je dobio jasnu i potpunu obavijest, a u skladu s posebnim propisima o zaštiti osobnih podataka, osobito o svrhama obrade podataka.

Upravo je ta “jasna i potpuna obavijest” koja prethodi privoli – kamen spoticanja. Jer kratka obavijest, na kojoj piše “Nastavkom pregledavanja stranice pristajete na kolačiće” ili “Ova stranica koristi kolačiće”, uz “Prihvaćam” kao jedini mogući odabir, ne može se navesti kao jasna i potpuna. A u slučajevima kad se kolačići mogu odbiti – u to treba uložiti vremena, truda i, na kraju, znati što odabrati i gdje.

Propisi su nedvosmisleni, kaže Duje:

Osnovna poanta je da korisnik ima stvarnu mogućnost odabira prihvaća li ili odbija postavljanje kolačića i srodnih tehnologija na svoj uređaj, bez dark patterna koji ga naginju u određenom smjeru. Kolačići ne smiju biti postavljeni prije davanja privole, a uz to treba pružiti kratke i jasne informacije o njihovoj upotrebi.

“Dobar dio hrvatskih tvrtki privolu za kolačiće ne traži na zakonit način”

O tome da Obavijesti o kolačićima na mnogim web stranicama služe “za ukras” priča se već godinama, a lavinu akcije pokrenula je prošle godine svojom kampanjom udruga noyb poznatog aktivista za zaštitu privatnosti, Maxa Schremsa. Kako bi stali na kraj zavaravajućem dizajnu i obmanjujućim praksama kod cookie bannera poslali su upozorenje i nacrt pritužbe vlasnicima 500-tinjak web stranica, a 42% svih utvrđenih kršenja ispravljeno je unutar 30 dana. Najčešći propusti koje su tvrtke ispravile, navodi Duje, su:

• 42% je dodalo opciju “odbij kolačiće”;
• 68% je uklonilo unaprijed označene okvire za privolu;
• 46% je ispravilo problem s različitim bojama za gumbe “prihvati” i “odbij”;
• 22% je odustalo od tvrdnje da imaju “legitimni interes” praćenja posjetitelja bez privole.

Kao konzultant za zaštitu podataka, kaže, shvatio je da i dobar dio hrvatskih tvrtki još uvijek privolu za kolačiće ne traži na zakonit način – s tim da dio njih koristi servise koji to zapravo niti ne omogućuju. Otud ideja za platformu za upravljanje kolačićima s korisničkim sučeljem na hrvatskom jeziku:

Regula je alat koji proceduru prikupljanja kolačića i privola za njih čini pristupačnijom našim poduzetnicima.

Do sada su postojali alati koji omogućuju cookie banner na hrvatskom, ali Regula je prva s čitavim sučeljem na našem jeziku. Osim toga, jedini pružamo i korisničku podršku na hrvatskom – posebno nam je važno da u tom dijelu budemo jasni i pristupačni, za razliku od automatiziranih poruka i odgovora na lošem engleskom od strane outsourceanih radnika kod drugih servisa.

Vraćamo se na izgradnju povjerenja

Iako se regulatori ne ustručavaju pisati visoke novčane kazne, Duje ponavlja kako motivacija za brigu oko zaštite osobnih podataka ne bi trebao biti strah od kazni, već izgradnja odnosa povjerenja s vlastitim korisnicima:

Naime, web stranica je zapravo prvi dodir najvećeg broja ljudi s tvrtkom – i zato je upravo cookie banner ujedno i najočitiji primjer kako se tvrtka općenito ponaša s osobnim podacima.

Zbog toga pravilno korištenje platforme za privolu za kolačiće podrazumijeva izgradnju odnosa povjerenja – s njom korisnicima govorite: “mi želimo postaviti navedene kolačiće koji obrađuju osobne podatke na vaš uređaj, te podatke željeli bismo koristiti u navedene svrhe i dijeliti ih s ovim trećim stranama. Je li to vama u redu?”

Brojni su dokazi da će korisnici tako transparentan pristup znati cijeniti.