1. Izjavu o privatnosti (privacy policy)
1. EU-regulative
a) GDPR – Opća uredba o zaštiti podataka (EU) 2016/679
Obveza transparentnosti: Web stranica mora “u sažetom, transparentnom, razumljivom i lako dostupnom obliku, koristeći jasan i jednostavan jezik” informirati korisnike o obradi osobnih podataka
Ta obveza se najčešće ispunjava putem Izjave o privatnosti koja detaljno opisuje svrhu obrade, pravni temelj, prava korisnika i sl.
b) Direktiva o privatnosti i elektroničkim komunikacijama (ePrivacy Directive, 2002/58/EC i izmjena 2009/136/EC)
Članak 5(3) jasno nalaže: Samo uz prethodni, informirani pristanak korisnika može se pohraniti kolačić (ili pristupiti već pohranjenima), osim ako je riječ o “strogo nužnim” kolačićima za rad usluge
Dakle, potreban je "cookie banner" (skočni prozor) koji:
- Obavještava o upotrebi kolačića,
- Opiše svrhu i vrstu kolačića,
- Prikuplja jasan i nedvosmislen pristanak (opt-in),
- Omogućuje korisniku odbijanje ili prilagodbu postavki.
c) Saznanja i praksa
Stručni vodiči potvrđuju da je "banner s eksplicitnim pristankom" neophodan: pristanak mora biti „freely given, specific, informed and unambiguous“, često implementiran putem stvarnog korisničkog klika, a ne unaprijed označenih opcija.
Cookie banner obvezu uključuje i informacije o tipu kolačića, svrsi, trajnosti i mogućnosti povlačenja pristanka
2. Stranicu ili poruku o kolačićima (cookie statement)
2. Nacionalni okvir – Republika Hrvatska
a) Zakon o provedbi EU Uredbe o zaštiti podataka (NN 42/18)
Ovaj zakon potvrđuje obvezu implementacije GDPR-a u RH time i potrebu za "Izjavom o privatnosti" na svakoj web stranici koji obrađuje osobne podatke (Narodne Novine, Porezna uprava).
b) Zakon o elektroničkim komunikacijama (NN 73/08 i izmjene)
Članak 43. stavak 4 propisuje: pohrana podataka u korisnikov uređaj (npr. kolačići) dopuštena je samo uz njegov pristanak, koji mora biti jasan i potpun, nakon što je korisnik obaviješten o svrhi obrade(AZOP - Agencija za zaštitu osobnih podataka).
To je ključna pravna osnova za "cookie banner" u RH – jer je izričita zakonska obveza.
c) Praktične primjene
Mnoge hrvatske institucije i web projekti (npr. ministarstva, agencije) imaju zasebnu Izjavu o kolačićima i jasno istaknute politike privatnosti, što je primjenjivo i preporučeno za sve web stranice.
Zaključno: što je obavezno?
Izjava o privatnosti: GDPR zahtijeva informiranje – najčešće putem zasebne stranice.
Izjava o kolačićima: pojašnjava vrstu i svrhu kolačića, često samostalna stranica, preporučena ili nužna u skladu s GDPR-om i Zakonom.
Skočni prozor za kolačiće (cookie pop-up/banner): pravno obvezan način prikupljanja pristanka prije pohrane kolačića (osim tehnički nužnih)
Prema GDPR-u (članak 12. stavak 3.):
Voditelj obrade (vlasnik web stranice) mora odgovoriti na zahtjev ispitanika bez nepotrebnog odgađanja, a najkasnije u roku od 1 mjeseca od zaprimanja zahtjeva.
Ako je zahtjev složen ili ako je podnesen velik broj zahtjeva, rok se može produžiti za dodatna 2 mjeseca (znači ukupno najviše 3 mjeseca).
U tom slučaju, voditelj obrade mora obavijestiti korisnika u roku od 1 mjeseca o produljenju roka i razlozima.
Besplatno: Odgovor na zahtjev je besplatan, osim ako su zahtjevi očito neutemeljeni ili pretjerano učestali (čl. 12(5) GDPR-a).
Ukoliko Vam je potrebna dodatna pomoć, slobodno nas kontaktirajte.
Hvala Vam na ukazanom povjerenju.