U rujnu 2023. godine Agencija za zaštitu osobnih podataka je prvi put u Republici Hrvatskoj objavila upravne novčane kazne koje se odnose na kolačiće. Kako svi mi više puta dnevno kliknemo „prihvati sve“ kada nam se pojavi skočni prozor gdje se traži privola za kolačiće, potaknuta nedavnim kaznama, autorica u ovom članku piše o tome što su to kolačići da se još jednom podsjetimo, koji propisi reguliraju kolačiće u našem zakonodavstvu te se na kraju dotiče upravnih novčanih kazni Agencije za zaštitu osobnih podataka.
Kolačići (cookies) su male datoteke koje Internet preglednik pohranjuje na računalo, mobitel ili neki drugi uređaj kojim je korisnik posjetio neku web stranicu. Preglednik kolačiće pohranjuje po "nalogu" te stranice, za njene potrebe, koje mogu biti različite ovisno o namjeni kolačića, pa kolačići mogu prikupljati podatke koji je jezik korisnik odabrao za prikaz stranice (ako stranica ima više jezika), slijed posjećenih stranica kako bi se korisnik mogao istim slijedom vraćati na stranice unatrag, popis artikala koje je korisnik ubacio u košaricu, do npr. IP adrese, korisničkog imena i lozinke, adrese elektroničke pošte, geolokacije, uređaja koji korisnik koristi, koje sve stranice nekog web mjesta je korisnik posjećivao. 1
Postoje različite vrste kolačića prema trajanju, izvoru i funkciji. Prema trajanju kolačići mogu biti stalni i privremeni (kolačići sesije). Prema izvoru kolačići mogu biti kolačići prve strane i kolačići treće strane. Prema funkciji kolačići mogu biti tehnički/neophodni (kolačići koji su nužni za funkcioniranje stranice), funkcionalni kolačići (kolačići koji omogućuju pružanje poboljšane funkcionalnosti i personalizaciju), statistički (kolačići koji prikupljaju informacije o tome kako korisnici posjećuju web mjesta i stranice) te marketinški kolačići (kolačići koji prikupljaju informacije o navikama i ponašanju korisnika na web mjestu u cilju objave personaliziranih oglasa). 2
Korištenje kolačića je na razini Europske unije regulirano Direktivom 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama), odnosno revidirane Direktivom 2009/136/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. o izmjeni Direktive 2002/22/EZ o univerzalnim uslugama i pravima korisnika s obzirom na elektroničke komunikacijske mreže i usluge (Direktiva o univerzalnim uslugama), Direktive 2002/58/EZ o obradi osobnih podataka i zaštiti privatnosti u sektoru elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) i Uredbe (EZ) br. 2006/2004 o suradnji između nacionalnih tijela odgovornih za provedbu zakona o zaštiti potrošača, kao i Direktivom (EU) 2018/1972 Europskog parlamenta i Vijeća od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija (preinaka) (SL L 321, 17. 12. 2018.) koje su naše zakonodavstvo prenesene kroz Zakon o elektroničkim komunikacijama ("Narodne novine" br. 76/22.) , a konkretna odredba Zakona o elektroničkim komunikacijama koja se odnosi na kolačiće je članak 43. stavak 4. koji glasi:
„(4) Uporaba elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi krajnjeg korisnika ili korisnika dopušteno je samo u slučaju kada je taj krajnji korisnik ili korisnik dao svoju privolu, nakon što je dobio jasnu i potpunu obavijest u skladu s propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka. Time se ne može spriječiti tehnička pohrana podataka ili pristup podacima isključivo u svrhu obavljanja prijenosa komunikacija putem elektroničke komunikacijske mreže, ili, ako je to nužno, radi pružanja usluga informacijskog društva na izričit zahtjev krajnjeg korisnika ili korisnika.“
Prema članku 43. stavak 4. Zakona o elektroničkim komunikacijama instaliranje kolačića i čitanje već pohranjenih informacija o pojedincu na terminalnoj opremi smije se raditi samo uz njegovu privolu te prethodnu jasnu informaciju da će se podaci prikupljati i u koju svrhu, a u skladu sa propisima o zaštiti osobnih podataka. Od privole su izuzeti samo kolačići koji su tehnički neophodni za odvijanje komunikacije između korisnikove terminalne opreme i internet mjesta koje posjećuje ili pružanje usluge na zahtjev korisnika. 3 Kolačići izuzeti od privole su uglavnom kolačići „unos od strane korisnika“, kolačići za autentifikaciju, sigurnosni kolačići, kolačići sesije multimedijskog playera, sesijski kolačići za uravnotežavanje učitavanja te kolačići za dijeljenje korisničkog sadržaja u socijalnim mrežama putem dodataka za društvene mreže. 4
Kao što smo već spomenuli za sve ostale vrste kolačića (koji nisu nužni) potrebna je privola od korisnika. Privola ne smije biti uvjetovana te korisniku jasnim jezikom mora biti objašnjeno koji će se podaci prikupljati i u koju svrhu te korisnik mora sam moći odlučiti hoće li dati privolu. Sukladno Općoj uredbi (GDPR) privola se treba dati za svaku vrstu kolačića posebno, ne može se dati privola za sve vrste kolačića. Ako web stranica ukida neke vrste kolačića a uvodi nove, potrebno je opet zatražiti privolu. Svaka stranica koja obrađuje osobne podatke putem kolačića i za to je dobila privolu, mora omogućiti korisniku da tu privolu isto tako na jednak (jednostavan) način i povuče a opcija za povlačenje privole mora biti jasno označena i na lako dostupnom mjestu. Iako to nije propisano zakonom dobra praksa bi bila periodično opet zatražiti privolu za sve vrste kolačića.
Kazne za kršenje članka 43. stavak 4. Zakona o elektroničkim komunikacijama propisane su člankom 170. stavkom 1. točkom 18. te pravna osoba koja upotrebljava elektroničku komunikacijsku mrežu za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi krajnjeg korisnika ili korisnika bez njegove privole, ili bez jasne i potpune obavijest krajnjem korisniku ili korisniku u skladu s propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka kaznit će se kaznom u iznosu od 13.270,00 do 132.720,00 eura.
Agencija za zaštitu osobnih podataka je ovlaštena za izricanje ovih upravnih kazni. AZOP je izrekao u rujnu 2023. godine dvije upravne novčane kazne za kolačiće 5 voditeljima obrade – trgovačkim društvima, u iznosu od 20.000,00 eura i 30.000,00 eura, zbog tri utvrđene povrede Opće uredbe o zaštiti podataka (GDPR) u oba slučaja. Voditelji obrade su prikupljali su i obrađivali osobne podatke ispitanika odnosno posjetitelja internetske stranice putem kolačića bez pravne osnove, čime je povrijeđen čl. 6. st. 1 GDPR-a, zatim nisu na odgovarajući način dali informacije ispitanicima, odnosno omogućili ispitanicima da dostatno informirano, tj. dobrovoljno daju i/ili povuku privolu, čime je povrijeđen članak 7. GDPR-a te nisu na adekvatan način obavijestili ispitanike o obradi osobnih podataka, odnosno o obradi podataka putem kolačića čime je povrijeđen čl. 13. st. 1. i 2. GDPR-a.
AZOP pri odlučivanju o tome kolika će biti visina upravne novčane kazne pozornost posvećuje odredbama navedenim u članku 83. stavku 2. GDPR-a, kao što je priroda i težina trajanja kršenja Uredbe, ima li kršenje obilježje namjere ili nepažnje te stupanj odgovornosti voditelja obrade.
Zorica Stojanović, mag. iur.
^ 1 https://azop.hr/wp-content/uploads/2022/01/Vodic-za-kolacice.pdf
^ 2 https://azop.hr/wp-content/uploads/2022/01/Vodic-za-kolacice.pdf
^ 3 https://azop.hr/wp-content/uploads/2022/01/Vodic-za-kolacice.pdf
^ 4 https://azop.hr/wp-content/uploads/2022/01/Vodic-za-kolacice.pdf
^ 5 https://azop.hr/upravne-novcane-kazne-zbog-neovlastene-obrade-osobnih-podataka-putem-kolacica/