nove zahteve zakonodaje glede piškotkov

133 naročnikov

Tukaj si lahko preberete nove smernice o uporabi piškotkov.

Meni je najbolj zanimiv del o third parties cookies, saj nas večina uporalbja GA in na podlagi le-te potem ustvarjamo finančni model.

Problem predvsem vidim v tem, ker ljudje v večini ne vedo kaj sploh so piškotki. Ko bo laik prebral, da ga lahko s tem sledijo ipd... bodo po vrsti klikali Ne dovolim in posledično bo GA pričel prikazovati nerealne rezultate...

Kako se boste lotili tega, mnenja?

Večkrat kot me nekdo vpraša več razmišljam in manj sem siguren :) Ampak če vzameš consent by action to pomeni da posnetka ne moreš predvajati brez cookijev ergo obiskovalec se strinja da mu google naserje cookije.
Ne bi pa nekaj ful razmišljal ker če uporabiš nocookie.com ti zagotovo ne bo namestilo piškotkov, predvidevam da ta skripta vzame samo hash (ID posnetka) in potem generira svojo kodo in kliče youtube.com domeno.

Moje mnenje je, da lahko ponudiš piškotke na klik, moraš pa zapisat v pogoje uporabe, da se v tem primeru naložijo piškotki. Gre za isto kot vtičniki socialnih omrežij, kjer je že bilo neko podobno mnenje povedano s strani IP.
Upam da imam prav. :)

SlimDeluxe:
Kot že večkrat povedano, s samim obiskom se ne sme noben piškotek ustvariti :) Niti sejni.
Ko pa uporabnik nekaj izrecno zahteva, npr. prijava v sistem, dodajanje izdelka v košarico, UPORABA INTERAKTIVNA MAPE, takrat lahko nastaviš cookie brez privolitve.
Ključne besede: opt-in, consent by action

Meni ASp sam naredi sejo na vsaki strani in da sejni piškotek, se lahko vsi na glavo postavijo, ker tega ne morem preprečiti torej ne nujen za delovanje strani.

Pozdravljeni, mogoče mi lahko kdo samo pove, kateri piškotki pa so sploh tisti, ki jih je potrebno blokirati. Ali obstaja kakšn program ali pa stran, s katero bi preveril, če ustreza piškotek EU standardu ali je potrebno to ročno presodt? Ker po pravici povedan, se mi sploh ne sanja kater piškotek bi lahko naredil grožnjo ( tem poglavju se nisem veliko posvetil )

Hvala vsem za odgovor

Vini:
Jure2610, od kod ti ta ideja?

Takole piše IP - citati so iz pogostih vprašanj in odgovorov. vir:https://www.ip-rs.si/varstvo-osebnih-podatkov/informacijske-tehnologije-in-osebni-podatki/piskotki-odgovori-na-pogosta-vprasanja

Pri domnevni privolitvi pa uporabnik možnosti, da zavrne piškotke, običajno nima. Tak mehanizem je primeren le pri neinvazivnih piškotkih. Povezava na mesto, kjer je podrobneje pojasnjena uporaba piškotkov, naj bi prav tako bila vključena v začetno obvestilo.

Glede merjenja obiskanosti spletne strani, ki se izvaja z lastnimi piškotki (»1st party analitika«), Pooblaščenec v smernicah pojasnjuje, da se taka raba sicer ne more kvalificirati kot izjema, a ker je taka raba piškotkov relativno neinvazivna, zadošča mehanizem domnevne privolitve: v primeru analitike, ki jo izvaja spletno mesto za lastne potrebe in kjer se osebni podatki ne obdelujejo s strani tretjih, za njihove lastne namene, Pooblaščenec meni, da je mehanizem pridobivanja privolitve lahko domnevna privolitev, s tem, da mora biti spletna stran pozorna tudi na dodatna varovala – uporabnikom mora biti na voljo možnost naknadne zavrnitve, torej možnosti izbire, da uporabnik lahko označi, da ne želi tovrstnih piškotkov, ki jo mora spletno mesto upoštevati, priporočljivo je, da je mogoča anonimizacija IP- naslovov, idr.

Pooblaščenec razume, da je pri analitičnih piškotkih izredno pomemben že prvi obisk spletne strani, ob katerem piškotki pred privolitvijo posameznika ne bi smeli biti naloženi, s tem pa bi bile izgubljene pomembne informacije o obisku spletne strani. Pooblaščenec meni, da je glede na pomen analitike in glede na napore, ki se na evropskem področju usmerjajo v to, da bi za lastno analitiko obstajala zakonska izjema, dopustno lastne analitične piškotke uporabiti, še preden uporabnik izrazi svoje soglasje, torej ob prvem obisku spletne strani. Hkrati pa mu je treba omogočiti, da naknadno spremeni svojo izbiro in to izbiro je nato seveda treba upoštevati (tudi če je za to treba uporabniku namestiti piškotek, ki si bo zapomnil njegovo izbiro) ter implementirati dodatne varovalke (kot je anonimizacija IP-naslovov, kratek rok trajanja), kjer je to mogoče. Ta interpretacija velja le za lastne piškotke za namen analitike, oz. za analitiko, ki jo izvaja pogodbeni partner, vendar podatkov ne obdeluje za svoje namene. Taki piškotki ne smejo biti povezani z drugimi identifikacijskimi podatki o uporabniku in se jih ne sme uporabiti za sledenje uporabnikom preko različnih spletnih strani.

Kakšno je mnenje Pooblaščenca glede uporabe Google Analytics piškotkov?

Specifično glede piškotkov Google Analytics menimo, da gre v osnovi za sledilne piškotke, za katere je potrebna izrecna privolitev uporabnika.
Hkrati pa v smernicah pojasnjujemo, da kadar spletno mesto s svojimi lastnimi piškotki analizira dogajanje za svoj namen, taki analitični piškotki ne pomenijo nesorazmernega posega v zasebnost uporabnikov. V takem primeru je mehanizem domnevne privolitve lahko ustrezen. Spletna stran lahko uporablja tudi storitev pogodbenega partnerja, vendar ta zbranih podatkov ne sme uporabljati za svoje namene. V primeru, da Google Analytics omogoča tak način delovanja, da torej podatkov ne uporablja za svoje namene, npr. za izboljševanje svojega produkta ipd., potem lahko tako uporabo ocenimo kot relativno nizko-invazivno v smislu zasebnosti in je mehanizem domnevne privolitve lahko ustrezen.

Glede na to, si jaz razlagam, da je domnevna privolitev pri GA Universal Analytics dovoljena. Če sem vse prav razumel, se morebitni lastni analitični piškotek lahko naloži, če uporabnik nadaljuje z brskanjem - scrola po strani, gre na drugo stran ... Si pa IP prizadeva, da bi se lahko tovrstni piškoti naložili že takoj ob obisku strani, se pravi, da bi obstajal v takih primerih zakonska izjema. Pomembo pa je še to, da moraš imeti na strani možnost, da si stranka lahko nastavitev analitičnih piškotkov izklopi.

Tako nekako sem si priporočila IP razlagal tudi jaz.
Novi način implementacije (Universal Analytics) to omogoča. Če nastaviš, da ne nastavlja kukije in če za unique id dejansko daš nek hash, se mi zdi to dovolj anonimno.

V novo kodo GA Universal Analytics daš na koncu spodnji boldan ukaz in tako poskrbiš za anonimizacijo IP- naslovov. Kar je tudi zapisano pri IP-u, da mora biti upoštevano.

ga('create', 'UA-XXXXXXX-X', 'xxxxxx.si');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

</script>

jaz sem naredil točno tako na strani piskotki.net in menim da je v skladu z zakonodajo, saj preprečuje tako identifikacijo obiskovalca, kot tudi njegovo točno lokacijo (ker je del IP naslova anonimiziran. Hkrati sem dal tako ustno kot pisno prošnjo informacijskemu uradu za preverjanje skladnosti. Upam da bo odgovor v naslednjem tednu, da lahko poročam, če je to OK ali ne.

Poročaj, če si zadevo razlagava pravilno :)

Mene tudi zanima če je to pravilna interpretacija. Jaz sem si stvar tako razlagal...

V konkretnem primeru: Če ob prvem obisku shranim podatke o viru prometa (recimo "oglas_1") v cookie in jih uporabim samo za lastne potrebe je torej zaenkrat po MNENJU IP dovolj domnevna privolitev?

Sem pa dolžan omogočit nekje opt-out?

Je kje določena kakšna oblika v kateri bi moral biti opt-out? Če to opravim v footerju ali celo v Cookie Policy page-u, ki je linkan v footerju?