Hvalevreden poskus za zaščito uporabnikov ima po nekaj dneh uporabe očitne slabosti. Zahteva namreč, da uporabnik pred prvim obiskom katerekoli spletne strani potrdi, da se strinja z uporabo piškotov (npr. stran Finance.si):
Podatki zadnjih nekaj dni govorijo, da je obisk spletnih strani, ki so uvedli tako omejitev, upadel čez noč! Tule sta dva grafa različnih spletnih strani za zadnji teden, eden je dnevni, drugi tedenski.
Pri obeh je povsem jasno, da je merjeni promet drastično padel. Če spletna stran živi od oglaševanja, je njihov prihodek neposredno povezan s prometom. Kar je nerešljiv eksistenčni problem. In nekateri podjetniki že poročajo o katastrofalnem stanju.
Razlog za upad je seveda v tem, da uporabniki ne vedo kaj so piškotki. Povsem podoben primer bi bil, če bi pred vhodom v vsako trgovino stal varnostnik s formularjem, na katerem bi se morali najprej strinjati, da z vstopom v trgovino sprejemate tveganja, možnost, da vas posnamejo in podobno. Šele, ko bi formular podpisali, bi vas spustili noter. Verjetno bi obisk prav tako padel čez noč. Tako pa nas danes trgovine obveščajo z nemotečimi a vidnimi napisi o tem, da kaj počnemo na lastno odgovornost, ali pa da je objekt opremljen s kamerami. In se s tem vsi strinjamo.
Žal smo se v Sloveniji na spletu odločili za nekaj drugega. 157. člen Zakona o elektronskih komunikacijah pravi:
(1) Shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov.
Ker je piškotek podatek, ki se shrani v opremi uporabnika, Informacijska pooblaščenka interpretira ta člen tako, da se moramo strinjati za vsako spletno mesto posebej, ko ga prvič obiščemo.
3.odstavek istega člena govori:
(3) Če je tehnično izvedljivo in učinkovito ter v skladu z zakonom, ki ureja varstvo osebnih podatkov, se šteje, da uporabnik lahko izrazi svojo privolitev iz prvega odstavka tega člena tudi z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah. Privolitev uporabnika ali naročnika pomeni osebno privolitev v skladu z zakonom, ki ureja varstvo osebnih podatkov.
Tu je zakonodajalec predvidel dokaj fleksibilno možnost, da bi se lahko izognili eksplicitnemu potrjevanju, a se je žal Informacijska pooblaščenka v svojih smernicah postavila na zelo konzeravtivno stališče, da je ekspliciten pristanek potreben.
Vendar pa je hudič v podrobnostih. V javnosti se je začel pojavljati gnev, da je taka ureditev prišla iz Bruslja. Mediji (npr. članek Ku-Ku-Kukiji), so poovzemali pooblaščenko, da je taka implementacija zahtevana s strani evropske direktive 2002/58/ES, in kasneje novelirana z 2009/163/ES:
Stari člen 5.3 te direktive je namreč nalagal:
Države članice zagotovijo, da je uporaba elektronskih komunikacijskih omrežij z namenom shranjevanja podatkov ali pridobitve dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljena samo pod pogojem, da sta naročnik ali uporabnik jasno in izčrpno obveščena v skladu z Direktivo 95/46/ES, med drugim o namenih obdelave in da mu kontrolor podatkov zagotovi pravico do zavrnitve take obdelave.
Novelirani člen iz leta 2009 5.3, pa pravi:
Države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo 95/46/ES, med drugim o namenih obdelave. To ne prepreči nobenega tehničnega shranjevanja ali dostopa izključno za namen opravljanja prenosa sporočila prek elektronskega komunikacijskega omrežja, ali, če je nujno potrebno, da ponudnik zagotovi storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.
Glede na to, da sem za mnenje o tem prosil uradnike Evropske komisije, je bila njihova interpretacija nedvoumna. Direktiva ne opredeljuje kakšna privolitev je zahtevana. Eksplicitna ali implicitna.
Z drugimi besedami. EU od nas zahteva, da omogočimo, da so uporabniki obveščeni, da s svojo uporabo spletne strani pristanejo na uporabo piškotov. Nikakor pa ne zahteva, da moramo na to pristati vsakič, ko smo na novem spletnem mestu v to pristati eksplicitno. Če se vrnemo na analogijo s trgovino. Ta direktiva zahteva točno to, kar vsak dan doživimo, ko gremo v lokal. Jasne napise o tveganjih (npr. snemanje z varnostno kamero), in hkrati možnost, da gremo stran, če nam to ne ustreza.
Ker imam to možnost sem zadnje dva dni preživel z visokimi uradniki evropske komisije, ki so pisali in izpogajali direktivo. Zelo nedvoumno so potrdili, da EU zahteva, da so uporabniki obveščeni in da imajo možnost zavrnitve. Točno tako, kot to piše v direktivi. Nikjer niso zahtevali in niso imeli namena zahtevati ureditev, ki bi omejevala e-ekonomijo ali oteževala uporabo spleta. Seveda pa velja, da si lahko vsaka država zakomplicira življenje po svoje.
Primeri drugih držav to tudi potrjujejo. Irska zahteva od ponudnikov, da so uporabniki obveščeni in predvideva, da z uporabo strani pristanejo na tveganja, in da imajo možnost zbrisati ali blokirati piškotke, če tako želijo. Večina drugih držav je to uredila tako.
Dodaten zaplet za nas je, da slovenski zakon velja le za spletne strani, ki so na strežnikih v Sloveniji ali katerih lastniki so slovenska podjetja. Z drugimi besedami, podjetje iz Celovca s spletno pesmarico v slovenščini, temu zakonu ne podlega. Splet pa nam omogoča, da danes na svojih računalnikih brskamo po spletnih straneh brez geografskih omejitev. Kar je samo še dodaten argument za nespametno odločitev odgovornih v tem primeru. Gospodarska dejavnost se bo svobodno prelila čez mejo, če česa ne ukrenemo.
Mislim sicer, da zadeva ni tako črna in da bi se jo dalo tudi kratkoročno rešiti. A škarje in platno ima Informacijska pooblaščenka. Menim, da ima dovolj fleksibilnosti in da bi v zakonu lahko našla tudi interpretacijo, ki bi zadovoljila zahtevam zakona, ščitila uporabnike in preprečila zlorabe.
Posledice, če pustimo zadeve kot so bodo namreč naslednje:
- če bomo vstrajali na uveljavitvi interpretacije kot sedaj, bodo ponudniki našli bolj inovativne načine za sledenje uporabnikom, ki so pa še težji za regulirati (npr. ti. browser footprint)
- mali ponudniki bodo kaj hitro prestavili svoje poslovanje v tujino, saj v tem primeru poslujejo v drugi državi in se jih zakon ne dotika
- najhuje za informacijsko družbo pa je, da bodo uporabniki (ali so že) dobili še dodaten strah pred morebitinimi nevarnostmi spleta in podobno.
Zato bi bilo zelo koristno, da bi se takoj lotili dela in naslovili trenutno stanje. Kratkoročno z interpretacijo Informacijske pooblaščenke, dolgoročno (če drugače ne gre), pa z amandmajem zakona.
Sicer dobronamerna interpretacija zakona se je sprevrgla v hud udarec naporom, ki jih vlagamo vsi v izboljševanje digitalne družbe in podjetništva. Namesto, da bi poiskali rešitev, ki bi preprečevala zlorabe, smo se odločili, da bomo težo prevalili na uporabnika, namesto proti tistim, ki zlorabljajo tehnologijo.
Namen zaščite uporabnikov je dober, a ne na način, ko se uporabnost storitev dramatično zmanjša in od uporabnikov zahteva odločitve, ki jih ne razumejo.
Seveda ne zmanjšujem pomena zasebnosti na spletu, a realnost je taka, da smo v primerjavi z Evropo zelo restriktivno posegli v vsakodnevno uporabnost spleta, brez temeljitega premisleka. Pa še to, ni problem le v zakonu, ampak v intepretaciji. Lepo bi bilo, če bi birokrati pokazali malo inovativnosti in ne zavzeli najlažjega in najbolj konzervativnega stališča.
