Matjaž Drev iz pisarne informacijskega pooblaščenca RS razkriva nekaj nasvetov, kako pravilno upravljati s piškotki.
Spletni piškotki omogočajo podjetjem, da do potankosti spoznajo navade in želje potrošnikov ter jih ciljano nagovorijo. A piškotke omejuje želja potrošnikov po zasebnosti in zakonodaja, kar za podjetja pomeni predvsem zmanjšano učinkovitost analize vedenja uporabnikov in trženja z oglasi. Kot pojasnjuje Matjaž Drev, državni nadzornik za varstvo osebnih podatkov, je pravna podlaga za regulacijo piškotkov v Sloveniji Zakon o elektronskih komunikacijah (ZEKom-1). 157. člen ZEKom-1 od upravljavcev spletnih strani zahteva:
Obvestilo o piškotkih in seznam piškotkov.
Privolitev pred nameščanjem piškotkov, bodisi domnevno ali izrecno.
Nadzor nad spoštovanjem teh zahtev izvaja Informacijski pooblaščenec. Matjaž Drev pojasnjuje, da so slovenske oblasti v primerjavi z drugimi državami EU pri zakonodaji bolj zahtevne in dosledno izvajajo nadzor. V izogib težavam s piškotki podjetjem svetuje naslednje:
Če je mogoče, ne uporabljajte piškotkov. Na ta način se izognete vsem zahtevam 157. člena ZEKom-1.
Če jih uporabljate, sta v vsakem primeru nujna obvestilo in seznam uporabljenih piškotkov.
Za uporabo piškotkov je potrebna privolitev uporabnika – razen če uporabljate „nujne piškotke“.
Če uporabljate lastno analitiko ali osnovno Google analitiko, zadošča domnevna privolitev. Enako velja za piškotke valutnih raziskav. Domnevna privolitev pomeni, da se piškotek namesti, vendar jih ima uporabnik možnost odstraniti v primeru, da jih ne želi.
Če uporabljate kakršne koli druge piškotke tretjih strani (napredna analitika, Facebook in Twitter vtičniki, oglasne piškotke), potrebujete izrecno privolitev. Enako velja za oglaševalske piškotke, lastne ali tuje. Z izrecno privolitvijo se piškotek pred potrditvijo (npr. gumb “v redu” ali “strinjam se”) ne sme namestiti. Kot primer dobre prakse je izpostavil spletno stran AKOS.
Ena od novosti, ki jo prinaša nova uredba, je tudi uvedba kodeksa o varstvu osebnih podatkov in možnost certificiranja podjetij. Nekatere institucije, ki bodo izpolnjevale pogoje, bodo lahko izdajale certifikate. Pridobitev certifikata bo pomenila, da podjetje izkazuje višjo raven skladnosti z uredbo. Poudarja pa, da to še ne pomeni, da je podjetje rešeno nadzora inšpekcij, vendar pa je to pozitivno pri presoji, ali je njihovo zavarovanje osebnih podatkov ustrezno.
Uredba prinaša še naslednje novosti:
Podjetja svojih zbirk podatkov ne bodo več rabila prijavljati Informacijskemu pooblaščencu, ta ne bo več vodil registrov zbirk, bodo pa zato strožja pravila za vodenje internih evidenc zbirk podatkov v podjetjih.
V organizacijah, kjer upravljajo z večjimi zbirkami podatkov, bodo morali imenovati pooblaščeno osebo za varstvo osebnih podatkov in to sporočiti Informacijskemu pooblaščencu.
V primeru ugotovitve zlorabe podatkov bo potrebno to prijaviti Informacijskemu pooblaščencu, če bo iz tega izhajalo veliko tveganje za osebne podatke posameznikov, ki so bili tarča zlorabe, pa o tem obvestiti tudi njih.
Pripraviti bo potrebno oceno tveganja pri varstvu osebnih podatkov, mnenje o tem bo na zahtevo podjetja moral dati tudi Informacijski pooblaščenec.
Na spletnih straneh Informacijskega pooblaščenca lahko najdete vrsto SMERNIC z različnih področij, npr.:
Društvo za marketing Slovenije skrbi za umeščanje in razvoj marketinga kot stroke in znanosti v slovenskem ter širšem družbenem in gospodarskem prostoru v Sloveniji.