Kolačići: Kome sve šaljete podatke pristankom na privole na web stranicama

Kolačići: Kome sve šaljete podatke pristankom na privole na web stranicama

Podatke šaljete na više od 700 tvrtki u svijetu

Znate li da kada bez čitanja samo prihvatite korištenje i spremanje vaših podataka i kolačiće, oni odlaze na više od 700 kompanija diljem svijeta od kojih su neke smještene u Kini, Indiji i drugim zemljama izvan Europske Unije?

Proučili smo postavke privatnosti na hrvatskim i stranim web stranicama te o pravilnim načinima korištenja razgovarali sa stručnjakinjom za GDPR i privatnost Biljanom Cerin. Zanimalo nas je što se događa kada kliknete i prihvatite onaj tekst o postavkama privatnosti i kolačića na internetskim stranicama kojeg mnogi korisnici prelako preskaču.
Na jednoj stranici izbrojili smo više od 700 kompanija koje prikupljaju vaše podatke. U našoj tablici na kraju članka izdvojili smo dvadeset zanimljivih odredišta na koje putuju vaši brojni podaci koji se u marketinškom vrtlogu plasiraju bespućima interneta. Također smo napravili ogromni popis marketinških agencija i drugih kompanija koje smo pronašli da im se vaši podaci šalju ukoliko pristanete na uvjete.

Sigurnost Kolacici 2

Apester: Jedna od više od 700 agencija kojima uz privolu šaljete svoje podatke. Ova izraelska kompanija bavi se angažmanom posjetitelja, generira leadove i potiče prodaju prema navodima s njihove stranice


Pomalo nam se čine sporne neke od praksi kako se korisnicima u svijetu i Hrvatskoj pristupa s pop-up izbornikom za postavke privatnosti i kolačiće, pa smo izdvojili primjer u kojemu to nije dobro napravljeno (nažalost ima ih previše), kao i primjer uzornog user friendly načina ophođenja prema korisnicima web servisa.

Sigurnost Kolacici Biljana Cerin

Biljana Cerin : Suvlasnica Ostendo Consultinga, stručnjakinja za upravljanje rizicima informacijske sigurnosti i naša sugovornica na ovu temu


O nekim od zanimljivih problema na koje smo naišli proučavajući ovu temu porazgovarali smo sa suosnivačicom tvrtke Ostendo Consulting Biljanom Cerin.
Svjetski ste poznata stručnjakinja za cyber sigurnost, posebno sigurnost internet korisnika i njihove privatnosti. Koliko naše web stranice poštuju direktive EU o čuvanju podataka korisnika na internetu u odnosu na druge članice?
"S početkom primjene GDPR-a, uočili smo veliki raskorak između onoga što tvrtke, državna i javna tijela i druge organizacije objavljuju o svom odnosu prema osobnim podacima te onoga kako se prema njima odnose u stvarnosti. Više desetljeća iskustva u information security managementu naučilo nas  je da je upravo web stranica odličan pokazatelj stvarne brige njenog vlasnika za privatnost i sigurnost korisnika. Ako je već iz nje vidljivo da vlasnik ne primjenjuje ni najosnovnije elemente sigurnosti i zaštite osobnih podataka, sva je šansa da ni u internim procesima nije ništa bolje – štoviše, obično je još gore. U Ostendu smo gotovo godinu dana razvijali i testirali metodologiju za ocjenjivanje zaštite osobnih podataka na web stranicama. Želja nam je bila razviti jednostavnu, objektivnu, jasnu i ponovljivu metodologiju na temelju koje će svaki vlasnik web stranice moći ocijeniti zadovoljava li ona najosnovnije elemente zaštite osobnih podataka, odnosno je li stranica „Privacy Friendly“. Prošle smo godine odabrali preko 1.000 web stranica u Hrvatskoj za koje smo ocijenili da bi mogle imati značajan utjecaj na privatnost posjetitelja. Rezultati testiranja bili su poražavajući. Ni jedan od 17 sektora iz kojih smo testirali web stranice u prosjeku nije imao ni minimalno zadovoljavajuću ocjenu. Posebno je zabrinjavajuće da čak ni tvrtke i institucije koje upravljaju posebno osjetljivim osobnim podacima, poput onih o zdravlju i financijama, u prosjeku ne zadovoljavaju.
Rezultati su objavljeni na beta verziji web stranice www.privacyfriendly.eu, a tamo je objavljena i metodologija. Svatko tko želi sam testirati svoje web stranice, može nam se obratiti putem kontakt forme i priključiti sljedećem webinaru za obuku Privacy Friendly analitičara."

Sigurnost Kolacici 3

Didomi: Francuska kompanija koja velikom broju domaćih portala proizvodi consent management rješenje u kojemu se nalazi i do preko 700 partnerskih agencija

 Kako bi trebala izgledati obavijest o privatnosti a posebno dio koji se odnosi na prosljeđivanje informacija o korisniku trećim stranama?

" Treba razlikovati tri vrste obavijesti o privatnosti. Posjetitelju web stranica mora pružiti jasno razumljive informacije o podacima koje prikuplja i razlozima prikupljanja. Ovakve se informacije u pravilu nalaze u dokumentu, odnosno na stranici pod nazivom „Privacy Policy“. U Hrvatskoj će to obično biti Politika zaštite osobnih podataka ili Politika privatnosti. Točan popis podataka koje je potrebno pružiti ovisi o konkretnoj situaciji, no jasno je definiran GDPR-om. Ovu stranicu posjetitelj će vidjeti samo ukoliko je odabere. Za slanje osobnih podataka posjetitelja trećim stranama, neophodno je unaprijed tražiti privolu i bez nje ono nije dozvoljeno. Ovdje se prvenstveno misli na tzv. kolačiće trećih strana (third party cookies) pomoću kojih velike marketinške kompanije poput Googlea, Facebooka i dr. prikupljaju ogromne količine podataka o korisnicima interneta za potrebe detaljnog profiliranja.  Informacije vezane uz kolačiće treće strane (cookie) moraju se prezentirati prije njihovog postavljanja na uređaj posjetitelja, no to nije potrebno činiti ukoliko je posjetitelj s njima već upoznat. U pravilu, kod prve posjete web stranici potrebno je prikazati kratku i jasnu poruku iz koje je vidljivo da web stranica podatke o korisnicima šalje trećim stranama. Idealno bi bilo navesti kojima i zašto. Posjetitelju se obavezno mora dati mogućnost da na jednostavan način i bez posljedica odbije ovakvu obradu njegovih podataka. Trebalo bi se držati pravila za odbijanje kolačića, to za korisnika ne smije biti ništa kompliciranije od njihova prihvaćanja. Dakle, nije ispravno uz poruku o kolačićima ponuditi opcije „Prihvaćam“ i „Detaljnije“, „Više“ i sl. Ispravno je ponuditi opcije „Prihvaćam“ i „Odbijam“. Možemo se voditi jednostavnim pravilom da broj klikova za davanje privole ne smije biti veći od broja klikova za njeno odbijanje. Ako je korisnik prihvatio korištenje kolačića treće strane, morate mu omogućiti da svoju privolu jednostavno povuče, a korektno bi bilo i nakon nekog vremena (npr. godinu dana) pitati ponovo.
I na kraju, neposredno prije prikupljanja osobnih podataka primjereno je dati kratku obavijest o razlozima prikupljanja i načinima obrade, naravno, ako to iz samog konteksta web stranice nije jasno vidljivo. Npr. prikupljate li prilikom prijave na newsletter i broj telefona, objasnite čemu on služi u dostavi newslettera. Isto tako, planirate li kroz neku formu prikupljene podatke proslijediti trećoj strani, o tome obavijestite korisnika, a ako je treća strana u zemlji za koju ne postoji odluka o adekvatnosti zaštite osobnih podataka, zatražite privolu ili pružite neku drugu prihvatljivu osnovu za transfer u tu zemlju."
 Primijetili smo da neki portali u politike zaštite privatnosti ne nude u pop-up izborniku odbij, nego opcije prihvati i zatvori  i saznaj više. Tek u drugom koraku može se kod nekih automatski sve odbaciti, a kod nekih ručno. Da li je to u skladu s trenutačnim EU propisima?
" Nije. U svojoj preambuli broj 32, GDPR kaže ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.  Dakle, ako je odbijanje davanja privole nepotrebno zakomplicirano (nepotrebno ometa upotrebu usluge), dana privola smatra se nevažećom. Jednako tako nije dozvoljena ni česta praksa prema kojoj vlasnik web stranice obavještava korisnika da smatra kako je daljnjim korištenjem web stranice dao privolu na obradu osobnih podataka. Privola se mora dati jasnom potvrdnom radnjom i ne smije biti uvjetovana."

Sigurnost Kolacici 4

Primjer 1: :Ovako to često izgleda na web stranicama. Do tipke Ne slažem se ni sa čime možete doći tek u drugom koraku nakon što kliknete saznajte više

Sigurnost Kolacici 5

Primjer 2: Kada pregledavate u mobilnim browserima često možete naići na situaciju da trebate ručno za stavke upotrebe podataka uključiti ili isključiti privole

 Portali prosljeđuju uz privolu podatke stotinama partnera širom svijeta, dakle i van EU. Možete li prokomentirati o kakvim se tu tvrtkama radi i kome zapravo šaljemo podatke kada preskočimo čitanje i samo kliknemo prihvati?
"Slanje osobnih podataka u zemlje za koje ne postoji odluka o adekvatnosti zaštite osobnih podataka, kada govorimo o kolačićima trećih strana,  može se raditi samo na osnovu slobodno dane i informirane privole. Ako web stranica posjetitelja prilikom traženja privole ne obavještava o slanju njegovih podataka u treću zemlju, tada to nije ispravno prikupljena privola."

Sigurnost Kolacici 6

Primjer 3: Poznata svjetska news agencija Reuters ima na glavnom izborniku odbij sve, ali i kod njih se treba scrollati do te tipke, dok se pri otvaranju pop-up prozora vidi samo tipka Allow All


  Zašto mnogi domaći portali nemaju oznaku prihvati samo nužne kolačiće?
"Prihodi brojnih portala ovise o „prodaji“ osobnih podataka njihovih posjetitelja trećim stranama. U većini se slučajeva radi o ciljanom oglašavanju. Pročitate li na nekom portalu vijest o novoj liniji obuće, sva je šansa da će posredstvom treće strane taj podatak u obliku mogućnosti ciljanog oglašavanja biti prodan trgovinama obućom. Kupite li nešto kreditnom karticom, šansa je da podaci o vama i vašem računalu završe u nekoj bazi podataka za sprječavanje prijevara. S jedne strane, to vas štiti od zlouporabe vaše kartice. S druge strane, netko negdje u svijetu profilira vas po potrošačkim navikama. Postavlja se i pitanje u kojoj mjeri takve treće strane podatke o vama ustupaju drugim tvrtkama i raznim državnim agencijama. U SAD-u primjerice, EU građani nemaju jednaka prava na zaštitu privatnosti kao i građani SAD-a.
Žalosno je što brojne web stranice koriste kolačiće trećih strana iako od toga ni one ni njihovi posjetitelji nemaju nikakve koristi. Čest primjer je korištenje Google Analytics rješenja za praćenje statistike posjeta web poslužitelju. Radi nekoliko lijepih grafikona koji su dostupni i na druge načine, brojni web administratori podatke svojih posjetitelja šalju u Google."
 Neki portali imaju opciju „slažem se“ i „uvjeti korištenja“, bez mogućnosti da se kolačići ne prihvate. Da li je to u redu?
"Nije. To je uvjetovana privola."
 Da li je ovo prihvatljiva formulacija i što sve spada u legitiman interes:
 Što ako ne dam privolu?
Vaši osobni podaci neće se koristiti u prethodno navedene svrhe, osim ako mi ili naši dobavljači ne utvrdimo da za to imamo legitiman interes.
" Ako je osnova za obradu osobnih podataka privola, onda je se mora moći povući. Povlačenjem privole obrada mora bezuvjetno prestati. Ne može vlasnik web stranice u takvom slučaju promijeniti zakonsku osnovu za obradu osobnih podataka. Vidjeli smo dosta takvih slučajeva. Uglavnom se radi o nerazumijevanju osnova na temelju koji se obrada radi, a ponekad i principu „bolje imati i privolu za svaki slučaj“. To je krivi princip i pokazuje nerazumijevanje vlastitih obrada podataka."

(Stranica 1 od 3)
« Prev All Pages Next » (Stranica 1 od 3)
Ocijeni sadržaj
(0 glasova)

// možda će vas zanimati

Newsletter prijava


Kako izgleda naš posljednji newsletter pogledajte na ovom linku.

Skeniraj QR Code mobitelom i ponesi ovu stranicu sa sobom

Kolačići: Kome sve šaljete podatke pristankom na privole na web stranicama - VidiLAB - QR Code Friendly


Copyright © by: VIDI-TO d.o.o. Sva prava pridržana.