Kolačići su najčešće definišu kao „jednostavne tekstualne datoteke koje se čuvaju u veb-pregledaču korisnika, odnosno na njegovom uređaju“ (izvor: Wikipedia). Možemo ih razlikovati po više kriterijuma – prema funkciji koju vrše, koliko dugo se zadržavaju u veb-pregledaču ili prema tome ko ih postavlja.

Kolačići ne mogu da pristupe podacima koje korisnici čuvaju na uređajima, ali mogu da prikupljaju podatke o online aktivnostima. Tako će, na primer, kolačić biti zaslužan za to što, nakon što jedanput odaberemo željeni jezik prikazivanja teksta na određenom veb-sajtu, svaki naredni put kada posetimo taj veb-sajt, njegov sadržaj se prikazivati upravo na jeziku koji smo odabrali prvi put. Zadatak kolačića u ovoj situaciji je da omogući veb-sajtu da „prepozna“ korisnika kada mu ovaj naredni put pristupi; veb-sajt tada koristi podatke sačuvane u kolačiću i tako automatski dobija informaciju o prethodnoj aktivnosti korisnika na veb-sajtu.

Međutim, kolačići su odavno prevazišli ovakve jednostavne tehničke svrhe i počeli su se masovno koristiti za potrebe statističkih analiza, u marketinške svrhe i naročito za targetirano oglašavanje koje je usko vezano sa profilisanjem korisnika. Polje podataka koje kolačići mogu da prikupljaju konstantno je šireno i u momentu kada je postalo moguće da se na osnovu tako prikupljenih podataka pojedinac jedinstveno identifikuje, upotreba kolačića počela je da izaziva snažnu zabrinutost sa stanovišta zaštite podataka o ličnosti.

Slučaj Evropskog parlamenta

Nedavna odluka Evropskog Nadzornika za zaštitu podataka o ličnosti (European Data Protection Supervisor, “EDPS”) pokazala je da na povrede propisa nisu imuna ni tela koja su te propise donela. Početkom januara 2022. godine, EDPS je utvrdio da podsajt Evropskog parlamenta u vezi sa testiranjem članova parlamenta na korona virus (https://europarl.ecocare.center), nije u skladu sa GDPR-om.

EDPS je u konkretnom slučaju postupao po pritužbi noyb-a, austrijske nevladine organizacije, i utvrdio nekoliko povreda. Između ostalog, utvrdio je da je vršen nedozvoljen prenos podataka u SAD usled upotrebe Google Analitike, ali i da obaveštenje o kolačićima nije jasno, što je posledično vodilo tome da su kolačići postavljani bez validnog pristanka, kao i da obaveštenje o obradi podataka nije u saglasnosti sa zahtevima transparentnosti.

EDPS je u ovom slučaju izrekao opomenu i naložio Evropskom parlamentu da u roku od mesec dana otkloni utvrđene nepravilnosti.

Slučaj Google Analitike

Jedan od popularnih servisa kompanije Google, Google Analitika, funkcioniše upravo po principu postavljanja kolačića. Ukoliko je vlasnik veb-sajta aktivirao Google Analitiku, kada korisnik poseti veb-sajt, na njegov veb-pregledač će biti postavljeni analitički kolačići, koji će potom pratiti ponašanje korisnika na veb-sajtu. Koje stranice veb-sajta je posetio, na kojim sadržajima se zadržao, koliko dugo, na koje sadržaje je „kliknuo“ i slično. Na osnovu toga sačinjavaju se izveštaji koji vlasnicima veb-sajtova pomažu da kreiraju sadržaje i prilagođavaju ih ukusu i interesovanjima posetilaca, najčešće u cilju promovisanja i prodaje roba i usluga.

Međutim, šta se dešava ukoliko osim navedenih podataka kolačići prikupljaju i IP adresu korisnika ili druge podatke koji omogućavaju jedinstvenu identifikaciju posetioca? I ukoliko se ti podaci, pritom, prenose u državu u kojoj posetilac veb-sajta, čiji podaci su predmet prenosa, ne uživa prava u pogledu zaštite od nadzora obaveštajnih službi?

Austrijski organ nadzora u oblasti zaštite podataka o ličnosti (Datenschutzbehörde, “DSB”) krajem decembra 2021. godine, postupajući po pritužbi noyb-a, doneo je odluku da je upotreba Google Analitike na veb-sajtu NetDoktor u suprotnosti sa odlukom Evropskog suda pravde iz 2020. godine u predmetu Schrems II, kojom je stavljen van snage „Privacy Shield“, mehanizam za transfer podataka o ličnosti između EU i SAD.

DSB je stao na stanovište da prenos podataka iz EU, a koji se vrši jer se podaci čuvaju na serverima kompanije Google u SAD, nije zakonit jer nije obezbeđen adekvatan nivo zaštite ovih podataka. Kompanija Google se u toku postupka pozivala na standardne ugovorne klauzule i primenjene tehničke i organizacione mere kao dopunske mere (supplementary measures) u smislu presude Schrems II. Međutim, prema nalaženju DSB, mere poput ograda oko data centara i osnovne enkripcije, nisu odgovarajuće jer nije jasno do koje mere zapravo sprečavaju ili ograničavaju mogućnost pristupa američkih obaveštajnih službi pohranjenim podacima. Činjenica da su prenosilac i primalac podataka „uredili“ svoje odnose povodom prenosa podataka kroz standardne ugovorne klauzule, nije sama po sebi dovoljna da bi prenos bio zakonit već mere koje su njima predviđene moraju biti primenjene tako da obezbeđuju suštinsku zaštitu podataka od ustanovljenih rizika.

Ova odluka se odnosi samo na Austriju i za sada nije konačna, ali biće interesantno pratiti dalja dešavanja u vezi sa korišćenjem kolačića, kojih će svakako biti jer je noyb nedugo nakon donošenja presude Schrems II podneo 101 pritužbu nadležnim organima nadzora u EU, među kojima je bila i pomenuta pritužba protiv NetDoktor. Nedavno je i holandski organ nadzora (Autoriteit Persoonsgegevens) najavio mogućnost da upotreba Google Analitike uskoro ne bude dozvoljena.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.