Kaj so piškotki?
Piškotki so majhne besedilne datoteke, ki jih večina spletnih mest shrani v naprave uporabnikov, s katerimi dostopajo do interneta. Njihov glavni namen je prepoznavanje posameznih naprav, ki so jih uporabniki uporabili pri dostopu. Spletni piškotek je besedilna datoteka, sestavljena iz črk in številk, ki jo spletni strežnik pošlje spletnemu brskalniku, ta pa jo shrani na računalnik ali mobilno napravo.
Ko uporabnik obišče spletno stran, se mu naloži piškotek od te strani, ki omogoča spletni strani shranjevanje informacij, te pa lahko spletna stran prebere ob ponovnem obisku. Ob vsakem ponovnem obisku bo spletno mesto pridobilo podatek o naloženem piškotku in prepoznalo napravo uporabnika. Sam piškotek ne vsebuje ali zbira informacij, ki bi omogočali identifikacijo posameznika. Če pa spletnemu mestu uporabniki te podatke posredujejo sami, na primer z registracijo, se ti lahko povežejo s podatki, ki so shranjeni v piškotku.
Sprva so se digitalni piškotki imenovali "magic cookies", kot jih je leta 1994 poimenoval spletni programer pri Netscapu, Lou Montulli. "Oče piškotkov" jih je hotel uporabiti za poenostavitev komunikacije na spletnih dopisnih seznamih, saj so spletne strani tedaj uporabnika vsakič znova obravnavale kot tujca.
Pravna podlaga in zasebnost
Pravna podlaga za obvestila o uporabi piškotkov v Sloveniji je spremenjeni Zakon o elektronskih komunikacijah (ZEKom-1), ki je začel veljati v začetku leta 2013. Ta zakonodaja ne prepoveduje uporabe piškotkov, pač pa predpisuje pogoje in način, pod katerimi je piškotke in podobne tehnologije dovoljeno uporabljati. Za porast obvestil o uporabi piškotkov sta ključna tudi evropska predpisa: Splošna uredba o varstvu podatkov (GDPR) in Direktiva o e-zasebnosti (ePrivacy Directive), znana tudi kot "zakon o piškotkih".
GDPR, ki piškotke definira kot osebni podatek, je v veljavo stopil maja 2018. Njegov namen je seznaniti uporabnike s podatki, ki jih podjetja zbirajo, in jim ponuditi možnost privolitve v njihovo skupno rabo. Podjetja morajo razkriti, kaj in zakaj zbirajo podatke, uporabnik pa ima nadzor nad svojimi osebnimi podatki ter možnost izbrisa. Direktiva o e-zasebnosti, nazadnje osvežena leta 2009, določa smernice za sledenje, spremljanje in zaupnost na spletu.
Obveznost in odgovornost
Novo zakonodajo morajo upoštevati vse spletne strani, ki uporabljajo piškotke oziroma druge podobne tehnologije, ali pa imajo vključene storitve tretjih, ki morda uporabljajo piškotke, ne glede na velikost ali doseg. Odgovornost za skladnost z zakonodajo je na strani upravljavca spletne strani (lastnika). Upravljavec mora navesti najmanj namene uporabljanih piškotkov, npr. "piškotki za to, da delujejo vtičniki družbenih medijev".
Upravljavec lahko privolitve pridobi enkrat, tako v primeru poddomen kot v primeru različnih domen. Če si več uporabnikov deli isto napravo in upravljavec spletne strani ne razločuje med njimi, je upravičena domneva, da gre za enega uporabnika, od katerega je potrebno pridobiti soglasje za določene piškotke.
Veljavnost zakonodaje
Veljavnost zakonodaje je predvsem odvisna od države, v kateri je ustanovljen upravljavec spletnega mesta. Če je lastnik spletne strani iz Slovenije, a cilja na druge države EU, je dobro preveriti, ali v drugi državi članici veljajo posebni predpisi. Načeloma enaka pravila glede piškotkov veljajo preko celotne EU in mora biti v vseh državah uporabnik obveščen o piškotkih. Če pa gre za državo izven EU, ki zakonodaje o piškotkih ne pozna, upravljavca, ustanovljenega v Sloveniji, še vedno veže slovenska zakonodaja.
Piškotki tretjih oseb in odgovornost
Za piškotke tretjih oseb imata določene odgovornosti tako izvorna spletna stran kot tudi tretja stran. Izvorna spletna stran, ki v svoji storitvi dopušča udeležbo tretjih, ima neposredni stik z uporabnikom in s tem boljšo priložnost, da uporabnika obvesti o uporabi storitev tretjih strani in pridobi privolitev. Uporabnike je treba obvestiti o teh piškotkih, ne glede na to, od katere tretje strani prihajajo, in pridobiti njihovo privolitev, če ne spadajo med izjeme.
Informacijski pooblaščenec opozarja, da se v zadnjem času pojavljajo številni ponudniki rešitev za skladnost z zakonodajo, ki želijo z zastraševanjem malih upravljavcev poskrbeti za lastno korist. Skladnost implementacije je mogoče potrditi samo v inšpekcijskem postopku, globe pa lahko izreče Informacijski pooblaščenec v najnižjem znesku, višje pa le sodišče.
Sledenje brez piškotkov
Sledenje uporabnikom je mogoče tudi brez uporabe piškotkov, in sicer preko prstnega odtisa naprave (angl. device fingerprinting) oziroma brskalnika (angl. browser fingerprinting). Pri tem na uporabnikovo napravo ni naložena nobena datoteka, temveč sledilec uporabnika prepozna in mu sledi na podlagi edinstvene kombinacije različnih informacij, ki jih naprava (računalnik, telefon, tablica) oddaja med brskanjem po spletu (npr. nastavitve naprave, operacijski sistem, brskalnik, IP naslov, nameščene pisave, Java Script nastavitve).
Vrste piškotkov
Obstajajo različne vrste piškotkov, ki se razlikujejo po svoji funkciji, viru in življenjski dobi:
Začasni (sejni) piškotki (session cookies)
Ti piškotki "živijo" od trenutka, ko uporabnik odpre brskalnik, pa do trenutka, ko sejo konča in zapre brskalnik. Spletna mesta jih uporabljajo za shranjevanje začasnih informacij, na primer elementov v nakupovalnem vozičku, za večjo varnost pri spletnem bančništvu itd. Ker so takšni piškotki shranjeni za krajši čas, je njihova invazivnost za zasebnost uporabnika lahko manjša.
Trajni (shranjeni) piškotki (persistent cookies)
Trajni piškotki ostanejo shranjeni tudi, ko uporabnik zapre brskalnik in zaključi sejo. So sestavljeni iz tekstovne datoteke, ki jo spletni strežnik pošlje spletnemu brskalniku, ki jo shrani in ostane veljaven do nastavljenega izteka veljavnosti, v kolikor je uporabnik ne izbriše pred iztekom. Spletna mesta jih uporabljajo npr. za shranjevanje informacij o registraciji, nastavitvah jezika strani itd., pa tudi za grajenje profilov uporabnikov in analiziranje prometa. Trajni piškotki lahko v računalniku ostanejo več dni, mesecev ali celo let.
Lastni piškotki (first-party cookies)
Lastni piškotki so s spletnega mesta, ki si ga uporabnik ogleduje, in so lahko trajni ali začasni. Spletna mesta te piškotke uporabljajo za shranjevanje informacij, ki jih bodo znova uporabila, ko uporabnik naslednjič obišče to mesto. Preberejo in uporabljajo jih lahko le strežniki dotične spletne strani, s čimer izboljšujejo uporabniško izkušnjo.
Piškotki tretjih oseb (third-party cookies)
Piškotki tretjih oseb izvirajo od drugih, partnerskih spletnih mest (ki na primer prikazujejo oglase na izvirni spletni strani ali merijo promet). Te piškotke pogosto nameščajo oglaševalci, ki jih zanimajo vaše želje in spletne navade. S temi sledilci vam oglaševalci sledijo tudi, ko zapustite izvorno spletno mesto, zato se vam prikazujejo oglasi za določen izdelek, ki ste si ga pred tem ogledovali. Takšni piškotki predstavljajo večji poseg v zasebnost uporabnika.
Pomembno je omeniti, da so piškotki tretjih oseb pod drobnogledom. Mozilla in Apple sta že poskrbela za blokado tovrstnih piškotkov v svojih spletnih brskalnikih, Google pa je napovedal postopno blokiranje "third-party" piškotkov za uporabnike brskalnika Chrome.
Zakaj spletna mesta uporabljajo piškotke?
Piškotki imajo velik pomen za zagotavljanje uporabniku prijaznih spletnih storitev, saj so temeljnega pomena za delovanje spletnih mest in izboljšujejo uporabnikovo izkušnjo. Interakcija med uporabnikom in spletno stranjo je s pomočjo piškotkov hitrejša in enostavnejša. Spletna mesta delujejo optimalno, kadar so piškotki omogočeni. Glavni razlogi za njihovo uporabo vključujejo:
- Izboljšanje uporabniške izkušnje: Piškotki pomagajo izboljšati uporabniško izkušnjo pri obisku spletne strani, saj omogočajo shranjevanje nastavitev spletnega mesta, kot so velikost pisave, razmik med vrsticami ipd.
- Prilagoditev vsebine: Spletna mesta lahko obiskovalcem prilagodijo prikaz vsebine glede na pretekle obiske, saj prepoznajo uporabnikovo napravo.
- Ohranjanje prijave: Na delih spletnih mestih, kjer je potrebna prijava, piškotki ohranijo uporabnike prijavljene, kar omogoča enkratno prijavo brez vnovičnega vnašanja uporabniškega imena in gesla ob vsakem naslednjem obisku.
- Zbiranje statistik in analitika: Piškotki zbirajo informacije o tem, kako obiskovalci uporabljajo spletno stran (npr. katere strani obiskujejo najpogosteje, čas brskanja, vstopne in izstopne točke) in ali prejemajo sporočila o napaki. Službe, kot je Google Analytics, uporabljajo piškotke (npr. _ga, _gid, _gat) za namene analize obiskanosti. Podatki o IP se v Google Analytics 4 anonimizirajo.
- Delovanje e-poslovanja: Najpogostejše funkcije e-poslovanja, kot so spletne banke in spletne trgovine, ne bi bile mogoče brez piškotkov.
- Funkcionalnost vtičnikov in vdelanih vsebin: Spletna mesta uporabljajo vtičnike iz storitev, kot je YouTube (npr. piškotki gps, ide, ysc, visitor, pref, yt, APISID, HSID, LOGIN_INFO, SAPSID, SID, SSID), ki omogočajo prikaz video nasvetov in podobnih vsebin. Uporaba Google Zemljevidov (Maps) poteka v interesu, da so prikazane določene lokacije (npr. lokacije ordinacij).
- Kontaktni obrazci in naročanje storitev: Za stik in naročanje pogodbenih storitev se lahko uporabljajo piškotki tipa fc, ki hranijo ID obrazca skupaj s časom, ko je bil obrazec predložen, brez zbiranja osebnih podatkov.
- Shranjevanje nastavitev glede izbire piškotkov: Piškotki serije wordpress_gdpr si za določeno obdobje shranijo nastavitve v zvezi z izbiro piškotkov.
V primeru uporabe storitev Google Analytics in Google Zemljevidov, se lahko osebni podatki iz EU varno prenašajo tistim podjetjem iz ZDA, ki sodelujejo v okviru za varstvo zasebnosti podatkov med EU in ZDA (angl. EU-US Data Privacy Framework (DPF)), ob tem pa ni treba uvesti dodatnih zaščitnih ukrepov za varstvo podatkov v skladu s členom 46 Splošne uredbe o varstvu podatkov.
Upravljanje in onemogočanje piškotkov
Shranjevanje piškotkov je pod popolnim nadzorom brskalnika, ki ga uporablja uporabnik. Vedno imate možnost, da piškotke sprejmete ali zavrnete, omejite ali pa blokirate. Nastavitve za piškotke lahko nadzirate in spreminjate s pomočjo izbranih nastavitev spletnega brskalnika.
Kljub temu, da ZEKom-2 dopušča, da je privolitev lahko dana tudi preko nastavitev v brskalniku, trenutno noben brskalnik, niti druga aplikacija, še ni dovolj razvit, da bi zgolj z nastavitvami lahko sklepali na veljavno privolitev uporabnikov. Večina brskalnikov privzeto dovoljuje vse piškotke in ne omogočajo različnih nastavitev za različne piškotke. Zato je nujno, da spletna stran sama zagotovi mehanizem za obveščanje in pridobivanje soglasja.
Popoln izklop piškotkov vam bo verjetno prinesel več težav kot koristi, saj nekatere spletne strani morda ne bodo delovale pravilno, izgubili boste možnosti shranjenih nastavitev in prijav, lahko pa to vodi tudi do pretiranega oglaševanja.
Začasen izklop piškotkov (zasebno brskanje)
Najhitrejši in najenostavnejši način za preprečitev shranjevanja spletnih piškotkov pri vseh spletnih brskalnikih je uporaba tako imenovanega »zasebnega okna« ali zasebnega brskanja. Ta funkcionalnost omogoča obiskovanje spleta, ne da bi brskalnik shranjeval kakršnekoli informacije o obiskanih straneh.
- Internet Explorer: Funkcionalnost "InPrivate" lahko prikličete s pritiskom na tipko "Alt", nato v meniju "Orodja" izberete "Brskanje InPrivate", ali s kombinacijo tipk Ctrl + Shift + P.
- Google Chrome: Uporabite funkcionalnost "Novo okno brez beleženja zgodovine", ki jo vključite s pritiskom na tipke Ctrl + Shift + N.
- Mozilla Firefox: Funkcionalnost "Vključi zasebno brskanje" prikličete s pritiskom na tipko "Alt", nato v meniju "Orodja" izberete "Vključi zasebno brskanje", ali s kombinacijo tipk Ctrl + Shift + P.
- Apple Safari: Kliknite na "Nastavitve" in izberite "Private browsing". Potrdite z "OK", desno v naslovni vrstici se bo prikazala oznaka "Private".
- Opera: Kliknite na logotip brskalnika v zgornjem levem kotu, poiščite "Tab and Windows" in izberite "New private Window" ali uporabite Ctrl + Shift + N.
Trajni izklop in brisanje piškotkov
Spletni brskalniki omogočajo tudi trajni izklop in brisanje piškotkov, vendar se je treba zavedati, da boste s tem izgubili možnost ohranjanja nastavitev, statusa prijave, podatkov o spletnih nakupih, nekatere strani pa morda ne bodo delovale pravilno.
Že shranjene piškotke lahko najlažje zbrišete s pritiskom na kombinacijo tipk Ctrl + Shift + Delete (ali Command + Option + Esc na Applovi tipkovnici), nato pa izberete časovno obdobje. Splošna navodila za trajni izklop po brskalnikih:
- Internet Explorer: Kliknite na gumb "Orodja", izberite zavihek "Zasebnost", nato "Napredno", obkljukajte možnost za onemogočitev samodejnega upravljanja s piškoti in obe vrednosti nastavite na "Blokiraj". Za brisanje shranjenih piškotkov kliknite "Orodja", "Brisanje" in "Izbriši".
- Google Chrome: Kliknite na ikono menija Chrome, izberite "Nastavitve", "Pokaži dodatne nastavitve", "Nastavitve vsebine" v razdelku "Zasebnost". Izberite možnost "Blokiraj piškotke in podatke drugih spletnih mest" in kliknite "Končano". Za brisanje piškotkov v razdelku "Zasebnost" izberite "Izbriši zgodovino brskanja".
- Mozilla Firefox: Kliknite na "Firefox" (desno zgoraj), izberite "Možnosti" in zavihek "Zasebnost". V delu "Zgodovina" izberite "Uporablja posebne nastavitve za zgodovino" in odkljukajte "Dovoli stranem, da ustvarijo piškote". Za brisanje piškotkov v istem razdelku izberite "Prikaži piškote" in "Odstrani vse piškote".
- Apple Safari: Kliknite na "Safari", izberite "Preferences", poiščite "Privacy". V delu "Block cookies" vključite to možnost. Za brisanje shranjenih piškotkov v "Privacy" izberite vse spletne strani in kliknite "Remove All".
- Opera: Kliknite na logotip brskalnika, poiščite "Settings" in izberite "Preferences". V zavihku "Advanced" poiščite "Cookies" in označite "Never accept cookies". Za brisanje piškotkov v "Preferences" izberite zavihek "Cookies" in kliknite na "Manage Cookies", nato jih izbrišite.
