Pomen pogojev uporabe za spletne strani – I. del
Za lažje razumevanje pomena pogojev uporabe, bomo na tem mestu poskusili razložiti, kaj pogoji sploh so, kakšna je njihove vsebina in kakšne so posledice izostanka takih pogojev na posameznih spletnih straneh. Uvodoma želimo pojasniti, da je pri pogojih pomembna vsebina in ne poimenovanje. V praksi zasledimo številna poimenovanja, tako v Sloveniji kot v svetu. Ponavadi ločimo dva vsebinska sklopa, ki morata biti uporabniku znana vnaprej. Prvi je vprašanje varstva osebnih podatkov oziroma varovanja zasebnosti posameznika. Za te vsebine se uporabljajo pojmi kot so: izjava o varovanju zasebnosti, pogoji zasebnosti, politika zasebnosti, varstvo osebnih podatkov oziroma angleški izrazi kot so: privacy policy, privacy statement. Drugi vsebinski sklop pa se nanaša na pogoje poslovanja upravljavca spletne strani. Vsebina je podrobneje predstavljena v drugem članku.
Za namene tega prispevka smo se odločili za uporabo enotnega pojma: pogoji uporabe, ki vsebinsko združujejo tako pogoje zasebnosti kot pogoje poslovanja. Tako poimenovanje smo izbrali iz preprostega razloga, ker zakonodaja predvideva obvezne sestavine, ki se nanašajo tako na določbe o varovanju osebnih podatkov, kot na določbe, ki se nanašajo na poslovanje, tukaj mislimo predvsem določbe o varstvu potrošnikov. Ne glede na zapisano pa ponovimo, da poimenovanje ni bistveno, bistvena je vsebina. V nadaljevanju se najprej posvečamo vsebinam, ki se nanašajo na varstvo osebnih podatkov.
Preberete pogoje uprabe?
Fox News je poročal[1], da je britansko podjetje GameStation v svojih pogojih uporabe zapisalo: »S potrditvijo naročila na tej spletni strani se strinjate, da nam prvega dne četrtega meseca leta 2010 Anno Duomini predate zdaj in za vekomaj vašo nesmrtno dušo. Pooblaščeni sluga jo bo prevzel v roku petih delovnih dni po prejemu potrditve vašega naročila.« Dodali so še: »V primeru, a) da ne verjamete v nesmrtnost duše ali b) ste dušo že predali tretji osebi ali c) ne želite na nas prenesti take licence, prosimo označite spodnje okence in odstranite klavzulo o prenosu duše ter nadaljujte s transakcijo nakupa video igrice.«
To je bila prvoaprilska šala, ki je ponovno potrdila spoznanja, da pogojev uporabe na spletnih straneh večina ne prebere. Obstajajo različne raziskave o številu uporabnikov, ki pogojev uporabe ne preberejo pred nakupom izdelka ali naročilom storitve oziroma registracijo uporabnika. Rebecca Smithers[2] povzema raziskavo, ki jo je opravilo neodvisno finančno podjetje, da le 7% Britancev prebere pogoje uporabe pred naročilom izdelkov ali storitev. Šest od desetih odraslih, sodelujočih v raziskavi, je izrazilo, da se raje prebijajo čez navodila za uporabo izdelka, kot da berejo pogoje. Celo več, 10% jih je izrazilo, da raje berejo telefonski imenik kot pogoje.
Razlog, da uporabniki pogojev ne berejo, leži v tem, da so predolgi in težko razumljivi. Ena petina udeležencev raziskave je priznala, da je imela težave, ker pogojev ni prebrala. Nekateri so s potrditvijo pogojev pristali na daljše poslovno razmerje kot so želeli, nekateri niso dobili povrnjenega denarja ob odpovedi rezervacije, nekateri so poleg brezplačnega obdobja testiranja nekega programa potrdili tudi nakup le-tega. Zgodb je veliko.
Je torej na mestu vprašanje o smiselnosti pogojev uporabe? Vprašanje je na mestu v tistih delih, kjer zakonodaja predvideva obvezna obvestila oziroma določbe, s katerimi morajo upravljavci spletnih mest obveščati svoje uporabnike. Velja poudariti, da obstaja velika razlika med ameriškim sistemom in evropsko zakonodajo. V ZDA je v splošnem predvidena samoregulacija, v EU pa regulatorni organi določajo, na kaj morajo upravljavci opozoriti svoje uporabnike.
V tem delu se bomo posvetili področju varovanja zasebnosti oziroma varstva osebnih podatkov. Evropska Unija in njene članice imajo zakonodajne akte, ki predpisujejo pravila ravnanja z osebnimi podatki. Te določbe so obvezne in jih ni mogoče zaobiti. Izključitev teh določb šteje za nezapisano, kršitve teh določb pa so sankcionirane. Za primerjavo, v ZDA nimajo specifične zakonodaje, ki bi zagotovila univerzalno implementacijo politik zasebnosti. Zvezna trgovinska komisija (FTC) je sicer objavila nezavezujoča načela poštenega obveščanja, ki so zagotovila nabor smernic za ravnanje z osebnimi podatki v nekomercialne namene in olajšala pripravo pogojev zasebnosti.
Podrobneje se v urejanje posameznih zakonodaj ali smernic po svetu ne bomo spuščali, ampak bomo predstavili ureditev, ki velja v Sloveniji. Ključni je Zakon o varstvu osebnih podatkov (ZVOP-1, Ur. l. št. 84/2007, 67/2007, 94/2007), ki upravljavcem spletnih mest nalaga, da zagotovijo sledeče informacije: katere osebne podatke upravljavec obdeluje, za kakšen namen jih obdeluje, kdo jih obdeluje (podatki o upravljavcu) in druge informacije, če je potrebno, da se zagotovi zakonita in poštena obdelava.
Transparentnost obdelave osebnih podatkov je možno doseči le s pravilno oblikovano izjavo o varovanju zasebnosti oziroma ustreznimi določbami v pogojih uporabe. Ob tem je potrebno biti pozoren na tiste določbe zakona, ki določajo osebno privolitev posameznika za obdelavo osebnih podatkov. Zakon namreč loči med osebno privolitvijo posameznika, pisno privolitvijo in ustno ali drugo ustrezno privolitvijo posameznika glede na to, katere osebne podatke želi upravljavec obdelovati, za kakšen namen in na kakšen način. Za lažjo predstavo podajamo primer, da je že vnaprej označeno okence, s katerim se uporabnik spletnega mesta strinja v obdelavo osebnih podatkov nepravilno in kot tako podvrženo sankcijam. Prav tako je nepravilna vnaprejšnja označitev okenca, da uporabnik sprejema in se strinja s pogoji uporabe ali pa vnaprejšnja označitev okenca, da želi prejemati novice in komercialna sporočila.
Zakon predvideva ureditev tudi drugih področij kot so: obdelava občutljivih osebnih podatkov, rok hrambe in zavarovanje osebnih podatkov, priprava kataloga zbirk osebnih podatkov, pravice posameznika glede iznosa osebnih podatkov v tretje države, neposredno trženje in določa prekrške in globe zanje, ki se gibljejo v razponu od 200 € do 12.510 €.
Podajamo še primer, ko večina upravljavcev ne ve, da zgolj izjava o zasebnosti oziroma pogoji niso dovolj za posredovanje podatkov tretjim osebam, kar žal postaja vse pogostejša praksa tudi pri nas. Za ta namen namreč upravljavci potrebujejo privolitev posameznika, v določenih primerih pa celo odločbo Urada informacijskega pooblaščenca[3]. Na kratko, tudi za prenos osebnih podatkov v ZDA, je v primerih, ko se organizacija ali podjetje v ZDA ni zavezala k načelom Safe Harbour (varni pristan)[4], potrebno pridobiti odločbo pooblaščenca[5].
Področja varovanja osebnih podatkov se dotika še Zakon o elektronskih komunikacijah (ZeKom-1, Ur. l. št. 109/2012), ki določa način urejanja piškotkov[6] in prav tako predvideva globe za nespoštovanje teh določb, ki se gibljejo v razponu od 100 € do 20.000 €.
Glede na to, da zakonodaja težko sledi napredkom informacijske tehnologije, je toliko bolj pomembno, da upravljavci pravilno zaščitijo osebne podatke svojih uporabnikov. Prav iz tega razloga strokovnjaki in Urad informacijske pooblaščenke opozarjajo[7] na dolžno skrbnost pri urejanju tega področja, odsvetujejo vnaprej pripravljene izjave, ki niso prilagojene posameznemu spletnemu mestu, apelirajo na redno vzdrževanje urejanje tega področja na svoji spletni strani in na dosledno spoštovanje določb zakona.
Članek pripravila:
Tjaša Vidic, univ. dipl. prav.
Več na spletni strani:
[1] Fox News, 2010, http://www.foxnews.com/tech/2010/04/15/online-shoppers-unknowingly-sold-souls/ (pridobljeno 31.1.2014)
[2] Rebecca Smithers, 2011, http://www.theguardian.com/money/2011/may/11/terms-conditions-small-print-big-problems (pridobljeno 31.1.2014)
[3] Primer: za iznos osebnih podatkov v tretje države (izven EU in EGS) je potrebno pridobiti odločbo Urada informacijskega pooblaščenca, razen če je država na seznamu, ki ga obdeluje Urad IF. Na tem seznamu so države, za katere je pooblaščenec ugotovil, da imajo ustrezno urejeno področje varovanja osebnih podatkov.
[4] Načela Safe Harbour določajo, da mora organizacija ali podjetje posameznike obvestiti o namenu zbiranja in uporabe njihovih podatkov ter jim ponuditi možnost izbire o tem, ali se bodo njihovi osebni podatki razkrili tretji stranki oziroma se bodo uporabili za namen, ki je različen od tistega, s katerim so bili zbrani.
[5]Podrobneje na povezavi:https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/safe-harbor/ (pridobljeno 15.2.2014)
[6] Podrobneje v smernicah: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_uporabi_piskotkov.pdf (pridobljeno 30.5.2013)
[7] Podrobneje v smernicah: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice-za-oblikovanje-izjave-o-varstvu-osebnih-podatkov-na-spletnih-straneh.pdf (pridobljeno: 10.11.2013)