3 Typy Súhlasu s Cookies: Komplexný Prehľad

sabor peruano
Rate this post

Súbory cookies sú malé textové súbory, ktoré webové stránky ukladajú do zariadenia používateľa (počítača, mobilného telefónu alebo tabletu) pri prehliadaní webu. Umožňujú webovým stránkam zapamätať si informácie o používateľovi, ako sú prihlasovacie údaje, preferencie jazyka alebo obsah nákupného košíka.

Úvod do problematiky cookies a legislatívy

Používanie cookies je upravené legislatívou, ktorá sa neustále vyvíja. Dňa 1. februára 2022 nadobudol účinnosť nový zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý implementuje smernicu Európskeho parlamentu a Rady (EÚ) 2018/1972, ktorou sa ustanovuje európsky kódex elektronických komunikácií. Tento zákon prináša zmeny v oblasti spracúvania cookies a priameho marketingu. Zásadnou zmenou je, že za porušenie pravidiel spracúvania cookies hrozí sankcia až do výšky 10 % z obratu spoločnosti.

Právny rámec upravujúci používanie cookies tvoria:

  • Smernica ePrivacy (Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002)
  • Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022)
  • Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022)
  • GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov)

Legislatíva vyžaduje, aby každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, mal na to preukázateľný súhlas dotknutého užívateľa. Súhlas sa nevyžaduje len pre technické uloženie údajov alebo prístupu k nim, ktorých jediným účelom je prenos správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.

Definícia a typy cookies

Nový právny predpis priamo nepracuje s pojmom „cookies“, ale hovorí, že každý, „kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.“ A práve na získavanie takýchto informácií slúžia súbory cookies.

Prečítajte si tiež: Ako pripraviť dokonalé pirohy

Cookies sú krátke textové súbory, ktoré do vášho zariadenia, spravidla notebooku, PC alebo mobilu, ukladajú navštívené webstránky. Tejto webstránke umožňujú zapamätať si informácie o vašich preferenciách, teda o vás. Z uvedeného dôvodu teda vo väčšine prípadov môžeme hovoriť aj o spracúvaní osobných údajov.

Existuje niekoľko typov cookies, ktoré sa líšia svojím účelom a funkciou:

  1. Nevyhnutné (funkčné) cookies: Tieto cookies sú nevyhnutné pre správne fungovanie webovej stránky a zabezpečujú základné funkcie, ako je prihlásenie používateľa, uloženie obsahu nákupného košíka alebo nastavenie jazykových preferencií. Pre tieto cookies sa súhlas používateľa nevyžaduje. Zabezpečujú napríklad možnosť prihlásenia sa do svojho užívateľského konta (napr. v e-shope) či nastavenie jazykových preferencií stránky.
  2. Analytické (štatistické) cookies: Tieto cookies zhromažďujú informácie o tom, ako používatelia používajú webovú stránku, napríklad ktoré stránky navštevujú najčastejšie a ako dlho na nich zostávajú. Tieto informácie pomáhajú prevádzkovateľom webových stránok zlepšovať ich funkčnosť a obsah. Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov). Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.
  3. Marketingové (reklamné) cookies: Tieto cookies sa používajú na prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétneho používateľa na základe jeho záujmov a preferencií. Marketingové cookies sú dominantným účelom prispôsobenia zobrazovanej reklamy a jej cielenia na konkrétnu osobu.

Okrem týchto základných typov existujú aj ďalšie delenia cookies, napríklad:

  • Dočasné (session) cookies: Vymažú sa po zatvorení prehliadača.
  • Trvalé cookies: Zostávajú v zariadení používateľa aj po zatvorení prehliadača po dobu určenú v súbore cookie.
  • Cookies prvej strany (1st party cookies): Ukladá ich priamo navštívená webová stránka.
  • Cookies tretej strany (3rd party cookies): Ukladajú ich iné webové stránky (domény), než webové stránky, ktoré si používateľ práve prezerá.

Získavanie súhlasu s cookies po 1.2.2022

Nový zákon o elektronických komunikáciách priniesol zmenu v spôsobe získavania súhlasu s cookies. Už nie je možné považovať za súhlas použitie príslušného nastavenia webového prehliadača. Súhlas musí byť preukázateľný a spĺňať náležitosti podľa GDPR.

Náležitosti súhlasu podľa GDPR

Podľa GDPR musí byť súhlas:

Prečítajte si tiež: Všetko o Nestlé cereáliách

  • Slobodne daný: Používateľ musí mať skutočnú možnosť voľby a kontroly. Nie je možné nútiť používateľa k súhlasu, napríklad prostredníctvom tzv. cookie walls, bez súhlasného odkliknutia ktorej nebude možné pokračovať v prehliadaní webstránky. Takýto súhlas nie je možné považovať za slobodne daný a preto je neplatný.
  • Konkrétny: Súhlas musí byť poskytnutý na konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich. Rôzne typy cookies spracúvajú údaje na rôzne účely. Marketingové cookies na účely marketingu a cieleniu reklám, funkčné cookies si pamätajú preferencie užívateľa ako napríklad jazykové nastavenia či užívateľské meno, atď. So všetkými účelmi musí byť návštevník webstránky oboznámený a vo vzťahu ku každému účelu musí mať možnosť voľby, či súhlasí alebo nie.
  • Informovaný: Používateľ musí byť informovaný o tom, na aké účely sa jeho údaje spracúvajú, aké údaje sa zhromažďujú a kto ich bude spracúvať.
  • Jednoznačný prejav vôle: Súhlas musí byť vyjadrený formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu.

Praktické aspekty získavania súhlasu

Pre získanie platného súhlasu s cookies je potrebné:

  • Zobraziť používateľovi prehľadnú a zrozumiteľnú cookie lištu, ktorá ho informuje o používaní cookies a umožňuje mu udeliť alebo odmietnuť súhlas s ich spracúvaním.
  • Poskytnúť používateľovi podrobné informácie o používaných cookies, ich účele, dobe uchovávania a tretích stranách, ktoré k nim majú prístup, a to prostredníctvom zásad používania cookies (cookies policy).
  • Umožniť používateľovi kedykoľvek odvolať svoj súhlas s používaním cookies.
  • Zaznamenávať udelené súhlasy preukázateľným spôsobom.

Časové obmedzenie platnosti súhlasu

Platnosť súhlasu s cookies je časovo obmedzená. Lehota, na ktorú je súhlas udelený, by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.

Kontrola a sankcie

Kontrolu nad dodržiavaním povinností v súvislosti s cookies vykonávajú dva úrady:

  • Úrad na ochranu osobných údajov: Kontroluje agendu ochrany osobných údajov.
  • Úrad pre reguláciu elektronických komunikácií a poštových služieb: Kontroluje reguláciu podľa Zákona o elektronických komunikáciách.

Za porušenie povinností v oblasti spracúvania cookies hrozia vysoké sankcie. Maximálna pokuta podľa GDPR je 4 % z obratu, zatiaľ čo podľa Zákona o elektronických komunikáciách môže dosiahnuť až 10 % z obratu za predchádzajúci kalendárny rok.

Záver a odporúčania

Aby bolo spracúvanie údajov cez cookies zákonné, je potrebné:

Prečítajte si tiež: Recepty na Východoslovenský Koláč

  • Zvážiť, či na webstránke potrebujem všetky cookies a všetky údaje, ktoré sú tak spracúvané (zásada minimalizácie).
  • Získať súhlas osoby (okrem technických cookies, tie bez súhlasu).
  • Za súhlas sa už nebude považovať nastavenie webového prehliadača.
  • Súhlas musí spĺňať náležitosti podľa GDPR.
  • Splniť informačnú povinnosť v dvoch vrstvách (požiadavka transparentnosti) - prvá vrstva cookie lišta, druhá vrstva Privacy policy.
  • Informovať o všetkých typoch a účeloch cookies, ako aj o tretích stranách.
  • Poskytnúť také technické riešenie, ktoré umožní súhlas kedykoľvek odvolať a modifikovať.

Dodržiavanie týchto zásad je kľúčové pre ochranu súkromia používateľov a pre vyhnutie sa vysokým sankciám.

Aktuálny vývoj a usmernenia

Úrad pre reguláciu elektronických komunikácií a poštových služieb vydal 4. mája 2022 tlačovú správu ku cookies, v rámci ktorej zverejnil aj stanovisko odboru štátneho dohľadu k problematike získavania súhlasu s cookies, už podľa nového zákona o elektronických komunikáciách. Vzniklo tak historicky prvé slovenské usmernenie ku cookies, ktoré však narazilo na GDPR ako kosa na kameň.

Na jednej strane nás veľmi teší, že sme k tomu tak trochu dopomohli svojou aktivitou a že sa vôbec začali tieto pravidlá aplikovať. Na druhej strane, sme v úplných začiatkoch. Pre štátnych zamestnancov, ktorí doteraz nesledovali usmernenia Výboru (EDPB), rozhodnutia zahraničných dozorných orgánov prípadne relevantnú judikatúru je veľmi ťažké sa zorientovať v spleti pravidiel a výkladov, navyše v tak krátkom čase len niekoľkých mesiacov. Usmernenie nevie zakryť skutočnosť, že prax Úradu pre reguláciu vo vzťahu ku cookies doteraz neexistovala a že Úrad pre reguláciu jednoducho nemá skúsenosti s výkladom GDPR. Aspekt, na ktorý som mimochodom vopred upozorňoval. V tomto príspevku sa budem sústrediť len dôvody, pre ktoré je podľa môjho názoru potrebné usmernenie výrazne prepracovať, pretože mám pocit, že sa k týmto dôvodom budeme musieť opätovne vracať. Možno sa v ďalších príspevkoch dostaneme k tomu, že tieto pravidlá vyložíme pre benefit širokej verejnosti a oboch úradov. Zároveň verejne avizujeme ochotu zapájať sa do pripomienkovania a tvorby podobných usmernení ako aj podpory oboch úradov.

Kritika a návrhy na zlepšenie usmernenia Úradu pre reguláciu

  1. Usmernenie nepracuje so všetkými usmerneniami Výboru (EDPB): Usmernenie Úradu pre reguláciu výslovne odkazuje len na usmernenia Výboru k súhlasu a evidentne sa nimi aj inšpiruje. Usmernenie teda pracuje s notoricky známymi náležitosťami súhlasu tak ako s nimi už roky pracuje Výbor resp. WP 29 („slobodne daný, konkrétny a informovaný…“). Problém je, že k tomuto naozaj nepotrebujeme usmernenie Úradu pre reguláciu. Jednak preto, že už ho máme od Výboru (dokonca dve) a zároveň preto, lebo do kompetencie Úradu pre reguláciu nepatrí vykladať všeobecný predpis, ktorým je GDPR. To patrí na Slovensku len do kompetencie Úradu na ochranu osobných údajov.
  2. Usmernenie si spája účel spracúvania a typ cookies: Usmernenie vychádza z premisy, že každý typ cookies je spracúvaný na iný účel spracúvania. To však nie len že nie je pravda, ale ide aj o najnebezpečnejší omyl usmernenia. Účel spracúvania je základný stavebný kameň v oblasti ochrany osobných údajov a sú naňho naviazané takmer všetky základné zásady a povinnosti podľa GDPR. Narábať s účelom spracúvania musíme veľmi citlivo, lebo každý nový / iný účel násobí povinnosti, interné výstupy, analýzy a dokumenty, s ktorými musí prevádzkovateľ pracovať.
  3. Usmernenie zabúda na cookies policy a celkové informačné povinnosti: Nie je jasné prečo sa usmernenie sústredí iba na súhlas, keď otázka súhlasu je úplne kriticky previazaná s informačnými povinnosťami (zjednodušenie cookies policy). Všetky príklady použité v usmernení predsa odkazujú na "viac informácií" alebo "zásady používania cookies", ale to, ako by mali tieto dôležité dokumenty vyzerať už nevysvetľujú.
  4. Usmernenie nevysvetľuje vzťah medzi ePrivacy a GDPR: Pravidlá regulácie cookies sa v konečnom dôsledku nedajú vykladať bez toho, aby sme jasne chápali, aký je vzťah medzi týmito dvomi sesterskými predpismi. Tým nemyslím zásadu lex specialis derogat legi generali. Tá platí. Ale čo to konkrétne znamená? Čo ak cookies sú a čo ak cookies nie sú osobnými údajmi? Aký právny základ zvoliť pri nevyhnutných cookies? Oprávnený záujem, plnenie zákonnej povinnosti alebo plnenie zmluvy? Ako informovať o cookies ak nie sú spracúvané osobné údaje? Mení sa niečo ak sú? Tieto otázky nezodpovieme bez chápania vzťahu medzi dvomi predpismi.

Praktické príklady a riešenia

V tejto časti si ukážeme, ako by mala vyzerať správna implementácia cookies lišty a ako správne informovať používateľov o používaní cookies.

Príklad správnej cookies lišty

Cookies lišta by mala obsahovať:

  • Krátky a zrozumiteľný text, ktorý informuje používateľa o tom, že webová stránka používa cookies.
  • Informácie o tom, na aké účely sa cookies používajú (napr. pre funkčnosť webovej stránky, pre analýzu návštevnosti, pre cielenie reklamy).
  • Možnosť udeliť súhlas so spracúvaním cookies pre všetky účely, alebo pre jednotlivé účely samostatne.
  • Možnosť odmietnuť súhlas so spracúvaním cookies pre všetky účely.
  • Odkaz na zásady používania cookies (cookies policy), kde sa používateľ môže dozvedieť viac informácií o používaných cookies.

Príklad zásad používania cookies (cookies policy)

Zásady používania cookies by mali obsahovať:

  • Identifikáciu prevádzkovateľa webovej stránky.
  • Definíciu cookies a ich typov.
  • Podrobný popis používaných cookies, ich účelu, dobe uchovávania a tretích stranách, ktoré k nim majú prístup.
  • Informácie o tom, ako môže používateľ spravovať a vymazať cookies.
  • Informácie o tom, ako môže používateľ kontaktovať prevádzkovateľa webovej stránky v prípade otázok alebo pripomienok k používaniu cookies.