Súbory cookies sú krátke textové súbory, ktoré webové stránky ukladajú do zariadení používateľov. Umožňujú webovým stránkam zapamätať si informácie o preferenciách používateľov, a teda prispôsobiť im obsah alebo zobrazovať relevantné reklamy. Používanie cookies upravuje legislatíva, ktorá sa na Slovensku mení a vyvíja. Tento článok poskytuje komplexný prehľad o súčasnej právnej úprave cookies na Slovensku, s dôrazom na požiadavky informovaného súhlasu a zmeny, ktoré priniesol nový zákon o elektronických komunikáciách.
Účinnosť nového zákona o elektronických komunikáciách
Dňa 1. februára 2022 nadobudol účinnosť nový zákon č. 452/2021 Z. z. o elektronických komunikáciách (ďalej len „ZoEK“). Tento zákon priniesol zmeny aj v oblasti spracúvania súborov cookies. ZoEK transponuje právnu úpravu v oblasti cookies a vyžaduje, aby každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, zabezpečil jeho súhlas.
Zmena princípu udeľovania súhlasu
Zásadnou zmenou, ktorú nový ZoEK priniesol, je zmena spôsobu udelenia súhlasu. Pôvodný princíp tzv. opt-outu, kedy sa za súhlas považovalo aj použitie príslušného nastavenia webového prehliadača, bol nahradený princípom tzv. opt-inu. To znamená, že nie je možné získavať údaje o užívateľovi, pokiaľ s tým aktívne nesúhlasí. Jedinou výnimkou sú nevyhnutné (technické) cookies, ktoré sú potrebné pre zabezpečenie funkčnosti webovej stránky.
Stanovisko Úradu pre reguláciu elektronických komunikácií a poštových služieb
Úrad pre reguláciu elektronických komunikácií a poštových služieb (ďalej len „Úrad“) vydal koncom roka stanovisko k získavaniu súhlasu podľa ZoEK. Cieľom tohto stanoviska bolo objasniť nové povinnosti a zabezpečiť, aby prevádzkovatelia webových stránok dodržiavali platnú právnu úpravu.
Náležitosti súhlasu užívateľa s cookies podľa stanoviska Úradu
Úrad vo svojom stanovisku pripomenul jednotlivé náležitosti súhlasu užívateľa, ktoré musia byť v súlade so zákonnými požiadavkami. Východiskovým právnym predpisom nebol len ZoEK, ale aj všeobecné nariadenie o ochrane osobných údajov (GDPR), ktoré sa na tento súhlas vzťahuje subsidiárne. Medzi tieto náležitosti patrí:
Prečítajte si tiež: Ako správne informovať o používaní cookies?
- Moment získania súhlasu: Prevádzkovateľ webovej stránky je povinný získať súhlas pred začatím spracovania cookies.
- Slobodne daný súhlas: Sloboda udelenia súhlasu znamená skutočnú možnosť voľby a kontroly užívateľa. Prístup k službám a funkciám nesmie byť podmienený súhlasom užívateľa s cookies.
- Konkrétny súhlas: Údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.
- Informovaný súhlas: Text súhlasu musí obsahovať konkrétne informácie podľa GDPR, a síce: informácie o identite prevádzkovateľa, informácie o účele (všetkých) spracovateľských operácií, na ktoré sa súhlas požaduje, informácie o tom, aké údaje, resp. aký druh údajov o užívateľovi sa po udelení súhlasu budú spracúvať (teda zbierať, používať a pod.), informácie o existencii a podmienkach práva odvolať udelený súhlas, informácie o prípadnom použití údajov na automatizované rozhodovanie a informácie o možných rizikách prenosu údajov.
- Jednoznačný súhlas: Užívateľ musí svoj súhlas s cookies udeliť aktívnym konaním, teda musí na webovej stránke odkliknúť, že súhlasí so spracúvaním informácií získaných prostredníctvom cookies.
Právo na odvolanie súhlasu
Užívateľ, ktorý udelil súhlas s cookies, má mať možnosť ho rovnako jednoducho aj odvolať. Tento princíp "jedna k jednej" znamená, že ak jedným klikom užívateľ súhlas udelil, mal by ho aj jedným klikom vedieť odvolať.
Praktické otázky a odpovede ku cookies od 1.2.2022
Aký právny základ sa pre spracúvanie informácií prostredníctvom cookies vyžaduje?
Vždy súhlas dotknutej osoby, v tomto prípade návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR. Inými slovami - aby bolo spracúvanie cookies zákonné, musí s tým vždy daná osoba súhlasiť (udeliť vopred súhlas).
Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?
Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.
Musí mať udelený súhlas náležitosti podľa GDPR?
Áno musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.
Aké sú náležitosti súhlasu podľa GDPR?
Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:
Prečítajte si tiež: Viac o cookies
- slobodne daný;
- konkrétny;
- informovaný; a
- jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
Kedy je súhlas slobodne daný?
Vtedy, keď má dotknutá osoba skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný.
Kedy je súhlas konkrétny?
Súhlas je konkrétny vtedy, keď je poskytnutý konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich.
Aké sú ďalšie náležitosti súhlasu?
- súhlas musí byť získaný vopred, t.j. začatím spracúvania údajov, resp. tzn. niektoré kategórie cookies a iné nie.
- a uchovávať 4, resp. 5 rokov.
- povinnosti udelenia súhlasu.
- účinný od 1.
- pre účely priameho marketingu (napríklad zasielanie newslettra).
- odvolania súhlasu.
Je platnosť súhlasu s cookies časovo obmedzená?
Áno, však ku konkrétnej lehote existujú len zahraničné usmernenia. Lehota, na ktorú je súhlas udelený by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.
Kto má právomoc všetky povinnosti v súvislosti cookies kontrolovať?
Odpoveď na túto otázku nie je v súčasnosti úplne jednoznačná. Kontrolovať agendu ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Kontrolovať reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb. Ako je však zrejmé, pravidlá používania cookies spadajú do kontrolnej pôsobnosti obidvoch úradov. V budúcnosti bude preto potrebné nastaviť jednotné a hlavne jasné pravidlá kto, čo a v akom rozsahu môže kontrolovať. V tejto chvíli nemožno vylúčiť, že kontrolovať podmienky používania cookies budú zástupcovia tak jedného, ako aj druhého úradu. Kým udeliť pokutu podľa ZEK možno do 4 rokov odo dňa porušenia povinnosti, podľa Zákona o ochrane osobných údajov do 5 rokov odo dňa porušenia povinnosti.
Aké sú sankcie?
Vysoké. Samozrejme sa budú odvíjať od druhu porušenia povinnosti, avšak kým maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK až 10 % z obratu za predchádzajúci kalendárny rok.
Prečítajte si tiež: Ako pridať cookie lištu
Ako má vyzerať cookies lišta v praxi?
Cookies lišta, či banner obsahujú aj tlačidlá, ktorými je možné nielen vybrať si medzi jednotlivými typmi cookies, ale je možné všetky cookies prijať, či odmietnuť. Súčasťou lišty je tiež odkaz na komplexnú informáciu o spracúvaní osobných údajov. Zákazníkom je integrovaná cookies lišta, pri ktorej je po novom potrebné získať súhlas so spracovaním cookies. Cookies rozdelená na súhlasy jednotlivými typmi zbieraných informácií, vo forme samostatnej položky na „odkliknutie“. Tieto oblasti sú rozdelené na: nevyhnutné, analytické, martketingové.
Typy cookies
Existuje niekoľko typov cookies, pričom ich dominantným účelom je prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov). Medzi typy cookies patria:
- Technické alebo funkčné cookies - zabezpečujú správne fungovanie webového sídla Prevádzkovateľa a jeho používanie.
- Štatistické cookies - Prevádzkovateľ získava štatistiky ohľadom používania svojich webových stránok.
- Marketingové / Reklamné cookies - Používané na vytváranie reklamných profilov a obdobných marketingových aktivít.
Čo sledovať pri implementácii cookies?
- Správne klasifikujte jednotlivé cookies.
- Cookie lišta za žiadnych okolností nesmie brániť vo využívaní webovej stránky.
- Súhlas musí byť daný slobodne, tzn. nemožno cookie lištou zakrývať obsah web stránky alebo ho zobrazovať nečitateľne.
- Uistite sa, že pri implementácií nových cookies ste ich doplnili aj do cookie lišty, v opačnom prípade sa nebudete môcť spoliehať na udelený súhlas, keďže ten nebude zahŕňať aj nové cookies.