Aké pravidlá pre cookies platia od 1.2.2022 a čo musí obsahovať cookie lišta alebo banner? Prinášame podstatné informácie aj inšpiráciu zo slovenských e-shopov.
Nový zákon o elektronických komunikáciách mení od 1.2.2022 pravidlá ochrany osobných údajov pri cookies na webstránkach, čo sa odrazí na ich spôsobe spracovania a využitia. Podnikatelia by si mali dať pozor na sankcie za porušenie tohto zákona, ktoré sa môžu pohybovať od 200 eur až do výšky 10 % z obratu. V článku preto prinášame súhrn informácií o tom, čo sa mení, ako má vyzerať získanie súhlasu so spracovaním cookies a ako sa zmenám prispôsobili niektoré slovenské e-shopy.
Nové pravidlá pre súbory cookies – čo sa mení od 1.2.2022
Erik Mateášik, špecialista na GDPR a ochranu osobných údajov z advokátskej kancelárie SCHIN & MAJDÚCH legal, vysvetľuje, že v zmysle pôvodného znenia zákona bol na zber cookies prevádzkovateľ oprávnený iba vtedy, keď dotknutý používateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania. Za takýto súhlas sa považovalo aj použitie príslušného nastavenia webového prehliadača alebo iného softvéru. „Nová právna úprava poslednú vetu o webovom prehliadači z ustanovenia vypúšťa a zároveň dopĺňa, že súhlas musí byť preukázateľný,“ opisuje jednu zo zmien v zákone o elektronických komunikáciách. Zo súhlasu pritom musí byť zjavné, že je vážny, slobodne daný, konkrétny, informovaný a jednoznačný.
„Novela však neprináša zmenu vo forme súhlasu, nakoľko povinnosť aktívneho a preukázateľného súhlasu vyplýva už z rozsudku Súdneho dvora EÚ z roku 2019,“ uvádza odborník. V niektorých prípadoch dokonca je možné, aby bol súhlas udelený prostredníctvom nastavení webového prehliadača, avšak za podmienky, že je aktívny a preukázateľný. „Existujú prehliadače, ktoré majú automaticky zablokované všetky, okrem nevyhnutných cookies, a ak si používateľ v nastaveniach takéhoto prehliadača zapne aj ostatné cookies, ide o aktívny súhlas.“
Nový zákon totiž ustanovuje výnimku, kedy súhlas so spracovaním cookies nie je potrebný – pre tzv. nevyhnutné cookies, ktoré zabezpečujú fungovanie webu pre používateľa. Ide napr. o uloženie údajov o nákupe v košíku či zapamätanie preferovaného jazyka. Na použitie analytických a marketingových cookies už bude potrebné aktívne odsúhlasenie v nastaveniach cookies či na cookie lište / banneri.
Čo v praxi znamená, ak návštevník webu neodsúhlasí spracovanie cookies?
Ak návštevník webu neodsúhlasí spracovanie všetkých cookies, na firmu to bude mať veľký dopad najmä z marketingového hľadiska. Juraj Sasko z online marketingovej agentúry Visibility uvádza, že spoločnosť takýmto spôsobom príde o objem vstupných dát, ktoré doposiaľ získavala. Preto môže dôjsť k nie tak efektívnemu alebo relevantnému reklamnému obsahu, ktorý sa zobrazí používateľovi na webe a obmedzia sa možnosti cielenia reklám na používateľov podľa ich správania na webe.
Bez udania konkrétneho súhlasu môže nastať problém aj pri zbieraní anonymizovaných údajov, ktoré slúžia napr. na analytické účely. Aj takéto informácie totiž môžu byť osobným údajom, za ktorý sa podľa Nariadenia GDPR považuje meno, identifikačné číslo, lokalizačné údaje, online identifikátor a pod. Odborníci zo spoločnosti Top privacy uvádzajú, že online identifikátory, ktoré môžu byť používateľom pridelené, sú aj IP adresa či cookies. „Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov, môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu. Čiže ak hovoríme o online identifikátoroch, nehovoríme len o súboroch cookies,“ uvádzajú odborníci a zároveň vysvetľujú, že v prípade, ak je používateľovi priradený online identifikátor, ktorý spĺňa náležitosti osobného údaja, dochádza k spracúvaniu osobných údajov a je potrebný napr. súhlas dotknutej osoby. Samotný zber údajov bez použitia akéhokoľvek identifikátora by dotknutý nemal byť. Odborníci z Top privacy uvádzajú aj príklad:
„Ak sa zbierajú len anonymné informácie o návštevníkoch stránky tak, že dotyčný návštevník nie je v žiadnom prípade identifikovateľný, tak by to malo byť v poriadku (teda ak si otvorí stránku v priebehu dňa 4-krát, prevádzkovateľ bude vidieť len to, že niekto si stránku otvoril 4-krát a nebude vedieť, že to bol len jeden užívateľ). Ak však návštevníkovi je pridelený nejaký jedinečný identifikátor (nielen cookie) a prevádzkovateľ vie, o koho ide (nemusí ísť o konkrétnu informáciu, stačí ak je to vo forme používateľ 123), musia sa uplatniť podmienky GDPR (teda ak si otvorí stránku 4-krát a prevádzkovateľ uvidí, že jeden užívateľ si stránku otvoril 4-krát).“
So spracúvaním osobných údajov sa však spája aj oprávnený záujem, aby niektoré subjekty mohli vykonávať podnikateľskú činnosť - napríklad v prípade marketingových nástrojov, ktoré personalizujú obsah zákazníkom alebo e-shopov, ktoré také údaje používajú na zabezpečenie lepších služieb pre zákazníkov. V takom prípade podľa E. Mateášika z advokátskej kancelárie SCHIN & MAJDÚCH legal platí, že je rozdiel medzi pravidlami marketingu v súvislosti s GDPR a v súvislosti s cookies. „Čo sa týka marketingu v rámci GDPR, tak v zásade platí, že ak nemá prevádzkovateľ žiaden predošlý vzťah s dotknutou osobou, potrebuje na priamy marketing súhlas; ak tento vzťah má, stačí mu oprávnený záujem. Iná situácia je pri cookies – na také, ktoré personalizujú obsah, tzv. reklamné cookies alebo analytické cookies, vždy treba súhlas.“ Zároveň dodáva konkrétny príklad: „Ak dotknutá osoba nakúpila na e-shope, tak prevádzkovateľ s ňou má predošlý vzťah a môže jej zasielať priamy marketing aj bez jej súhlasu, a to na právnom základe oprávneného záujmu. Čo sa ale cookies týka, potrebuje na ne vždy súhlas, pričom sa vyžaduje nielen cookies súhlas, ale aj GDPR súhlas.“
Ako má vyzerať cookie lišta či banner od 1.2.2022?
Jednou z požiadaviek, ako po novom súhlas so spracovaním cookies získať, je rozdelenie súhlasov s jednotlivými typmi zbieraných informácií, napr. vo forme samostatnej položky na „odkliknutie“. „Zákon o ochrane osobných údajov vyžaduje konkrétny súhlas, čiže ak by dal používateľ iba jeden generálny súhlas pre všetky typy cookies, nebolo by to v súlade so zákonnou požiadavkou. Políčka, ktoré bude používateľ zaškrtávať, navyše nemôžu byť automaticky vyplnené vopred,“ uvádza E. Mateášik.
Podobne zmenu opisuje aj Ladislav Pedruk z firmy Bart.sk: „Návštevník webu by mal mať možnosť voliť kategórie cookies, podľa účelu. Mal by si vedieť povedať, či chce používať len základné cookies, alebo aj marketingové. Ak nezvolí žiadnu možnosť, web používa iba cookies, ktoré sú nutné pre chod stránky.“
Cookie lišta a banner po novom majú obsahovať aj tlačidlá, ktorými je možné nielen vybrať si medzi jednotlivými typmi cookies, ale aj ktorými je možné všetky cookies prijať či odmietnuť. Ak lišta obsahuje aj „krížik“ na zrušenie, používateľ musí vedieť stránku naďalej nerušene prehliadať a používať bez ukladania cookies. Súčasťou lišty alebo bannera taktiež musí byť link na komplexnú informáciu o spracúvaní osobných údajov.
Ako môže cookie lišta či banner vyzerať? Inšpirácia zo slovenských e-shopov
Slovenské e-shopy nové pravidlá implementovali do nastavení cookies na svojich webových stránkach rôznymi spôsobmi. Líšia sa miestom, v ktorom sa zobrazí „okno“ s informáciami o cookies, no tiež spôsobom, ako si používateľ môže zvoliť konkrétnu skupinu súborov cookies, na ktoré dáva povolenie. Pozrite si niekoľko príkladov, ako cookie lišta či banner vyzerajú v slovenských internetových obchodoch.