Za porušenie nových pravidiel spracúvania cookies hrozí sankcia do 10 % z obratu. Na čo dať pozor, ako po novom súhlas získať a ako dlho ho možno uchovať? Odpovede na praktické otázky.
Dňa 1. februára 2022 nadobudne účinnosť nový zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý do nášho právneho poriadku zavádza smernicu Európskeho parlamentu a Rady (EÚ) 2018/1972, ktorou sa ustanovuje európsky kódex elektronických komunikácií.
Zákon prináša aj niektoré zmeny v oblasti spracúvania súborov cookies či v oblasti priameho marketingu. S ohľadom na sankcie, ktoré nový predpis prináša (až do výšky 10 % z obratu), je na mieste na nové pravidlá poukázať a tie existujúce si pripomenúť.
Čo sú cookies a ako ich definuje legislatíva
Nový právny predpis nepracuje priamo s pojmom „cookies“ (tento pojem teda v zákone nenájdeme), ale hovorí, že každý, „kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.“ A práve na získavanie takýchto informácií slúžia súbory cookies.
Cookies sú krátke textové súbory, ktoré do vášho zariadenia, spravidla notebooku, PC alebo mobilu, ukladajú navštívené webstránky. Tejto webstránke umožňujú zapamätať si informácie o vašich preferenciách, teda o vás. Z uvedeného dôvodu teda vo väčšine prípadov môžeme hovoriť aj o spracúvaní osobných údajov.
Aké sú typy cookies
Existuje niekoľko typov cookies, v zásade avšak ich dominantným účelom je prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov).
Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.
Cookies a ich právna úprava pred a po 1.2.2022
Právny rámec upravujúci podmienky používania cookies predstavuje:
- Smernica ePrivacy - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002
- Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022) (ďalej aj ako „Starý ZEK“)
- Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022) (ďalej aj len ako „Nový ZEK“)
- Smernica o súkromí a elektronických komunikáciách - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (ďalej aj ako „Smernica ePrivacy“)
Podľa článku 5 ods. 3 Smernice ePrivacy „členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“
Podľa článku 2 písm.) f Smernice ePrivacy „súhlas užívateľa alebo účastníka zodpovedá súhlasu dátového subjektu v súlade so smernicou 95/46/ES“.
Keď to zhrnieme a zjednodušíme, vyššie citované ustanovenia prakticky hovoria o tom, že pre spracúvanie súborov cookies sa vždy vyžaduje predchádzajúci súhlas návštevníka webstránky a tento súhlas musí mať náležitosti súhlasu podľa GDPR. Aké náležitosti to sú, uvedieme nižšie. Jedinou výnimkou, kedy sa súhlas návštevníka nevyžaduje, sú tzv. funkčné cookies (alebo technické cookies), ktoré sú nevyhnutné na správne fungovanie webstránky. Zabezpečujú napríklad možnosť prihlásenia sa do svojho užívateľského konta (napr. v e-shope) či nastavenie jazykových preferencií stránky. Pre takéto cookies sa súhlas nevyžaduje,
Vyššie uvedený odkaz v smernici ePrivacy na smernicu 95/46/ES v súčasnosti prakticky znamená odkaz na Nariadenie Európskeho parlamentu a Rady
(EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj len ako „GDPR“). A to z dôvodu, že táto smernica bola nariadením GDPR zrušená a nahradená.
- Starý zákon o elektronických komunikáciách - Zákon č. 351/2011 Z. z. o elektronických komunikáciách účinný do 31.01.2022 (ďalej aj ako „Starý ZEK“)
Podľa ust. § 55 ods. 5 Starého ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu. ... To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“
- Nový zákon o elektronických komunikáciách - Zákon č. 452/2021 Z. z. o elektronických komunikáciách účinný od 01.02.2022 (ďalej aj len ako „Nový ZEK“)
Podľa ust. § 109 ods. 8 Nového ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“
Ako je z vyššie uvedeného porovnania citovaných ustanovení zrejmé, nový zákon o elektronických komunikáciách už neobsahuje možnosť udelenia súhlasu prostredníctvom nastavenia webového prehliadača.
Praktické otázky ku cookies od 1.2.2022
Ďalej prostredníctvom praktických otázok a odpovedí vysvetlíme, ako správne spracúvať súbory cookies, ako si splniť informačnú povinnosť pre návštevníkov webstránky a ako by mala vyzerať správna cookie lišta.
Aký právny základ sa pre spracúvanie informácií prostredníctvom cookies vyžaduje?
Vždy súhlas dotknutej osoby, v tomto prípade návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR. Inými slovami – aby bolo spracúvanie cookies zákonné, musí s tým vždy daná osoba súhlasiť (udeliť vopred súhlas).
Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?
Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.
Musí mať udelený súhlas náležitosti podľa GDPR?
Áno musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.
Aké sú náležitosti súhlasu podľa GDPR?
Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:
- slobodne daný;
- konkrétny;
- informovaný; a
- jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
Kedy je súhlas slobodne daný?
Vtedy, keď má dotknutá osoba skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný.
Praktický význam pre cookies: Osoba bude mať pocit, že je do súhlasu nútená, napríklad v prípade tzv. cookie walls, bez súhlasného odkliknutia ktorej nebude možné pokračovať v prehliadaní webstránky. V takomto prípade by išlo o vynútený súhlas, nie dobrovoľný.
Príklad cookie wall:
Z uvedeného príkladu je zrejmé, že aby ste mohli pokračovať v prehliadaní webstránky, musíte najprv udeliť súhlas so spracúvaním cookies. Takýto súhlas nie je možné považovať za slobodne daný a preto je neplatný.
Kedy je súhlas konkrétny?
Súhlas je konkrétny vtedy, keď je poskytnutý konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich.
Praktický význam pre cookies: Zjednodušene povedané, rôzne typy cookies spracúvajú údaje na rôzne účely. Marketingové cookies na účely marketingu a cieleniu reklám, funkčné cookies si pamätajú preferencie užívateľa ako napríklad jazykové nastavenia či užívateľské meno, atď. So všetkými účelmi musí byť návštevník webstránky oboznámený a vo vzťahu ku každému účelu musí mať možnosť voľby, či súhlasí alebo nie.
Kedy je súhlas informovaný?
Európsky výbor na ochranu údajov zastáva názor, že na získanie platného súhlasu sú potrebné aspoň tieto informácie, ktoré je potrebné poskytnú vopred:
- identita prevádzkovateľa,
- účel všetkých spracovateľských operácii, na ktoré sa požaduje súhlas,
- aké údaje (druh údajov) sa budú získavať a používať,
- existencia práva odvolať súhlas a
- informácie o použití údajov na automatizované rozhodovanie (ak je to relevantné) a o možných rizikách prenosu údajov v dôsledku absencie rozhodnutia o primeranosti a primeraných záruk podľa článku 46 GDPR.
Aké ďalšie informácie sú vyžadované?
- informácie o typoch cookies a o ich funkciách,
- informácie o tom, kto ich prevádzkuje,
- informácie o dobe uchovávania odo dňa udelenia súhlasu
- informácie, či budú získané údaje poskytnuté tretím stranám. S poskytnutím tretej strane sa vyžaduje samostatný súhlas.
Ako tieto informácie poskytnúť?
Požiadavka na formu: Vo všeobecnosti môžu byť tieto informácie predkladané rôznymi spôsobmi (písomne, ústne, zvukovými správami). Vo vzťahu ku cookies sa však z praktických dôvodov vyžaduje tzv. cookie lišta.
Požiadavka na spôsob: Mal by byť použitý zrozumiteľný a jednoduchý jazyk, teda informácie by mali byť jednoducho pochopiteľné aj pre bežného človeka, nielen pre právnika.
Aké sú ďalšie náležitosti súhlasu?
- súhlas musí byť získaný vopred, t.j. pred začatím spracúvania údajov, resp. pred uložením cookies do koncového zariadenia,
- súhlas musí byť kedykoľvek odvolateľný,
- súhlas musí byť možné odvolať rovnako jednoducho, ako ho udeliť,
- súhlas musí byť vyjadrením aktívneho úkonu, tzn. užívateľ musí zakliknúť súhlasím/nesúhlasím, áno/nie a pod.,
- súhlas musí byť kedykoľvek editovateľný, tzn. užívateľ musí mať možnosť kedykoľvek svoje preferencie upraviť a zmeniť,
- súhlas musí užívateľom umožniť aktivovať len niektoré kategórie cookies a iné nie.
Ako dlho uchovať udelený súhlas?
Dobu uchovávania súhlasu pre účely cookies
GDPR ani zákon o elektronických komunikáciách prevádzkovateľom webstránky priamo neurčuje.
Preto by sme ju mali odvodiť od kontrolných kompetencií dozorných orgánov
a uchovávať 4, resp. 5 rokov. Prevádzkovateľ webstránky je totiž
v prípade kontroly zo strany úradu vždy povinný preukázať splnenie
povinnosti udelenia súhlasu.
Nový zákon o elektronických komunikáciách účinný od 1. februára 2022 však určuje lehotu pre uchovávanie súhlasu udeleného pre účely priameho marketingu (napríklad zasielanie newslettra). Dobu uchovávania súhlasu pre tento účel stanovil na minimálne 4 roky odo dňa odvolania súhlasu. Myslíme si, že rovnaká doba by sa mala uplatňovať aj pre súhlas vo vzťahu k súborom cookies.
Ako by mala vyzerať cookie lišta?
Lišta (alebo obdobný nástroj) musí návštevníkovi webstránky umožniť:
- jedným zakliknutím prijať všetky cookies;
- jedným zakliknutím odmietnuť všetky cookies;
- umožniť voľbu medzi jednotlivými typmi cookies (niektoré prijať, iné nie);
- ak lišta obsahuje možnosť zrušenia (štandardne „X“ v pravom hornom rohu) – po zrušení kliknutím na X musí byť užívateľovi umožnené prehliadať webstránku bez toho, aby boli do jeho zariadenia cookies ukladané; a
- podľa usmernení zahraničných kontrolných orgánov by mali byť všetky tlačidlá (teda (i) Prijať všetko, (ii) Zamietnuť všetko a (iii) Spravovať) rovnakej farby, aby zvýraznený farebná preferencia na tlačidlo Prijať všetko nenavádzala návštevníka webu na toto konkrétne kliknutie
- lišta musí obsahovať aj preklik na komplexnú informáciu o spracúvaní osobných údajov (teda informačnú povinnosť druhej vrstvy podľa článku 13 a článku 14 GDPR).
Príklad správnej lišty z webstránky EDPB:
Je platnosť súhlasu s cookies časovo obmedzená?
Áno, však ku konkrétnej lehote existujú len zahraničné usmernenia. Lehota, na ktorú je súhlas udelený by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.
Kto má právomoc všetky povinnosti v súvislosti cookies kontrolovať?
Odpoveď na túto otázku nie je v súčasnosti úplne jednoznačná. Kontrolovať agendu ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Kontrolovať reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb. Ako je však zrejmé, pravidlá používania cookies spadajú do kontrolnej pôsobnosti obidvoch úradov. V budúcnosti bude preto potrebné nastaviť jednotné a hlavne jasné pravidlá kto, čo a v akom rozsahu môže kontrolovať. V tejto chvíli nemožno vylúčiť, že kontrolovať podmienky používania cookies budú zástupcovia tak jedného, ako aj druhého úradu. Kým udeliť pokutu podľa ZEK možno do 4 rokov odo dňa porušenia povinnosti, podľa Zákona o ochrane osobných údajov do 5 rokov odo dňa porušenia povinnosti.
Aké sú sankcie?
Vysoké. Samozrejme sa budú odvíjať od druhu porušenia povinnosti, avšak kým maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK až 10 % z obratu za predchádzajúci kalendárny rok.
Záver
Aby bolo spracúvanie údajov cez cookies zákonné, je potrebné vždy:
- Zvážiť, či na webstránke potrebujem všetky cookies a všetky údaje, ktoré sú tak spracúvané (zásada minimalizácie).
- Získať súhlas osoby (okrem technických cookies, tie bez súhlasu).
- Súhlas sa vyžaduje aj pre cookies, ktoré nepredstavujú osobné údaje.
- Za súhlas sa už nebude považovať nastavenie webového prehliadača.
- Súhlas musí spĺňať náležitosti podľa GDPR.
- Splniť informačnú povinnosť v dvoch vrstvách (požiadavka transparentnosti) – prvá vrstva cookie lišta, druhá vrstva Privacy policy.
- Informovať o všetkých typoch a účeloch cookies, ako aj o tretích stranách.
- Poskytnúť také technické riešenie, ktoré umožní súhlas kedykoľvek odvolať a modifikovať.