Súdny dvor EÚ vydal rozsudok, v ktorom naznačil, ako správne postupovať pri získavaní súhlasu užívateľov s ukladaním súborov cookies. Aké zmeny priniesol?
Aj napriek tomu, že v súčasnosti takmer každá webová stránka využíva súbory cookies, možno v praxi nájsť zásadné rozdiely v nastavení týchto súborov a plnení si povinností, ktoré s nimi súvisia. Po účinnosti GDPR bol totiž prevádzkovateľmi webových stránok zvolený nejednoznačný postup ohľadne používania cookies. Viac svetla do problematiky priniesol až Súdny dvor EÚ v októbri 2019.
Čo sú súbory cookies?
Súbory cookies predstavujú malé textové súbory, ktoré sú navštívenou webovou stránkou ukladané do zariadenia užívateľa. Jednoducho povedané, ide súbory, ktoré môžu byť pri prehliadaní nejakej webovej stránky ukladané v konkrétnom zariadení napr. v počítači, smartfóne či tablete.
Prostredníctvom týchto súborov môže prevádzkovateľ webovej stránky získavať informácie o správaní užívateľa na webovej stránke a jeho preferenciách. Webové stránky používajú cookies na zapamätanie si používateľských nastavení (napr. prihlasovanie údaje). Dôvodom je najmä správna funkcionalita webovej stránky, ale aj prispôsobenie reklám záujmom užívateľa.
Niektoré druhy cookies predstavujú osobné údaje užívateľa (návštevníka) webovej stránky. Napríklad tie, ktoré slúžia na identifikáciu konkrétneho zariadenia alebo konkrétneho užívateľa webovej stránky (najčastejšie to sú marketingové alebo reklamné cookies). Vtedy sa cookies považujú za online identifikátory, pretože prevádzkovateľ prostredníctvom nich zhromažďuje osobné údaje o konkrétnej osobe.
Tie cookies, ktoré nemajú schopnosť identifikovať užívateľa webovej stránky, nie sú online identifikátormi (napr. tzv. essential - technické cookies, ktoré sú potrebné pre správne zobrazenie a fungovanie webovej stránky).
Čo platilo pre cookies doteraz?
Právna úprava týkajúca sa cookies sa nachádza vo viacerých právnych predpisoch, najmä:
- v zákone č. 351/2011 Z. z. o elektronických komunikáciách,
- v smernici Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 o súkromí a elektronických komunikáciách, známej ako smernica ePrivacy
- v európskom nariadení GDPR a slovenskom zákone č. 18/2018 Z. z. o ochrane osobných údajov – ak ide o cookies, ktoré predstavujú osobné údaje.
Cookies, ktoré sú osobnými údajmi
GDPR sa vzťahuje len na také súbory cookies, ktoré sú schopné zbierať osobné údaje o užívateľovi webovej stránky (napr. spomínané marketingové alebo reklamné cookies). V takomto prípade môžu byť cookies získavané na základe právneho titulu, ktorým je:
- výslovný súhlas užívateľa webovej stránky,
- plnenie zmluvy alebo
- oprávnený záujem prevádzkovateľa.
To znamená, že získať súhlas užívateľa webovej stránky s používaním či ukladaním cookies je nutné len pre používanie takých cookies, ktoré predstavujú osobné údaje.
Teda, spracúvanie osobných údajov, ktoré
boli získané cez cookies na marketingové či reklamné účely prevádzkovateľa
webovej stránky, je možné len vtedy, ak
s takýmto spracúvaním vyjadril daný užívateľ svoj súhlas. Aké náležitosti
musí súhlas podľa GDPR spĺňať sa dočítate v článku Súhlas
so spracúvaním osobných údajov podľa GDPR od 25.5.2018.
GDPR však pre súhlas so spracúvaním
osobných údajov neustanovuje žiadnu predpísanú formu.
Aj preto po jeho účinnosti nastal u prevádzkovateľov problém spočívajúci v tom, či je potrebné, aby bol tento súhlas
užívateľa aktívny alebo nie.
Český úrad na ochranu osobných údajov vo svojom stanovisku uviedol, že prostriedkom na udelenie súhlasu s používaním cookies sú samotné nastavenia prehliadača užívateľa webovej stránky. Na základe toho sa nevyžadovalo aktívne udelenie súhlasu užívateľa (napr. kliknutím na tlačidlo „súhlasím“ alebo zaškrtnutím políčka). Užívateľ mal vyjadriť svoj súhlas či nesúhlas s používaním cookies prostredníctvom svojho prehliadača.
Slovenský úrad na ochranu osobných údajov k tejto problematike nevyjadril žiadne stanovisko. V praxi bolo možné stretnúť sa aj s tým, že viaceré webové stránky nežiadali aktívny súhlas užívateľa a uspokojili sa len s tzv. vyskakovacou lištou, ktorá každého nového návštevníka informovala o tom, že webová stránka používa cookies.
Cookies, ktoré nie sú osobnými údajmi
Na súbory cookies, ktoré nepredstavujú osobné údaje, sa GDPR nevzťahuje. Napriek tomu je potrebné dodržiavať povinnosti ustanovené v smernici o súkromí a elektronických komunikáciách a v zákone o elektronických komunikáciách.
Náš zákon o elektronických komunikáciách (§ 55 ods. 5) určuje, že každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.
V zmysle tohto je za súhlas užívateľa s používaním cookies, ktoré nie sú osobnými údajmi, považované aj samotné nastavenie prehliadača. Vychádza sa z toho, že každý užívateľ si v nastavení svojho prehliadača sám určuje, či webovej stránke umožní ukladať cookies do svojho zariadenia (napr. smartfónu) alebo nie.
Vychádzajúc zo stanoviska Českého úradu na ochranu osobných údajov a zo slovenského zákona o elektronických komunikáciách možno povedať , že pri používaní obidvoch druhov cookies nebolo doposiaľ nutné zo strany prevádzkovateľov získať aktívny súhlas užívateľa webovej stránky, pretože ako súhlas postačovalo aj nastavenie webového prehliadača užívateľa. V októbri 2019 Súdny dvor EÚ rozhodol inak.
Čo v súvislosti s používaním cookies zmenil rozsudok Súdneho dvora EÚ?
Predmet sporu
V roku 2013 usporiadala nemecká spoločnosť Planet49 online výhernú hru, pri ktorej užívatelia webovej stránky, ktorí sa chceli hry zúčastniť, vyjadrili svoj súhlas s ukladaním cookies na reklamné účely týkajúcim sa výrobkov partnerov menovanej spoločnosti vopred zaškrtnutým políčkom. Proti spoločnosti Planet49 podal nemecký zväz spotrebiteľských organizácií na nemeckom súde žalobu za nesprávne získanie súhlasu vopred zaškrtnutým políčkom.
Nemecký súd podal návrh na začatie prejudiciálneho konania, ktorým požiadal Súdny dvor EÚ o výklad práva Únie v oblasti ochrany súkromia v rámci elektronickej komunikácie.
Rozsudok ohľadne cookies – vopred zaškrtnuté políčko nie je správne
Súdny dvor EÚ vo veci rozhodol 1. októbra 2019 rozsudkom č. C-673/17, ktorým dal jednoznačnú odpoveď na čiastkové otázky týkajúce sa správneho postupu získavania súhlasu s používaním cookies od užívateľov webových stránok. Ustálil, že ukladanie a používanie cookies (nielen na reklamné účely) si vyžaduje aktívny súhlas užívateľa. To znamená, že súhlas, ktorý užívateľ musí dať na ukladanie cookies, nie je účinne daný prostredníctvom vopred zaškrtnutého políčka. Vopred zaškrtnuté políčko v žiadnom prípade nepostačuje, pretože užívateľ si ho pred pokračovaním v činnosti na webovej stránke ani nemusel všimnúť.
V zmysle rozsudku je preto nevyhnutné, aby súhlas s používaním a ukladaním cookies bol každým užívateľom udelený aktívne (t. j. aby užívateľ sám zaškrtol políčko, že s používaním a ukladaním cookies súhlasí alebo klikol na tlačidlo „súhlasím“). Od 1. októbra je teda vopred zaškrtnutý súhlas s ukladaním cookies na webových stránkach neplatný. Weby tak môžu cookies ukladať len na základe aktívneho odsúhlasenia užívateľa.
Súhlas s používaním cookies nie je daný zákonne, ak je políčko súhlasu vopred zaškrtnuté.
Súdny dvor EÚ tiež skonštatoval, že ktorékoľvek informácie uložené v koncovom zariadení užívateľa sú súčasťou jeho súkromia, nehľadiac na to, či ide o osobné údaje alebo nie.
Zmena, ktorú Súdny dvor EÚ vyjadril vo svojom rozsudku teda spočíva aj v tom, že takéto aktívne udelenie súhlasu užívateľa sa vyžaduje pri všetkých súboroch cookies, bez ohľadu na to, či predstavujú alebo nepredstavujú osobné údaje, teda bez ohľadu na to, či sú alebo nie sú online identifikátormi v zmysle GDPR. Z toho možno vyvodiť záver, že aktívny súhlas by mal byť získaný aj pri používaní a ukladaní napríklad tzv. technických cookies, ktoré sami o sebe nie sú online identifikátormi.
Okrem toho Súdny dvor potvrdil, že prevádzkovateľ by si mal vždy splniť informačnú povinnosť, t. j. poskytnúť užívateľovi bližšie informácie o všetkých ním využívaných cookies (napr. ich účel, dĺžku funkčnosti, aj to či tretie osoby majú prístup k týmto cookies).
Úloha súdneho dvora (nielen) pri regulácii cookies
Súdny dvor EÚ zabezpečuje, aby sa výklad a uplatňovanie práva Únie dodržiavalo a vykladalo rovnako vo všetkých členských štátoch. Jeho rozsudky poskytujú oficiálny a právne záväzný výklad práva Únie. Postupom naznačeným vo vyššie uvedenom rozsudku chce Súdny dvor EÚ predovšetkým dosiahnuť vyššiu mieru ochrany súkromia užívateľov webových stránok pred zneužívaním, pretože tá je jedným z hlavných cieľov európskeho práva. Cieľom je najmä chrániť užívateľov pred nebezpečenstvom, že skryté identifikátory alebo iné podobné zariadenia preniknú do koncového zariadenia týchto užívateľov bez ich vedomia.
S danou problematikou sa však budú musieť ešte vysporiadať orgány EÚ v novo pripravovanom nariadení ePrivacy (nariadenie o ochrane súkromia a elektronických komunikácií). Najmä budú musieť zvážiť, či sa bude vychádzať z judikatúry Súdneho dvora EÚ alebo sa zvolí iný postup, ktorý bude pre členské štáty priamo záväzný. O tomto nariadení sa stále rokuje. Predpokladá sa, že budúci rok bude schválené a účinnosť nadobudne v roku 2021. Bude slúžiť ako doplnok už k existujúcemu nariadeniu GDPR.
Čo hovorí na zmenu v používaní cookies Úrad na ochranu osobných údajov SR?
Aktuálne sa problematike cookies venuje aj Úrad na ochranu osobných údajov SR, ktorý v tejto veci oslovil gestora zákona o elektronických komunikáciách, a to Úrad pre reguláciu elektronických komunikácií a poštových služieb spolu s Ministerstvom dopravy a výstavby SR. Tieto orgány budú v najbližšom období hľadať spôsob ako bude ďalej potrebné postupovať v zmysle rozsudku Súdneho dvora EÚ.