Dňa 1. februára 2022 nadobudol účinnosť nový zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý priniesol významné zmeny v oblasti spracúvania súborov cookies a priameho marketingu. Za porušenie nových pravidiel spracúvania cookies hrozí sankcia až do výšky 10 % z obratu. Vzhľadom na túto skutočnosť je dôležité porozumieť novým pravidlám a pripomenúť si existujúce.
Čo sú cookies a ako ich definuje legislatíva
Nový právny predpis síce priamo nepracuje s pojmom „cookies“, ale definuje situáciu, kedy „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.“ Práve na získavanie takýchto informácií slúžia súbory cookies.
Cookies sú krátke textové súbory, ktoré do vášho zariadenia, spravidla notebooku, PC alebo mobilu, ukladajú navštívené webstránky. Tejto webstránke umožňujú zapamätať si informácie o vašich preferenciách, teda o vás. Z uvedeného dôvodu teda vo väčšine prípadov môžeme hovoriť aj o spracúvaní osobných údajov.
Aké sú typy cookies
Existuje niekoľko typov cookies, avšak ich dominantným účelom je často prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov). Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.
Delenie cookies podľa účelu:
- Nevyhnutné (funkčné) cookies: Tieto súbory sú nevyhnutné pre správne fungovanie webstránky a nie je potrebné na ich používanie získať súhlas. Zabezpečujú napríklad možnosť prihlásenia sa do užívateľského konta alebo nastavenie jazykových preferencií.
- Analytické (štatistické) cookies: Pomáhajú pochopiť, ako návštevníci používajú webstránku, aké stránky si prezerajú a ako dlho sa na nich zdržiavajú. Umožňujú vlastníkom webstránok zlepšovať obsah a funkčnosť.
- Marketingové (reklamné) cookies: Používajú sa na zobrazovanie personalizovanej reklamy na základe predchádzajúceho správania používateľa na webe.
Cookies a ich právna úprava pred a po 1.2.2022
Právny rámec upravujúci podmienky používania cookies predstavuje:
- Smernica ePrivacy - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002
- Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022) (ďalej aj ako „Starý ZEK“)
- Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022) (ďalej aj len ako „Nový ZEK“)
- GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov)
Podľa článku 5 ods. 3 Smernice ePrivacy a následne aj podľa Starého a Nového ZEK, ukladanie alebo získavanie prístupu k informáciám v koncovom zariadení užívateľa je povolené len s jeho predchádzajúcim, preukázateľným a informovaným súhlasom.
Jedinou výnimkou, kedy sa súhlas návštevníka nevyžaduje, sú tzv. funkčné cookies (alebo technické cookies), ktoré sú nevyhnutné na správne fungovanie webstránky. Zabezpečujú napríklad možnosť prihlásenia sa do svojho užívateľského konta (napr. v e-shope) či nastavenie jazykových preferencií stránky.
Vyššie uvedený odkaz v smernici ePrivacy na smernicu 95/46/ES v súčasnosti prakticky znamená odkaz na Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR).
Rozdiely medzi Starým a Novým ZEK:
Podľa ust. § 55 ods. 5 Starého ZEK bolo možné súhlas udeliť aj prostredníctvom nastavenia webového prehliadača. Nový zákon o elektronických komunikáciách už túto možnosť neobsahuje. Podľa ust. § 109 ods. 8 Nového ZEK je na ukladanie alebo získavanie prístupu k informáciám uloženým v koncovom zariadení užívateľa potrebný preukázateľný súhlas.
Praktické otázky ku cookies od 1.2.2022
Ako správne spracúvať súbory cookies, ako si splniť informačnú povinnosť pre návštevníkov webstránky a ako by mala vyzerať správna cookie lišta?
Aký právny základ sa pre spracúvanie informácií prostredníctvom cookies vyžaduje?
Vždy súhlas dotknutej osoby, v tomto prípade návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR.
Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?
Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.
Musí mať udelený súhlas náležitosti podľa GDPR?
Áno, musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.
Aké sú náležitosti súhlasu podľa GDPR?
Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:
- Slobodne daný: Dotknutá osoba musí mať skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný. Praktickým príkladom neplatného súhlasu sú tzv. „cookie walls“, bez súhlasného odkliknutia ktorých nie je možné pokračovať v prehliadaní webstránky.
- Konkrétny: Súhlas je konkrétny vtedy, keď je poskytnutý na konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich. Rôzne typy cookies spracúvajú údaje na rôzne účely (marketingové, funkčné atď.).
- Informovaný: Používateľ musí byť informovaný o tom, na aké účely sa jeho údaje spracúvajú, aké údaje sa zhromažďujú a kto ich bude spracúvať.
- Jednoznačný prejav vôle: Súhlas musí byť vyjadrený formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu.
Aké sú ďalšie náležitosti súhlasu?
Súhlas musí byť získaný vopred, t.j. pred začatím spracúvania údajov, a musí byť možné ho kedykoľvek odvolať. Odvolanie súhlasu musí byť minimálne rovnako jednoduché ako jeho udelenie.
Je platnosť súhlasu s cookies časovo obmedzená?
Áno. Lehota, na ktorú je súhlas udelený, by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.
Kto má právomoc kontrolovať dodržiavanie povinností v súvislosti s cookies?
Oblasť ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb. Pravidlá používania cookies spadajú do kontrolnej pôsobnosti oboch úradov.
Aké sú sankcie?
Vysoké. Kým maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK môže dosiahnuť až 10 % z obratu za predchádzajúci kalendárny rok.
Praktické aspekty získavania súhlasu
Pre získanie platného súhlasu s cookies je potrebné:
- Zobraziť používateľovi prehľadnú a zrozumiteľnú cookie lištu, ktorá ho informuje o používaní cookies a umožňuje mu udeliť alebo odmietnuť súhlas s ich spracúvaním.
- Poskytnúť používateľovi podrobné informácie o používaných cookies, ich účele, dobe uchovávania a tretích stranách, ktoré k nim majú prístup, a to prostredníctvom zásad používania cookies (cookies policy).
- Umožniť používateľovi kedykoľvek odvolať svoj súhlas s používaním cookies.
- Zaznamenávať udelené súhlasy preukázateľným spôsobom.
WIX - Nastavení Cookies 2022 pro váš web
Je dôležité zvážiť, či na webstránke naozaj potrebujete všetky cookies a všetky údaje, ktoré sú tak spracúvané (zásada minimalizácie).
