V dnešnom digitálnom svete je kľúčové mať na vašom webe jasné a právne záväzné obchodné podmienky, najmä ak predávate klientom produkty alebo poskytujete služby. Tieto podmienky sú kľúčové nielen pre ochranu vašich práv, ale aj práv vašich používateľov.
V súčasnom digitálnom prostredí, kde webové stránky zhromažďujú množstvo údajov od používateľov, sa téma cookies a súladu s GDPR stáva mimoriadne aktuálnou. Aplikovanie cookies nie je iba technickou otázkou - úzko súvisí s právnymi normami, transparentnosťou a ochranou osobných údajov.
Čo sú cookies a prečo sú dôležité?
Cookies sú malé textové súbory, ktoré weby ukladajú do používateľovho prehliadača za účelom sledovania správania, analýzy návštevnosti alebo personalizácie obsahu. Súbor cookie sa dá charakterizovať ako malý textový súbor, ktorý je navštívenou webovou lokalitou (webovou stránkou) uložený do počítača používateľa, t. j. súbor, ktorý si webová stránka ukladá v konkrétnom počítači alebo v mobilnom zariadení pri jej prehliadaní. Vďaka súborom cookies si stránka na určitý čas uchováva informácie o krokoch či preferenciách používateľa (napr. prihlasovacie meno, jazyk, veľkosť písma a ďalšie nastavenia). Ak tieto informácie boli predtým webovej stránke poskytnuté, nemusí ich používateľ pri ďalšej návšteve tej istej stránky opätovne uvádzať. Budúca návšteva tak môže prebehnúť ľahšie, rýchlejšie a efektívnejšie, bez zbytočného zdržiavania. Jednoducho povedané, webové stránky používajú cookies na zapamätanie si používateľských nastavení. Hlavným dôvodom je napríklad lepšie prispôsobenie reklám záujmom návštevníkov či nevyhnutná funkcionalita stránok.
Príklad: Prostredníctvom cookies zostáva návštevníkovi (kupujúcemu) jeho online nákup v košíku e-shopu a nevysype sa hneď ako z neho odíde.
Kategórie cookies a ich účel
Na účely GDPR je dôležité správne identifikovať, o aký typ cookies ide.
- Nevyhnutné cookies: Tieto cookies sú potrebné pre samotné fungovanie webu. Napríklad udržiavanie relácie používateľa alebo ochrana pred zneužitím formulárov.
- Preferenčné cookies: Ukladajú informácie o preferenciách používateľa - napríklad voľba jazyka stránky. Aj keď nie sú absolútne nevyhnutné, zlepšujú používateľský zážitok.
- Štatistické cookies: Pomáhajú majiteľom stránok pochopiť správanie návštevníkov prostredníctvom anonymného zberu údajov (napr. prostredníctvom nástrojov ako Google Analytics).
- Marketingové cookies: Slúžia na sledovanie návštevníkov naprieč webovými stránkami a umožňujú zobrazovať cielenú reklamu.
Cookies a GDPR: Kedy sa považujú za osobné údaje?
Súbor cookie je malý textový súbor, ktorý sa ukladá do zariadenia používateľa počas prehliadania webovej stránky. Jedným zo spôsobov spracúvania osobných údajov je aj ich zbieranie prostredníctvom súborov cookies. Práve tie posielajú osobné údaje zo zariadenia používateľa (napr. z počítača alebo smartfónu) prevádzkovateľovi (napr. vlastníkovi webovej stránky). Cookies, ktoré slúžia na identifikáciu konkrétneho zariadenia alebo používateľa, sa podľa GDPR považujú za osobné údaje. Odsek č. 30 úvodného textu GDPR ustanovuje, že fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.
V podstate ide o to, že niektoré (nie všetky) súbory cookies sú tzv. online identifikátormi. Prostredníctvom nich môže prevádzkovateľ (napr. vlastník webovej stránky) zistiť totožnosť fyzickej osoby, do ktorej zariadenia webová stránka cookies uložila (napr. totožnosť konkrétneho používateľa ako návštevníka webovej stránky). To znamená, že všetky informácie, ktoré cookies o správaní danej osoby na internete vyšle prevádzkovateľovi, môžu byť následne spárované s konkrétnou osobou. Prevádzkovateľ sa tak môže dozvedieť o preferenciách alebo správaní používateľa na internete. Inak povedané, prevádzkovateľ prostredníctvom súborov cookies zhromažďuje o konkrétnej osobe jej osobné údaje. Avšak, ako sme vyššie naznačili, nie všetky súbory cookies zbierajú (spracúvajú) osobné údaje používateľov - nie všetky totižto majú schopnosť identifikovať používateľa webovej stránky, teda nie všetky cookies sú automaticky online identifikátormi (napr. tzv. technické cookies, ktoré sú potrebné pre správne zobrazenie webovej stránky). GDPR sa takéhoto druhu cookies netýka.
Naopak, GDPR sa vzťahuje len na také súbory cookies, ktoré sú schopné zbierať (spracúvať) osobné údaje o používateľovi webovej stránky (napr. tzv. marketingové alebo reklamné cookies). Ak webová stránka firmy nepoužíva také cookies, ktoré by boli schopné zbierať osobné údaje používateľov, nemusel prevádzkovateľ v súvislosti s GDPR od konca mája 2018 vykonať žiadne zmeny týkajúce sa ochrany osobných údajov.
Právny základ pre spracúvanie cookies
Prevádzkovateľ musí jasne formulovať (stanoviť) účel spracúvania osobných údajov získavaných prostredníctvom cookies. Účelov môže byť hneď niekoľko - napr. marketingový a reklamný, štatistický, monitoring návštevnosti webovej stránky a i.. Každému z nich však zodpovedajú osobitné požiadavky na úpravu vzťahu medzi používateľom webovej stránky a jej prevádzkovateľom. V praxi najčastejšie ide o získavanie osobných údajov cez cookies na marketingový alebo reklamný účel (napr. na zber údajov). Vtedy hovoríme o tzv. marketingových cookies. Tie zhromažďujú informácie o obsahu, ktorý používateľ na webovej stránke prehliada. Ide o taký účel spracúvania osobných údajov, ktorý vyplynul z iniciatívy prevádzkovateľa webovej stránky, je najmä v jeho záujme a realizácia vzťahu medzi prevádzkovateľom a používateľom (umožnenie prezerania stránky alebo nákup tovaru) by bola možná aj bez tohto účelu.
Pre spracúvanie osobných údajov používateľa získaných na základe takéhoto druhu cookies je nevyhnutné zvoliť vhodný právny základ spracúvania podľa GDPR (čl. 6 ods. 1 písm. a, b alebo f).
Osobné údaje používateľa webovej stránky získané súbormi cookies môžu byť prevádzkovateľom spracúvané napríklad na základe týchto právnych titulov:
- súhlasu používateľa so spracúvaním na jeden alebo viacero konkrétnych účelov (čl. 6 ods. 1 písm. a),
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je používateľ (čl. 6 ods. 1 písm. b),
- spracúvanie je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany (okrem prípadov, keď nad takými záujmami prevažujú záujmy alebo základné práva a slobody používateľa - čl. 6 ods. 1 písm. f).
Okrem vymenovaných právnych základov môže prichádzať do úvahy ešte ďalší - keď je spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa. Tento právny základ je však v praxi menej uplatňovaný.
Získavanie súhlasu s používaním cookies
Súhlas je jedným z najčastejšie využívaných právnych základov, na podklade ktorého môže prevádzkovateľ používať cookies, a tým spracúvať zhromaždené osobné údaje používateľa webovej stránky. Súhlas používateľa webovej stránky sa nevyžaduje napríklad na:
- používanie súborov cookies, ktoré sú nevyhnutne potrebné pre zabezpečenie správneho chodu (zobrazenia) stránky a internetových služieb, tzv. technické cookies.
- používanie súborov cookies, ktoré monitorujú návštevnosť stránky.
V prípade využívania takýchto druhov cookies postačí, ak webová stránka vopred používateľa len upozorní, že ich používa. Súhlas používateľa si vyžiadať nemusí.
Pre všetky ostatné súbory cookies (napr. tzv. marketingové cookies) je nutné získať súhlas používateľa webovej stránky so spracúvaním jeho osobných údajov, resp. s používaním cookies. To znamená, že spracúvanie osobných údajov, ktoré boli získané cez cookies na marketingové účely prevádzkovateľa, je možné len za podmienky, že s takýmto spracúvaním vyjadril používateľ platný súhlas.
Podľa GDPR musí súhlas spĺňať viaceré náležitosti.
Ako správne získať súhlas?
Aktuálne účinný zákon o elektronických komunikáciách (§ 55 ods. 5) ustanovuje, že každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu. Vo všeobecnosti sa vychádza z toho, že používateľ určuje nastavenie svojho zariadenia (napr. počítača) alebo prehliadača webových stránok. Používateľ určí v nastavení svojho prehliadača, či umožní webovej stránke ukladať cookies do koncového zariadenia. Samotné nastavenie prehliadača je teda možné považovať za súhlas používateľa s používaním cookies a spracúvaním osobných údajov. Prehliadač predstavuje nástroj sprostredkovania tohto súhlasu.
Súhlas používateľa sa bude považovať za platne udelený vtedy, keď prevádzkovateľ webovej stránky dá používateľovi na výber, či o ňom budú cookies súbory zbierať osobné údaje alebo nie. To znamená, že prevádzkovateľ by mal používateľovi po otvorení webovej stránky ponúknuť okno s informáciami (vyskakovacie okno - tzv. cookie lišta), v ktorom budú uvedené všetky cookies (každý jednotlivo), ktorých aktivácia podlieha súhlasu používateľa a pri každom jednom cookie bude checkbox na aktivovanie pomocou kliknutia (nie vopred zaškrtnutý checkbox) - metóda OPT-IN. Súčasťou takéhoto okna musí byť presné uvedenie účelu, na ktorý sa cookie súbory používajú.
Neplatne získaný súhlas by bol napríklad vtedy, keby zakliknutím jedného checkboxu bol daný súhlas so všetkými používanými cookies naraz - „Súhlasím s používaním cookies na marketingové účely.“ Neplatným by bol tiež súhlas, ktorý by sa viazal na prijatie všeobecných obchodných podmienok prevádzkovateľa alebo všeobecných podmienok prezerania webovej stránky.
Zdôrazňujeme, že v prípade kontroly musí prevádzkovateľ webovej stránky udelený súhlas vedieť kedykoľvek preukázať.
Splnenie informačnej povinnosti
Pri získavaní osobných údajov je nutné, aby prevádzkovateľ poskytol používateľovi webovej stránky všetky informácie podľa GDPR (napr. jeho totožnosť a kontaktné údaje, účel a právny základ spracúvania osobných údajov a ďalšie). Jednoducho povedané, prevádzkovateľ si pred získaním súhlasu musí voči používateľovi splniť informačnú povinnosť. Používateľ webovej stránky tak musí mať ešte pred zakliknutím jednotlivých checkboxov možnosť prečítať si, resp. oboznámiť sa so zásadami používania cookies, ktoré musia obsahovať aj výpočet všetkých používaných cookies. Z praktického hľadiska je možné si túto informačnú povinnosť splniť takým spôsobom, že do vyskakovacieho okna, v ktorom sa zaklikávajú checkboxy pre jednotlivé súbory cookies, sa tiež umiestni link odkazujúci na webovú stránku s obsahom zásad používania cookies.
Nesplnenie informačnej povinnosti môže byť podľa nového zákona o ochrane osobných údajov sankcionované až do výšky 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
Príklady cookie lišty
Tu sú príklady, ako môže vyzerať cookie lišta:
- Príklad 1: Cookies Na našich stránkach používame cookies. Slúžia na zlepšenie našej práce a vášho zážitku z čítania na www.podnikajte.sk. Bližšie informácie nájdete v Pravidlách používania cookies (link na Pravidlá používania cookies).
- Príklad 2: Táto webová stránka používa cookies. Na personalizáciu obsahu a reklám, poskytovanie funkcii sociálnych médií a na analýzu návštevnosti využívame na www.podnikajte.sk súbory cookies. Viac informácii (link na Zásady ochrany osobných údajov).
Súčasťou lišty by mali byť tlačidlá, ktorými je možné prijať, odmietnuť alebo si zvoliť jednotlivé typy cookies. Taktiež by mala obsahovať odkaz na komplexnú informáciu o spracúvaní osobných údajov.
Nariadenie ePrivacy a jeho vplyv na cookies
Schválené európske nariadenie o rešpektovaní súkromného života a ochrany osobných údajov v elektronických komunikáciách - tzv. nariadenie ePrivacy (známe aj ako “Cookie Directive”), ktoré sa dotýka používania cookies, zatiaľ nenadobudlo účinnosť. Jeho cieľom je doplnenie a zosúladenie s GDPR, tiež zavedenie jednoduchších pravidiel pre používanie cookies. Na rozdiel od GDPR je však primárne zamerané na ochranu osobných údajov fyzických i právnických osôb výlučne v elektronickom prostredí. Ide o špeciálny predpis vo vzťahu ku GDPR, ktorý sa bude musieť aplikovať prednostne. Hlavnou zmenou, ktorú by ePrivacy malo priniesť je odstránenie vyskakovacieho okna (tzv. cookie lišty). Používatelia webových stránok ju často odklikávajú bez toho, aby vôbec venovali pozornosť tomu, čo vlastne znamená.
Zodpovednosti prevádzkovateľa a Shoptet
Spoločnosť Shoptet, a.s., IČO 289 35 675, so sídlom Dvořeckého 628/8, Břevnov, 160 00, Praha 6, zapísaná u Mestského súdu v Prahe, oddiel B, vložka 25395 ("Shoptet") považuje osobné údaje svojich zákazníkov, dodávateľov a ďalších osôb za niečo, čo je potrebné chrániť. Spoločnosť Shoptet vystupuje pri spracúvaní osobných údajov svojich zákazníkov v postavení spoločného prevádzkovateľa so spoločnosťami Shoptet s.r.o., so sídlom Galvániho 15/B Bratislava - mestská časť Ružinov 821 04 Slovenská republika, IČO: 53607791, Shoptet Korlátolt Felelősségű Társaság, so sídlom 1027 Budapest, Kacsa utca 15-23 Maďarsko, IČO: 01-09-357795 a Reshoper s.r.o., so sídlom Dvořeckého 628/8, Břevnov, 160 00, Praha 6, IČO: 04180241. Kedykoľvek sa uvádza "Shoptet" sú tým myslení všetci spoloční prevádzkovatelia.
Nižšie sa dozviete, ako spoločnosť Shoptet pristupuje k ochrane osobných údajov svojich zákazníkov, potenciálnych zákazníkov, dodávateľov či prípadne ďalších subjektov údajov. Spracúvanie osobných údajov je považované za prísne dôverné a s osobnými údajmi je nakladané v súlade s platnými právnymi predpismi v oblasti ochrany osobných údajov, najmä všeobecným nariadením o ochrane osobných údajov (EU) 2016/679 ("Nariadenie GDPR").
Vaše osobné údaje sú u spoločnosti Shoptet v bezpečí a môžete si byť istí, že ich nikdy nikomu len tak neodovzdáva. Osobné údaje sú sprístupnené iba oprávneným pracovníkom spoločnosti Shoptet, vrátane freelancerov, ktorí sa k údajom dostanú preto, že spoločnosti Shoptet pomáhajú s chodom spoločnosti a poskytovaním služieb, či jednotlivým sprostredkovateľom a prevádzkovateľom osobných údajov, a to iba v miere nevyhnutne potrebnej pre naplnenie jednotlivých účelov spracúvania. Cieľom týchto spoluprác je poskytnutie tých najlepších a najrelevantnejších služieb pre Vás.
Shoptet prijal maximálne možné technické, organizačné, bezpečnostné a ďalšie opatrenia, ktoré zamedzia neoprávnenému alebo náhodnému prístupu k údajom, ich zmene, zničeniu, strate či inému neoprávnenému nakladaniu (porušeniu zabezpečenia).
V prípade, že Shoptet zistí porušenie zabezpečenia osobných údajov, posúdi najprv riziko, ktoré z takého porušenia vyplýva pre subjekty údajov. Pri posúdení rizika bude Shoptet brať do úvahy najmä intenzitu porušenia a jeho prípadných dôsledkov, druh zasiahnutých osobných údajov a počet dotknutých subjektov údajov. S ohľadom na povahu spracúvania klient súhlasí s tým, že Shoptet je najlepšie schopný určiť pravobné riziko plynúce z porušenia zabezpečenia.
Akonáhle Shoptet zistí porušenie zabezpečenia osobných údajov, oznámi ho bez zbytočného odkladu klientovi a prijme príslušné nápravné opatrenia na zmiernenie či odstránenie nepriaznivých účinkov vyplývajúcich z tohto porušenia. Okrem oznámenia porušenia zabezpečenia klientovi môže Shoptet porušenie zabezpečenia za klienta oznámiť aj priamo dozornému úradu či oznámiť subjektom údajov, a to v prípade, že Shoptet na základe posúdenia rizika dospeje k záveru, že je pravdepodobné, že porušenie zabezpečenia môže mať za následok riziko pre práva a slobody dotknutých subjektov údajov.
Shoptet nie je povinný na žiadosť klienta oznamovať či oznamovať porušenie zabezpečenia v prípade, že podľa posúdenia Shoptet nie je pravdepodobné, že porušenie zakladá riziko pre práva a slobody subjektov údajov.
Klient berie na vedomie, že za oznámenie či oznámenie porušenia zabezpečenia v zmysle článkov 33 a 34 Nariadenia GDPR zostáva plne zodpovedný a že Shoptet na seba nepreberá v tejto súvislosti zodpovednosť správcu osobných údajov, najmä za včasnosť a úplnosť oznámenia či oznámenia. Oznámenie či oznámenie porušenia zabezpečenia zároveň nie je uznaním akéhokoľvek pochybenia alebo viny zo strany Shoptet a zodpovednosť Shoptet voči klientom je v tejto súvislosti vylúčená (obmedzená) v najširšom možnom rozsahu podľa aplikovateľných právnych predpisov.
Shoptet sa zaväzuje na výzvu klienta opraviť, aktualizovať, vymazať alebo premiestniť osobné údaje (v rámci funkcionalít produktov a služieb).
Shoptet bude pri plnení povinností podľa Nariadenia GDPR postupovať s nevyhnutnou starostlivosťou.
Vzhľadom na povahu spracúvania spoločnosť Shoptet pomáha klientovi primeranými technickými a organizačnými opatreniami, pokiaľ je to možné, pri plnení povinností klienta reagovať na žiadosti o uplatnenie práv dotknutých osôb uvedených v kapitole III Nariadenia GDPR. Akákoľvek takáto pomoc sa poskytuje na náklady klienta.
Vzhľadom na povahu spracúvania a informácií, ktoré má k dispozícii, spoločnosť Shoptet pomáha klientovi pri zabezpečovaní súladu s jeho povinnosťami podľa článkov 32 až 36 Nariadenia GDPR, vrátane akýchkoľvek posúdení vplyvu na ochranu údajov a predchádzajúcich konzultácií s príslušným dozorným orgánom. Akákoľvek takáto pomoc sa poskytuje na náklady klienta.
Práva dotknutých osôb
V súvislosti so spracúvaním osobných údajov vám, ako dotknutej osobe, vznikajú nižšie uvedené práva, ktoré si môžete kedykoľvek uplatniť u Spoločnosti vo forme žiadosti. Spoločnosť je v takomto prípade povinná poskytnúť dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti a to bez zbytočného odkladu, najneskôr však do 1 mesiaca. Spoločnosť môže túto lehotu predĺžiť o ďalšie 2 mesiace, pričom v takomto prípade informuje dotknutú osobu o každom takomto predĺžení do 1 mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty.
- Právo na prístup (čl. 15 GDPR alebo § 21 Zákona)
- Právo na opravu (čl. 16 GDPR alebo § 22 Zákona)
- Právo na vymazanie/zabudnutie (čl. 17 GDPR alebo § 23 Zákona)
- Právo na obmedzenie spracúvania (čl. 18 GDPR alebo § 24 Zákona)
- Právo na prenosnosť (čl. 20 GDPR alebo § 26 Zákona)
- Právo namietať (čl. 21 GDPR alebo § 27 Zákona)
- Právo v súvislosti s automatizovaným individuálnym rozhodovaním vrátane profilovania (čl. 22 GDPR alebo § 28 Zákona)
- Právo podať návrh na začatie konania (§ 100 Zákona)
- Právo na odvolanie súhlasu (čl. 7 GDPR alebo § 14 Zákona)
Praktické tipy a odporúčania
Používanie cookies nie je samo o sebe problém, avšak ich nesprávne aplikovanie má právne dôsledky. Povinnosťou každého prevádzkovateľa web stránky je zabezpečiť, aby používanie cookies bolo transparentné, oprávnené a rešpektovalo práva používateľov podľa GDPR. Týmto nielen chránite svoju značku pred sankciami alebo stratou dôvery, ale zároveň prispievate k zodpovednému a etickému využívaniu digitálneho prostredia.
Od 1. februára 2022 platí nový zákon o ochrane osobných údajov, po novom už nestačí užívateľov informovať o použití cookies na Vašej webovej stránke, ale je nutné dať užívateľovi možnosť zvoliť si, ktoré cookies chce používať, a ktoré zakázať.
Podľa tohto zákona je potrebné:
- Akékoľvek získavanie a ukladanie informácií zo zariadenia koncového užívateľa podlieha súhlasu.
- Užívateľ musí byť informovaný o účele získavania a ukladania informácií.
- Návštevník musí byť informovaný o využití cookies na webovej stránke, napr. prostredníctvom lišty alebo cookie bannera.
- Z poskytnutých informácií by sa mal dozvedieť o účele použitia jednotlivých cookies, o ich funkčnosti a o tom, či sa údaje poskytujú tretím stranám.
- Túto informovanosť by mala zabezpečiť komplexná informačná povinnosť, ktorá by mala byť súčasťou cookie bannera/lišty - informačná povinnosť by mala špecifikovať súbory cookies, ich funkciu, prevádzkovateľa, lehotu uloženia a tretie strany.
- Poskytnutie dostatočných informácií o cookies by malo docieliť získanie jasného a jednoznačného súhlasu od užívateľa webovej stránky - tento súhlas musí byť získaný pred akýmkoľvek spracovaním údajov.
- Súhlas, ktorý sa od užívateľa vyžaduje, sa posudzuje s ohľadom na náležitosti nariadenia GDPR.
- Užívateľ by mal byť informovaný aj o možnosti odvolania súhlasu, resp. o možnej modifikácii.
- Odvolanie súhlasu by malo byť také jednoduché ako jeho udelenie.
- Prevádzkovateľ môže užívateľa informovať aj o dopadoch/dôsledkoch odvolania súhlasu (napr. vplyv na niektoré funkcie stránky).
Odporúčame pravidelne vykonávať audit cookies na vašej stránke, aby ste mali prehľad o všetkých používaných súboroch a ich účele. Pre úpravu konkrétneho ustanovenia alebo nastavenia cookies jednoducho kliknite na tlačidlo „Prispôsobiť“.
