Príspevok od

Dňa 1. februára 2022 nadobudol účinnosť nový zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý priniesol okrem iného aj zmeny v oblasti spracúvania osobných údajov cookies. Po novom musí prevádzkovateľ webstránky získať súhlas návštevníka, ak chce ukladať iné ako nevyhnutné cookies. S ohľadom na sankcie, ktoré nový predpis prináša (až do výšky 10 % z obratu), je na mieste na nové pravidlá poukázať a tie existujúce si pripomenúť.

Čo sú Cookies?

Cookies sú krátke textové súbory, ktoré do vášho zariadenia, spravidla notebooku, PC alebo mobilu, ukladajú navštívené webstránky. Tieto súbory sa ukladajú do priečinka vo vašom prehliadači, obsahujú názov webovej stránky, z ktorej pochádzajú, platnosť a nejaký obsah (zväčša čísla a písmenká). Tejto webstránke umožňujú zapamätať si informácie o vašich preferenciách, teda o vás. Z uvedeného dôvodu teda vo väčšine prípadov môžeme hovoriť aj o spracúvaní osobných údajov. Pri nasledujúcej návšteve tejto istej stránky prehliadač pošle informácie, ktoré sú uložené v súboroch cookies naspäť na stránku, ktorá súbory pôvodne vytvorila.

Typy Cookies

Existuje niekoľko typov cookies, v zásade avšak ich dominantným účelom je prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Reklamné cookies spôsobujú, že keď dnes navštívite napríklad internetový obchod určitej značky, nasledujúce dni sa Vám môže na iných stránkach zobrazovať reklama daného internetového obchodu. Takéto cielenie reklamy výrazne zvyšuje jej efektívnosť a je pre firmy veľmi dôležité. To že odmietnete takéto cookies, neznamená, že sa reklama nebude na stránke zobrazovať. Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov). Analytické cookies sa využívajú na analýzu správania sa návštevníkov webstránky. Majitelia webstránok a marketéri vedia vďaka nim lepšie pochopiť, ako ľudia webstránku používajú. Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.

Právny Rámec pre Cookies

Právny rámec upravujúci podmienky používania cookies predstavuje:

  • Smernica ePrivacy - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002
  • Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022) (ďalej aj ako „Starý ZEK“)
  • Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022) (ďalej aj len ako „Nový ZEK“)

Podľa článku 5 ods. 3 Smernice ePrivacy „členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“

Vyššie uvedený odkaz v smernici ePrivacy na smernicu 95/46/ES v súčasnosti prakticky znamená odkaz na Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj len ako „GDPR“). A to z dôvodu, že táto smernica bola nariadením GDPR zrušená a nahradená.

Starý Zákon o Elektronických Komunikáciách

Podľa ust. § 55 ods. 5 Starého ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu. ... To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“

Nový Zákon o Elektronických Komunikáciách

Podľa ust. § 109 ods. 8 Nového ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“

Ako je z vyššie uvedeného porovnania citovaných ustanovení zrejmé, nový zákon o elektronických komunikáciách už neobsahuje možnosť udelenia súhlasu prostredníctvom nastavenia webového prehliadača.

Praktické Otázky a Odpovede ku Cookies od 1.2.2022

Ďalej prostredníctvom praktických otázok a odpovedí vysvetlíme, ako správne spracúvať súbory cookies, ako si splniť informačnú povinnosť pre návštevníkov webstránky a ako by mala vyzerať správna cookie lišta.

Aký právny základ sa pre spracúvanie informácií prostredníctvom cookies vyžaduje?

Vždy súhlas dotknutej osoby, v tomto prípade návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR. Inými slovami - aby bolo spracúvanie cookies zákonné, musí s tým vždy daná osoba súhlasiť (udeliť vopred súhlas).

Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?

Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.

Musí mať udelený súhlas náležitosti podľa GDPR?

Áno musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.

Aké sú náležitosti súhlasu podľa GDPR?

Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:

  • slobodne daný;
  • konkrétny;
  • informovaný;
  • ajednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

Kedy je súhlas slobodne daný?

Vtedy, keď má dotknutá osoba skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný.

Praktický význam pre cookies: Osoba bude mať pocit, že je do súhlasu nútená, napríklad v prípade tzv. cookie walls, bez súhlasného odkliknutia ktorej nebude možné pokračovať v prehliadaní webstránky. Z uvedeného príkladu je zrejmé, že aby ste mohli pokračovať v prehliadaní webstránky, musíte najprv udeliť súhlas so spracúvaním cookies. Takýto súhlas nie je možné považovať za slobodne daný a preto je neplatný.

Kedy je súhlas konkrétny?

Súhlas je konkrétny vtedy, keď je poskytnutý konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich.

Praktický význam pre cookies: Zjednodušene povedané, rôzne typy cookies spracúvajú údaje na rôzne účely. Marketingové cookies na účely marketingu a cieleniu reklám, funkčné cookies si pamätajú preferencie užívateľa ako napríklad jazykové nastavenia či užívateľské meno, atď. So všetkými účelmi musí byť návštevník webstránky oboznámený a vo vzťahu ku každému účelu musí mať možnosť voľby, či súhlasí alebo nie.

Aké sú ďalšie náležitosti súhlasu?

  • súhlas musí byť získaný vopred, t.j. začatím spracúvania údajov,
  • musí byť vyjadrením aktívneho úkonu,
  • musí byť kedykoľvek editovateľný,
  • a uchovávať 4, resp. 5 rokov.

Je platnosť súhlasu s cookies časovo obmedzená?

Áno, však ku konkrétnej lehote existujú len zahraničné usmernenia. Lehota, na ktorú je súhlas udelený by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.

Kto má právomoc všetky povinnosti v súvislosti cookies kontrolovať?

Odpoveď na túto otázku nie je v súčasnosti úplne jednoznačná. Kontrolovať agendu ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Kontrolovať reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb. Ako je však zrejmé, pravidlá používania cookies spadajú do kontrolnej pôsobnosti obidvoch úradov. V budúcnosti bude preto potrebné nastaviť jednotné a hlavne jasné pravidlá kto, čo a v akom rozsahu môže kontrolovať. V tejto chvíli nemožno vylúčiť, že kontrolovať podmienky používania cookies budú zástupcovia tak jedného, ako aj druhého úradu. Kým udeliť pokutu podľa ZEK možno do 4 rokov odo dňa porušenia povinnosti, podľa Zákona o ochrane osobných údajov do 5 rokov odo dňa porušenia povinnosti.

Aké sú sankcie?

Vysoké. Samozrejme sa budú odvíjať od druhu porušenia povinnosti, avšak kým maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK až 10 % z obratu za predchádzajúci kalendárny rok.

Ako má vyzerať Cookies Lišta v praxi?

Naším klientom sme integrovali cookies lištu, pri ktorej je po novom potrebné získať súhlas so spracovaním cookies. Cookies rozdelená na súhlasy jednotlivými typmi zbieraných informácií, vo forme samostatnej položky na „odkliknutie“. Tieto oblasti sú rozdelené na: nevyhnutné, analytické, martketingové. Cookies lišta, či banner obsahujú aj tlačidlá, ktorými je možné nielen vybrať si medzi jednotlivými typmi cookies, ale je možné všetky cookies prijať, či odmietnuť. Súčasťou lišty je tiež odkaz na komplexnú informáciu o spracúvaní osobných údajov.

Táto zmena prináša so sebou najmä nasledovné povinnosti:

  • každá webová stránka by mala obsahovať cookies lištu,
  • bez vyjadrenia súhlasu používateľa bude možné spracúvať len tzv. funkčné, resp. technické cookies,
  • na zber ostatných druhov cookies je potrebný súhlas používateľa,
  • je nevyhnutné zabezpečiť plnenie informačnej povinnosti pre cookies podľa čl. 13 GDPR.

Od 1. februára 2022 platí nový zákon o ochrane osobných údajov, po novom už nestačí užívateľov informovať o použití cookies na Vašej webovej stránke, ale je nutné dať užívateľovi možnosti zvoliť si, ktoré cookies chce používať, a ktoré zakázať.

Požiadavky pre súbory cookie a GDPR od 1.2.2022

Väčšina prevádzkovateľov webových stránok si tak bude musieť zosúladiť svoje nastavenia využitia súborov cookies s novými požiadavkami zákona č. 452/2021 Z.z. o elektronických komunikáciách, ako aj s požiadavkami nariadenia GDPR, s účinnosťou od 1. februára 2022.

Podľa tohto zákona je potrebné:

  • Akékoľvek získavanie a ukladanie informácií zo zariadenia koncového užívateľa podlieha súhlasu;
  • Užívateľ musí byť informovaný o účele získavania a ukladania informácií;
  • návštevník musí byť informovaný o využití cookies na webovej stránke, napr. prostredníctvom lišty alebo cookie bannera,
  • z poskytnutých informácií by sa mal dozvedieť o účele použitia jednotlivých cookies, o ich funkčnosti a o tom, či sa údaje poskytujú 3. stranám,
  • takúto informovanosť by mala zabezpečiť komplexná informačná povinnosť, ktorá by mala byť súčasťou cookie bannera/lišty - informačná povinnosť by mala špecifikovať súbory cookies, ich funkciu, prevádzkovateľa, lehotu uloženia a tretie strany;
  • Poskytnutie dostatočných informácií o cookies by malo docieliť získanie jasného a jednoznačného súhlasu od užívateľa webovej stránky - tento súhlas musí byť získaný pred akýmkoľvek spracovaním údajov;
  • Súhlas, ktorý sa od užívateľa vyžaduje sa posudzuje s ohľadom na náležitosti nariadenia GDPR;
  • Užívateľ by mal byť informovaný aj o možnosti odvolania súhlasu, resp. o možnej modifikácii
  • odvolanie súhlasu by malo byť také jednoduché ako jeho udelenie,
  • prevádzkovateľ môže užívateľa informovať aj o dopadoch/dôsledkoch odvolania súhlasu (napr. vplyv na niektoré funkcie stránky).

Ako by mala vyzerať cookies lišta?

Z technického hľadiska musí cookies lišta umožňovať manažovanie si preferencii udeľovania súhlasov a ich prípadného odvolávania. Toto môže byť formou tlačidiel. Dizajn lišty je možné variovať. Na prvej vrstve cookies lišty musí mať prevádzkovateľ webovej stránky tlačidlá: „SPRAVOVAŤ MOŽNOSTI“, „PRIJAŤ VŠETKY COOKIES“, „ODMIETNUŤ VŠETKY COOKIES“.

  • V prípade, ak webovú stránku spravuje, resp. spracúva osobné údaje externá spoločnosť/živnostník, je potrebné mať s týmto subjektom uzatvorenú sprostredkovateľskú zmluvu.
  • Cookies lištu musí byť možné kedykoľvek znova vyvolať. Ideálnym spôsobom, ako to vyriešiť, je stiahnuť lištu po odkliknutí možnosti súhlasov do tzv. floating action tlačidla. Z pohľadu GDPR je to žiaduce riešenie, ale ak takéto nastavenie nie je možné, alternatívou je umožniť vyvolanie cookies lišty prostredníctvom sekcie v pätičke stránky označenej ako „Spravovať cookies“. Po kliknutí na túto sekciu by došlo k vyvolaniu cookies lišty.
  • V prípade účinného odvolania súhlasu so spracúvaním nejakej kategórie cookies je potrebné okamžite zastaviť spracovanie týchto cookies. Udelený súhlas pritom musí byť možné kedykoľvek odvolať a jeho odvolanie má byť také jednoduché, ako aj jeho získanie. Ak je na získanie súhlasu nastavený 1x klik, rovnaký počet klikov je potrebné mať nastavené aj na odvolanie súhlasu.

Prevádzkovateľ webovej stránky musí uchovávať dôkaz o udelení súhlasu návštevníka s danou skupinou cookies. V prípade, ak sa na cookie lište niečo zmení, napr. pridá sa tretia strana, účel spracúvania a podobne, je potrebné opätovne si pýtať súhlas na spracúvanie. Prevádzkovateľ webovej stránky musí disponovať dokázateľným súhlasom so všetkými druhmi cookies okrem nevyhnutných a so všetkým tretími stranami.

Sankcie za porušenie pravidiel získavania súhlasu s ukladaním cookies

Za to, že prevádzkovateľ webovej stránky nebude mať spracúvanie cookies nastavené správne nastavené, hrozí podľa zákona o elektronických komunikáciách sankcia do výšky 10 % z obratu za predchádzajúce účtovné obdobie a aj pokuta do 20 miliónov eur podľa GDPR.

Zhrnutie povinností

Aby bolo spracúvanie údajov cez cookies zákonné, je potrebné vždy:

  • Zvážiť, či na webstránke potrebujem všetky cookies a všetky údaje, ktoré sú tak spracúvané (zásada minimalizácie).
  • Získať súhlas osoby (okrem technických cookies, tie bez súhlasu).
  • Za súhlas sa už nebude považovať nastavenie webového prehliadača.
  • Súhlas musí spĺňať náležitosti podľa GDPR.
  • Splniť informačnú povinnosť v dvoch vrstvách (požiadavka transparentnosti) - prvá vrstva cookie lišta, druhá vrstva Privacy policy.
  • Informovať o všetkých typoch a účeloch cookies, ako aj o tretích stranách.
  • Poskytnúť také technické riešenie, ktoré umožní súhlas kedykoľvek odvolať a modifikovať.

tags: