Dňa 1. februára 2022 nadobudol účinnosť nový zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý do nášho právneho poriadku zavádza smernicu Európskeho parlamentu a Rady (EÚ) 2018/1972, ktorou sa ustanovuje európsky kódex elektronických komunikácií. Zákon prináša aj niektoré zmeny v oblasti spracúvania súborov cookies či v oblasti priameho marketingu. S ohľadom na sankcie, ktoré nový predpis prináša (až do výšky 10 % z obratu), je na mieste na nové pravidlá poukázať a tie existujúce si pripomenúť.
Čo sú cookies a ako ich definuje legislatíva
Nový právny predpis nepracuje priamo s pojmom „cookies“ (tento pojem teda v zákone nenájdeme), ale hovorí, že každý, „kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.“ A práve na získavanie takýchto informácií slúžia súbory cookies.
Cookies sú krátke textové súbory, ktoré do vášho zariadenia, spravidla notebooku, PC alebo mobilu, ukladajú navštívené webstránky. Tejto webstránke umožňujú zapamätať si informácie o vašich preferenciách, teda o vás. Z uvedeného dôvodu teda vo väčšine prípadov môžeme hovoriť aj o spracúvaní osobných údajov.
Aké sú typy cookies
Existuje niekoľko typov cookies, v zásade avšak ich dominantným účelom je prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov). Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.
Cookies a ich právna úprava pred a po 1.2.2022
Právny rámec upravujúci podmienky používania cookies predstavuje:
- Smernica ePrivacy - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002
- Smernica o súkromí a elektronických komunikáciách - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (ďalej aj ako „Smernica ePrivacy“)
- Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022) (ďalej aj ako „Starý ZEK“)
- Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022) (ďalej aj len ako „Nový ZEK“)
Podľa článku 5 ods. 3 Smernice ePrivacy „členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“
Podľa článku 2 písm.) f Smernice ePrivacy „súhlas užívateľa alebo účastníka zodpovedá súhlasu dátového subjektu v súlade so smernicou 95/46/ES“. Keď to zhrnieme a zjednodušíme, vyššie citované ustanovenia prakticky hovoria o tom, že pre spracúvanie súborov cookies sa vždy vyžaduje predchádzajúci súhlas návštevníka webstránky a tento súhlas musí mať náležitosti súhlasu podľa GDPR. Aké náležitosti to sú, uvedieme nižšie. Jedinou výnimkou, kedy sa súhlas návštevníka nevyžaduje, sú tzv. funkčné cookies (alebo technické cookies), ktoré sú nevyhnutné na správne fungovanie webstránky. Zabezpečujú napríklad možnosť prihlásenia sa do svojho užívateľského konta (napr. v e-shope) či nastavenie jazykových preferencií stránky. Pre takéto cookies sa súhlas nevyžaduje.
Vyššie uvedený odkaz v smernici ePrivacy na smernicu 95/46/ES v súčasnosti prakticky znamená odkaz na Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj len ako „GDPR“). A to z dôvodu, že táto smernica bola nariadením GDPR zrušená a nahradená.
Starý zákon o elektronických komunikáciách
Podľa ust. § 55 ods. 5 Starého ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu. ... To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“
Nový zákon o elektronických komunikáciách
Podľa ust. § 109 ods. 8 Nového ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“
Ako je z vyššie uvedeného porovnania citovaných ustanovení zrejmé, nový zákon o elektronických komunikáciách už neobsahuje možnosť udelenia súhlasu prostredníctvom nastavenia webového prehliadača.
Praktické otázky ku cookies od 1.2.2022
Ďalej prostredníctvom praktických otázok a odpovedí vysvetlíme, ako správne spracúvať súbory cookies, ako si splniť informačnú povinnosť pre návštevníkov webstránky a ako by mala vyzerať správna cookie lišta.
Aký právny základ sa pre spracúvanie informácií prostredníctvom cookies vyžaduje?
Vždy súhlas dotknutej osoby, v tomto prípade návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR. Inými slovami - aby bolo spracúvanie cookies zákonné, musí s tým vždy daná osoba súhlasiť (udeliť vopred súhlas).
Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?
Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.
Musí mať udelený súhlas náležitosti podľa GDPR?
Áno musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.
Aké sú náležitosti súhlasu podľa GDPR?
Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:
- slobodne daný;
- konkrétny;
- informovaný;
- ajednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
Kedy je súhlas slobodne daný?
Vtedy, keď má dotknutá osoba skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný.
Praktický význam pre cookies: Osoba bude mať pocit, že je do súhlasu nútená, napríklad v prípade tzv. cookie walls, bez súhlasného odkliknutia ktorej nebude možné pokračovať v prehliadaní webstránky. Z uvedeného príkladu je zrejmé, že aby ste mohli pokračovať v prehliadaní webstránky, musíte najprv udeliť súhlas so spracúvaním cookies. Takýto súhlas nie je možné považovať za slobodne daný a preto je neplatný.
Kedy je súhlas konkrétny?
Súhlas je konkrétny vtedy, keď je poskytnutý konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich.
Praktický význam pre cookies: Zjednodušene povedané, rôzne typy cookies spracúvajú údaje na rôzne účely. Marketingové cookies na účely marketingu a cieleniu reklám, funkčné cookies si pamätajú preferencie užívateľa ako napríklad jazykové nastavenia či užívateľské meno, atď. So všetkými účelmi musí byť návštevník webstránky oboznámený a vo vzťahu ku každému účelu musí mať možnosť voľby, či súhlasí alebo nie.
Aké sú ďalšie náležitosti súhlasu?
- súhlas musí byť získaný vopred, t.j. začatím spracúvania údajov.
- súhlas musí byť informovaný - rovnako dôležitý ako forma je aj obsah súhlasu, pričom text súhlasu musí obsahovať konkrétne informácie podľa GDPR, a síce: informácie o identite prevádzkovateľa, informácie o účele (všetkých) spracovateľských operácii, na ktoré sa súhlas požaduje, informácie o tom, aké údaje, resp. aký druh údajov o užívateľovi sa po udelení súhlasu budú spracúvať (teda zbierať, používať a pod.), informácie o existencii a podmienkach práva odvolať udelený súhlas, informácie o prípadnom použití údajov na automatizované rozhodovanie podľa článku 22 ods. 2 písm. c) GDPR, ako aj informácie o možných rizikách prenosu údajov v dôsledku absencie rozhodnutia o primeranosti a primeraných záruk podľa článku 46 GDPR.
- súhlas musí byť jednoznačný - užívateľ musí svoj súhlas s cookies udeliť aktívnym konaním, teda musí na webovej stránke odkliknúť, že súhlasí so spracúvaním informácií získaných prostredníctvom cookies, inak prevádzkovateľ webovej stránky tieto údaje nemôže spracúvať (vrátane ich získavania).
Je platnosť súhlasu s cookies časovo obmedzená?
Áno, však ku konkrétnej lehote existujú len zahraničné usmernenia. Lehota, na ktorú je súhlas udelený by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.
Kto má právomoc všetky povinnosti v súvislosti cookies kontrolovať?
Odpoveď na túto otázku nie je v súčasnosti úplne jednoznačná. Kontrolovať agendu ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Kontrolovať reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb. Ako je však zrejmé, pravidlá používania cookies spadajú do kontrolnej pôsobnosti obidvoch úradov. V budúcnosti bude preto potrebné nastaviť jednotné a hlavne jasné pravidlá kto, čo a v akom rozsahu môže kontrolovať. V tejto chvíli nemožno vylúčiť, že kontrolovať podmienky používania cookies budú zástupcovia tak jedného, ako aj druhého úradu. Kým udeliť pokutu podľa ZEK možno do 4 rokov odo dňa porušenia povinnosti, podľa Zákona o ochrane osobných údajov do 5 rokov odo dňa porušenia povinnosti.
Aké sú sankcie?
Vysoké. Samozrejme sa budú odvíjať od druhu porušenia povinnosti, avšak kým maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK až 10 % z obratu za predchádzajúci kalendárny rok.
Aby bolo spracúvanie údajov cez cookies zákonné, je potrebné vždy:
- Zvážiť, či na webstránke potrebujem všetky cookies a všetky údaje, ktoré sú tak spracúvané (zásada minimalizácie).
- Získať súhlas osoby (okrem technických cookies, tie bez súhlasu).
- Súhlas sa vyžaduje aj pre cookies, ktoré nepredstavujú osobné údaje.
- Za súhlas sa už nebude považovať nastavenie webového prehliadača.
- Súhlas musí spĺňať náležitosti podľa GDPR.
- Splniť informačnú povinnosť v dvoch vrstvách (požiadavka transparentnosti) - prvá vrstva cookie lišta, druhá vrstva Privacy policy.
- Informovať o všetkých typoch a účeloch cookies, ako aj o tretích stranách.
- Poskytnúť také technické riešenie, ktoré umožní súhlas kedykoľvek odvolať a modifikovať.
tags:
