Čo by ste mali vedieť o cookies
Akúkoľvek webstránku otvoríte, takmer na všetkých na Vás ihneď vyskočí textové okno, v závere ktorého je od Vás požadované udeliť súhlas s používaním cookies. V dobe elektronických komunikácií, e-shopov a internetového marketingu je téma cookies všadeprítomná. Mnohí z nás však donedávna nevedeli, a niektorí možno ešte stále netušia, čo presne si možno pod pojmom cookies predstaviť. Rozhodli sme sa Vám preto túto tému stručne priblížiť a poskytnúť Vám pohľad na vec očami právnika.
Cookies sú akýmisi mini súbormi, ktoré sú na základe pokynu konkrétnej webstránky uložené na Váš počítač buď priamo pri otvorení webstránky, alebo následne po „odškrtnutí“ súhlasu s ich používaním. Obsahujú špecifické informácie, podľa ktorých ich môžeme rozdeliť do štyroch skupín na:
- nevyhnutné cookies;
- užívateľské cookies;
- funkčné cookies; a
- cielené alebo reklamné cookies.
V prípade nevyhnutných cookies ide o programy funkcionality, bez ktorých by Vaše zariadenie nebolo schopné správne zobraziť požadovanú stránku. V ostatných troch prípadoch sa jedná zväčša o voliteľné cookies, programy obsahujúce dáta a informácie podľa zadania prevádzkovateľa stránky, napr. z ktorej webstránky pochádzajú, ako dlho majú byť uložené vo Vašom zariadení, aký je predvolený jazyk webstránky, informácie o správaní návštevníka na webstránke, cielené reklamy a i., s ktorými štandardne môžete ale nemusíte súhlasiť.
Účelom cookies je najmä zjednodušiť Váš „pobyt“ a používanie konkrétnej webstránky. Tieto programové nastavenia a kódy fungujú nasledujúcim spôsobom - vy ako návštevník odovzdáte vybrané údaje serveru, následne server tieto údaje alebo pokyny príjme, pridelí danej relácii unikátny kód, ktorý je na Vašom zariadení uložený po určitú dobu, a keď sa vrátite na danú stránku, server tento jedinečný kód vo Vašom zariadení rozpozná a použije Vami zvolené nastavenia.
Cookies podliehajú zákonnej úprave podľa GDPR[1] a zákona č. 351/2011 Z. z. o elektronických komunikáciách („ZEK“), ktorý takmer doslovne prevzal znenie európskej smernice o súkromí v elektronických komunikáciách[2]. V zmysle uvedenej smernice a taktiež ZEK je základnou požiadavkou na používanie cookies udelenie súhlasu tzv. dátového subjektu, teda užívateľa koncového zariadenia alebo návštevníka stránky. Takýto súhlas musí spĺňať náležitosti súhlasu podľa GDPR, ktoré sme Vám priblížili v našom predchádzajúcom článku (nájdete >>> tu.) Užívateľovi musí byť umožnené kedykoľvek svoj súhlas odvolať rovnako ľahko, ako ho udelil, ako aj voľbu cookies modifikovať. Na rozdiel od aktuálneho znenia ZEK, ktorý za udelenie súhlasu považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu, v zmysle novej právnej úpravy účinnej od 1. februára 2022 bude súhlas predstavovať len aktívny úkon užívateľa - napr. zaškrtnutie políčka „súhlasím“. Odhliadnuc od jeho formy, používanie cookies zákon v každom prípade vyslovene podmieňuje predchádzajúcim udelením súhlasu používateľa, čím sa používanie cookies odlišuje od spracúvania osobných údajov v zmysle GDPR, ku ktorému nemusí dochádzať výlučne na základe udelenia súhlasu. Táto povinnosť prakticky znamená, že z pohľadu GDPR bude právnym základom na spracúvanie cookies, ktoré majú povahu osobného údaju, vždy súhlas dotknutej osoby.
Čo je pri téme cookies veľmi dôležité a naoko aj to jediné, čo koncový užívateľ vidí je tzv. cookies lišta. Cookies lišta predstavuje formu udelenia súhlasu tak, aby bol preukázateľný a obsahoval všetky zákonom vyžadované informácie, ktoré má užívateľ obdržať pri udeľovaní súhlasu. V cookies lište je potrebné uviesť každý súbor cookie, ktorého aktivácia podlieha súhlasu, a to jednotlivo. Každý používaný nástroj cookie by mal zvlášť obsahovať informáciu o jeho presnom účele použitia a tzv. check-box pri jednotlivých súboroch, ktorý umožňuje užívateľovi modifikáciu nastavení. Check-box nesmie mať vopred zaškrtnuté odsúhlasovacie políčko. Ak tieto podmienky nie sú splnené, udelený súhlas môže byť neplatný a takéto používanie cookies v rozpore so zákonom.
Ako je naznačené už vyššie, existuje určitá dvojkoľajnosť právnej úpravy cookies – na jednej strane máme ZEK a na strane druhej sa súbežne uplatňuje režim podľa GDPR. V praxi táto skutočnosť nespôsobuje závažné problémy, avšak je potrebné dbať na dodržanie povinností podľa oboch právnych predpisov. Pre kontrolu dodržiavania a plnenia zákonných povinností vo vzťahu ku cookies je v zmysle každého z týchto právnych predpisov príslušný iný úrad. Podľa ZEK je príslušným kontrolným orgánom Úrad pre reguláciu elektronických komunikácií a poštových služieb („Úrad“). S účinnosťou od 1. februára 2022 môže Úrad udeliť právnickej osobe alebo fyzickej osobe – podnikateľovi pokutu za porušenie alebo nesplnenie povinností podľa ZEK vo výške od 200 eur do 10 % z obratu za predchádzajúce účtovné obdobie, čo doteraz zákon nepripúšťal. Na úseku ochrany osobných údajov je zase príslušným kontrolným orgánom Úrad na ochranu osobných údajov („ÚOOÚ“), ktorý môže za porušovanie alebo nesplnenie povinností podľa GDPR udeliť pokutu až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. Tu je však dôležité poznamenať, že cookies nie vždy musia mať povahu osobného údaju. Režim podľa GDPR sa uplatní iba vtedy, ak konkrétny súbor cookie je možné použiť na identifikáciu konkrétneho zariadenia alebo používateľa, a teda môžu byť považované za osobný údaj. Z uvedeného možno vyvodiť, že ak oba kontrolné úrady zistia porušenie v súvislosti s používaním súborov cookies, ktoré zároveň majú povahu osobného údaju, v prípade, ak nebola medzičasom zjednaná náprava, môže byť kontrolovaný subjekt sankcionovaný „dvojmo“, a to Úradom za porušenie predpisov na úseku elektronických komunikácií a ÚOOÚ za porušenie GDPR.
Na záver ešte pripájame naše odporúčanie ohľadom postupu pre správne nastavenie vašich cookies:
- zistiť, aké cookies používate,
- vymedziť, v akom rozsahu sú cookies používané,
- určiť, na aké účely sú tieto cookies používané,
- limitovať, ako dlho majú byť cookies spracúvané (ideálne nie dlhšie ako 13 mesiacov),
- pripraviť odôvodnenie, prečo je používanie cookies nevyhnutné,
- nastaviť pre užívateľov cookies lišty v súlade s vyššie opísanými podmienkami.
JUDr. Denisa Gallová
Advokátska kancelária RELEVANS s.r.o.
Dvořákovo nábrežie 8/A
811 02 Bratislava
Tel.: +421 2 323 54 602
e-mail: office@relevans.sk
[1] Nariadenie Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES.
[2] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách).
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk