Cookies: aktuálna prax vo svetle novej právnej úpravy
Dňa 01.02.2022 nadobudol účinnosť nový zákon o elektronických komunikáciách[1] (ďalej „ZoEK“). Okrem transpozície právnej úpravy v oblasti elektronických komunikácií[2] došlo týmto zákonom aj k transpozícii právnej úpravy v oblasti tzv. cookies[3].
Tieto sú, ako už naznačuje samotný názov, nosnou témou nadchádzajúceho článku. Pre úplnosť uvádzame, že zákonodarca v starom a novom zákone o elektronických komunikáciách nepojednáva výslovne o zmieňovaných cookies, ale všeobecne o „informáciách uložených v koncovom zariadení užívateľa“[4]. Pre potreby tohto článku však pozornosť zameriame, ako už bolo uvedené vyššie, na problematiku cookies.
Právna úprava pred a po 01.02.2022
Ako pred, tak aj po 01.02.2022 zákon o elektronických komunikáciách vyžadoval/-je, aby každý, kto ukladá alebo získava prostredníctvom cookies prístup k informáciám o užívateľovi, zabezpečil jeho súhlas s uvedeným.
Avšak, zatiaľ čo zákon č. 351/2011 Z. z. o elektronických komunikáciách, platný a účinný do 31.01.2022, pri získavaní a ukladaní cookies považoval za takýto súhlas aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu, ZoEK už takúto alternatívu udelenia súhlasu nepozná. V právnej i praktickej rovine teda došlo k zmene spôsobu udelenia súhlasu, kedy pôvodný princíp tzv. opt-outu (t.j. užívateľ musel zmeniť pôvodné nastavenia, ak nesúhlasil so zbieraním dát) nahrádza princíp tzv. opt-inu (t.j. nie je možné získavať údaje o užívateľovi, dokiaľ s uvedeným neudelí aktívny súhlas). Jedinou výnimkou je prípad, kedy je tieto informácie nevyhnutné získavať a ukladať napr. z dôvodu potrieb zabezpečenia funkčnosti webovej stránky, teda pri cookies známych ako nevyhnutné (resp. technické) cookies. Keďže sa pri nevyhnutných cookies súhlas užívateľa s nimi nevyžaduje, sú pre potreby tohto článku z ďalšieho textu vylúčené.
Stanovisko Úradu pre reguláciu elektronických komunikácií a poštových služieb k získavaniu súhlasu podľa ZoEK
V súvislosti s novoprijatou právnou úpravou a novo vyvíjajúcou sa praxou vydal Úrad pre reguláciu elektronických komunikácií a poštových služieb (ďalej „Úrad“) koncom minulého roka k získavaniu súhlasu podľa ZoEK stanovisko (ďalej len „Stanovisko“). K uvedenému kroku pristúpil, nakoľko niektorí prevádzkovatelia webových stránok sa s novými povinnosťami podľa ZoEK nevysporiadali v súlade s aktuálne platnou a účinnou právnou úpravou. Vzhľadom na rozšírenosť a aktuálnosť tejto problematiky považoval preto Úrad za vhodné vydať usmerňujúci dokument, pričom Stanovisko bolo vydané aj v súčinnosti s Úradom na ochranu osobných údajov Slovenskej republiky.
Úrad vo svojom Stanovisku pripomenul jednotlivé náležitosti súhlasu užívateľa tak, aby bol v súlade so zákonnými požiadavkami. Súčasne ich aj bližšie popísal, a to nielen právne, ale aj prakticky.
Základné východiská súhlasu užívateľa s cookies
V nasledujúcej časti sa pokúsime prehľadne zhrnúť závery Úradu k problematike súhlasu užívateľa s cookies. Východiskovým právnym predpisom Úradu pritom nebol len ZoEK, ale aj všeobecné nariadenie o osobných údajov[5] (ďalej „GDPR“), ktoré sa na tento súhlas vzťahuje subsidiárne.
Súhlas podľa Úradu musí spĺňať nasledovné aspekty:
- moment získania súhlasu – prevádzkovateľ webovej stránky je povinný získať súhlas pred začatím spracovania cookies, pričom pre úplnosť uvádzame, že spracovaním sa podľa GDPR rozumie aj získavanie údajov (porušením zákona je preto napr. uloženie tých cookies, ktoré si vyžadujú získanie súhlasu už pri prvom navštívení webovej stránky, bez toho, aby bol už v danom momente súhlas získaný);
- súhlas musí byť daný slobodne – sloboda udelenia súhlasu znamená skutočnú možnosť voľby a kontroly užívateľa, teda prístup k službám a funkciám nesmie byť podmienený súhlasom užívateľa s cookies (porušením zákona je preto napr. cookie banner zobrazovaný cez celú webovú stránku, ktorý znemožňuje užívateľovi prístup na stránku bez toho, aby odklikol súhlas s cookies);
- súhlas musí byť konkrétny – údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; jedná sa tak o poskytnutie ochrany pred rozširovaním účelov spracúvania údajov nad rámec toho účelu, na ktorý užívateľ poskytol svoj súhlas pôvodne (porušením zákona by bolo napr. spracúvanie informácií na marketingové účely, pričom súhlas bol pôvodne udelený na spracúvanie informácii na štatistické účely);
- súhlas musí byť informovaný – rovnako dôležitý ako forma je aj obsah súhlasu, pričom text súhlasu musí obsahovať konkrétne informácie podľa GDPR, a síce: informácie o identite prevádzkovateľa, informácie o účele (všetkých) spracovateľských operácii, na ktoré sa súhlas požaduje, informácie o tom, aké údaje, resp. aký druh údajov o užívateľovi sa po udelení súhlasu budú spracúvať (teda zbierať, používať a pod.), informácie o existencii a podmienkach práva odvolať udelený súhlas, informácie o prípadnom použití údajov na automatizované rozhodovanie podľa článku 22 ods. 2 písm. c) GDPR, ako aj informácie o možných rizikách prenosu údajov v dôsledku absencie rozhodnutia o primeranosti a primeraných záruk podľa článku 46 GDPR. Úrad pritom uvádza, že z dôvodu prehľadnosti je akceptovateľné, ak je časť najdôležitejších informácií uvedená v rámci tzv. cookie lišty a zvyšné napr. až po prekliknutí na zásady používania súborov cookies (tzv. cookie policy). Úrad súčasne podotkol, že na účely splnenia podmienky informovaného súhlasu je potrebné dať pozor aj na slovné označenie súhlasu na tlačidle, ktorým sa tento vyjadruje – predmetné slovné spojenie musí totiž jednoznačne znamenať súhlas, napr. slovo „rozumiem“ nemusí byť jednoznačné a užívateľ nemusí vedieť, že kliknutím udeľuje svoj súhlas (porušením zákona je preto aj nesprávne označenie na príslušnom tlačidle v priestore cookie bannera, kedy namiesto slova „súhlasím“ toto tlačidlo obsahuje slovo „rozumiem“, pričom sa nejedná o nevyhnutné cookies);
- súhlas musí byť jednoznačný – užívateľ musí svoj súhlas s cookies udeliť aktívnym konaním, teda musí na webovej stránke odkliknúť, že súhlasí so spracúvaním informácií získaných prostredníctvom cookies, inak prevádzkovateľ webovej stránky tieto údaje nemôže spracúvať (vrátane ich získavania); ako je popísané vyššie v texte, práve tento aspekt bol zmenený v porovnaní s pôvodnou právnou úpravou spred 01.02.2022; v súčasnosti tak nie je dostačujúce, ak sa prevádzkovateľ spolieha na to, že užívateľ udelil súhlas z dôvodu, že si nezmenil nastavenia napr. webového prehliadača (porušením teda bude oznámenie prevádzkovateľa, že spracúva cookies a pokiaľ s tým užívateľ nesúhlasí, má si zmeniť nastavenia webového prehliadača, inak sa bude súhlas považovať za udelený a rovnako aj vopred zaškrtnuté možnosti).
Úrad súčasne v Stanovisku pripomína, že v praxi prevádzkovatelia webových stránok často opomínajú požiadavku právnej úpravy, v zmysle ktorej má mať užívateľ, ktorý súhlas s cookies udelil, možnosť ho rovnako jednoducho aj odvolať, ak má o uvedené záujem (tzv. princíp jedna k jednej – ak jedným klikom užívateľ súhlas udelil, mal by ho aj jedným klikom vedieť odvolať). Ďalej Úrad upozorňuje, že dôkazné bremeno poskytnutia súhlasu užívateľa je na prevádzkovateľovi, a teda práve on je tým subjektom, ktorý musí vedieť preukázať, že získaný súhlas je v súlade s relevantnou právnou úpravou.
V závere Úrad pripojil aj opis dizajnu cookie lišty, ktorá spĺňa náležitosti podľa aktuálnej právnej úpravy (napr. udelenie súhlasu so spracúvaním a ukladaním informácií prostredníctvom všetkých cookies jedným zakliknutím (prijať všetky cookies), udelenie súhlasu odmietnuť udelenie súhlasu so spracúvaním alebo ukladaním informácií prostredníctvom všetkých cookies ďalším zakliknutím (odmietnuť všetky cookies) v prvej vrstve cookie lišty a nie až po kliknutí na možnosť upraviť nastavenia v druhej vrstve či umožniť voľbu medzi jednotlivými druhmi cookies (určitý druh akceptovať a iné neakceptovať)).
Záver
Vydanie Stanoviska k problematike získavania súhlasu užívateľa s cookies je viac ako vítanou aktivitou Úradu. Napriek tomu, že nová právna úprava je účinná len od 01.02.2022, prevádzkovatelia (či vedome alebo nevedome) mnohokrát nespĺňajú zákonné podmienky pre spracovanie cookies, najmä získanie súhlasu s ich spracovaním. Zložitú situáciu majú častokrát aj užívatelia, ktorým sa jednoducho nechce naťahovať s nastaveniami webovej stránky alebo prevádzkovateľom samotným. Je preto pozitívnou správou, že Úrad túto novo rozvíjajúcu prax sleduje a snaží sa vniesť do problematiky pochopenie legislatívnej úpravy a priestor na zlepšenie praxe, o to viac, že tak robí svojím preventívnym pôsobením. Čas ukáže, či uvedené bude dostatočné na to, aby prevádzkovatelia pristúpili k náprave z vlastnej iniciatívy alebo bude potrebné, aby k uvedenému pristúpil Úrad, tentokrát však už v rámci svojho represívneho pôsobenia.
Mgr. Daša Derevjaniková,
advokátska koncipientka
Eversheds Sutherland, advokátska kancelária, s.r.o.
Hodžovo námestie 1/A
811 06 Bratislava
Tel: +421 232 786 411
E-mail: bratislava@eversheds-sutherland.sk
[2] Predovšetkým smernice Európskeho parlamentu a Rady (EÚ) 2018/1972 z 11. decembra 2018, ktorou sa ustanovuje Európsky kódex elektronických komunikácií.
[3] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií
[5] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk