GDPR[1] je nariadenie, ktoré vyvoláva také množstvo emócií, ako máloktorá právna úprava, pričom je to často len dôsledkom jeho nepochopenia alebo nepochopenia podstaty ochrany osobných údajov vo všeobecnosti. Predmetné nariadenie nepochybne pridáva administratívne povinnosti a obsahuje viacero nedostatkov, ak ale bude vykladané s rozumom a s ohľadom na jeho účel, je spôsobilé byť základom, na ktorom bude možné vybudovať zmysluplnú ochranu osobných údajov a súkromia aj v časoch rapídneho technologického rozvoja. Práve s tým súvisí aj využívanie súborov cookies a obdobných sledovacích technológií, ktorých regulácia bola síce upravená podobným spôsobom, ako je tomu teraz, avšak bez vysokých pokút, ktoré prináša GDPR (a ktoré sú v podmienkach SR jednou z mála zásadných zmien oproti predchádzajúcej právnej úprave). Z tohto dôvodu sa z ekonomického hľadiska „oplatilo“ predchádzajúcu legislatívu porušovať, keďže hodnota osobných údajov získavaných napríklad za účelom behaviorálnej reklamy, t.j. personalizovanej reklamy, bola a naďalej je veľmi vysoká.
V dôsledku vyššie uvedených skutočností je napriek obdobnej právnej úprave veľmi aktuálna otázka, ako upraviť cookies v praxi tak, aby bolo ich nastavenie v súlade s GDPR. Práve preto sme pripravili sériu troch článkov, v ktorej čitateľom postupne predstavíme cookies a ich základné delenie spolu s ich významom pre GDPR, keďže tieto skutočnosti často nie sú jasné ani prevádzkovateľom webových stránok, ktorí cookies využívajú. V tomto článku uvedieme aj najčastejšie právne základy spracúvania osobných údajov, ktoré je možné aplikovať v prípade cookies. V druhej časti série sa zameriame na súhlas ako právny základ spracúvania osobných údajov a problémy s ním spojené. V poslednej tretej časti vysvetlíme najčastejšie chyby, ktoré robia v tejto oblasti prevádzkovatelia v praxi a poskytneme záverečné rady užitočné pri implementácii GDPR do pravidiel používania cookies.
Zdôrazňujeme však, že nie každý súbor cookie ukladá osobné údaje a táto séria článkov sa rovnako ako problematika GDPR zaoberá len tými súbormi, ktoré osobné údaje spracúvajú. Súčasne dávame do pozornosti čitateľov, že GDPR nie je potrebné aplikovať pri každej reklame na webovej stránke, ale len vtedy, ak je táto reklama personalizovaná prostredníctvom spracúvania osobných údajov.[2]
Čo sú cookies a prečo sú pri ochrane osobných údajov dôležitou témou?
Cookie je krátky textový súbor, ktorý sa pri návšteve webových stránok stiahne na počítač či iné zariadenie užívateľa služby, napr. smartfón. Ak nie je súbor vymazaný, pri ďalšej návšteve umožní webovým stránkam rozpoznať jeho prehliadač, nastavenia a informácie o predchádzajúcej aktivite užívateľa, napríklad preferovaný jazyk. Cookies je možné využívať na najrôznejšie účely, napr. na zabezpečovanie funkčnosti stránky, efektívne vytváranie štatistík, profilovanie či identifikáciu užívateľov a personalizáciu cieleného marketingu. Riziko pre ochranu osobných údajov spočíva zvyčajne skôr v účele využitia osobných údajov ako v ich samotnom zhromažďovaní prostredníctvom cookies.[3] Okrem štandardných cookies s úložiskom pre každý webový prehliadač sú významné aj flash cookies (nazývané aj „Local Shared Objects“) a množstvo ďalších technológií, ktoré užívateľov služieb sledujú a zaznamenávajú o nich rôzne informácie. V tejto sérii článkov budeme používať pojem cookie veľmi všeobecne a myslíme ním aj všetky obdobné technológie, ktoré fungujú na princípe ukladania sa, zhromažďovania a uchovávania osobných údajov na konečnom zariadení užívateľa.
Vo vzťahu k GDPR sú cookies relevantné z dôvodu, že mnohé ukladajú osobné údaje (napr. meno, IP adresu, preferencie), na základe ktorých je možné profilovať dotknuté osoby až do tej miery, že sú vystavené nielen obavám zo straty súkromia, ale aj z možnej manipulácie svojho správania napr. prostredníctvom behaviorálnej reklamy. Posledné štúdie ukázali, že na základe cookies v priestore webu v kombinácii s cookies v smart zariadeniach je možné presne identifikovať až 99 % používateľov.[4] Tieto skutočnosti robia z cookies atraktívny cieľ na ich rôznorodé zneužívanie či hackerské útoky, a to práve za účelom finančne mimoriadne výhodného využitia osobných údajov, ktoré obsahujú.[5] Aj z tohto dôvodu podľa nášho právneho názoru práve netransparentné spracúvanie osobných údajov prostredníctvom cookies patrilo medzi kľúčové dôvody, na základe ktorých sa Európska únia rozhodla zmodernizovať ochranu osobných údajov (predchádzajúca právna úprava bola z roku 1995 a čitatelia si určite spomenú, že v tom čase technológie využívali mierne odlišným spôsobom).
Cookies sa delia podľa svojho účelu do viacerých kategórií, pričom ich typológia sa často mení vo vzťahu k rozvoju nových technológií, ale aj potrieb konkrétnych prevádzkovateľov. Z hľadiska GDPR je najpodstatnejšie ich delenie na cookies, ktoré sú nevyhnutné (tzv. „essential“) pre fungovanie webovej stránky a služieb požadovaných dotknutou osobou a cookies, ktoré na tento účel nevyhnutné nie sú (tzv. „non-essential“). V druhej skupine sa nachádzajú napríklad cookies zabezpečujúce personalizovanú reklamu, rôzne neanonymizované štatistiky alebo cookies od tretích strán. Zaradenie konkrétneho súboru do jednej z týchto kategórií je kľúčové predovšetkým vo vzťahu k zásade minimalizácie osobných údajov a obmedzenosti účelu podľa článku 5 ods. 1 písm. b) a c) GDPR. Identifikácia toho, či sú cookies nevyhnutné pre fungovanie webovej stránky, umožní ich nastavenie v rozsahu nevyhnutnom na účely spracúvania osobných údajov. GDPR totiž nevyžaduje, aby bol eliminovaný zber osobných údajov vo vzťahu k ich množstvu, ale vo vzťahu k ich účelu a zmyslu spracúvania.[6]
Ďalším významným delením je kategorizácia týchto súborov na cookies relácie (tzv. „non-persistent cookies, temporary cookies, session cookies“) a trvalé cookies (tzv. „persistent cookies, tracking cookies“). Webové stránky zvyčajne nemajú „pamäť“, v dôsledku čoho potrebujú cookies už aj počas jednej relácie, t.j. v čase od spustenia do vypnutia prehliadača.[7] Cookies relácie zvyčajne skončia svoju činnosť v momente zatvorenia prehliadača alebo iného ukončenia predmetnej relácie. Trvalé cookies, naopak, zotrvajú uložené v pamäti prehliadača, t.j. na hard disku po veľmi dlhý čas,[8] pričom uchovávajú napríklad voľbu jazyka, výber témy, ale aj množstvo informácií odrážajúcich osobnosť a preferencie daného užívateľa.[9] Zo štandardného nastavenia sa tak webová stránka postupne od prvej návštevy užívateľa neustále personalizuje a mení nastavenia spôsobom, aby vyhovovala osobe využívajúcej daný prehliadač.[10] Údaje, ktoré sú teda uložené v cookie, majú významnú hodnotu a môžu byť zneužité najrôznejšími spôsobmi, napr. keď sa cookie správa ako určitá forma spyware.[11] Identifikácia tejto kategórie cookies je okrem iného podstatná aj pri aplikácii zásady minimalizácie uchovávania osobných údajov podľa článku 5 ods. 1 písm. e) GDPR. Osobné údaje by totiž nemali byť uchovávané dlhšie, ako je to nevyhnutné na konkrétne účely ich spracúvania a ak je to teda možné, malo by byť uprednostňované používanie cookies relácií pred trvalými cookies.
Treťou významnou skutočnosťou, ktorú je pri analýze spracúvania osobných údajov prostredníctvom cookies potrebné identifikovať, je informácia, kto nastavil cookies a z akého dôvodu, a teda sú cookies spravované prevádzkovateľom alebo treťou stranou. Cookies prvých strán (tzv. „first party cookies“) sú nastavené priamo webovou lokalitou prevádzkovateľa, na ktorej sa dotknutá osoba nachádza. Cookies tretích strán (tzv. „third-party cookies“) sú naopak nastavované inou osobou ako prevádzkovateľom a v praxi sú prevažne využívané najmä na marketing. Tieto cookies prijme prehliadač, keď si dotknutá osoba prezerá stránku, na ktorej sa nachádza obsah od tretích osôb (napr. obrázky). Prehliadač dotknutej osoby vysiela signály serverom tretích strán, ktoré následne sledujú napríklad jej internetovú aktivitu za účelom profilovania. Z hľadiska osobných údajov tak vznikajú reálne obavy z porušovania ich ochrany.[12] S ohľadom na trhovú hodnotu takto získaných dát sa však práve uvedené technológie vyvíjajú mimoriadne rýchlo a vznikajú nové typy cookies ako napríklad supercookies, evercookies či ubercookies. Tieto cookies majú výrazne väčšie úložné kapacity, často sa ukladajú mimo prehliadača, v dôsledku čoho je náročnejšie ich odstrániť a súčasne sú spôsobilé obnoviť iné už vymazané cookies.[13] V prípade používania týchto druhov cookies je potrebné pristupovať k politike ochrany osobných údajov mimoriadne citlivo, a to najmä vo vzťahu k zásade integrity a dôvernosti spracúvania osobných údajov podľa článku 5 ods. 1 písm. f) GDPR a zásady zodpovednosti podľa článku 5 ods. 2 GDPR.
Na akom právnom základe je vhodné spracúvať osobné údaje prostredníctvom cookies?
Zásadná otázka pre prevádzkovateľov webových služieb je, na akom právnom základe sa môžu spracúvať osobné údaje prostredníctvom cookies. Za týmto účelom je potrebné aplikovať okrem GDPR a Zákona o ochrane osobných údajov[14] aj Zákon o elektronických komunikáciách,[15] ktorý sa do našej právnej úpravy dostal prostredníctvom implementácie Smernice o súkromí a elektronických komunikáciách.[16]
V prvom rade je potrebné si uvedomiť, že zákonné dôvody na spracúvanie osobných údajov podľa článku 6 GDPR sú rovnako relevantné aj pre spracúvanie osobných údajov prostredníctvom cookies. Pravdepodobne najčastejšie budú aplikované právne základy založené na potrebe plnenia zmluvy, na oprávnenom záujme prevádzkovateľov a na súhlase užívateľov.
Ak chce prevádzkovateľ spracúvať osobné údaje prostredníctvom cookie z dôvodu plnenia zmluvy alebo predzmluvných rokovaní, musí byť daná cookie nevyhnutná v takom rozsahu, že by bez nej nevedel plniť zmluvu podľa v nej dohodnutých podmienok. Môže ísť napríklad o cookies, ktoré budú plniť dohodnutú bezpečnostnú funkciu. V takom prípade si prevádzkovateľ voči užívateľovi musí splniť len informačnú povinnosť podľa článkov 13 a 14 GDPR a nemusí žiadať súhlas užívateľa.
Do tejto kategórie môžeme zaradiť aj výnimku podľa ustanovenia § 55 ods. 5 Zákona o elektronických komunikáciách. Podľa tohto nie je na spracúvanie osobných údajov prostredníctvom cookies potrebný súhlas, ak je ich účelom „prenos alebo uľahčenie prenosu správy prostredníctvom siete“ alebo „ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti“, ktorú musí aktívne vyžadovať priamo užívateľ. Spracúvanie osobných údajov v takom prípade prebieha na základe zákonnej výnimky, ktorá je podľa nášho právneho názoru konkretizovaným ustanovením právneho základu z dôvodu plnenia zmluvy. Zaujímavosťou je, že slovenská úprava poskytuje výnimky vo väčšom rozsahu ako smernica, ktorá bola uvedeným ustanovením implementovaná. Podľa Zákona o elektronických komunikáciách totiž na využitie vyššie uvedenej výnimky postačuje, ak cookie slúži na uľahčenie prenosu správy, pričom podľa novelizovanej Smernice o súkromí a elektronických komunikáciách prenos komunikácie vôbec nemôže byť bez použitia takého súboru cookie uskutočniteľný. Z tohto dôvodu je otázne, či používanie cookies, ktoré majú len vedľajší účel alebo slúžia napríklad na zrýchlenie prenosu komunikácie a podľa európskeho práva nepatria pod uvedené výnimky,[17] vyžaduje alebo nevyžaduje súhlas užívateľa služby. Podľa nášho právneho názoru je predmetné ustanovenie Zákona o elektronických komunikáciách v rozpore so Smernicou o súkromí a elektronických komunikáciách a pravdepodobne aspoň v časti aj v rozpore s GDPR a v sporných situáciách odporúčame riadiť sa GDPR.
Ak prevádzkovateľ nie je orgán verejnej správy, môže spracúvať osobné údaje aj na základe svojho oprávneného záujmu. Podmienkou je, že používanie cookies je nevyhnutné na ochranu týchto oprávnených záujmov, a že nad nimi neprevažujú záujmy a práva dotknutých osôb, najmä záujem na ochrane osobných údajov a súkromia. Prevádzkovateľ aj v tomto prípade len plní svoju informačnú povinnosť, avšak zároveň musí dotknutej osobe umožniť namietať takéto spracúvanie podľa článku 21 ods. 1 GDPR.
Cookies, na ktoré sa nevyžaduje súhlas, majú mať životnosť priamo prispôsobenú účelu, na ktorý slúžia, pričom väčšinou to bude najneskôr do zatvorenia prehliadača, t.j. cookies relácie. Ani to však nie je pravidlo bez výnimky, ak je racionálne odôvodniteľná, ako napríklad, keď užívateľ ukladá položky do košíka, obchodník môže nastaviť cookie tak, aby trvala aspoň niekoľko hodín po zatvorení prehliadača, keďže ak náhodou užívateľ zavrie prehliadač, očakáva, že obsah jeho košíka bude dostupný aj keď spustí prehliadač o niekoľko minút.[18]
Tretím najčastejšie využívaním právnym základom na spracúvanie osobných údajov je súhlas. V súlade s úvodom tohto článku bude jeho správna aplikácia predmetom druhej časti tejto série.
V prípade akýchkoľvek ďalších otázok o danej problematike neváhajte kontaktovať našu advokátsku kanceláriu
V4 Legal, s.r.o. špecializujúcu sa na oblasť ochrany osobných údajov.
JUDr. Daniela Čičkánová, PhD., LL.M.,
advokátka
Tvrdého 4
010 01 Žilina
Obchodná 2
811 06 Bratislava
Tel.: +421 41 32 11 290
Fax.: +421 41 32 11 292
______________________________
[1] Nariadenie Európskeho Parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[2] Commission Nationale de l'Informatique et des Libertés: Cookies: CNIL extends monitoring beyond website publishers, 27.07.2016, K dispozici >>>
zde.
[3] Article 29 Data Protection Working Party: Opinion 04/2012 on Cookie Consent Exemption, 07.06.2012, s. 5.
[4] Hoeren, T., Kolany‐Raiser, B. (ed.): Big Data in Context. Legal, Social and Technological Insights. Springer International Publishing AG, 2016, s. 75.
[5] Cookie security and privacy issues, k dispozici >>>
zde.
[6] Voigt, P., von dem Busche, A.: The EU General Data Protection Regulation (GDPR). A Practila Guide. Springer International Publishig, 2017, s. 90.
[7]Key Tips for Safe and Responsible Cookie-Based Web Browsing, k dispozici >>>
zde.
[8] European Network and Information Security Agency: Bittersweet Cookies. Some Security and Privacy Considerations, 02.02.2011, s. 5.
[9] Standard Uses for Browser Cookies, k dispozici >>>
zde.
[10]Key Tips for Safe and Responsible Cookie-Based Web Browsing, k dispozici >>>
zde.
[11] Install and Keep Antispyware Applications Updated, k dispozici >>>
zde.
[12] European Network and Information Security Agency: Bittersweet Cookies. Some Security and Privacy Considerations, 02.02.2011, s. 3 a 8.
[13] European Network and Information Security Agency: Bittersweet Cookies. Some Security and Privacy Considerations, 02.02.2011, s. 5.
[14] Zákon č.
18/2018 Z. z. o ochrane osobnych údajov
[15] Zákon č. 351/2011 Z. z. o elektronických komunikáciách
[16] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) v znení smernice Európskeho parlamentu a Rady 2006/24/ES z 15. marca 2006 a smernice Európskeho parlamentu a Rady 2009/136/ES z 25. novembra 2009, pričom sa vzťahuje na spracovávanie osobných údajov v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb vo verejných komunikačných sieťach v EÚ, a teda napríklad poskytovanie internetových služieb.
[17] Article 29 Data Protection Working Party: Opinion 04/2012 on Cookie Consent Exemption, 07.06.2012, s. 3.
[18] Article 29 Data Protection Working Party: Opinion 04/2012 on Cookie Consent Exemption, 07.06.2012, s. 5.
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo |
www.epravo.sk