Súhlas je zákonným dôvodom na spracúvanie osobných údajov prevažne v prípadoch, kedy cookies objektívne nezabezpečujú fungovanie stránky alebo ponúkaných služieb, ale len určité benefity pre prevádzkovateľa webstránky,[1] ako napríklad získanie osobných údajov na účely marketingu. Ak je právnym základom spracúvania osobných údajov prostredníctvom cookies súhlas, musí spĺňať všetky podmienky podľa GDPR. Zjednodušene je možné vysvetliť inštitút súhlasu tak, že užívateľ má chápať, čo sa bude s jeho osobnými údajmi diať a má súhlasiť so svojou účasťou na takomto procese.[2]
Dôraz je teda kladený na to, aby prevádzkovateľ získal súhlas od dotknutej osoby v dôsledku jej slobodného a aktívneho konania, pričom takáto osoba musí v čase udelenia súhlasu v zrozumiteľnej forme disponovať všetkými informáciami o jeho následkoch.[3] Zdôrazňujeme potrebu granularity súhlasu, a teda jeho udelenia osobitne pre každý jeden účel spracúvania. Paušálny súhlas na spracúvanie osobných údajov prostredníctvom cookies je bez ďalšieho neplatný.[4] Náležitosť aktívne vykonaného nespochybniteľného súhlasu je zdôrazňovaná najmä z toho dôvodu, že aktuálne podmienky internetu neumožňovali dotknutým osobám akýkoľvek prehľad o tom, kto ich osobné údaje spracúva a akou formou ich využíva.
V nadväznosti na doterajšiu prax je potrebné dať do pozornosti čitateľov najmä skutočnosť, že súhlas so spracovaním osobných údajov prostredníctvom cookies nemôže byť zahrnutý napríklad do všeobecných obchodných podmienok či do iného obdobného textu, ale dotknutá osoba musí poskytnúť súhlas v samostatnej a od ostatných skutočností oddeliteľnej forme. Súhlas musí byť daný pred tým, ako cookies začnú zhromažďovať osobné údaje.[5] Okrem toho sa odporúča, aby bol súhlas časovo limitovaný, napríklad na obdobie jedného roka.[6] K poslednému uvedenému dopĺňame, že by sa nepochybne jednalo o zvýšenie kvality ochrany osobných údajov, nepovažujeme však takéto limitovanie súhlasu za zákonnú povinnosť prevádzkovateľov.
Z hľadiska formy musí byť možné súhlas zdokladovať alebo uchovať, keďže prevádzkovateľ je povinný v prípade kontroly Úradu na ochranu osobných údajov SR preukázať spracúvanie údajov prostredníctvom cookies na základe súhlasu spĺňajúceho náležitosti podľa GDPR. Rovnako je potrebné zabezpečiť, aby dotknutá osoba mala konštantný prístup k informáciám o svojich práva podľa GDPR a Zákona na ochranu osobných údajov. Opäť nie je predpísaná forma, v akej má prevádzkovateľ túto povinnosť zabezpečiť, a je teda možné splniť ju napr. zverejnením predmetných dokumentov v elektronickej forme na danej webovej stránke.
Pri technickej príprave režimu cookies je naviac potrebné nastaviť systém, na základe ktorého bude môcť dotknutá osoba svoj súhlas nielen vziať späť, ale aj modifikovať, a teda dodatočne zmeniť svoje preferencie a nastavenia, napr. odmietnuť spracúvanie osobných údajov na základe cookie, s ktorého využívaním v minulosti súhlasila.[7] Je teda dôležité, aby sa dal súhlas kedykoľvek odvolať spôsobom rovnako jednoduchým, akým bol udelený. Postup, akým to môžu užívatelia urobiť, je nevyhnutné jednoducho a transparentne vysvetliť, napr. aj prostredníctvom symbolov či obrázkov.
Zákon o elektronických komunikáciách v ustanovení § 55 ods. 5 uvádza, že každý, kto ukladá alebo získava prístup ku cookies, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania.[8] Ďalej však kontroverzne uvádza, že „za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu“. Vzniká však otázka, či takýto súhlas skutočne spĺňa podmienky súhlasu podľa GDPR.
V Českej republike sa pri obdobnej právnej úprave s touto otázkou vysporiadal Úřad pro ochranu osobních údajů ČR, podľa ktorého nastavenie prehliadača umožňujúce ukladať webovej stránke cookies do koncového zariadenia, znamená súhlas, pretože je slobodný, konkrétny, informovaný a jednoznačný, avšak za podmienky, že prevádzkovateľ transparentne splní svoju informačnú povinnosť.[9] Za účelom podpory tohto názoru odkazuje na recitál č. 66 preambuly Smernice 2009/136/ES upravujúcej Smernicu o súkromí a elektronických komunikáciách (ďalej ako „Novelizačná smernica“). S týmto názorom sa nestotožňujeme.
Podľa recitálu č. 66 Novelizačnej smernice môže užívateľ webovej stránky vyjadriť súhlas so spracovaním údajov použitím príslušného nastavenia prehliadača alebo inej aplikácie za podmienky, že je technicky realizovateľný, účinný a v súlade s GDPR. Možnosť vyjadrenia súhlasu so spracovaním osobných údajov prostredníctvom nastavenia prehliadača je len pripomienka, že súhlas môže byť v období technologického rozvoja daný rôznymi spôsobmi, avšak vždy musí spĺňať základné podmienky inštitútu súhlasu podľa GDPR. Práve v prípade tejto možnosti vyjadrenia súhlasu to však bude veľmi zriedkavá situácia.[10] Je to tak z dôvodu, že vo všeobecnosti takýto súhlas dotknutých osôb nie je jednoznačný jednoducho už aj preto, že pôvodné nastavenia prehliadača umožňujú zhromažďovanie a ďalšie spracúvanie osobných údajov bez akéhokoľvek aktívneho úkonu užívateľa alebo jeho vedomosti o účele využívaných cookies, t.j. postačuje mu spustiť prehliadač a navštíviť webovú stránku s cookies. Priemerný užívateľ internetových služieb o týchto nastavenia nemá vedomosť, nevie si ich prestaviť alebo nerozumie tomu, že cookies zbierajú jeho osobné údaje. [11]
V prípade, ak by sme predpokladali, že takýto súhlas je skutočne v súlade s GDPR, musel by byť okrem iného vyjadrený pred tým, ako začnú byť cookies aktívne a zhromažďovať osobné údaje.[12] To by znamenalo, že by prehliadače museli mať štandardné, a teda počiatočné nastavenie, ktoré by odmietalo prístup cookies, na ktorých využitie je potrebný súhlas a pri zmene nastavenia by súhlas požadovali. Zodpovednosť prevádzkovateľov cookies by tak bola presunutá na výrobcov prehliadačov, pričom uvedené nemá žiadny právny základ v aktuálnej ani v predchádzajúcej právnej úprave.
Prehliadače sú nastavené tak, že akceptujú ukladanie cookies bez predchádzajúceho súhlasu a umožňujú opt-out systém, t.j. systém povinnosti užívateľa aktívne konať, ak si cookies nepraje, ktorý je opakom opt-in systému, t.j. súhlasu podľa GDPR, a teda systému práva užívateľa s používaním cookies aktívne súhlasiť. Takýto súhlas nepredstavuje skutočný prejav vôle dotknutej osoby a nespĺňa vyššie uvedené podmienky určitosti a včasnosti, keďže sa len nepriamo odvodzuje z jej nekonania, t.j. z nezmenenia nastavení prehliadača. Uvedené pritom nie je novou informáciou, keďže už pred ôsmimi rokmi Pracovná skupina 29 jednoznačne uviedla, že opt-out systém pre používanie cookies neumožňuje priemernému užívateľovi podmienky na udelenie súhlasu a nespĺňa požiadavku aktívneho prejavu vôle, keďže táto je len predpokladaná alebo nepriamo naznačovaná,[13] v dôsledku čoho je v rozpore s článkom 5 ods. 3 Smernice o súkromí a elektronických komunikáciách v spojení s Novelizačnou smernicou.[14]
Pokiaľ by teda ustanovenie § 55 ods. 5 Zákona o elektronických komunikáciách malo znamenať, že sa za platne udelený súhlas považuje, ak si užívateľ nenastaví v prehliadači zákaz ukladania cookies, toto ustanovenie by bolo nesprávne implementované a v rozpore s právom Európskej únie. Opakujeme, že nastavenie prehliadača môže byť považované za súhlas so spracúvaním osobných údajov len v prípade, ak vie prevádzkovateľ zabezpečiť informačnú povinnosť pred daním súhlasu a také nastavenie prehliadača, pri ktorom by užívateľ musel súhlas aktívne poskytnúť, t.j. systémom opt-in, nie opt-out.[15]
Prevádzkovatelia cookies nemôžu zabúdať ani na osobitnú kategóriu osobných údajov definovanú v článku 9 ods. 1 GDPR, ktorej spracúvanie je zakázané, ak prevádzkovateľ nesplní ďalšie v predmetnom ustanovení uvedené podmienky. Takýmito údajmi sú tie, ktoré „odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby“. V prípade, ak má prevádzkovateľ záujem spracúvať takéto osobné údaje na základe súhlasu, tento musí byť výslovný, a teda súhlas prostredníctvom možnosti vymazať si cookies z prehliadača neprichádza do úvahy. Podľa Pracovnej skupiny 29 by takýto výslovný súhlas mal byť dokonca oddelený od akýchkoľvek ďalších iných súhlasov so spracovaním osobných údajov prostredníctvom cookies.[16]
V prípade akýchkoľvek ďalších otázok o danej problematike neváhajte kontaktovať našu advokátsku kanceláriu
V4 Legal, s.r.o. špecializujúcu sa na oblasť ochrany osobných údajov.
V záverečnej tretej časti tejto série článkov o problematike cookies čitateľom predstavíme najčastejšie chyby, ktoré je aktuálne možné nájsť v pravidlách ochrany osobných údajov mnohých prevádzkovateľov a jednoduchý manuál, ako sa takýmto chybám (a pokutám) vyhnúť.
JUDr. Daniela Čičkánová, PhD., LL.M.,
advokátka
Tvrdého 4
010 01 Žilina
Obchodná 2
811 06 Bratislava
Tel.: +421 41 32 11 290
Fax.: +421 41 32 11 292
______________________________
[1] Article 29 Data Protection Working Party: Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies, 02.10.2013, s. 6.
[2] Masnick, M.: A Scientist's Take on Facebook's Psychology Experiment, 28.06.2014, k dispozici >>>
zde.
[3] Article 29 Data Protection Working Party: Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies, 02.10.2013, s. 4.
[4] Article 29 Data Protection Working Party: Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies, 02.10.2013, s. 3.
[5] Article 29 Data Protection Working Party: Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies, 02.10.2013, s. 4.
[6] Article 29 Data Protection Working Party: Opinion 2/2010 on Online Behavioural Advertising, 22.06.2010, s. 16.
[7] Article 29 Data Protection Working Party: Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies, 02.10.2013, s. 2 a 5.
[8] Tým nie sú dotknuté výnimky analyzované v prvej časti tejto série.
[9] Úřad pro ochranu osobních údajů ČR: Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018, 22.05.2018, s. 2, k dispozici >>>
zde.
[10] Article 29 Data Protection Working Party: Opinion 2/2010 on Online Behavioural Advertising, 22.06.2010, s. 13.
[11] Article 29 Data Protection Working Party: Opinion 2/2010 on Online Behavioural Advertising, 22.06.2010, s. 14.
[12] Article 29 Data Protection Working Party: Opinion 2/2010 on Online Behavioural Advertising, 22.06.2010, s. 14.
[13] Article 29 Data Protection Working Party: Opinion 2/2010 on Online Behavioural Advertising, 22.06.2010, s. 15 - 16.
[14] Article 29 Data Protection Working Party: Opinion 2/2010 on Online Behavioural Advertising, 22.06.2010, s. 16.
[15] Article 29 Data Protection Working Party: Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies, 02.10.2013, s. 4.
[16] Article 29 Data Protection Working Party: Opinion 2/2010 on Online Behavioural Advertising, 22.06.2010, s. 20.