Ako vyplýva z predchádzajúcich článkov, ak je na spracúvanie osobných údajov potrebný súhlas, len oznámenie o používaní cookies alebo poskytnutie možnosti získať viac informácií o používaných cookies bez práva ich odmietnuť nie je možné považovať za súhlas podľa GDPR ani podľa predchádzajúcej právnej úpravy,[1] a to najmä z dôvodu, že neumožňuje dotknutej osobe rozhodnúť sa, či bude používanie cookies akceptovať. Užívateľ webovej stránky má len možnosť službu nevyužiť alebo využiť s cookies. Poskytnutie služby webovej stránky je tak podmienené súhlasom s užívaním cookies a súvisiacim spracúvaním osobných údajov, čo je v priamom rozpore s článkom 7 ods. 4 GDPR.
Ďalej je možné stretnúť sa s oznámeniami o ochrane osobných údajov prostredníctvom cookies vo veľmi obmedzenom znení, citujeme: „Na cookies našich poskytovateľov sa nevzťahuje naša politika ochrany súkromia. K týmto cookies nemáme prístup a nemáme nad nimi ani žiadnu kontrolu.“ Takéto oznámenie bez ďalšieho nie je v súlade s GDPR. Medzi prevádzkovateľom webovej stránky a spoločnosťami, ktoré na nej majú umiestnené cookies, musí byť jasne identifikovaný vzťah, pričom zvyčajne budú v pozícii spoločných prevádzkovateľov alebo jeden z nich bude sprostredkovateľ. V nadväznosti na vyriešenie postavenia jednotlivých účastníkov v tomto vzťahu je potrebné uzatvoriť príslušnú zmluvu alebo dohodu a určiť si potrebné práva a povinnosti. Je to z toho dôvodu, že na otázku kto bude zodpovedať za to, ak nie je na využívanie cookies tretích strán udelený riadny súhlas, odpovedá napríklad francúzsky Úrad na ochranu osobných údajov tak, že obaja: prevádzkovateľ webovej stránky aj prevádzkovateľ danej cookie.[2]
Rovnako je nesprávne žiadať všeobecný alebo hromadný súhlas s používaním všetkých cookies naraz. Okrem zrejmých nedostatkov ako neurčitosť súhlasu je takáto forma aj nepraktická. Užívatelia by totiž mohli súhlasiť s niektorými cookies, v takomto prípade však dostanú len možnosť všetky prijať alebo všetky odmietnuť, čo môže v prípade negatívneho postoja znížiť kvalitu získavaných údajov pre prevádzkovateľa a užívateľskej skúsenosti pre užívateľa.
Častým spôsobom, akým sa rozhodli vysporiadať prevádzkovatelia s GDPR, je informácia, podľa ktorej si užívatelia majú prestaviť prehliadače. V druhej časti tejto série analyzujúcej Zákon o elektronických komunikáciách sme vysvetlili dôvody, v dôsledku ktorých takéto oznámenie nie je postačujúce a nemôže byť považované za súhlas, ak je tento na spracúvanie osobných údajov potrebný. Táto takmer zbytočná informácia býva naviac doplnená o údaj, podľa ktorého, ak majú užívatelia záujem získať viac informácií o cookies, majú si ich naštudovať napríklad na www.allaboutcookies.org, youronlinechoices.eu alebo optout.aboutads.info. Uznávame kvalitu uvedených webových stránok, za žiadnych okolností však nie je možné považovať odkaz na ne za splnenie informačnej povinnosti. V prvom rade s výnimkou jednej z nich nie sú dostupné v slovenskom jazyku. Ďalej poskytujú generické a všeobecné informácie, ktoré sa na danú webovú stránku môžu a nemusia vzťahovať v rôznom rozsahu, ktorý užívateľ nepozná. A v treťom rade, dve z troch vyššie uvedených webových stránok sa zaoberajú primárne právom USA a nie právom EÚ. Plnenie si informačnej povinnosti, resp. jej prenesenie na tretie strany ako neziskové organizácie týmto spôsobom, tak nie je v súlade s GDPR.
Základné odporúčania na záver
Najjednoduchšou alternatívou vysporiadania sa s GDPR je dostať sa spod jej pôsobnosti, a to napríklad anonymizáciou osobných údajov. Pokiaľ má prevádzkovateľ možnosť osobné údaje anonymizovať, odporúčame mu tak vykonať. Je to z toho dôvodu, že anonymizáciou sa z osobných údajov stávajú len údaje, v dôsledku čoho sa na ne nebude aplikovať režim ochrany osobných údajov, a teda ani GDPR. Typickým príkladom je služba Google Analytics, t.j. analytický nástroj, ktorý pomáha prevádzkovateľom webových stránok a aplikácií pochopiť, ako ich návštevníci tieto prostriedky používajú. Google Analytics ponúka prevádzkovateľom možnosť upraviť ich trvácnosť alebo anonymizovať osobné údaje, napr. IP adresy ich užívateľov.[3] Je teda potrebné vyhodnotiť, či prevádzkovateľ skutočne dané osobné údaje využíva alebo je pre neho prínosnejšie zbaviť sa ich.
Pre zaujímavosť dopĺňame, že skupina kanadských vedcov uvádza, že ani anonymizácia nie je dokonalým bezpečnostným opatrením. Netflix prostredníctvom súťaže „The Netflix Prize Data Study“ zistil, že s dostatočným množstvom údajov v súbore dát je možné opätovne identifikovať tisíce užívateľov, a to prostredníctvom algoritmu na hodnotenie filmov. Pokiaľ však prevádzkovatelia nebudú zverejňovať súbory dát, takýchto incidentov sa nemusia obávať.[4]
Ak sa spracúvaniu osobných údajov prostredníctvom cookies nedá vyhnúť, odporúčame prevádzkovateľom nasledujúci postup:
1. Vytvoriť zoznam cookies, z ktorého je potrebné vybrať len tie, ktoré zhromažďujú osobné údaje.
2. Určiť účel, na ktorý sa osobné údaje spracúvajú a v prípade, ak prevádzkovateľovi neprinášajú žiadny benefit, takéto cookies je najvhodnejšie odstrániť.
3. Určiť právny základ spracúvania, t.j. napríklad plnenie zmluvy (ako fungovanie webovej stránky), oprávnený záujem (ako bezpečnosť užívateľského prostredia) alebo súhlas.
4. Posúdiť bezpečnosť cookies a webovej stránky z hľadiska možnosti externých bezpečnostných incidentov.
5. Vypracovať oznámenie o spracúvaní osobných údajov, pričom z dokumentu musia byť zrejmé presné typy cookies, zoznam tretích strán využívajúcich cookies s hypertextovým prepojením na ich pravidlá ochrany osobných údajov,[5] účel ich využívania a práva dotknutých osôb a zabezpečiť, aby bolo užívateľom dostupné už ich pri prvom vstupe na webovú stránku. Napriek tomu, že cookies, ktoré nespracúvajú osobné údaje, nie sú predmetom GDPR, odporúčame uviesť v následne zverejnenom zozname všetky cookies, aby prevádzkovatelia predišli nedorozumeniam s užívateľmi ohľadom ich transparentnosti a plnenia informačnej povinnosti. Zároveň odporúčame zaviesť automatizovaný systém, ktorý bude partnerov prevádzkovateľa využívajúcich cookies prostredníctvom webovej stránky prevádzkovateľa aktualizovať.[6]
6. Ak je právnym základom spracúvania osobných údajov súhlas, musí byť odvolateľný rovnako ľahko, ako bol daný a
- obsahovať všetky zákonom vyžadované informácie;
- dotknuté osoby musia mať možnosť nesúhlasiť so spracúvaním osobných údajov;
- súhlas so spracúvaním osobných údajov musí byť aktívny, a teda len oznámenie na webovej stránke vo vzťahu ku spracúvaniu osobných údajov, na ktoré je nevyhnutný súhlas alebo vopred zakliknuté políčko súhlasu, sú nepostačujúce a spracúvanie osobných údajov na takomto základe je v rozpore s GDPR;
- musí byť pre prípad kontroly preukázateľný a
- v prípade, ak sa užívateľ rozhodne súhlas odvolať, je nevyhnutné mať procesy na realizáciu týchto práv pripravené nielen organizačne, ale aj technicky.
7. Spracovať predmetnú problematiku v internej smernici o ochrane osobných údajov.
Z hľadiska formy Úřad pro ochranu osobních údajů ČR neodporúča známy spôsob používania vyskakujúcich líšt požadujúcich súhlas so spracúvaním osobných údajov prostredníctvom cookie, keďže užívateľov obťažujú. Radí radšej vypracovanie špeciálnej a ľahko dostupnej informačnej podstránky s názvom cookies. [7] Je pravda, že množstvo líšt aktuálne neposkytuje žiadnu pridanú hodnotu. Avšak v prípade, ak je lišta pripravená kvalitne a graficky prehľadne, môže byť pre užívateľa transparentným spôsobom zabezpečenia jeho informovanosti. Každopádne je však potrebné, aby informácie o ochrane osobných údajov boli trvalo dostupné a nezmizli napríklad po daní súhlasu či inom spôsobe zmiznutia lišty.
Okrem nastavenia pravidiel na spracúvanie osobných údajov prostredníctvom cookies je potrebné zvažovať aj ďalšie kroky. Spoločnosti, ktoré používajú cookies napríklad na systematické a rozsiahle automatizované profilovanie za účelom využitia behaviorálnej reklamy, sú povinné vypracovať posúdenie vplyvu na ochranu osobných údajov podľa článku 35 a nasl. GDPR.[8]
Pokiaľ prevádzkovateľ spracúva osobné údaje získané z cookies prostredníctvom tretej osoby alebo s ňou ako spoločným prevádzkovateľom, nesmie zabudnúť uzatvoriť zmluvu o spracúvaní osobných údajov alebo dohodu spoločných prevádzkovateľov.
Vyššie uvedené skutočnosti predstavujú priame účinky, ktoré má GDPR na webové stránky prevádzkovateľov. Okrem nich je však potrebné zaoberať sa aj významným nepriamym účinkom novej úpravy ochrany osobných údajov. V kybernetickom priestore vo všeobecnosti stúpne zabezpečenie jednotlivých prehliadačov, webových stránok či serverov a pocit bezpečia užívateľov sa tak stane rovnako významnou konkurenčnou výhodou, ako je tomu v skutočnom svete. Je preto vhodné zabezpečiť svoju webovú stránku na primeranej úrovni, aby nedochádzalo k situáciám, kedy napríklad prehliadače budú užívateľov pred vstupom na predmetnú webovú stránku priamo informovať o jej nedostatočnom zabezpečení, a teda aj hrozbe ohrozenia ochrany osobných údajov a súkromia. Takéto upozornenie by mohlo mať na návštevnosť webovej stránky a s tým spojené využívanie ponúkaných služieb negatívny dopad. Konkrétne vo vzťahu ku cookies odporúčame napríklad nastavenie, kedy webová stránka vyžaduje od prehliadačov výhradne využívanie šifrovaných kanálov, čím je možné zabrániť úniku uložených citlivých informácií cez nezabezpečené transfery dát, ktorými môžu byť napríklad prístupové heslá.[9]
Nastavenie cookies sa naviac neoplatí zanedbať aj kvôli tomu, že je v nasledujúcich mesiacoch očakávané schválenie nariadenia nahradzujúceho aktuálnu Smernicu o súkromí a elektronických komunikáciách. Nové nariadenie by malo byť v súlade s GDPR a upravovať aj problematiku cookies. Pokiaľ teda prevádzkovatelia kvalitne nastavia svoje pravidlá už teraz, nebudú ich musieť meniť znova o rok (odhadom).
V prípade akýchkoľvek ďalších otázok o danej problematike neváhajte kontaktovať našu advokátsku kanceláriu
V4 Legal, s.r.o. špecializujúcu sa na oblasť ochrany osobných údajov.
JUDr. Daniela Čičkánová, PhD., LL.M.,
advokátka
Tvrdého 4
010 01 Žilina
Obchodná 2
811 06 Bratislava
Tel.: +421 41 32 11 290
Fax.: +421 41 32 11 292
______________________________
[1] Article 29 Data Protection Working Party: Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies, 02.10.2013, s. 5.
[2] Commission Nationale de l'Informatique et des Libertés: Cookies: CNIL extends monitoring beyond website publishers, 27.07.2016, k dispozici >>>
zde.
[3] Google Analytics Cookie Usage on Websites, k dispozici >>>
zde.
[4] Viac v: Citizen's Guide to Open Data: Open Data and Privacy, k dispozici >>>
zde.
[5] Commission Nationale de l'Informatique et des Libertés: Cookies: CNIL extends monitoring beyond website publishers, 27.07.2016,
k dispozici >>> zde.
[6] Commission Nationale de l'Informatique et des Libertés: Cookies: CNIL extends monitoring beyond website publishers, 27.07.2016,
k dispozici >>> zde.
[7] Úřad pro ochranu osobních údajů ČR: Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018, 22.05.2018, s. 2,
k dispozici >>> zde.
[8] Obdobne v: Úřad pro ochranu osobních údajů ČR: Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018, 22.05.2018, s. 3,
k dispozici >>> zde.
[9] Privacy Concerns on Cookies, dostupné prostredníctvom: http://www.allaboutcookies.org/.