Cookie lišta pre e-shop: povinnosti a požiadavky

Dňa 1. februára 2022 nadobudol účinnosť nový zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý priniesol okrem iného aj zmeny v oblasti spracúvania osobných údajov cookies. Po novom musí prevádzkovateľ webstránky získať súhlas návštevníka, ak chce ukladať iné ako nevyhnutné cookies. S ohľadom na sankcie, ktoré nový predpis prináša (až do výšky 10 % z obratu), je na mieste na nové pravidlá poukázať a tie existujúce si pripomenúť.

Mnohé weby používajú vložené videá z Youtube a aj pri takto vložených videách sa do prehliadača ukladajú súbory cookies. A aj pri týchto videách začal Google ponúkať aktiváciu režimu rozšírenej ochrany súkromia. Tento režim je možné aktivovať tak, že pri videách, ktoré chcete vložiť na web kliknete na tlačidlo zdieľať, ďalej kliknete na tlačidlo vložiť. Podľa Google nebude vzhliadnutie takéhoto videa použité pri personalizácii v rámci Youtube. A rovnako personalizovaná prestane byť pri týchto videách aj reklama. Google teda prestane využívať súbory cookies a začne používať takzvanú local storage, čo je miesto v prehliadači, kde je možné dáta uložiť, ale nebudú tak viditeľné ako pri cookies. Podobný mód ponúka aj nástroj Vimeo. Za URL videa stačí pridať parameter: dnt=true a tento parameter zablokuje sledovanie akýchkoľvek údajov. V prípade, že využívate na webe videá z týchto nástrojov odporúčame si toto nastavenie skontrolovať, prípadne namiesto YouTube využiť nástroj Vimeo. V prípade nejasností môžete využiť aj nápovedu pre Youtube od Google a rovnako aj pre nástroj Vimeo.

Čo sú Cookies?

Cookies sú krátke textové súbory, ktoré do vášho zariadenia, spravidla notebooku, PC alebo mobilu, ukladajú navštívené webstránky. Tejto webstránke umožňujú zapamätať si informácie o vašich preferenciách, teda o vás. Z uvedeného dôvodu teda vo väčšine prípadov môžeme hovoriť aj o spracúvaní osobných údajov. Tieto súbory sa ukladajú do priečinka vo vašom prehliadači, obsahujú názov webovej stránky, z ktorej pochádzajú, platnosť a nejaký obsah (zväčša čísla a písmenká). Pri nasledujúcej návšteve tejto istej stránky prehliadač pošle informácie, ktoré sú uložené v súboroch cookies naspäť na stránku, ktorá súbory pôvodne vytvorila.

Webové stránky dostali neľahkú domácu úlohu. V prípade, že používajú cookies, musia vopred získať súhlas používateľa. Ak ho nezískajú, nesmú uložiť cookies a všetky skripty/tagy, ktoré používajú cookies by mali ostať nespustené.

Typy Cookies

Existuje niekoľko typov cookies, v zásade avšak ich dominantným účelom je prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov). Analytické cookies sa využívajú na analýzu správania sa návštevníkov webstránky. Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.

Získané súhlasy sa obvykle rozdeľujú do niekoľkých okruhov, pretože získavať súhlas samostatne ku každému cookie súboru by bolo nepraktické a nerealizovateľné, keďže ich môžu byť desiatky až stovky. Nižšie sú uvedené často používané okruhy:

• Nevyhnutné cookies: sú potrebné na to, aby sa dala webová stránka používať a bola bezpečná. Obvykle sem môže patriť cookies, ktoré ukladá e-shop o košíku, aby si pamätal, čo do neho zákazník pridal.
• Funkčné cookies: sú dôležité na používanie funkcií webu, no bez nich je stále použiteľný. Dobrým príkladom je funkcia livechatu na webe.
• Personalizačné cookies: slúžia na zvýšenie relevancie ponúkaného obsahu, môžu zbierať dáta z prehliadania a následne odporúčať iný vhodný obsah, ktorý by mohol návštevníka zaujímať.
• Analytické cookies: pomáhajú prevádzkovateľovi získavať štatistické údaje, napríklad o návštevnosti, ceste používateľa či jeho interakciách.
• Reklamné cookies: zbierajú rôzne dáta, ktoré sú následne používané na zobrazovanie reklamy naprieč internetom. Tento typ zrejme najviac zasahuje do súkromia používateľov.

Nevyhnutné cookies sú jedinou kategóriou, na ktorú prevádzkovateľ webovej stránky nepotrebuje súhlas používateľa. Ak máte na webe iba takéto cookies, nepotrebujete zobrazovať lištu a získavať súhlas používateľa. Na všetky ostatné kategórie potrebujete získať súhlas ešte pred prvým uložením cookies.

Pre vylúčenie pochybností uvádzam, že je na samotnom webe, ktoré cookies považuje za nevyhnutné na fungovanie webu. Je to jeho rozhodnutím, ktoré si v prípade kontroly bude musieť obhájiť.

Príklad cookie lišty

Právny Rámec pre Cookies

Právny rámec upravujúci podmienky používania cookies predstavuje:

• Smernica ePrivacy - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002
• Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022) (ďalej aj ako „Starý ZEK“)
• Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022) (ďalej aj len ako „Nový ZEK“)

Podľa článku 5 ods. 3 Smernice ePrivacy „členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“

Vyššie uvedený odkaz v smernici ePrivacy na smernicu 95/46/ES v súčasnosti prakticky znamená odkaz na Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj len ako „GDPR“). A to z dôvodu, že táto smernica bola nariadením GDPR zrušená a nahradená.

Starý Zákon o Elektronických Komunikáciách

Podľa ust. § 55 ods. 5 Starého ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu. ... To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“

Nový Zákon o Elektronických Komunikáciách

Podľa ust. § 109 ods. 8 Nového ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“

Ako je z vyššie uvedeného porovnania citovaných ustanovení zrejmé, nový zákon o elektronických komunikáciách už neobsahuje možnosť udelenia súhlasu prostredníctvom nastavenia webového prehliadača.

Praktické Otázky a Odpovede ku Cookies od 1.2.2022

Ďalej prostredníctvom praktických otázok a odpovedí vysvetlíme, ako správne spracúvať súbory cookies, ako si splniť informačnú povinnosť pre návštevníkov webstránky a ako by mala vyzerať správna cookie lišta.

Aký právny základ sa pre spracúvanie informácií prostredníctvom cookies vyžaduje?

Vždy súhlas dotknutej osoby, v tomto prípade návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR. Inými slovami - aby bolo spracúvanie cookies zákonné, musí s tým vždy daná osoba súhlasiť (udeliť vopred súhlas).

Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?

Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.

Musí mať udelený súhlas náležitosti podľa GDPR?

Áno musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.

Aké sú náležitosti súhlasu podľa GDPR?

Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:

• slobodne daný;
• konkrétny;
• informovaný;
• ajednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

Kedy je súhlas slobodne daný?

Vtedy, keď má dotknutá osoba skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný.

Praktický význam pre cookies: Osoba bude mať pocit, že je do súhlasu nútená, napríklad v prípade tzv. cookie walls, bez súhlasného odkliknutia ktorej nebude možné pokračovať v prehliadaní webstránky. Z uvedeného príkladu je zrejmé, že aby ste mohli pokračovať v prehliadaní webstránky, musíte najprv udeliť súhlas so spracúvaním cookies. Takýto súhlas nie je možné považovať za slobodne daný a preto je neplatný.

Kedy je súhlas konkrétny?

Súhlas je konkrétny vtedy, keď je poskytnutý konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich.

Praktický význam pre cookies: Zjednodušene povedané, rôzne typy cookies spracúvajú údaje na rôzne účely. Marketingové cookies na účely marketingu a cieleniu reklám, funkčné cookies si pamätajú preferencie užívateľa ako napríklad jazykové nastavenia či užívateľské meno, atď. So všetkými účelmi musí byť návštevník webstránky oboznámený a vo vzťahu ku každému účelu musí mať možnosť voľby, či súhlasí alebo nie.

Aké sú ďalšie náležitosti súhlasu?

• súhlas musí byť získaný vopred, t.j. začatím spracúvania údajov,
• musí byť vyjadrením aktívneho úkonu,
• musí byť kedykoľvek editovateľný,
• a uchovávať 4, resp. 5 rokov.

Je platnosť súhlasu s cookies časovo obmedzená?

Áno, však ku konkrétnej lehote existujú len zahraničné usmernenia. Lehota, na ktorú je súhlas udelený by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.

Kto má právomoc všetky povinnosti v súvislosti cookies kontrolovať?

Odpoveď na túto otázku nie je v súčasnosti úplne jednoznačná. Kontrolovať agendu ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Kontrolovať reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb. Ako je však zrejmé, pravidlá používania cookies spadajú do kontrolnej pôsobnosti obidvoch úradov. V budúcnosti bude preto potrebné nastaviť jednotné a hlavne jasné pravidlá kto, čo a v akom rozsahu môže kontrolovať. V tejto chvíli nemožno vylúčiť, že kontrolovať podmienky používania cookies budú zástupcovia tak jedného, ako aj druhého úradu. Kým udeliť pokutu podľa ZEK možno do 4 rokov odo dňa porušenia povinnosti, podľa Zákona o ochrane osobných údajov do 5 rokov odo dňa porušenia povinnosti.

Aké sú sankcie?

Vysoké. Samozrejme sa budú odvíjať od druhu porušenia povinnosti, avšak kým maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK až 10 % z obratu za predchádzajúci kalendárny rok.

Ako má vyzerať Cookies Lišta v praxi?

Cookies lišta, či banner obsahujú aj tlačidlá, ktorými je možné nielen vybrať si medzi jednotlivými typmi cookies, ale je možné všetky cookies prijať, či odmietnuť. Súčasťou lišty je tiež odkaz na komplexnú informáciu o spracúvaní osobných údajov.

Naším klientom sme integrovali cookies lištu, pri ktorej je po novom potrebné získať súhlas so spracovaním cookies. Cookies rozdelená na súhlasy jednotlivými typmi zbieraných informácií, vo forme samostatnej položky na „odkliknutie“. Tieto oblasti sú rozdelené na: nevyhnutné, analytické, martketingové.

Táto zmena prináša so sebou najmä nasledovné povinnosti:

• každá webová stránka by mala obsahovať cookies lištu,
• bez vyjadrenia súhlasu používateľa bude možné spracúvať len tzv. funkčné, resp. technické cookies,
• na zber ostatných druhov cookies je potrebný súhlas používateľa,
• je nevyhnutné zabezpečiť plnenie informačnej povinnosti pre cookies podľa čl. 13 GDPR.

Od 1. februára 2022 platí nový zákon o ochrane osobných údajov, po novom už nestačí užívateľov informovať o použití cookies na Vašej webovej stránke, ale je nutné dať užívateľovi možnosti zvoliť si, ktoré cookies chce používať, a ktoré zakázať.

Požiadavky pre súbory cookie a GDPR od 1.2.2022

Väčšina prevádzkovateľov webových stránok si tak bude musieť zosúladiť svoje nastavenia využitia súborov cookies s novými požiadavkami zákona č. 452/2021 Z.z. o elektronických komunikáciách, ako aj s požiadavkami nariadenia GDPR, s účinnosťou od 1. februára 2022.

Podľa tohto zákona je potrebné:

• Akékoľvek získavanie a ukladanie informácií zo zariadenia koncového užívateľa podlieha súhlasu;
• Užívateľ musí byť informovaný o účele získavania a ukladania informácií;
• návštevník musí byť informovaný o využití cookies na webovej stránke, napr. prostredníctvom lišty alebo cookie bannera, z poskytnutých informácií by sa mal dozvedieť o účele použitia jednotlivých cookies, o ich funkčnosti a o tom, či sa údaje poskytujú 3. stranám, takúto informovanosť by mala zabezpečiť komplexná informačná povinnosť, ktorá by mala byť súčasťou cookie bannera/lišty - informačná povinnosť by mala špecifikovať súbory cookies, ich funkciu, prevádzkovateľa, lehotu uloženia a tretie strany;
• Poskytnutie dostatočných informácií o cookies by malo docieliť získanie jasného a jednoznačného súhlasu od užívateľa webovej stránky - tento súhlas musí byť získaný pred akýmkoľvek spracovaním údajov;
• Súhlas, ktorý sa od užívateľa vyžaduje sa posudzuje s ohľadom na náležitosti nariadenia GDPR;
• Užívateľ by mal byť informovaný aj o možnosti odvolania súhlasu, resp. o možnej modifikácii odvolanie súhlasu by malo byť také jednoduché ako jeho udelenie, prevádzkovateľ môže užívateľa informovať aj o dopadoch/dôsledkoch odvolania súhlasu (napr. vplyv na niektoré funkcie stránky).

Ako by mala vyzerať cookies lišta?

Z technického hľadiska musí cookies lišta umožňovať manažovanie si preferencii udeľovania súhlasov a ich prípadného odvolávania. Toto môže byť formou tlačidiel. Dizajn lišty je možné variovať. Na prvej vrstve cookies lišty musí mať prevádzkovateľ webovej stránky tlačidlá: „SPRAVOVAŤ MOŽNOSTI“, „PRIJAŤ VŠETKY COOKIES“, „ODMIETNUŤ VŠETKY COOKIES“.

V prípade, ak webovú stránku spravuje, resp. spracúva osobné údaje externá spoločnosť/živnostník, je potrebné mať s týmto subjektom uzatvorenú sprostredkovateľskú zmluvu.

Cookies lištu musí byť možné kedykoľvek znova vyvolať. Ideálnym spôsobom, ako to vyriešiť, je stiahnuť lištu po odkliknutí možnosti súhlasov do tzv. floating action tlačidla. Z pohľadu GDPR je to žiaduce riešenie, ale ak takéto nastavenie nie je možné, alternatívou je umožniť vyvolanie cookies lišty prostredníctvom sekcie v pätičke stránky označenej ako „Spravovať cookies“. Po kliknutí na túto sekciu by došlo k vyvolaniu cookies lišty.

V prípade účinného odvolania súhlasu so spracúvaním nejakej kategórie cookies je potrebné okamžite zastaviť spracovanie týchto cookies. Udelený súhlas pritom musí byť možné kedykoľvek odvolať a jeho odvolanie má byť také jednoduché, ako aj jeho získanie. Ak je na získanie súhlasu nastavený 1x klik, rovnaký počet klikov je potrebné mať nastavené aj na odvolanie súhlasu.

Prevádzkovateľ webovej stránky musí uchovávať dôkaz o udelení súhlasu návštevníka s danou skupinou cookies. V prípade, ak sa na cookie lište niečo zmení, napr. pridá sa tretia strana, účel spracúvania a podobne, je potrebné opätovne si pýtať súhlas na spracúvanie. Prevádzkovateľ webovej stránky musí disponovať dokázateľným súhlasom so všetkými druhmi cookies okrem nevyhnutných a so všetkým tretími stranami.

Sankcie za porušenie pravidiel získavania súhlasu s ukladaním cookies

Za to, že prevádzkovateľ webovej stránky nebude mať spracúvanie cookies nastavené správne nastavené, hrozí podľa zákona o elektronických komunikáciách sankcia do výšky 10 % z obratu za predchádzajúce účtovné obdobie a aj pokuta do 20 miliónov eur podľa GDPR.

Zhrnutie povinností

Aby bolo spracúvanie údajov cez cookies zákonné, je potrebné vždy:

• Zvážiť, či na webstránke potrebujem všetky cookies a všetky údaje, ktoré sú tak spracúvané (zásada minimalizácie).
• Získať súhlas osoby (okrem technických cookies, tie bez súhlasu).
• Za súhlas sa už nebude považovať nastavenie webového prehliadača.
• Súhlas musí spĺňať náležitosti podľa GDPR.
• Splniť informačnú povinnosť v dvoch vrstvách (požiadavka transparentnosti) - prvá vrstva cookie lišta, druhá vrstva Privacy policy.
• Informovať o všetkých typoch a účeloch cookies, ako aj o tretích stranách.
• Poskytnúť také technické riešenie, ktoré umožní súhlas kedykoľvek odvolať a modifikovať.

V novom zákone o elektronických komunikáciách bola vyškrtnutá kľúčová veta, vďaka ktorej bolo za súhlas považované aj nastavenie webového prehliadača. Nový zákon je účinný od 1. Získanie platného súhlasu má jednoznačne dané a striktné pravidlá. Článok 7 odsek 1 GDPR definuje povinnosť prevádzkovateľa webstránky preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov. Pri cookies je tiež potrebné splniť si informačnú povinnosť v rozsahu ako ju definuje článok 13 GDPR. Z tohto dôvodu by mali byť na každej webstránke dostupné informácie o spracovaní cookies.

Informovať o všetkých typoch a účeloch cookies, ako aj o tretích stranách. Poskytnúť také technické riešenie, ktoré umožní súhlas kedykoľvek odvolať a modifikovať.

Tabuľka: Porovnanie starého a nového zákona o elektronických komunikáciách v súvislosti s cookies

Zákon	Podmienky ukladania cookies	Súhlas
Starý ZEK (do 31.01.2022)	Používateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania.	Za súhlas sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.
Nový ZEK (od 01.02.2022)	Používateľ udelil preukázateľný súhlas.	Možnosť udelenia súhlasu prostredníctvom nastavenia webového prehliadača už nie je platná.

tags: #cookie #lišta #eshop #povinnosti

Populárne príspevky:

• Omaľovánka pre deti: Kura Domáca
• Kompletný sprievodca pre pestovanie hrachu
• Prečítajte si o zdraví prospešných účinkoch bravčového mäsa
• Pečená paprika: Jednoduchý a chutný recept
• Recept na tinktúru z medvedieho cesnaku