Nový zákon o elektronických komunikáciách a cookies

Parlament schválil nový Zákon č. 452/2021 Z. z. o elektronických komunikáciách, ktorý nadobudol účinnosť 1. februára 2022. Tento zákon transponuje smernicu Európskeho parlamentu a Rady (EÚ) 2018/1972 z 11. decembra 2018, ktorou sa ustanovuje Európsky kódex elektronických komunikácií do právneho poriadku Slovenskej republiky.

Práve ochrana záujmov koncového užívateľa ako jeden z hlavných motívov nového zákona sa prejavuje pri úprave pravidiel na ochranu osobných údajov pri používaní súborov cookies. Cieľom je pomôcť firmám a živnostníkom efektívne podnikať.

Nový zákon o elektronických komunikáciách, ktorý je účinný od 1. februára 2022, výrazne mení pravidlá pre ochranu osobných údajov pri cookies. Prispôsobovanie webovej stránky podľa informácií o správaní jej návštevníkov je od 1. 2. 2022 zložitejšie.

Starý zákon 351/2011 Z. z. o elektronických komunikáciách bol účinný do 31. januára 2022. Nahradil ho nový zákon 452/2002 Z. z.

Čo sú cookies?

Cookies sú krátke textové súbory, ktoré do vášho zariadenia, spravidla notebooku, PC alebo mobilu, ukladajú navštívené webstránky. Tejto webstránke umožňujú zapamätať si informácie o vašich preferenciách, teda o vás. Súbormi cookies sa rozumejú malé jednoduché textové súbory, ktoré webový server ukladá do zariadenia pri návšteve a prezeraní webových stránok.

Cookies, pojem ktorý označuje krátke textové súbory, ktoré ukladajú do Vašich zariadení navštívené webstránky a zaznamenávajú Vaše preferencie, teda zbierajú informácie o Vás. Z uvedeného dôvodu teda vo väčšine prípadov môžeme hovoriť aj o spracúvaní osobných údajov.

Existuje niekoľko typov cookies, v zásade avšak ich dominantným účelom je prispôsobenie zobrazovanej reklamy a jej cielenie na konkrétnu osobu (marketingové a reklamné cookies). Analytické cookies zase dokážu rozpoznať opakovanú návštevu webstránky z toho istého prehliadača na rovnakom zariadení a sledovať aktivity návštevníkov webstránky pri jej prezeraní (majú potenciál profilovať návštevníkov). Analýza správania návštevníkov webu prostredníctvom súborov cookies je prakticky súčasťou každej webstránky.

Prvým typom cookies sú tie, ktoré dokážu ukladať informácie o Vašej aktivite. Pomocou získaných informácií tieto súbory následne dokážu vyhodnotiť, aký marketingový a reklamný obsah je pre Vás atraktívny a pod.

Druhým typom cookies sú súbory, ktoré majú výnimku v tom, že SÚHLAS OD UŽÍVATEĽA NEPOTREBUJÚ. Jedná sa o takzvané funkčné alebo technické cookies. Sú potrebné na správne fungovanie webstránok, zabezpečenie možnosti prihlásenia do svojho konta (napr.

Právna úprava cookies pred a po 1.2.2022

Právny rámec upravujúci podmienky používania cookies predstavuje:

  • Smernica ePrivacy - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002
  • Zákon č. 351/2011 Z. z. o elektronických komunikáciách (účinný do 31.01.2022) (ďalej aj ako „Starý ZEK“)
  • Zákon č. 452/2021 Z. z. o elektronických komunikáciách (účinný od 01.02.2022) (ďalej aj len ako „Nový ZEK“)
  • Smernica o súkromí a elektronických komunikáciách - Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (ďalej aj ako „Smernica ePrivacy“)

Podľa článku 5 ods. 3 Smernice ePrivacy „členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania.

To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“ Podľa článku 2 písm.) f Smernice ePrivacy „súhlas užívateľa alebo účastníka zodpovedá súhlasu dátového subjektu v súlade so smernicou 95/46/ES“.

Keď to zhrnieme a zjednodušíme, vyššie citované ustanovenia prakticky hovoria o tom, že pre spracúvanie súborov cookies sa vždy vyžaduje predchádzajúci súhlas návštevníka webstránky a tento súhlas musí mať náležitosti súhlasu podľa GDPR. Aké náležitosti to sú, uvedieme nižšie.

Jedinou výnimkou, kedy sa súhlas návštevníka nevyžaduje, sú tzv. funkčné cookies (alebo technické cookies), ktoré sú nevyhnutné na správne fungovanie webstránky. Zabezpečujú napríklad možnosť prihlásenia sa do svojho užívateľského konta (napr. v e-shope) či nastavenie jazykových preferencií stránky. Pre takéto cookies sa súhlas nevyžaduje.

Vyššie uvedený odkaz v smernici ePrivacy na smernicu 95/46/ES v súčasnosti prakticky znamená odkaz na Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj len ako „GDPR“). A to z dôvodu, že táto smernica bola nariadením GDPR zrušená a nahradená.

Starý zákon o elektronických komunikáciách

Zákon č. 351/2011 Z. z. o elektronických komunikáciách účinný do 31.01.2022 (ďalej aj ako „Starý ZEK“). Podľa ust. § 55 ods. 5 Starého ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.

To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“

Nový zákon o elektronických komunikáciách

Zákon č. 452/2021 Z. z. o elektronických komunikáciách účinný od 01.02.2022 (ďalej aj len ako „Nový ZEK“). Podľa ust. § 109 ods. 8 Nového ZEK „každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.

Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“

Ako je z vyššie uvedeného porovnania citovaných ustanovení zrejmé, nový zákon o elektronických komunikáciách už neobsahuje možnosť udelenia súhlasu prostredníctvom nastavenia webového prehliadača.

Praktické otázky ku cookies od 1.2.2022

Ďalej prostredníctvom praktických otázok a odpovedí vysvetlíme, ako správne spracúvať súbory cookies, ako si splniť informačnú povinnosť pre návštevníkov webstránky a ako by mala vyzerať správna cookie lišta.

Aký právny základ sa pre spracúvanie informácií prostredníctvom cookies vyžaduje?

Vždy súhlas dotknutej osoby, v tomto prípade návštevníka webstránky. Je prakticky vylúčené aplikovať ako právny základ tzv. oprávnený záujem prevádzkovateľa podľa článku 6 ods. 1 písm. f) GDPR. Inými slovami - aby bolo spracúvanie cookies zákonné, musí s tým vždy daná osoba súhlasiť (udeliť vopred súhlas).

Bude sa aj naďalej považovať za platný súhlas aj použitie príslušného nastavenia webového prehliadača?

Nie. Toto ustanovenie Starého ZEK sa v praxi javilo ako značne problematické a jeho súlad so smernicou ePrivacy a GDPR bol minimálne otázny.

Musí mať udelený súhlas náležitosti podľa GDPR?

Áno musí. Hoci Starý ZEK ani Nový ZEK uvedenú podmienku explicitne neupravujú, vyplýva to z čl. 2 písm. f) smernice ePrivacy.

Aké sú náležitosti súhlasu podľa GDPR?

Vychádzajúc z usmernenia Európskeho výboru na ochranu osobných údajov (Usmernenie EDPB 5/2020 k súhlasu podľa GDPR), súhlas je:

  • slobodne daný
  • konkrétny
  • informovaný
  • jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

Kedy je súhlas slobodne daný?

Vtedy, keď má dotknutá osoba skutočnú možnosť voľby a kontroly. Ak má osoba pocit, že je k súhlasu nútená, alebo bude znášať negatívne dôsledky ak súhlas neposkytne, takýto súhlas nebude platný.

Praktický význam pre cookies: Osoba bude mať pocit, že je do súhlasu nútená, napríklad v prípade tzv. cookie walls, bez súhlasného odkliknutia ktorej nebude možné pokračovať v prehliadaní webstránky. Z uvedeného príkladu je zrejmé, že aby ste mohli pokračovať v prehliadaní webstránky, musíte najprv udeliť súhlas so spracúvaním cookies. Takýto súhlas nie je možné považovať za slobodne daný a preto je neplatný.

Kedy je súhlas konkrétny?

Súhlas je konkrétny vtedy, keď je poskytnutý konkrétny, jasne a zrozumiteľne vymedzený účel alebo účely. Ak je poskytovaný na viaceré účely, dotknutá osoba musí mať možnosť voľby vo vzťahu ku každému z nich.

Praktický význam pre cookies: Zjednodušene povedané, rôzne typy cookies spracúvajú údaje na rôzne účely. Marketingové cookies na účely marketingu a cieleniu reklám, funkčné cookies si pamätajú preferencie užívateľa ako napríklad jazykové nastavenia či užívateľské meno, atď. So všetkými účelmi musí byť návštevník webstránky oboznámený a vo vzťahu ku každému účelu musí mať možnosť voľby, či súhlasí alebo nie.

Ďalšie náležitosti súhlasu:

  • súhlas musí byť získaný vopred, t.j. začatím spracúvania údajov, resp. tzn. niektoré kategórie cookies a iné nie.
  • a uchovávať 4, resp. 5 rokov.
  • povinnosti udelenia súhlasu.
  • účinný od 1.
  • pre účely priameho marketingu (napríklad zasielanie newslettra).
  • odvolania súhlasu.

Je platnosť súhlasu s cookies časovo obmedzená?

Áno, však ku konkrétnej lehote existujú len zahraničné usmernenia. Lehota, na ktorú je súhlas udelený by nemala prekročiť 13 mesiacov. V prípade neudelenia súhlasu s cookies by mal byť návštevník webu opätovne dotazovaný až po uplynutí 6 mesiacov.

Kto má právomoc všetky povinnosti v súvislosti cookies kontrolovať?

Odpoveď na túto otázku nie je v súčasnosti úplne jednoznačná. Kontrolovať agendu ochrany osobných údajov má v kompetencii Úrad na ochranu osobných údajov. Kontrolovať reguláciu podľa ZEK má v kompetencii Úrad pre reguláciu elektronických komunikácií a poštových služieb.

Ako je však zrejmé, pravidlá používania cookies spadajú do kontrolnej pôsobnosti obidvoch úradov. V budúcnosti bude preto potrebné nastaviť jednotné a hlavne jasné pravidlá kto, čo a v akom rozsahu môže kontrolovať. V tejto chvíli nemožno vylúčiť, že kontrolovať podmienky používania cookies budú zástupcovia tak jedného, ako aj druhého úradu.

Kým udeliť pokutu podľa ZEK možno do 4 rokov odo dňa porušenia povinnosti, podľa Zákona o ochrane osobných údajov do 5 rokov odo dňa porušenia povinnosti.

Aké sú sankcie?

Vysoké. Samozrejme sa budú odvíjať od druhu porušenia povinnosti, avšak kým maximálna pokuta podľa GDPR je 4 % z obratu, podľa ZEK až 10 % z obratu za predchádzajúci kalendárny rok.

Záver

Aby bolo spracúvanie údajov cez cookies zákonné, je potrebné vždy:

  • Zvážiť, či na webstránke potrebujem všetky cookies a všetky údaje, ktoré sú tak spracúvané (zásada minimalizácie).
  • Získať súhlas osoby (okrem technických cookies, tie bez súhlasu).
  • Súhlas sa vyžaduje aj pre cookies, ktoré nepredstavujú osobné údaje.
  • Za súhlas sa už nebude považovať nastavenie webového prehliadača.
  • Súhlas musí spĺňať náležitosti podľa GDPR.
  • Splniť informačnú povinnosť v dvoch vrstvách (požiadavka transparentnosti) - prvá vrstva cookie lišta, druhá vrstva Privacy policy.
  • Informovať o všetkých typoch a účeloch cookies, ako aj o tretích stranách.
  • Poskytnúť také technické riešenie, ktoré umožní súhlas kedykoľvek odvolať a modifikovať.

tags: #zakon #o #elektronickych #komunikaciach #cookies

Populárne príspevky: