Zbiera každá stránka cookies? Vysvetlenie a nové povinnosti

Svet (nielen Európska únia) si dáva na bezpečnosť ľudí na internete čoraz viac záležať. Aj preto sa mocní ľudia v EÚ dohodli, že voľné ukladanie čohokoľvek do zariadenia používateľa nebude možné. Po novom bude potrebný aktívny súhlas udelený konkrétnej webovej stránke. Týka sa to nielen cookies, ale aj iných foriem ukladania dát (Local Storage…). Používaním slova cookies v článku mám na mysli všetky spôsoby.

Treba povedať, že cookies už sa skutočne riešia dlhšie. Intenzívnejšie to bolo v roku 2018, keď nadobudlo platnosť nariadenie EÚ o ochrane osobných údajov (GDPR). Už vtedy sa v EÚ diskutovalo o tom, že bude obsahovať aj pravidlá nakladania s cookies. Keďže sa na tom všetci zúčastnení nedohodli, tak sa cookies pravidlá odčlenili ako samostatná kapitola na neskôr.

Prečo sa cookies volajú cookies? Pretože ich prvýkrát použili v USA. Keby sa to podarilo na Slovensku, dnes si tu píšeme o sušienkach.

Ako chrániť svoje súkromie online

Čo sú cookies súbory

Cookies sú maličké textové súbory, ktoré webové stránky ukladajú do vášho zariadenia, aby vás mohli identifikovať. Boli tu od nepamäti a samé o sebe nie sú škodlivé. Napríklad cookies s názvom „kosik“ má text „produkt1, produkt2“ a vďaka tomu webová stránka vie, aké produkty ste si do košíka vložili. Doslova takto to nefunguje, ale chcem, aby to bolo lepšie predstaviteľné aj pre laikov.

Kompletnú časovú os vývoja ochrany osobných údajov od roku 1995 až do 2018 si môžete pozrieť na tejto stránke EÚ (v angličtine). Neskôr po GDPR vznikli usmernenia 05/2020 k súhlasu podľa nariadenia 2016/679, ktoré jednotlivé štáty postupne adoptovali do svojej legislatívy:

slovenský jazyk (PDF)
český jazyk (PDF)
anglický jazyk (PDF)

Ako sa menia cookies v 2022 na Slovensku

Na Slovensku bol v čase prvej verzie tohto článku stále platný zákon č. 351/2011 Z. z. o elektronických komunikáciách. Tento bol účinný od 1. augusta 2011 do 31. januára 2022. V paragrafe 55, odsek 5 je uvedené:

Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.

Tučným som vyznačil dôležitú časť, ktorá v podstate hovorí, že ak používateľ chce, ukladanie cookies si môže nastaviť vo svojom prehliadači a nedáva žiadne povinnosti webovým stránkam. Samozrejme tie mali aj s titulu GDPR informačnú povinnosť voči používateľom.

Od 1. februára 2022 nadobúda platnosť nový zákon číslo 452/2021 Z. z. o elektronických komunikáciách, ktorý máličko, ale zásadne, preformuloval vyššie uvedený odsek a v paragrafe 109, odsek 8 je uvedené:

Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.

Keď si porovnáte oba paragrafy, zistíte, že vypadla veta o prenesení zodpovednosti na používateľa a teda nastavenia jeho prehliadača. Po novom je zodpovednosťou prevádzkovateľa webstránky, aby získal od používateľa súhlas na ukladanie cookies.

Typy cookies a ich bezpečnosť

Súbory cookies je možné rozdeliť podľa viacerých hľadísk a nás bude najviac zaujímať ich kategorizácia, podľa ktorej budú weby získavať súhlasy na používanie.

Cookies podľa doby exspirácie

Dočasné (session) cookies: súbory uložené len počas trvania konkrétnej návštevy na webovej stránke.
Trvalé (persistent) cookies: súbory uložené počas doby, ktorú si zvolí prevádzkovateľ riešenia (napr. programátor) a nie sú viazané len na jednu návštevu. Môžu byť uložené napríklad 365 dní.

Cookies podľa prevádzkovateľa

First-party cookies: tieto súbory používa stránka (doména), ktorú ste navštívili. Pomocou nich môže, napríklad, poskytovať funkciu prihlásenia do zákazníckeho účtu.
Third-party cookies: tieto súbory používajú tretie strany a nie stránka, ktorú ste navštívili. Napríklad, na e-shope si prezeráte produkty a e-shop používa reklamné platformy, aby na vás mohol cieliť reklamu na internete. Umožňuje mu to umiestnenie sledovacích kódov tretích strán na svojom webe, ktoré vám uložia svoje cookies. Avšak, keďže je možné komunikovať s tretími stranami aj mimo vášho prehliadača (server-side), weby môžu ukladať first-party cookies, no na pozadí odosielať dáta tretím stranám.

Zistite, aké cookies používa vaša stránka

Bezplatné skenovanie cookies botom ORBITAR, ktorý navštívi váš web v prehliadači a vykoná interakcie podobné prehliadaniu ľuďmi. Z nájdených súborov cookies a local storage je vygenerovaný prehľadný report v slovenčine.

Sú third-party cookies nebezpečné?

Na začiatok je dôležité cookies obhájiť. Sú tu na to, aby pomáhali.

Nie je nič zlé na tom, že webová stránka si meria návštevnosť a interakcie používateľov, aby mohla zlepšovať svoje služby, dizajn a funkcionalitu. Väčšinou si weby platia špeciálne nástroje iných firiem, ktoré sú na to určené (napr. Google Analytics, Google Optimize, Hotjar…). Tieto nástroje potrebujú ukladať cookies.

Možno si poviete, že keď nedáte súhlas na použitie cookies, tak uvidíte menej reklamy na internete. Pravdepodobne jej budete vidieť rovnako veľa, akurát bude viac otravná, lebo nebude vôbec relevantná. Bude náhodná.

Na druhej strane by sa dalo povedať, že práve third-party cookies z veľkej miery prispeli k tomu, že sa zákonodarcovia snažia viac chrániť súkromie ľudí. Posúdiť to, aký to má vplyv na súkromie ich návštevníkov či zákazníkov nedokážu.

Samotná myšlienka lepšej ochrany všetkých používateľov internetu je správna, hoci prevedenie je katastrofálne. Ale tento článok chcem držať čo možno najobjektívnejší, tak tu nebudem písať svoje názory, čo sa mi páči a čo nie.

Získanie súhlasu používateľa

Webové stránky dostali neľahkú domácu úlohu. V prípade, že používajú cookies, musia vopred získať súhlas používateľa. Ak ho nezískajú, nesmú uložiť cookies a všetky skripty/tagy, ktoré používajú cookies by mali ostať nespustené.

Získané súhlasy sa obvykle rozdeľujú do niekoľkých okruhov, pretože získavať súhlas samostatne ku každému cookie súboru by bolo nepraktické a nerealizovateľné, keďže ich môžu byť desiatky až stovky. Nižšie sú uvedené často používané okruhy:

Nevyhnutné cookies: sú potrebné na to, aby sa dala webová stránka používať a bola bezpečná. Obvykle sem môže patriť cookies, ktoré ukladá e-shop o košíku, aby si pamätal, čo do neho zákazník pridal.
Funkčné cookies: sú dôležité na používanie funkcií webu, no bez nich je stále použiteľný. Dobrým príkladom je funkcia livechatu na webe.
Personalizačné cookies: slúžia na zvýšenie relevancie ponúkaného obsahu, môžu zbierať dáta z prehliadania a následne odporúčať iný vhodný obsah, ktorý by mohol návštevníka zaujímať.
Analytické cookies: pomáhajú prevádzkovateľovi získavať štatistické údaje, napríklad o návštevnosti, ceste používateľa či jeho interakciách.
Reklamné cookies: zbierajú rôzne dáta, ktoré sú následne používané na zobrazovanie reklamy naprieč internetom. Tento typ zrejme najviac zasahuje do súkromia používateľov.

Nevyhnutné cookies sú jedinou kategóriou, na ktorú prevádzkovateľ webovej stránky nepotrebuje súhlas používateľa. Ak máte na webe iba takéto cookies, nepotrebujete zobrazovať lištu a získavať súhlas používateľa. Na všetky ostatné kategórie potrebujete získať súhlas ešte pred prvým uložením cookies.

Pre vylúčenie pochybností uvádzam, že je na samotnom webe, ktoré cookies považuje za nevyhnutné na fungovanie webu. Je to jeho rozhodnutím, ktoré si v prípade kontroly bude musieť obhájiť.

Aké podmienky musí spĺňať súhlas?

V zmysle usmernení Európskeho výboru pre ochranu údajov má byť súhlas slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle.

Slobodný: používateľ musí mať možnosť voľby bez následkov. Nesmie byť oklamaný, zastrašovaný alebo pod nátlakom výrazne negatívnych dôsledkov. Zároveň použitie webu nesmie byť podmienené udelením súhlasu a teda „cookie-wall“, ktorá nepustí návštevníka na web bez súhlasu je neprípustná. Nesúvisiace účely súhlasu by nemali byť spájané, v tom prípade chýba súhlasu sloboda voľby.
Konkrétny: je potrebné jasne uviesť špecifikáciu účelu a podrobnosti. Vágne a všeobecné termíny ako „zlepšenie používateľskej skúsenosti“ alebo „marketingové účely“ sú použité ako príklady nekonkrétnosti. Účel neskôr nie je možné zmeniť. V prípade nových účelov je potrebné získať nový súhlas.
Informovaný: obsah by mal obsahovať identitu prevádzkovateľa, druh získavaných a používaných údajov a existenciu práva odvolať súhlas. Informácie musia byť zrozumiteľné a ľahko pochopiteľné aj pre bežného človeka. Nesmú sa skrývať v obchodných podmienkach, no môžu byť rozdelené do viacerých vrstiev okna na získanie súhlasu.
Jednoznačný prejav vôle: súhlas musí byť daný úmyselným úkonom. Predvolené možnosti vo forme vopred označených políčok sú neplatné. Súhlasom nie je ani akt zavretia, či ignorovania informácie.

Získaný súhlas by mal byť zaznamenaný, aby prevádzkovateľ webovej stránky vedel preukázať jeho získanie. Vyslovene sa uvádza, že nie je postačujúce odvolávať sa na správnu konfiguráciu príslušného webového sídla.

Súhlas by malo byť možné odvolať tak jednoducho, ako bol poskytnutý, a to kedykoľvek. Ak sa získal pomocou jediného kliknutia myšou alebo stlačením klávesu, používateľ by mal mať možnosť ho rovnako jednoducho aj odvolať.

Štúdia na vzorke 228 ľudí ukázala, že viac ako 40% z nich vôbec nečítalo text súhlasu, takmer 50% ho len preletelo a iba 10% ľudí ho celý prečítalo.

Cookie lišta

Cookie lišta je riešenie na získavanie súhlasov. Je to vizuálny element webovej stránky, ktorý sa zobrazí, čo možno najskôr pri prvej návšteve webovej stránky zo zariadenia používateľa.

Lišta má za úlohu informovať návštevníka webu o ukladaní cookies do jeho zariadenia a umožniť mu s týmto súhlasiť alebo to odmietnuť. Bez súhlasu návštevníka nie je možné vopred uložiť cookies do jeho zariadenia a všetky dotknuté skripty webu by mali čakať na spustenie až do momentu poskytnutia súhlasu (tento moment nemusí nastať).

Cookie lišta sa musí zobraziť na akejkoľvek stránke webu, ktorú je možné priamo cez URL adresu navštíviť, pretože nikdy neviete, na ktorú stránku príde návštevník webu. Zároveň by nemala brániť používateľovi v prehliadaní webu, a malo by ju byť možné, buď zatvoriť (bez súhlasu), alebo minimálne ju mať umiestnenú niekde, kde to vyslovene nebráni v prehliadaní stránky, hoci by vizuálne zavadzala.

Konfigurovateľné demo cookie lišty, zdroj: cookies2022.sk

Čo musí cookie lišta obsahovať?

Je dôležité povedať, že zákon neurčuje presný formát a vizuál tejto lišty. Jej skutočný dizajn a funkcionalita je postavená na výkladoch zákona a usmerneniach. Preto je reálne, že pri prípadnej kontrole teoreticky jeden web môže dostať pokutu a druhý nie, pričom používajú rovnakú lištu funkčne aj dizajnovo.

V čase písania článku som na relevantných štátnych weboch (Úrad pre reguláciu elektronických komunikácií a poštových služieb, Úrad na ochranu osobných údajov) nenašiel ani zmienku o tom, že by mal takýto zákon ovplyvniť webové stránky. Český Uřad pro ochranu osobních údajů vydal tesne pred Vianocami, 22. 12. 2021, tieto odpovede na často kladené otázky. Je možné, že podobné usmernenia vydá na poslednú chvíľu aj náš úrad. Netreba čakať, že sa tým niečo zmení.

Lišta by mala obsahovať jasné a zrozumiteľné informácie podľa bodu Získanie súhlasu používateľa. Ďalej by tam mali byť tlačidlá, minimálne tlačidlo na poskytnutie a odmietnutie/nastavenie súhlasu, resp. jednotlivých súhlasov podľa účelu.

Tlačidlá by nemali manipulovať používateľa a používať príliš očividné „dark patterns“ praktiky (šedá zóna). Dá sa teda povedať, že ideálne by mali byť rovnocenné, aby používateľ nebol ovplyvnený ich farbou, veľkosťou, či umiestnením a nemohlo sa stať, že súhlasil, hoci si myslel opak.

Lišta nemôže mať vopred zaškrtnuté políčka pri účeloch/kategóriách súhlasov s výnimkou nevyhnutných cookies, na ktoré nie je potrebný súhlas. Jednotlivé kategórie môžete zobraziť ihneď v lište, alebo v jej ďalšej vrstve po kliknutí na nastavenia súhlasov.

Zároveň platí, že lišta by mala byť otvoriteľná na ktorejkoľvek stránke, aby bolo možné súhlas hocikedy odvolať. Odkaz na ňu budú weby najčastejšie umiestňovať do pätičky stránky.

Striktná vs používateľsky prívetivá lišta

V tejto debate nenájdem s právnikmi zhodu a vôbec mi to nevadí. Právnici chcú, aby klienti nedostávali pokuty a preto sú až príliš opatrní. Ja chcem, aby klienti rástli a ideálne, aby nekrachovali, preto nemôžem súhlasiť s právnikmi vo všetkom. Venujem sa e-shopom a striktná lišta bude mať negatívny dopad na ich výsledky.

Striktná lišta je v podstate lišta, ktorá nie je definovaná takto jasne zákonom, ale právny výklad je opatrnejší a snaží sa urobiť (podľa mňa) viac ako je nevyhnutne potrebné. Často je to umiestnenie tlačidla „odmietnuť všetko“ hneď na začiatok lišty alebo dizajnovanie tlačidiel, tak aby medzi nimi nebol viditeľný žiadny rozdiel.

Dala by sa viesť nekonečná debata o farbách tlačidiel či umiestnenia lišty. No z používateľského pohľadu nemôžeme do lišty napchať všetko a ešte aj v rovnakej farbe a veľkosti. Ak áno, tak nech návštevníci používajú kino obrazovky a nie mobily, hodinky či displeje rýchlovarných kanvíc.

Podľa štúdie, odstránením tlačidla „odmietnuť všetko“ z prvého kroku cookie lišty došlo k zvýšeniu miery získania súhlasov až o 22-23 percentuálnych bodov. Súčasne, zobrazenie podrobného výberu účelov v prvkom kroku cookie lišty znížilo úspešnosť získania súhlasov o 8-20 percentuálnych bodov.

Pre ilustráciu výsledku štúdie izolujem uvedené 2 príčiny, ktoré ovplyvnili získanie súhlasov ako jediné rozdiely medzi striktnou a používateľsky prívetivou lištou. Povedzme, že web, ktorý zvolí prívetivú lištu má mieru získania súhlasov 75 %. Zo štúdie vyplynulo, že pri striktnej variante by tento web mohol mať mieru získania súhlasov v rozmedzí 32-45 %. To je ohromný rozdiel.

Aké riešenie použiť na lištu?

Zmeny v pravidlách prispeli k vzniku firiem, ktoré poskytujú službu cookie lišty aj s mnohými ďalšími službami a výhodami. Týmto firmám a ich produktom sa hovorí Consent Management Platform (CMP). Teda nástroj tretej strany, ktorý si umiestnením malého skriptu nasadíte na svoj web.

Alternatívou k uvedenému je použiť vlastné riešenie, keďže samotná liš...

Tabuľka: Rozdelenie cookies podľa účelu

Účel/druh cookies	Použitie
Technické a funkčné zabezpečenie stránky	Tieto cookies slúžia na technické zabezpečenie riadnej funkcionality webovej stránky. Bez týchto cookies by nebolo možné zabezpečiť základné funkcie webovej stránky.
Štatistika a merania spôsobu používania webových stránok	Nástroje, ktoré využívajú tieto cookies nám pomáhajú pochopiť, ako komunikovať s návštevníkmi webovej stránky. Na základe zberu týchto cookies vyhodnocujeme relevantné informácie slúžiace na to, aby sme vedeli následne efektívne prispôsobiť vlastnosti webovej stránky napríklad dizajn webovej stránky, prípadne portfólio poskytovaných služieb či vylepšovať funkcionalitu stránky. Využívaný nástroj: Google Analytics

Účel/druh cookies

Použitie

Technické a funkčné zabezpečenie stránky

Tieto cookies slúžia na technické zabezpečenie riadnej funkcionality webovej stránky. Bez týchto cookies by nebolo možné zabezpečiť základné funkcie webovej stránky.

Štatistika a merania spôsobu používania webových stránok

Nástroje, ktoré využívajú tieto cookies nám pomáhajú pochopiť, ako komunikovať s návštevníkmi webovej stránky. Na základe zberu týchto cookies vyhodnocujeme relevantné informácie slúžiace na to, aby sme vedeli následne efektívne prispôsobiť vlastnosti webovej stránky napríklad dizajn webovej stránky, prípadne portfólio poskytovaných služieb či vylepšovať funkcionalitu stránky. Využívaný nástroj: Google Analytics

tags: #zbiera #kazda #stranka #cookies #vysvetlenie