Pojem cookies sa pri používaní internetu stal úplne bežným. Čo sú cookies a kedy sa podľa GDPR považujú za osobný údaj? V ktorých prípadoch je na ich použitie potrebný súhlas?
Európske nariadenie o ochrane osobných údajov, známe pod skratkou GDPR, spolu s novým zákonom o ochrane osobných údajov vstúpili do účinnosti dňa 25. mája 2018. Právny režim používania súborov cookies je v GDPR a v novom zákone o ochrane osobných údajov viac-menej identický.
Čo sú cookies?
Súbor cookie sa dá charakterizovať ako malý textový súbor, ktorý je navštívenou webovou lokalitou (webovou stránkou) uložený do počítača používateľa, t. j. súbor, ktorý si webová stránka ukladá v konkrétnom počítači alebo v mobilnom zariadení pri jej prehliadaní.
Vďaka súborom cookies si stránka na určitý časuchováva informácie o krokoch či preferenciách používateľa (napr. prihlasovacie meno, jazyk, veľkosť písma a ďalšie nastavenia). Ak tieto informácie boli predtým webovej stránke poskytnuté, nemusí ich používateľ pri ďalšej návšteve rovnakej stránky opätovne uvádzať. Budúca návšteva tak môže prebehnúť ľahšie, rýchlejšie a efektívnejšie, bez zbytočného zdržiavania.
Jednoducho povedané, webové stránky používajú cookies na zapamätanie si používateľských nastavení. Hlavným dôvodom je napríklad lepšie prispôsobenie reklám záujmom návštevníkov či nevyhnutná funkcionalita stránok.
Príklad: Prostredníctvom cookies zostáva návštevníkovi (kupujúcemu) jeho online nákup v košíku e-shopu a nevysype sa hneď ako z neho odíde.
Kedy sú cookies podľa GDPR osobným údajom?
Jedným zo spôsobov spracúvania osobných údajov je aj ich zbieranie prostredníctvom súborov cookies. Práve tie posielajú osobné údaje zo zariadenia používateľa (napr. z počítača alebo smart phonu) prevádzkovateľovi (napr. vlastníkovi webovej stránky). Cookies, ktoré slúžia na identifikáciu konkrétneho zariadenia alebo používateľa, sa podľa GDPR považujú za osobné údaje.
Cookies sú jedným zo spôsobov spracúvania osobných údajov.
Odsek č. 30 úvodného textu GDPR ustanovuje, že fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.
V podstate ide o to, že niektoré (nie všetky) súbory cookies sú tzv. online identifikátormi. Prostredníctvom nich môže prevádzkovateľ (napr. vlastník webovej stránky) zistiť totožnosť fyzickej osoby, do ktorej zariadenia webová stránka cookies uložila (napr. totožnosť konkrétneho používateľa ako návštevníka webovej stránky). To znamená, že všetky informácie, ktoré cookies o správaní danej osoby na internete vyšle prevádzkovateľovi, môžu byť následne spárované s konkrétnou osobou. Prevádzkovateľ sa tak môže dozvedieť o preferenciách alebo správaní používateľa na internete. Inak povedané, prevádzkovateľ prostredníctvom súborov cookies zhromažďuje o konkrétnej osobe jej osobné údaje.
GDPR označuje cookies za online identifikátory.
Avšak, ako sme vyššie naznačili, nie všetky súbory cookies zbierajú (spracúvajú) osobné údaje používateľov - nie všetky totižto majú schopnosť identifikovať používateľa webovej stránky, teda nie všetky cookies sú automaticky online identifikátormi (napr. tzv. technické cookies, ktoré sú potrebné pre správne zobrazenie webovej stránky). GDPR sa takéhoto druhu cookies netýka.
Naopak, GDPR sa vzťahuje len na také súbory cookies, ktoré sú schopné zbierať (spracúvať) osobné údaje o používateľovi webovej stránky (napr. tzv. marketingové alebo reklamné cookies).
Ak webová stránka firmy nepoužíva také cookies, ktoré by boli schopné zbierať osobné údaje používateľov, nemusel prevádzkovateľ v súvislosti s GDPR od konca mája 2018 vykonať žiadne zmeny týkajúce sa ochrany osobných údajov.
Aký je účel spracúvania osobných údajov získaných prostredníctvom cookies?
Prevádzkovateľ musí jasne formulovať (stanoviť) účel spracúvania osobných údajov získavaných prostredníctvom cookies. Účelov môže byť hneď niekoľko - napr. marketingový a reklamný, štatistický, monitoring návštevnosti webovej stránky a i.. Každému z nich však zodpovedajú osobitné požiadavky na úpravu vzťahu medzi používateľom webovej stránky a jej prevádzkovateľom.
V praxi najčastejšie ide o získavanie osobných údajov cez cookies na marketingový alebo reklamný účel (napr. zasielanie newslettera či marketingových e-mailov, remarketingové bannery, ktoré ponúkajú reklamy na základe prechádzajúcich návštev webových stránok). Vtedy hovoríme o tzv. marketingových cookies. Tie zhromažďujú informácie o obsahu, ktorý používateľ na webovej stránke prehliada. Ide o taký účel spracúvania osobných údajov, ktorý vyplynul z iniciatívy prevádzkovateľa webovej stránky, je najmä v jeho záujme a realizácia vzťahu medzi prevádzkovateľom a používateľom (umožnenie prezerania stránky alebo nákup tovaru) by bola možná aj bez tohto účelu.
Pre spracúvanie osobných údajov používateľa získaných na základe takéhoto druhu cookies je nevyhnutné zvoliť vhodný právny základ spracúvania podľa GDPR (čl. 6 ods. 1 písm. a, b alebo f).
Aký môže byť právny základ spracúvania osobných údajov získaných prostredníctvom cookies?
Osobné údaje používateľa webovej stránky získane súbormi cookies môžu byť prevádzkovateľom spracúvané napríklad na základe týchto právnych titulov:
- súhlasu používateľa so spracúvaním na jeden alebo viacero konkrétnych účelov (čl. 6 ods. 1 písm. a),
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je používateľ (čl. 6 ods. 1 písm. b),
- spracúvanie je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany (okrem prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody používateľa - čl. 6 ods. 1 písm. f).
Okrem vymenovaných právnych základov môže prichádzať do úvahy ešte ďalší - keď je spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa. Tento právny základ je však v praxi menej uplatňovaný.
Súhlas so spracúvaním osobných údajov získaných prostredníctvom cookies
Súhlas je jedným z najčastejšie využívaných právnych základov, na podklade ktorého môže prevádzkovateľ používať cookies, a tým spracúvať zhromaždené osobné údaje používateľa webovej stránky.
Súhlas používateľa webovej stránky sa nevyžaduje napríklad na:
- používanie súborov cookies, ktoré sú nevyhnutne potrebné pre zabezpečenie správneho chodu (zobrazenia) stránky a internetových služieb, tzv. technické cookies (bližšie určenie takéhoto druhu cookies poskytuje stanovisko pracovnej skupiny WP194),
- používanie súborov cookies, ktoré monitorujú návštevnosť stránky.
V prípade využívania takýchto druhov cookies postačí, ak webová stránka vopred používateľa len upozorní, že ich používa. Súhlas používateľa si vyžiadať nemusí.
Pre všetky ostatné súbory cookies (napr. tzv. marketingové cookies) je nutné získať súhlas používateľa webovej stránky so spracúvaním jeho osobných údajov, resp. s používaním cookies.
Súhlas podľa GDPR sa vyžaduje pri používaní marketingových a reklamných cookies.
To znamená, že spracúvanie osobných údajov, ktoré boli získané cez cookies na marketingové účely prevádzkovateľa, je možné len za podmienky, že s takýmto spracúvaním vyjadril používateľ platný súhlas.Podľa GDPR musí súhlas spĺňať viaceré náležitosti, o ktorých si môžete prečítať v tomto článku.
Ako správne získať súhlas s používaním cookies?
Aktuálne účinný zákon o elektronických komunikáciách (§ 55 ods. 5) ustanovuje, že každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.
Vo všeobecnosti sa vychádza z toho, že používateľ určuje nastavenie svojho zariadenia (napr. počítača) alebo prehliadača webových stránok. Používateľ určí v nastavení svojho prehliadača či umožní webovej stránke ukladať cookies do koncového zariadenia. Samotné nastavenie prehliadača je teda možné považovať za súhlas používateľa s používaním cookies a spracúvaním osobných údajov. Prehliadač predstavuje nástroj sprostredkovania tohto súhlasu.
Súhlas používateľa sa bude považovať za platne udelený vtedy, keď prevádzkovateľ webovej stránky dá používateľovi na výber, či o ňom budú cookies súbory zbierať osobné údaje alebo nie. To znamená, že prevádzkovateľ by mal používateľovi po otvorení webovej stránky ponúknuť okno s informáciami (vyskakovacie okno – tzv. cookie lišta), v ktorom budú uvedené všetky cookies (každý jednotlivo), ktorých aktivácia podlieha súhlasu používateľa a pri každom jednom cookie bude checkbox na aktivovanie pomocou kliknutia (nie vopred zaškrtnutý checkbox) – metóda OPT-IN. Súčasťou takéhoto okna musí byť presné uvedenie účelu, na ktorý sa cookie súbory používajú.
Neplatne získaný súhlas by bol napríklad vtedy, keby zakliknutím jedného checkboxu bol daný súhlas so všetkými používanými cookies naraz - „Súhlasím s používaním cookies na marketingové účely.“ Neplatným by bol tiež súhlas, ktorý by sa viazal na prijatie všeobecných obchodných podmienok prevádzkovateľa alebo všeobecných podmienok prezerania webovej stránky.
Zdôrazňujeme, že v prípade kontroly musí prevádzkovateľ webovej stránky udelený súhlas vedieť kedykoľvek preukázať.
Splnenie informačnej povinnosti
Pri získavaní osobných údajov je nutné, aby prevádzkovateľ poskytol používateľovi webovej stránky všetky informácie podľa GDPR (napr. jeho totožnosť a kontaktné údaje, účel a právny základ spracúvania osobných údajov a ďalšie). Jednoducho povedané, prevádzkovateľ si pred získaním súhlasu musí voči používateľovi splniť informačnú povinnosť.
Používateľ webovej stránky tak musí mať ešte pred zakliknutím jednotlivých checkboxov možnosť prečítať si, resp. oboznámiť sa so zásadami používania cookies, ktoré musia obsahovať aj výpočet všetkých používaných cookies. Z praktického hľadiska je možné si túto informačnú povinnosť splniť takým spôsobom, že do vyskakovacieho okna, v ktorom sa zaklikávajú checkboxy pre jednotlivé súbory cookies, sa tiež umiestni link odkazujúci na webovú stránku s obsahom zásad používania cookies.
Nesplnenie informačnej povinnosti môže byť podľa nového zákona o ochrane osobných údajov sankcionované až do výšky 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
Príklady vyskakovacieho okna (tzv. cookie lišta):
1. Cookies
Na našich stránkach používame cookies. Slúžia na zlepšenie našej práce a vášho zážitku z čítania na www.podnikajte.sk. Bližšie informácie nájdete v Pravidlách používania cookies (link na Pravidlá používania cookies). Spracovanie a správu cookies nastavíte priamo vo Vašom prehliadači.
Ikona na kliknutie pre používateľa: Súhlasím/Rozumiem/OK
2. Táto webová stránka používa cookies.
Na personalizáciu obsahu a reklám, poskytovanie funkcii sociálnych médií a na analýzu návštevnosti využívame na www.podnikajte.sk súbory cookies. Viac informácii (link na Zásady ochrany osobných údajov)
Ikona na kliknutie pre používateľa: Súhlasím/Rozumiem/OK
Ikona na rozkliknutie: Zobraziť detaily (po kliknutí na ňu sa zobrazia detaily, ktoré budú používateľovi stránky ponúkať možnosť zablokovať vybrané cookies – napr. marketingové).
Cookies a nariadenie ePrivacy
Schválené európske nariadenie o rešpektovaní súkromného života a ochrany osobných údajov v elektronických komunikáciách – tzv. nariadenie ePrivacy (známe aj ako “Cookie Directive”), ktoré sa dotýka používania cookies, doposiaľ nenadobudlo účinnosť. Aktuálne nie je známy konkrétny termín, od ktorého by toto nariadenie mohlo byť účinné.
Jeho cieľom je doplnenie a zosúladenie s GDPR, tiež zavedenie jednoduchších pravidiel pre používanie cookies. Na rozdiel od GDPR je však primárne zamerané na ochranu osobných údajov fyzických i právnických osôb výlučne v elektronickom prostredí. Ide o špeciálny predpis vo vzťahu ku GDPR, ktorý sa bude musieť aplikovať prednostne.
Hlavnou zmenou, ktorú by ePrivacy malo priniesť je odstránenie vyskakovacieho okna (tzv. cookie lišty). Používatelia webových stránok ju často odklikávajú bez toho, aby vôbec venovali pozornosť tomu, čo vlastne znamená.
Čo v súvislosti s používaním cookies zmenil rozsudok Súdneho dvora EÚ nájdete v článku Súhlas s používaním cookies.
