Toto však necháme na zákonodarcov. Cieľom nášho  článku je vysvetliť, ako dosiahnuť v tejto oblasti súlad s právnymi predpismi, a ako správne nastaviť cookie lištu, aby ste ako prevádzkovateľ webovej stránky mohli údaje a informácie z uložených cookies aj skutočne využívať, a aby vám priniesli želaný efekt.

Čo sú cookies? Pod pojmom cookies sa rozumejú malé textové súbory, ktoré webový server ukladá do koncového zariadenia užívateľa (PC, notebook, telefón, tablet atď.) pri návšteve a prezeraní webových stránok. Používajú sa za účelom ukladania údajov o užívateľovi a jeho nastaveniach. Prostredníctvom cookies dokážu prevádzkovatelia webových stránok zabezpečovať rôzne funkcie, napríklad analyzovať návštevnosť webstránky, potreby a požiadavky užívateľov ako aj ich správanie, čo im pomáha efektívnejšie personalizovať marketingovú komunikáciu, a tým prispieť k zvýšeniu návštevnosti a predaja. Niet pochýb, že tieto činnosti web stránok, resp. ich prevádzkovateľov, zasahujú v určitom rozsahu do súkromia užívateľov a v niektorých (mnohých) prípadoch dochádza aj k spracúvaniu osobných údajov. V súvislosti s ukladaním a získavaním informácií prostredníctvom cookies je potrebné dodržiavať určité pravidlá, ktoré sa vzťahujú na všetkých prevádzkovateľov webových stránok. Tieto pravidlá platia nielen pre cookies súbory, ale aj pre akékoľvek iné technológie, ktoré sú založené na ukladaní a prístupe do koncového zariadenia užívateľa (napr. fingerprinting, web beacon).

Právna úprava cookies

Právnu úpravu tvorí viacero právnych predpisov s rôznou právnou silou, čo môže spôsobovať neprehľadnosť. Týmito právnymi predpismi sú zákon č. 452/2021 Z. z. o elektronických komunikáciách v znení neskorších predpisov (ďalej len „ZEK“), ktorým bola do nášho právneho poriadku transponovaná Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 (ďalej len „ePrivacy smernica“) a Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“).

Zákonný rámec tvorí § 109 ods. 8 ZEK, podľa ktorého: „Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený, iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“

Podľa recitálu 17 ePrivacy smernice „Na účely tejto smernice súhlas užívateľa alebo účastníka, bez ohľadu na to, či je účastník fyzickou alebo právnickou osobou, by mal mať rovnaký význam ako súhlas dátového subjektu definovaného a ďalej špecifikovaného v smernici 95/46/ES.“

To znamená, že súhlas na účely cookies musí spĺňať náležitosti súhlasu podľa GDPR.

Článok 4 bod 11 GDPR uvádza, že „súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú.“

Ďalšie náležitosti súhlasu uvádza čl. 7 GDPR, podľa ktorého:

„1. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov.

2. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.“

Náležitosti súhlasu na cookies

Ukladať alebo získavať prístup ku cookies je možné len na základe súhlasu užívateľa. Výnimku tvoria len tzv. nevyhnutné cookies, ktoré slúžia na prenos správy prostredníctvom siete, alebo ak je to nevyhnutne potrebné pre poskytovateľa web stránky na poskytovanie služby, ktorú výslovne požaduje užívateľ.

Podľa ZEK sa za platný súhlas považuje len taký právny úkon, ktorý spĺňa náležitosti súhlasu podľa GDPR. Súhlas užívateľa musí prevádzkovateľ web stránky získať pred tým, ako sa údaje uložia do zariadenia užívateľa, alebo ako bude prevádzkovateľ web stránky do zariadenia užívateľa vstupovať.

Súhlas s cookies musí byť teda

• slobodný (prístup k službám nesmie byť podmienený udelením súhlasu s cookies, cookie lišta nesmie zasahovať do celej obrazovky a brániť v používaní webu bez súhlasu),
• konkrétny (na konkrétne, výslovne uvedené účely a druhy cookies, pričom musí mať užívateľ možnosť udeliť súhlas jednotlivo na rôzne cookies/účely),
• informovaný (užívateľovi musí mať vopred prístup ku všetkým podstatným informáciám o ukladaní a spracúvaní v rámci tzv. cookie policy),
• jednoznačný (tzn. z úkonu užívateľa musí byť bezpochyby jasné, že chcel udeliť súhlas; musí ísť o úmyselný potvrdzujúci úkon),
• daný formou vyhlásenia, alebo
• formou jednoznačného potvrdzujúceho úkonu (nie opomenutím, nie formou opt-out pred-zaškrtnutého políčka),
• možné kedykoľvek odvolať, pričom odvolanie musí byť také jednoduché ako jeho poskytnutie.

Podrobnejšie stanovisko k získavaniu súhlasu podľa § 109 ods. 8 ZEK vydal Úrad pre reguláciu elektronických komunikácií a poštových služieb v spolupráci s Úradom na ochranu osobných údajov SR.[1]

Koncom januára 2023 vydala pracovná skupina zriadená Európskym výborom pre ochranu dát (EDPB) Správu o používaní cookies bannerov, v rámci ktorej bolo skontrolovaných viac ako 700 cookie bannerov prevádzkovateľov webových stránok na podklade sťažností neziskovej organizácie NOYB – Európske centrum pre digitálne práva.[2] Ide o 8 najčastejšie sa vyskytujúcich porušení pri získavaní súhlasu s cookies.

Zakázané cookies praktiky

1. Žiadne tlačidlo na odmietnutie v prvej vrstve

Mnohé web stránky obsahujú na prvej vrstve cookie lišty len tlačidlo na prijatie všetkých cookies a tlačidlo umožňujúce ďalšie nastavenie, avšak neobsahujú tlačidlo na odmietnutie všetkých cookies, čo väčšina členov pracovnej skupiny považovala za nesúladné s požiadavkami na platný súhlas.

Obr. 1 - Nesprávne nastavenie

Obr. 2 - Správne nastavenie

2. Opt-out súhlas (pred-zaškrtnuté políčka)

Je zakázané vopred zaškrtnúť súhlas, a to na ktorejkoľvek vrstve cookie lišty. V prípade opt-out možnosti musí užívateľ urobiť úkon, ktorým súhlas odmietne, čo nie je v súlade s požiadavkami na platný súhlas (súhlas sa považuje za neudelený slobodne.   

Obr. 3 – Nesprávne nastavenie

Obr. 4 – Správne nastavenie

3. Klamlivý dizajn odkazu (namiesto tlačidla na odmietnutie)

Na webovej stránke sa namiesto tlačidla na odmietnutie súhlasu s cookies nachádza link na odmietnutie, resp. na druhú úroveň cookie bannera, čo môže dotknutá osoba považovať ako povinnosť vyjadriť súhlas, aby sa mohla dostať k obsahu web stránky. Napríklad, ak na cookie lište nie je tlačidlo, ale iba link na možnosť „odmietnuť“, ktorý je vložený do ďalšieho textu na cookie lište bez jasného vizuálneho oddelenia.

Obr. 5 – Nesprávne nastavenie.

4. Klamlivá farba tlačidla

5. Klamlivý kontrast tlačidla

Či už farba alebo aj kontrast v dizajne tlačidiel môžu ovplyvňovať rozhodovanie užívateľov urobiť určitý úkon. Obe tieto zakázané praktiky môžu viesť obdobným dôsledkom pre užívateľov, a to jasné zvýraznenie tlačidla „prijať všetko“ alebo „súhlasím“ oproti ostatným možnostiam.

Nie každé použitie farby alebo kontrastu bude viesť k zavádzaniu užívateľov, preto pracovná skupina EDPB upozorňuje, že tieto praktiky je potrebné posudzovať vždy case-by-case.

Obr. 6 – Správne nastavenie

Obr. 7 – Nesprávne nastavenie

6. Oprávnený záujem, zoznam účelov

Niektoré webové stránky na prvej vrstve cookie lišty zvýrazňujú spracovateľské operácie s osobnými údajmi, ktoré sú vykonávané až na podklade cookies, čo môže u užívateľa vytvoriť dojem, že nemá možnosť namietať voči cookies ani následnému spracúvaniu. Za nezákonné sa považujú cookie lišty, kde v prípade neudelenia súhlasu je automaticky pred-zaškrtnutý oprávnený záujem na spracovateľskej operácii.

Preto pracovná skupina zdôrazňuje, že zákonnosť následných spracovateľských činností   založených na cookies bude zákonné, ak uloženie, resp. prístup k informáciám uloženým v zariadení užívateľa bude v súlade s ePrivacy (v našich podmienkach ZEK) a následné spracovateľské operácie budú v súlade s GDPR.

Obr. 8 – Nesprávne nastavenie

7. Nepresne klasifikované nevyhnutné cookies

Pracovná skupina odhalila, že prevádzkovatelia webových stránok pod nevyhnutné cookies zaraďujú aj také cookies, ktoré nie sú striktne nevyhnutné a upozorňuje, že nevyhnutné súbory cookies je potrebné vykladať reštriktívne.

Cookies, ktoré umožňujú webstránke uchovať preferencie vyjadrené užívateľom, by sa mali považovať za nevyhnutné.

8. Žiadna ikona na späťvzatie súhlasu

Udelený súhlas musí byť možné kedykoľvek odvolať, a to rovnako jednoducho, ako bol udelený. Preto prevádzkovatelia web stránok by mali na nich umiestniť dobre viditeľnú ikonu alebo link, ktorá umožní rýchle odvolanie súhlasu bez nutnosti otvárať cookie policy alebo iné odkazy na nastavenia cookies.

Obr. 9 – Správne nastavenie

Obr. 10 – Správne nastavenie.

Rady na záver

• Webová stránka, ktorá používa iba nevyhnutné cookies, nemusí obsahovať cookie lištu.
• Ak na web stránke používate viac druhov cookies (štatistické, analytické, marketingové, ...), musíte dať užívateľovi možnosť udeliť odvolať súhlas na každý druh samostatne.
• Správne klasifikujte jednotlivé cookies, nesnažte sa pod nevyhnutné zaradiť tie, ktoré nevyhnutné nie sú.
• Cookie lišta nesmie brániť vo využívaní webovej stránky.
• Nezabudnite pri implementácií nových cookies doplniť ich do cookie lišty a opísať ich v tzv. cookie policy.

Nie ste si istý, či je Vaša cookie lišta nastavená správne? Poraďte sa s nami!

JUDr. Lucia Semančínová
Seniorný právny expert