Právny žurnál: COOKIES – 8 zakázaných praktík
Téma cookies a iných online technológií, pri ktorých webová stránka ukladá informácie do zariadení užívateľov, je stále veľmi živá. V dnešnej časti Právneho žurnálu sa preto budeme venovať tomu, ako správne nastaviť cookie lištu.
JUDr. Lucia Semančínová, seniorný právny expert
Už viac ako rok rezonuje na Slovensku téma cookies a ich správneho nastavenia. Pokuty až do výšky 10% z obratu a možnosť jednoduchej administratívnej „online“ kontroly webových stránok zo strany Úradu pre reguláciu elektronických komunikácií a poštových služieb („Úrad“), ktoré zaviedol od 1. februára 2022 nový zákon č. 452/2021 Z.z. o elektronických komunikáciách v znení neskorších predpisov („ZEK“), slovenským online prostredím pomerne silno zatriasli. Naviac, masívne riešenie správneho nastavenia cookies spustila aj nezisková organizácia NOYB - Európske centrum pre digitálne práva, ktorá podala 700+ sťažností na prevádzkovateľov webových stránok naprieč celou Európskou úniou za nezákonné ukladanie cookies v rozpore s ePrivacy smernicou (2002/58/ES). Z dôvodu koordinovaného postupu všetkých dozorných orgánov v rámci EÚ zriadil na účely prešetrovania týchto sťažností Európsky výbor pre ochranu údajov („EDPB“) pracovnú skupinu, ktorá začiatkom roka 2023 vydala správu zo svojej činnosti s popisom zakázaných praktík pri cookies.
Súhlas na cookies – ZEK alebo GDPR?
Pri cookies platí základná premisa –** ukladať alebo získavať prístup ku cookies** (tzn. informáciám uloženým v koncovom zariadení užívateľa) je možné len na základe súhlasu užívateľa. Výnimku tvoria len tzv. nevyhnutné cookies (technické alebo tiež funkčné cookies), ktoré slúžia na prenos správy prostredníctvom siete, alebo sú nevyhnutné na poskytnutie služby, ktorú užívateľ výslovne požaduje.
Podľa ZEK (ako aj ePrivacy smernice) sa za platný súhlas považuje len taký právny úkon, ktorý spĺňa náležitosti súhlasu podľa GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov). To znamená, že súhlas s uložením cookies bude platný len vtedy, keď bude spĺňať náležitosti podľa GDPR.
Súhlas musí byť
- slobodný (bez nátlaku, zavádzaní, nesmie byť získaný ľstivo),
- konkrétny (na konkrétne, výslovne uvedené a legitímne účely),
- informovaný (užívateľovi musia byť vopred sprístupnené všetky podstatné informácie o ukladaní a spracúvaní),
- jednoznačný (bez pochybností o úmysle užívateľa chcieť udeliť súhlas),
- formou vyhlásenia, alebo
- formou jednoznačného potvrdzujúceho úkonu (nie nekonaním, nie formou pred-zaškrtnutého políčka),
- možné kedykoľvek odvolať, pričom odvolanie musí byť také jednoduché ako jeho poskytnutie.
Súhlas užívateľa musí prevádzkovateľ web stránky získať pred tým, ako sa údaje uložia do zariadenia užívateľa, alebo ako bude prevádzkovateľ web stránky do zariadenia užívateľa vstupovať.
Aké praktiky pri cookies považuje EDPB za nezákonné?
1. Žiadne tlačidlo na odmietnutie v prvej vrstve
Niektoré webové stránky obsahujú na prvej vrstve cookie lišty tlačidlo na akceptovanie všetkých cookies a tlačidlo, ktoré umožňuje užívateľom ďalšie možnosti nastavenia cookies. Neobsahujú však tlačidlo na odmietnutie všetkých cookies. Väčšina členov pracovnej skupiny EDPB považovala takéto nastavenie cookie lišty za nesúladné s požiadavkami na platný súhlas.
Obr. 1 - Nesprávne nastavenie, kde chýba tlačidlo odmietnuť všetko
Obr. 2 - Správne nastavenie aj s tlačidlom odmietnuť všetko na prvej vrstve
2. Pred-zaškrtnuté políčka
Používanie políčok s vopred udeleným súhlasom je zakázané vo všetkých úrovniach cookie lišty. Prevádzkovateľ webovej stránky nemôže pred-zaškrtnúť udelenie súhlasu na konkrétne súbory cookies ani v druhej úrovni cookie lišty, nakoľko takýto prejav vôle nevedie k získaniu platného súhlasu.
Obr. 3 – Nesprávne nastavené pred-zaškrtnuté políčka v druhej vrstve
3. Klamlivý dizajn odkazu (namiesto tlačidla na odmietnutie)
EDPB vysvetľuje túto praktiku tak, že prevádzkovateľ web stránky namiesto konkrétneho tlačidla, ktorým by mohla dotknutá osoba vyjadriť svoj nesúhlas so spracúvaním cookies, uvedie odkaz, link na odmietnutie alebo odkaz na druhú úroveň cookie lišty. Takéto správanie môže vnucovať dotknutej osobe povinnosť vyjadriť súhlas, aby sa mohla dostať k obsahu web stránky, čo je nezákonné.
Príkladom môže byť situácia, keď na cookie lište nie je tlačidlo iba link na alternatívnu ponuku ako „odmietnuť“ alebo „pokračovať bez akceptovania“, ktorý je vložený do ďalšieho textu na cookie lište bez jasného vizuálneho oddelenia a v záplave textu sa tieto linky stratia, prípadne sú tieto linky umiestnené úplne mimo cookie lišty bez toho, aby bola pozornosť užívateľov obrátená na tieto linky aspoň vizuálnym spôsobom.
Obr. 4 – Nesprávne uvedenie odkazu na odmietnutie súhlasu namiesto tlačidla
4. Klamlivá farba tlačidla
Obr. 5 – Nesprávne nastavené farby tlačidiel (súhlas je zjavne zvýraznený oproti iným možnostiam)
5. Klamlivý kontrast tlačidla
Tieto dve praktiky sú prepojené a vedú k podobným dôsledkom pre užívateľov, a to zjavné zvýraznenie tlačidla „prijať všetko“ alebo „súhlasím“ oproti ostatným možnostiam.
Nie každé použitie farby alebo kontrastu však vedie k zavádzaniu užívateľov. Preto posudzovanie tejto praktiky sa musí robiť vždy individuálne, prípad od prípadu. Ako nezákonný EDPB uvádza len jeden príklad, keď jediné čitateľné tlačidlo v cookie banneri je tlačidlo udelenia súhlasu.
Obr. 6 – Správne nastavené farby tlačidiel (intuitívne je zelená súhlas, červená zákaz)
6. Oprávnený záujem
Niektorí prevádzkovatelia web stránok pri spracúvaní osobných údajov v rámci cookies zvýrazňujú na prvej vrstve cookie lišty možnosť prijatia spracovateľskej operácie s týmito osobnými údajmi, ale bez možnosti ju odmietnuť, čo môže viesť priemerného užívateľa k domnienke, že nemá možnosť vzniesť námietku proti uloženiu cookies, a ani k následnému spracovaniu, ktoré z toho vyplýva.
Okrem toho, na druhej vrstve cookie lišty sa rozlišuje medzi daným odmietnutím spracovateľskej operácie s osobnými údajmi a potenciálnou námietkou voči ďalšiemu spracovaniu, ktoré je prezentované ako spadajúce pod oprávnený záujem prevádzkovateľa údajov.
V týchto prípadoch, podľa EDPB, sa ukazuje, že spracovateľské aktivity ako „Vytvorenie personalizovaného obsahu“ či „Výber personalizovanej reklamy“ nemusia byť posúdené, že prevažujú oprávnené záujmy prevádzkovateľa. Taktiež, začlenenie tejto notifikácie o oprávnenom záujme do ďalších vrstiev cookie bannera môže byť považované pre užívateľov za zmätočné.
Preto EDPB zdôrazňuje, že na to, aby sa následné spracovateľské operácie s osobnými údajmi založené na cookies považovali za zákonné, je nevyhnutné, aby uloženie, resp. prístup k informáciám uloženým v zariadení užívateľa cez cookies alebo akékoľvek iné technológie bolo v súlade s ePrivacy (v našich podmienkach ZEK) a následné spracovateľské operácie boli v súlade s GDPR.
Obr. 7 – Oprávnený záujem
7. Nepresne klasifikované nevyhnutné cookies
Pri prehliadaní webových stránok je možné zistiť, aké konkrétne cookies používa táto webstránka. Vo viacerých prípadoch bolo zistené, že pod nevyhnutné cookies zaradili prevádzkovatelia aj také cookies, ktoré neboli striktne nevyhnutné. EDPB preto zdôrazňuje, že nevyhnutné súbory cookies by sa v každom prípade mali vykladať reštriktívne.
V každom prípade platí, že cookies, ktoré umožňujú prevádzkovateľovi webovej stránky uchovať preferencie vyjadrené užívateľom ako predvolený jazyk či krajina, by mali byť považované za nevyhnutné (tzv. preferenčné cookies).
8. Žiadna ikona na späťvzatie súhlasu
Pre platnosť súhlasu je nevyhnutné, aby udelený súhlas bolo možné kedykoľvek odvolať, a to rovnako jednoducho, ako bol udelený. Preto by webové stránky mali obsahovať „ikonu“, ktorá umožní rýchle a jednoduché odvolanie súhlasu v ktoromkoľvek čase, bez nutnosti otvárania nastavení o ochrane osobných údajov či preklikávania sa do iných rôznych úrovní bennerov. Rovnako by to mohol byť aj link umiestnený na viditeľnom a prístupnom mieste.
Obr. 8 – Správna ikona na späťvzatie súhlasu
Zopár tipov na záver od nás
- Vaša webstránka používajúca iba nevyhnutné (essential) cookies nemusí obsahovať cookie lištu, bude postačovať, ak užívateľov o tom vhodným spôsobom informujete.
- Pri používaní viacerých druhov cookies (analytické, štatistické, marketingové, apod.) musí mať užívateľ možnosť udeliť a odvolať súhlas na každý druh samostatne (určitý druh akceptovať a iný neakceptovať).
- Správne klasifikujte jednotlivé cookies. Užívateľovi musí byť jasné, ktoré cookies sú nevyhnutné a prevádzkovateľ ich môže spracúvať a ukladať aj bez súhlasu, a ktoré naopak môže prevádzkovateľ ukladať a spracúvať len s ich súhlasom.
- Cookie lišta za žiadnych okolností nesmie brániť vo využívaní webovej stránky. Súhlas musí byť daný slobodne, tzn. nemožno cookie lištou zakrývať obsah web stránky alebo ho zobrazovať nečitateľne. Užívateľ musí mať možnosť prezerať si web stránku aj bez udelenia súhlasu.
- Uistite sa, že pri implementácií nových cookies ste ich doplnili aj do cookie lišty, v opačnom prípade sa nebudete môcť spoliehať na udelený súhlas, keďže ten nebude zahŕňať aj nové cookies. Zoznam používaných cookies musí byť vždy aktuálny.
Je Vaša cookie lišta nastavená správne? Poraďte sa s právnou expertkou
Keywords: cookieslegal journal