KOMPLEXNÉ STANOVISKO K POUŽÍVANIU COOKIES, NASTAVENIU COOKIES LIŠTY
A K NEVYŽIADANEJ KOMUNIKÁCII PODĽA NOVEJ PRÁVNEJ ÚPRAVY
___________________________________________________________________________
S ohľadom na aktuálnu judikatúru týkajúcu sa ochrany osobných údajov, ako aj nový zákon č. 452/2021 Z. z. o elektronických komunikáciách účinný od 01. 02. 2022 (ďalej v texte ako „nový zákon o EK“), opätovne uvádzam, resp. dopĺňam skutočnosti potrebné pre súlad s GDPR a vyššie uvedeným zákonom.
A/ COOKIES
Vzhľadom na súčasné požiadavky ohľadom nastavenia cookies, bude potrebné urobiť zmeny tak (pozn. ak tak ešte nemáte urobené), aby si návštevník webovej stránky mohol dobrovoľne nastaviť druhy cookies, o ktorých využívanie má záujem. Ak si zákazník nepovolí takýto druh cookies na danej webovej lokalite, nemôžu sa v súvislosti s jeho aktivitou na webe využívať iné cookies okrem cookies, ktoré sú nevyhnutne potrebné na zabezpečenie prevádzkyschopnosti internetovej webstránky a nemožno ich v systéme vypnúť, resp. na zaručenie bezpečnosti v súvislosti s prevádzkovaním danej webovej stránky. Zvyčajne sa nastavujú len ako reakcia na návštevníkmi vykonané činnosti, ktoré predstavujú žiadosti súvisiace so službami, ako je napr. nastavenie preferencií ochrany osobných údajov, prihlasovanie do užívateľského účtu alebo vypĺňanie formulárov, ďalej na zaručenie bezpečnosti a predchádzanie podvodom a odstraňovanie chýb, technické doručovanie obsahu webstránky a pod.
Napriek tomu, že súčasne platný zákon o EK (platný do 31. 01. 2022) uvádza, že za súhlas s používaním cookies sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu, tento zákon nesprávne implementoval smernicu 95/46/ES, a preto eurokomforný výklad nie je v súlade s aktuálnou právnou úpravou uvedenou nižšie.
„Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.“
V zmysle judikatúry Súdneho dvora EÚ (napr. rozhodnutie vo veci Planet49) súhlas s cookies musí spĺňať náležitosti, aké sú stanovené v GDPR a nesmie ísť o vopred označené políčko alebo vopred technicky nastavený súhlas, nakoľko tento by nebol získaný dobrovoľne. V zmysle predmetnej judikatúry je tiež potrebné získavať súhlas s cookies a informovať o ich používaní bez ohľadu na to, či sú súbory cookie posudzované ako osobné údaje. V zmysle aktuálnych stanovísk Európskeho výboru pre ochranu údajov je potrebný súhlas aj pri používaní analytických a marketingových cookies a za získanie súhlasu nie je možné považovať nastavenie webového prehliadača. S obdobným právnym posúdením tejto problematiky sa počíta aj v návrhu nového e-Privacy nariadenia, ktoré zatiaľ nebolo schválené.
Aj s ohľadom na predmetnú judikatúru bol schválený nový ZEK, ktorý sa stane účinným dňa 01. 02. 2022, a ktorý bude upravovať v celom rozsahu problematiku elektronických komunikácií až do účinnosti tzv. e-Privacy nariadenia (zo strany EÚ), ktoré bude následne priamo aplikovateľné v členských štátoch (pozn. keďže sa jedná o nariadenie a to nemusí byť transponované do národného poriadku členských štátov prostredníctvom zákona; podobne ako GDPR).
V zmysle § 109 ods. 8 nového zákona o EK platí, že:
„Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený, iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.“
Cookies sa v určitých prípadoch považujú aj za osobné údaje, a preto je potrebné v týchto prípadoch dodržiavať aj ustanovenia GDPR (najmä pokiaľ ide o informačnú povinnosť a udeľovanie súhlasu s ich spracúvaním). Rozhodujúci pritom je účel a budúce použitie dát; za osobné údaje ich nepovažujeme len vtedy, ak máme istotu, že nikdy nebudú spárované s konkrétnou osobou, nikdy nebudú predávané ďalej tretím stranám, ktoré by ich s touto osobou mohli stotožniť na základe iných údajov, ktorými už oni sami disponujú (napr. Google analytics, cookies používané Facebookom atď.).
Záver:
- Z vyššie uvedeného vyplýva, že je potrebné, ak tak ešte nemáte urobené, nastaviť cookies lištu tak, aby si návštevník web stránky mohol nastaviť preferencie týkajúce sa cookies, a teda udeliť súhlasy všade tam, kde sa neuplatňuje výnimka, že jediným účelom daných cookies je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ. Cookies, pri ktorých sa udeľuje súhlas, nesmú byť ukladané skôr, než súhlas bude reálne udelený.[1]
Cookies lištu sa odporúča nastaviť tak, aby mal návštevník možnosť súčasne:
- prijať všetky cookies jedným klikom,
- odmietnuť všetky cookies jedným klikom,
- alebo si nastaviť svoje preferencie (t.j. osobitne ponastavovať pre každý druh cookies – okrem tých nevyhnutných, či udelí súhlas alebo nie.
- osobitne by mala byť uvedená aj možnosť odsúhlasovať cookies tretích strán, a to jednotlivo ku každému takému poskytovateľovi – napr. Google a pod.
Nastavenie súborov cookies
Táto webová stránka používa rôzne druhy cookies pre poskytovanie online služieb, na účely prihlásenia, na prispôsobovanie obsahu a reklám, na analýzu návštevnosti a iné. V súlade s platnou legislatívou prosíme o potvrdenie súhlasu alebo nastavenie Vašich preferencií. Ďakujeme.
Viac informácií o spracovaní cookies (preklik)
Prijať všetky cookies
Odmientuť všetky cookies
Nastavenie preferencií
(Pozn. nevyznačovať farebne žiadne z týchto políčok (napr. prijať všetky, nakoľko by sa to mohlo javiť ako navádzanie na udelenie súhlasu).
- Ďalej je potrebné zabezpečiť, aby mal návštevník možnosť odvolať udelený súhlas tak jednoducho, ako ho udelil, t.j. aby mal zabezpečenú možnosť kedykoľvek jednoducho zmeniť svoje preferencie (napr. kliknutím na nejaký odkaz vo vrchnej/spodnej časti web stránky).
- Tiež je potrebné uchovávať súhlas pre účely jeho preukázania pre správne konanie (podľa nového ZEK sú to 4 roky („osoba, ktorej bol takýto súhlas udelený, je povinná uchovávať trvanlivý nosič, na ktorom je zaznamenaný preukázateľný súhlas účastníka alebo užívateľa, po dobu najmenej štyroch rokov od odvolania súhlasu účastníkom alebo užívateľom“), podľa GDPR (t.j., ak sa cookies v jednotlivom prípade považujú za osobný údaj, je to 5 rokov) – prostredníctvom logov.
- Tiež je potrebné upraviť aj informačnú povinnosť na webe – jednak v súvislosti s využívaním samotných cookies a jednak aj v súvislosti so spracovaním osobných údajov – v prípadoch, ak sa cookies považujú v zmysle vyššie uvedeného za osobné údaje.
- Pokuty za nedodržanie vyššie uvedeného:
- pokutu od 200 eur do 10 % z obratu za predchádzajúce účtovné obdobie podľa nového ZEK
- pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia podľa z. č. 18/2018 Z.z. o ochrane osobných údajov.
B/ NEVYŽIADANÁ KOMUNIKÁCIA PODĽA § 116 NOVÉHO ZEK
„(1) Elektronická pošta je textová, hlasová, zvuková alebo obrazová správa zaslaná prostredníctvom verejnej siete, ktorú možno uložiť v sieti alebo v koncovom zariadení príjemcu, kým ju príjemca nevyzdvihne.
(2) Priamym marketingom na účely tohto zákona sa rozumie akákoľvek forma prezentácie tovarov alebo služieb v písomnej forme alebo ústnej forme, zaslaná alebo prezentovaná prostredníctvom verejne dostupnej služby priamo jednému alebo viacerým účastníkom alebo užívateľom.
(3) Na účely priameho marketingu je dovolené používanie automatických volacích a komunikačných systémov bez ľudského zásahu, telefaxu, elektronickej pošty a služby krátkych správ voči účastníkovi alebo užívateľovi len s jeho predchádzajúcim preukázateľným súhlasom získaným pred kontaktovaním účastníka alebo užívateľa.
(4) Na účely získania predchádzajúceho súhlasu je zakázané používanie automatických volacích a komunikačných systémov bez ľudského zásahu,telefaxu, elektronickej pošty a služby krátkych správ.
(5) Za preukázateľný súhlas na účely tohto zákona podľa odseku 3 sa považuje súhlas spĺňajúci náležitosti podľa osobitného predpisu[2]; osoba, ktorej bol takýto súhlas udelený, je povinná uchovávať trvanlivý nosič, na ktorom je zaznamenaný preukázateľný súhlas účastníka alebo užívateľa, po dobu najmenej štyroch rokov od odvolania súhlasu účastníkom alebo užívateľom podľa odseku 6. Osoba vykonávajúca priamy marketing je pri získavaní súhlasu účastníka alebo užívateľa povinná uviesť údaj o spôsobe, akým je možné súhlas jednoducho odvolať.
(6) Účastník alebo užívateľ môže kedykoľvek predchádzajúci súhlas odvolať alebo namietnuť volanie za účelom priameho marketingu alebo získania súhlasu. Osoba, voči ktorej bol takýto súhlas odvolaný alebo voči ktorej bolo namietané volanie, je povinná účastníkovi alebo užívateľovi preukázateľne potvrdiť odvolanie takéhoto súhlasu alebo prijatie námietky volania a potvrdenie o odvolaní súhlasu alebo prijatie námietky volania uchovávať na trvanlivom nosiči po dobu najmenej štyroch rokov od odvolania súhlasu alebo namietania volania.
(7) Úrad zriadi a prevádzkuje na svojom webovom sídle zoznam telefónnych čísel, uvedených účastníkmi alebo užívateľmi na účely vyjadrenia nesúhlasu s volaním na účely priameho marketingu (ďalej len „zoznam“).
(8) Na účely priameho marketingu je zakázané akékoľvek volanie, ak účastník alebo užívateľ uviedol telefónne číslo v zozname alebo, ak účastník alebo užívateľ namietal takéto volania osobe, v prospech ktorej sa vykonáva priamy marketing. To neplatí, ak účastník alebo užívateľ odvolal námietku volania na účely priameho marketingu osobe, v prospech ktorej sa vykonáva priamy marketing, alebo jej udelil súhlas v čase po poslednej aktualizácii uvedenia telefónneho čísla v zozname; na poskytnutie súhlasu sa použijú ustanovenia odsekov 3 až 6. Účinky uvedenia telefónneho čísla v zozname nastávajú vždy k prvému alebo šestnástemu kalendárnemu dňu mesiaca, podľa toho ktorý najbližšie nasleduje po dni, v ktorom účastník alebo užívateľ svoje telefónne číslo uviedol.
(9) Účastník alebo užívateľ má kedykoľvek právo bezplatne uviesť telefónne číslo v zozname alebo vykonať aktualizáciu uvedenia telefónneho čísla v zozname. Aktualizácia uvedenia telefónneho čísla v zozname má rovnaké účinky ako prvé uvedenie telefónneho čísla v zozname.
(10) Osoba vykonávajúca priamy marketing overuje uvedenie telefónneho čísla alebo skupiny telefónnych čísel v zozname na webovom sídle úradu; za overenie telefónneho čísla v zozname je povinná osoba vykonávajúca priamy marketing platiť úhradu, ktorú určí úrad.
(11) Úrad vydá všeobecne záväzný právny predpis, v ktorom ustanoví podrobnosti o
a) prevádzkových a technických parametroch zoznamu,
b) rozsahu informácií vedených v zozname,
c) spôsobe poskytnutia údajov zo zoznamu osobám podľa odseku 10, vrátane parametrov aplikačného rozhrania zoznamu umožňujúceho automatizované hromadné overovanie skupiny čísel,
d) notifikácii uvedenia telefónneho čísla v zozname,
e) spôsobe aktualizácie dátumu uvedenia telefónneho čísla v zozname podľa odseku 9,
f) výške, spôsobe výpočtu a platobných podmienkach úhrady podľa odseku 10,
g) iných skutočnostiach potrebných pre zabezpečenie funkčnosti zoznamu.
(12) Osoba vykonávajúca priamy marketing prostredníctvom volania, automatických volacích a komunikačných systémov bez ľudského zásahu, telefaxu alebo služieb krátkych správ alebo osoba, ktorá získava predchádzajúci súhlas s volaním na účely priameho marketingu je povinná používať na účely priameho marketingu len čísla identifikované národným cieľovým kódom na tento účel v číslovacom pláne. Povinnosť podľa predchádzajúcej vety sa nevzťahuje na volania na účely priameho marketingu, ak sa vykonáva na zverejnené kontaktné údaje účastníka alebo užívateľa, ktorý je fyzickou osobou podnikateľom alebo právnickou osobou.
(13) Ak sa telefónne číslo používa na účely priameho marketingu v rozpore s účelom vymedzeným v individuálnom povolení na používanie čísel, za porušenie tejto povinnosti nezodpovedá držiteľ individuálneho povolenia, ktorý toto číslo poskytol inej osobe, ktorá z neho vykonáva priamy marketing, ak ho preukázateľne informoval o tom, že číslo nie je možné používať na účely priameho marketingu.
(14) Ustanovenia odsekov 8 a 12 sa nevzťahujú na priamy marketing vlastných podobných tovarov a služieb osoby, ktorá kontaktné údaje účastníka alebo užívateľa získala v súvislosti s predajom podobného tovaru alebo služieb alebo s ktorým je v zmluvnom vzťahu alebo na účely priameho marketingu voči účastníkovi alebo užívateľovi, ktorý si takúto komunikáciu sám vopred preukázateľne vyžiadal. Účastníkovi alebo užívateľovi sa musí poskytnúť možnosť jednoducho a bezplatne kedykoľvek odmietnuť také používanie kontaktných údajov v čase ich získavania a pri každom kontaktovaní za účelom priameho marketingu, ak také použitie predtým neodmietol.
(15) Predchádzajúci súhlas príjemcu elektronickej pošty podľa odseku 3 sa nevyžaduje, ak ide o priamy marketing vlastných podobných tovarov a služieb osoby, a ak jeho kontaktné údaje na doručenie elektronickej pošty tá istá osoba získala v súvislosti s predajom tovaru alebo služieb v súlade s týmto zákonom alebo s osobitným predpisom,127) alebo ak ide o priamy marketing adresovaný na zverejnené kontaktné údaje účastníka alebo užívateľa, ktorý je fyzickou osobou podnikateľom alebo právnickou osobou. Príjemcovi elektronickej pošty sa musí poskytnúť možnosť jednoducho a bezplatne kedykoľvek odmietnuť také používanie kontaktných údajov v čase ich získavania a pri každej doručenej správe ak také použitie predtým neodmietol. Je zakázané zasielanie elektronickej pošty, z ktorej nie je známa totožnosť a adresa odosielateľa, na ktorú môže príjemca zaslať žiadosť o skončenie zasielania takých správ, a nabádanie k návšteve webového sídla v rozpore s osobitným predpisom.“
Stručný záver:
Vlastných zákazníkov je možné oslovovať tak, ako doteraz, ak sa jedná o marketing vlastných podobných tovarov a služieb, pričom vždy musí mať zákazník možnosť odmietnuť používanie jeho kontaktných údajov na tento účel (ak chodia napr. e-mailom, tak v každom e-maili preklik na túto možnosť). Ak sa nejedná o marketing vlastných podobných tovarov a služieb adresovaný svojim zákazníkom, tak je potrebné mať súhlas so spracovaním osobných údajov. Nová výnimka, ktorá je zakomponovaná do zákona je, že to neplatí pre priamy marketing adresovaný fyzickým osobám – podnikateľom a právnickým osobám, ak majú zverejnené svoje kontaktné údaje. Na účely získania predchádzajúceho súhlasu je zakázané používanie automatických volacích a komunikačných systémov bez ľudského zásahu (tzn. že volať klasickým spôsobom – s tzv. ľudským zásahom je dovolené), telefaxu, elektronickej pošty a služby krátkych správ. Novinkou je tiež zriadenie zoznamu telefónnych čísel, uvedených účastníkmi alebo užívateľmi na účely vyjadrenia nesúhlasu s volaním na účely priameho marketingu – tento zoznam si musí volajúci (tzn. osoba vykonávajúca priamy marketing) overiť za poplatok na Úrade pre reguláciu elektronických komunikácií a poštových služieb pred volaním iným osobám ako svojim zákazníkom.