Právny žurnál: COOKIES – 8 zakázaných praktík

JUDr. Lucia Semančínová

5/23/2023

Data protection and information security
Service detail

Téma cookies a iných online technológií, pri ktorých webová stránka ukladá informácie do zariadení užívateľov, je stále veľmi živá. V dnešnej časti Právneho žurnálu sa preto budeme venovať tomu, ako správne nastaviť cookie lištu.

JUDr. Lucia Semančínová, seniorný právny expert

Už viac ako rok rezonuje na Slovensku téma cookies a ich správneho nastavenia. Pokuty až do výšky 10% z obratu a možnosť jednoduchej administratívnej „online“ kontroly webových stránok zo strany Úradu pre reguláciu elektronických komunikácií a poštových služieb („Úrad“), ktoré zaviedol od 1. februára 2022 nový zákon č. 452/2021 Z.z. o elektronických komunikáciách v znení neskorších predpisov („ZEK“), slovenským online prostredím pomerne silno zatriasli. Naviac, masívne riešenie správneho nastavenia cookies spustila aj nezisková organizácia NOYB - Európske centrum pre digitálne práva, ktorá podala 700+ sťažností na prevádzkovateľov webových stránok naprieč celou Európskou úniou za nezákonné ukladanie cookies v rozpore s ePrivacy smernicou (2002/58/ES). Z dôvodu koordinovaného postupu všetkých dozorných orgánov v rámci EÚ zriadil na účely prešetrovania týchto sťažností Európsky výbor pre ochranu údajov („EDPB“) pracovnú skupinu, ktorá začiatkom roka 2023 vydala správu zo svojej činnosti s popisom zakázaných praktík pri cookies.

Súhlas na cookies – ZEK alebo GDPR?

Pri cookies platí základná premisa –** ukladať alebo získavať prístup ku cookies** (tzn. informáciám uloženým v koncovom zariadení užívateľa) je možné len na základe súhlasu užívateľa. Výnimku tvoria len tzv. nevyhnutné cookies (technické alebo tiež funkčné cookies), ktoré slúžia na prenos správy prostredníctvom siete, alebo sú nevyhnutné na poskytnutie služby, ktorú užívateľ výslovne požaduje.

Podľa ZEK (ako aj ePrivacy smernice) sa za platný súhlas považuje len taký právny úkon, ktorý spĺňa náležitosti súhlasu podľa GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov). To znamená, že súhlas s uložením cookies bude platný len vtedy, keď bude spĺňať náležitosti podľa GDPR.

Súhlas musí byť

slobodný (bez nátlaku, zavádzaní, nesmie byť získaný ľstivo),
konkrétny (na konkrétne, výslovne uvedené a legitímne účely),
informovaný (užívateľovi musia byť vopred sprístupnené všetky podstatné informácie o ukladaní a spracúvaní),
jednoznačný (bez pochybností o úmysle užívateľa chcieť udeliť súhlas),
formou vyhlásenia, alebo
formou jednoznačného potvrdzujúceho úkonu (nie nekonaním, nie formou pred-zaškrtnutého políčka),
možné kedykoľvek odvolať, pričom odvolanie musí byť také jednoduché ako jeho poskytnutie.

Súhlas užívateľa musí prevádzkovateľ web stránky získať pred tým, ako sa údaje uložia do zariadenia užívateľa, alebo ako bude prevádzkovateľ web stránky do zariadenia užívateľa vstupovať.

Aké praktiky pri cookies považuje EDPB za nezákonné?

Zakazane praktiky pri cookies_Semancin & Partners.png

1. Žiadne tlačidlo na odmietnutie v prvej vrstve

Niektoré webové stránky obsahujú na prvej vrstve cookie lišty tlačidlo na akceptovanie všetkých cookies a tlačidlo, ktoré umožňuje užívateľom ďalšie možnosti nastavenia cookies. Neobsahujú však tlačidlo na odmietnutie všetkých cookies. Väčšina členov pracovnej skupiny EDPB považovala takéto nastavenie cookie lišty za nesúladné s požiadavkami na platný súhlas.

Obr. 1 - Nesprávne nastavenie, kde chýba tlačidlo odmietnuť všetko Nespravne cookies1_semancin_advokat.png

Obr. 2 - Správne nastavenie aj s tlačidlom odmietnuť všetko na prvej vrstve

Spravne cookies1_semancin_advokat.png

2. Pred-zaškrtnuté políčka

Používanie políčok s vopred udeleným súhlasom je zakázané vo všetkých úrovniach cookie lišty. Prevádzkovateľ webovej stránky nemôže pred-zaškrtnúť udelenie súhlasu na konkrétne súbory cookies ani v druhej úrovni cookie lišty, nakoľko takýto prejav vôle nevedie k získaniu platného súhlasu.

Obr. 3 – Nesprávne nastavené pred-zaškrtnuté políčka v druhej vrstve

Nespravne cookies2_semancin_advokat.png

3. Klamlivý dizajn odkazu (namiesto tlačidla na odmietnutie)

EDPB vysvetľuje túto praktiku tak, že prevádzkovateľ web stránky namiesto konkrétneho tlačidla, ktorým by mohla dotknutá osoba vyjadriť svoj nesúhlas so spracúvaním cookies, uvedie odkaz, link na odmietnutie alebo odkaz na druhú úroveň cookie lišty. Takéto správanie môže vnucovať dotknutej osobe povinnosť vyjadriť súhlas, aby sa mohla dostať k obsahu web stránky, čo je nezákonné.

Príkladom môže byť situácia, keď na cookie lište nie je tlačidlo iba link na alternatívnu ponuku ako „odmietnuť“ alebo „pokračovať bez akceptovania“, ktorý je vložený do ďalšieho textu na cookie lište bez jasného vizuálneho oddelenia a v záplave textu sa tieto linky stratia, prípadne sú tieto linky umiestnené úplne mimo cookie lišty bez toho, aby bola pozornosť užívateľov obrátená na tieto linky aspoň vizuálnym spôsobom.

Obr. 4 – Nesprávne uvedenie odkazu na odmietnutie súhlasu namiesto tlačidla

Nespravne cookies3_semancin_advokat.png

4. Klamlivá farba tlačidla

Obr. 5 – Nesprávne nastavené farby tlačidiel (súhlas je zjavne zvýraznený oproti iným možnostiam)

Nespravne cookies4_semancin_advokat.png

5. Klamlivý kontrast tlačidla

Tieto dve praktiky sú prepojené a vedú k podobným dôsledkom pre užívateľov, a to zjavné zvýraznenie tlačidla „prijať všetko“ alebo „súhlasím“ oproti ostatným možnostiam.

Nie každé použitie farby alebo kontrastu však vedie k zavádzaniu užívateľov. Preto posudzovanie tejto praktiky sa musí robiť vždy individuálne, prípad od prípadu. Ako nezákonný EDPB uvádza len jeden príklad, keď jediné čitateľné tlačidlo v cookie banneri je tlačidlo udelenia súhlasu.

Obr. 6 – Správne nastavené farby tlačidiel (intuitívne je zelená súhlas, červená zákaz)

Spravne cookies2_semancin_advokat.png

6. Oprávnený záujem

Niektorí prevádzkovatelia web stránok pri spracúvaní osobných údajov v rámci cookies zvýrazňujú na prvej vrstve cookie lišty možnosť prijatia spracovateľskej operácie s týmito osobnými údajmi, ale bez možnosti ju odmietnuť, čo môže viesť priemerného užívateľa k domnienke, že nemá možnosť vzniesť námietku proti uloženiu cookies, a ani k následnému spracovaniu, ktoré z toho vyplýva.

Okrem toho, na druhej vrstve cookie lišty sa rozlišuje medzi daným odmietnutím spracovateľskej operácie s osobnými údajmi a potenciálnou námietkou voči ďalšiemu spracovaniu, ktoré je prezentované ako spadajúce pod oprávnený záujem prevádzkovateľa údajov.

V týchto prípadoch, podľa EDPB, sa ukazuje, že spracovateľské aktivity ako „Vytvorenie personalizovaného obsahu“ či „Výber personalizovanej reklamy“ nemusia byť posúdené, že prevažujú oprávnené záujmy prevádzkovateľa. Taktiež, začlenenie tejto notifikácie o oprávnenom záujme do ďalších vrstiev cookie bannera môže byť považované pre užívateľov za zmätočné.

Preto EDPB zdôrazňuje, že na to, aby sa následné spracovateľské operácie s osobnými údajmi založené na cookies považovali za zákonné, je nevyhnutné, aby uloženie, resp. prístup k informáciám uloženým v zariadení užívateľa cez cookies alebo akékoľvek iné technológie bolo v súlade s ePrivacy (v našich podmienkach ZEK) a následné spracovateľské operácie boli v súlade s GDPR.

Obr. 7 – Oprávnený záujem

Opravneny zaujem_semancin_advokat.png

7. Nepresne klasifikované nevyhnutné cookies

Pri prehliadaní webových stránok je možné zistiť, aké konkrétne cookies používa táto webstránka. Vo viacerých prípadoch bolo zistené, že pod nevyhnutné cookies zaradili prevádzkovatelia aj také cookies, ktoré neboli striktne nevyhnutné. EDPB preto zdôrazňuje, že nevyhnutné súbory cookies by sa v každom prípade mali vykladať reštriktívne.

V každom prípade platí, že cookies, ktoré umožňujú prevádzkovateľovi webovej stránky uchovať preferencie vyjadrené užívateľom ako predvolený jazyk či krajina, by mali byť považované za nevyhnutné (tzv. preferenčné cookies).

8. Žiadna ikona na späťvzatie súhlasu

Pre platnosť súhlasu je nevyhnutné, aby udelený súhlas bolo možné kedykoľvek odvolať, a to rovnako jednoducho, ako bol udelený. Preto by webové stránky mali obsahovať „ikonu“, ktorá umožní rýchle a jednoduché odvolanie súhlasu v ktoromkoľvek čase, bez nutnosti otvárania nastavení o ochrane osobných údajov či preklikávania sa do iných rôznych úrovní bennerov. Rovnako by to mohol byť aj link umiestnený na viditeľnom a prístupnom mieste.

Obr. 8 – Správna ikona na späťvzatie súhlasu

Spravne cookies3_semancin_advokat.png

Zopár tipov na záver od nás

Vaša webstránka používajúca iba nevyhnutné (essential) cookies nemusí obsahovať cookie lištu, bude postačovať, ak užívateľov o tom vhodným spôsobom informujete.
Pri používaní viacerých druhov cookies (analytické, štatistické, marketingové, apod.) musí mať užívateľ možnosť udeliť a odvolať súhlas na každý druh samostatne (určitý druh akceptovať a iný neakceptovať).
Správne klasifikujte jednotlivé cookies. Užívateľovi musí byť jasné, ktoré cookies sú nevyhnutné a prevádzkovateľ ich môže spracúvať a ukladať aj bez súhlasu, a ktoré naopak môže prevádzkovateľ ukladať a spracúvať len s ich súhlasom.
Cookie lišta za žiadnych okolností nesmie brániť vo využívaní webovej stránky. Súhlas musí byť daný slobodne, tzn. nemožno cookie lištou zakrývať obsah web stránky alebo ho zobrazovať nečitateľne. Užívateľ musí mať možnosť prezerať si web stránku aj bez udelenia súhlasu.
Uistite sa, že pri implementácií nových cookies ste ich doplnili aj do cookie lišty, v opačnom prípade sa nebudete môcť spoliehať na udelený súhlas, keďže ten nebude zahŕňať aj nové cookies. Zoznam používaných cookies musí byť vždy aktuálny.

Je Vaša cookie lišta nastavená správne? Poraďte sa s právnou expertkou