Používanie cookies podľa GDPR

Dňa 25.5.2018 vstúpili do účinnosti súčasne nariadenie Európskej únie, ktoré sa všeobecne označuje ako GDPR[1] (takto ho budem nazývať aj v tomto blogu) spolu s novým zákonom o ochrane osobných údajov[2] (takto ho budem nazývať aj v tomto blogu), ktorý prijal slovenský parlament. Nový zákon o ochrane osobných údajov prevzal text GDPR a doplnil ho o právnu úpravu niektorých oblastí spracúvania osobných údajov, ktorým sa GDPR nevenuje. Na účely tohto blogu to ale nie je dôležité; stačí tu povedať toľko, že režim pre používanie cookies je v GDPR a v novom zákone o ochrane osobných údajov totožný. Text nového zákona o ochrane osobných údajov, pokiaľ ide o ustanovenia týkajúce sa cookies, bol skoro doslova prevzatý z GDPR. Takže hoci budem v texte odkazovať na ustanovenia GDPR, v podstate tým odkazujem aj na ustanovenia nového zákona o ochrane osobných údajov. Konkrétne ustanovenie GDPR a nového zákona o ochrane osobných údajov, na ktoré odkazujem, budem uvádzať v poznámke pod čiarou.

K napísaniu tohto blogu ma viedlo zistenie, že pochopenie a správne uchopenie problematiky GDPR spôsobuje veľa ťažkostí. Je to dané jednak nedostatkom výkladových textov v slovenskom jazyku a tiež tým, že nie sme v rámci našej stredoeurópskej právnej tradície zvyknutí implementovať právne texty, ktoré upravujú všeobecné princípy (ako to v prípade GDPR je), ale namiesto toho sme zvyknutí skôr na formálne poňaté právne normy, ktoré obsahujú pomerne presne vymedzené pojmy a situácie. A toto je jedna z hlavných príčin, prečo (aj) téma cookies spôsobuje výkladové problémy. Slovo „cookie“ sa v GDPR uvádza len jediný raz[3], v úvode.

Cookie ako spôsob získavania osobných údajov

Článok 30 úvodu GDPR, v texte ktorého sa pojem „cookies“ nachádza, hovorí: „Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.“

Článok 30 úvodu GDPR v podstate hovorí, že niektoré cookies sú online identifikátormi, ktorými môže prevádzkovateľ určiť totožnosť osoby, do ktorej zariadenia cookie umiestnil, a tak všetky informácie, ktoré cookie o správaní danej osoby vyšle, môžu byť spárované s konkrétnou osobou a teda prevádzkovateľ sa takto dozvie o preferenciách a správaní danej osoby na internete, inými slovami, zhromažďuje prostredníctvom cookie o danej osobe osobné údaje.

Ako som písal vyššie, GDPR narába so všeobecnými princípmi. Preto by ste v GDPR zbytočne hľadali explicitnú úpravu ohľadom cookies ako takých. Ak sa chcete dozvedieť, aký právny režim sa vzťahuje na cookies, v prvom rade si treba položiť otázku, o akom konkrétnom druhu cookie je reč.

Nie spôsob, ale účel je podstatný

Cookies môžeme považovať za jeden zo spôsobov spracúvania (získavania) osobných údajov. Podobne ako je získavaním osobných údajov ich vyplnenie do dotazníku, alebo nasnímanie človeka kamerou, je jedným zo spôsobov získavania osobných údajov aj ich zbieranie prostredníctvom cookie, ktorý ich zo zariadenia (napr. počítač, smart phone, notebook) posiela prevádzkovateľovi (napr. vlastník nejakého webového prehliadača). GDPR ale spôsob získavania osobných údajov nezaujíma. Preto GDPR špecifickú úpravu pre cookies neobsahuje. Namiesto toho, to, čo GDPR zaujíma, a na čom je režim narábania s osobnými údajmi postavený, je účel, na ktorý sa získavajú.

Hranica medzi tým, čo spadá pod GDPR a tým, čo nie, nekopíruje deliacu čiaru medzi cookies a inými spôsobmi zbierania osobných údajov, ale vedie naprieč skupinou všetkých cookies a oddeľuje ich podľa toho, či daný cookie zbiera osobné údaje alebo nie.

Cookies, ktoré nezbierajú osobné údaje

Nie všetky cookies zbierajú osobné údaje, lebo nie všetky cookies majú schopnosť identifikovať používateľa zariadenia. Mnoho cookies, ktoré webové stránky bežne využívajú, túto schopnosť nemá.

Preto je nevyhnutné, aby každý prevádzkovateľ webovej stránky, predtým, ako požiada právnika, aby mu vypracoval text zásad ochrany osobných údajov, požiadal svojho IT špecialistu, aby mu dal zoznam cookies, ktoré jeho stránka používa s informáciou, či vôbec a aké osobné údaje každý z týchto cookies zbiera. Takto sa napríklad môže dozvedieť, že jeho stránka nepoužíva žiaden cookie, ktorý by mal schopnosť zbierať osobné údaje, z čoho plynie záver, že sa ním používaných cookies GDPR vôbec netýka a teda nemusí na stránke v súvislosti s GDPR urobiť žiadnu zmenu. V prípade, ak sa dozvie, že niektoré cookies osobné údaje zbierajú, ale sú to také cookies, ktoré preňho nemajú veľký benefit, môže sa napríklad rozhodnúť tak, že ich používanie zruší a vyhne sa tak zmenám na stránke, ktoré by inak podľa GDPR musel urobiť.

Cookies, ktoré zbierajú osobné údaje

GDPR sa dotýka jedine takých cookies, ktoré sú schopné zbierať osobné údaje o používateľovi (návštevníkovi) webovej stránky. GDPR rozlišuje niekoľko účelov zbierania osobných údajov.[4] Pre zistenie podmienok, akými sa konkrétne zbieranie osobných údajov musí riadiť, je úplne kľúčové jasné zodpovedanie otázky, na aký účel sa osobné údaje zbierajú, nakoľko každému z účelov, ktoré GDPR rozlišuje, zodpovedajú osobitné požiadavky na úpravu vzťahu medzi používateľom stránky a jej prevádzkovateľom.

Ďalej uvediem iba účely, ktoré sa pri zbieraní osobných údajov v súkromnej sfére vyskytujú najčastejšie:

(i) účel bol stanovený prevádzkovateľom webstránky (napr. zasielanie newslettera, marketingových e-mailov, a pod.)[5];

(ii) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy medzi prevádzkovateľom a používateľom, alebo aby sa na základe žiadosti používateľa vykonali opatrenia pred uzatvorením zmluvy[6];

(iii) spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa[7];

(iv) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody používateľa[8].

Hoci sa v praxi môže stať (a isto sa stáva), že niektoré cookies sú používané na účel podľa bodov (ii), (iii) alebo (iv), prevažným účelom používania cookies je bod (i) a preto sa ďalej v tomto texte budem venovať jedine tomuto jednému účelu.

(i) Účel zbierania osobných údajov bol stanovený prevádzkovateľom webstránky

Prakticky ide o účel zbierania osobných údajov o používateľovi stránky, ktorý vyplynul z iniciatívy jej prevádzkovateľa, je najmä v záujme prevádzkovateľa a realizácia primárneho vzťahu medzi prevádzkovateľom a používateľom (umožnenie prezerania stránky, kúpa tovaru alebo služieb) by bola možná aj bez tohto účelu.

Budú sem patriť napríklad všetky cookies, ktoré zhromažďujú informácie o obsahu, ktorý na stránke užívateľ prehliada, marketingové a remarketingové cookies a pod.

Súhlas

Zbieranie osobných údajov na účely, ktoré sa radia pod tento bod, je možné iba pod tou podmienkou, že s takýmto zbieraním osobných údajov používateľ stránky vyjadril platný súhlas. GDPR presne upravuje, čo sa považuje za platný súhlas.[9]

Platný súhlas musí byť poskytnutý jasným a jednoznačným prejavom vôle. Nepripúšťa sa vyjadrenie súhlasu nečinnosťou, ani cez vopred zaškrtnutý checkbox. Takže v prípade cookies možno súhlas platne udeliť jedine tak, že prevádzkovateľ ponúkne užívateľovi po otvorení stránky okno, v ktorom musia byť všetky cookies, ktorých aktivácia podlieha súhlasu, jeden po druhom vymenované a pri každom jednom musí byť checkbox na aktivovanie daného cookie aktívnym kliknutím (systém OPT IN).

Na rozdiel od právnej úpravy účinnej do 24.5.2018, súhlas s používaním cookies už nie je možné vyjadriť nastaveniami prehliadača. Takto daný „súhlas“ GDPR nepovažuje za dostatočne konkrétny a jednoznačný, a už vôbec nie informovaný. Hoci Guidelines[10], ktoré plnia výkladovú funkciu, o takejto možnosti uvažujú, ale iba do budúcnosti, ak by prehliadače dosahovali takú technologickú úroveň, že by na nich bolo možné „defaultne“ nastaviť akceptáciu cookies blízko špecifikovaných druhov a blokovanie cookies iných blízko špecifikovaných druhov.

Súhlas s používaním cookies nie je platný, ak je vyjadrený hromadne.[11] To znamená, že nie je možné zaškrtnutím jedného checkboxu (alebo kliknutím na jedno „áno“) vyjadriť súhlas so skupinou cookies naraz. Platný je len súhlas, pokiaľ je vyjadrený ku každému jednému cookie jednotlivo a účel každého cookie je dostatočne presne definovaný. Súhlas nesmie byť príliš všeobecný[12], preto sa nepripúšťa jeho vyjadrenie formou „Súhlasím s používaním cookies na marketingové účely.“.

Platný súhlas musí byť tiež informovaný. Používateľ musí mať pred tým, ako zaklikne príslušné checkboxy, možnosť prečítať si zásady používania cookies, ktoré musia obsahovať všetky informácie, ktorých výpočet je uvedený v GDPR[13]. Prevádzkovateľ si takto splní svoju informačnú povinnosť voči používateľovi. Prakticky to môže urobiť tak, že do okna, v ktorom sa zaškrtávajú checkboxy pre jednotlivé cookies, umiestni tiež link na stránku s textom zásad používania cookies.

GDPR zavádza požiadavku, že súhlas musí byť možné odvolať.[14] Odvolanie súhlasu nesmie používateľa zaťažiť o nič viac, než ho zaťažilo udelenie súhlasu.[15] Prakticky môže prevádzkovateľ toto umožniť používateľovi tak, že do textu zásad používania cookies vloží aj checkboxy, alebo link na checkboxy, v ktorých môže používateľ odvolať súhlas s používaním pre každý cookie jednotlivo.

Treba dodať, že odvolanie súhlasu s používaním cookie nespôsobí, že by sa daný cookie prestal nachádzať v zariadení používateľa, lebo to technicky nie je možné. (Keď ho už prevádzkovateľ raz do zariadenia umiestnil, cookie odtiaľ môže zmazať jedine používateľ.) Avšak odvolaním súhlasu je prevádzkovateľ povinný prerušiť s daným cookie komunikáciu – prestať ho používať, resp. je povinný deaktivovať ho.

Ďalšia náležitosť, ktorú súhlas s používaním cookies musí spĺňať je, že súhlas musí byť slobodne daný.[16]

Za slobodne daný sa o. i. nepovažuje súhlas, ktorý je implicitne vyžadovaný prevádzkovateľom na to, aby si mohol používateľ prezerať stránku a to napriek tomu, že použitie cookie, ku ktorému sa súhlas vzťahuje, nie je na prezeranie stránky nevyhnutné, alebo nemusí byť na prezeranie stránky nevyhnutné (stránku je možné naprogramovať aj tak, že by sa dala prezerať aj bez použitia tohto cookie). Takto získaný súhlas sa považuje za vynútený a je neplatný (neexistujúci).

Súhlas nemožno viazať na prijatie všeobecných podmienok prezerania stránky alebo všeobecných obchodných podmienok prevádzkovateľa. Takýto súhlas sa považuje za vynútený a ako taký neplatný. GDPR v článku 7 ods. 4 jasne uvádza, že „Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.“ Týmto je vylúčená možnosť získavania osobných údajov o používateľovi na výmenu za umožnenie používateľovi využívať služby prevádzkovateľa.[17]

Udelený súhlas musí prevádzkovateľ vedieť kedykoľvek preukázať.[18]

Čo obnáša používanie share-buttonov a videí tretích strán

Niektoré stránky obsahujú tzv. share-buttony, ktoré umožňujú, aby používateľ kliknutím na ne zdieľal obsah stránky na sociálnej sieti, ktorej share-button patrí (tretia strana). Umiestniť share-button na stránku ale vo väčšine prípadov nie je možné bez toho, aby sa samotným otvorením stránky (bez ohľadu na to, či používateľ na share-button klikne) nahrali do zariadenia používateľa cookies, ktoré patria prevádzkovateľovi share-buttonu (cookies tretej strany). Uvedené sa stane dokonca aj vtedy, ak používateľ nemá na danej sociálnej sieti vytvorené konto. Samotným otvorením stránky, obsahujúcej takéto share-buttony, teda automaticky dochádza k zbieraniu osobných údajov o používateľovi danou sociálnou sieťou, ktorá môže na základe takto získaných informácií cieliť na používateľa reklamu, ak si danú sociálnu sieť používateľ otvorí alebo si na nej v budúcnosti zriadi konto.

Podľa GDPR je prevádzkovateľ stránky, na ktorej sú takéto share-buttony, povinný pred umožnením cookies, ktoré sú spojené s týmito share-buttonmi, aby sa nahrali do používateľovho počítača, žiadať používateľa o súhlas s aktiváciou týchto cookies. Je ale pravdepodobné, že vzhľadom k previazanosti týchto cookies so share-buttonom, v prípade neudelenia súhlasu s používaním cookies, share-button bude nefunkčný, t. j. v prípade zakliknutia nespôsobí zdieľanie stránky, alebo sa na stránke ani nezobrazí. Nie je to však dôvod, aby sa súhlas s takýmito cookies nevyžadoval s (nesprávnym) poukazom na to, že by boli potrebné k funkcionalite stránky! Šlo by o jasné obchádzanie ustanovení o slobodnom súhlase, ako som opísal vyššie. Stránka totiž môže plniť svoju funkciu i bez share-buttonu.

Podobná situácia ako pri share-buttonoch nastáva aj vtedy, keď stránka obsahuje videá, ktoré sú prevádzkované inou stránkou – stránkou ponúkajúcou nahrávanie a prehrávanie videí (budem ju označovať ako „tretia strana“). Tým, že prevádzkovateľ stránky umiestni na stránke video tretej strany, týmto samotným úkonom umožnil tretej strane používať na stránke svoje cookies. Prostredníctvom týchto cookies tretia strana zhromažďuje o používateľovi osobné údaje a spája ich s jeho preferenciami ohľadne prehrávaných videí (dochádza k profilovaniu). Je zrejmé, že prevádzkovateľ stránky, ktorá umožňuje používanie takýchto cookies tretej strany, je povinný pred nahraním týchto cookies do zariadenia používateľa, vyžiadať od používateľa súhlas. Je ale pravdepodobné, že ak používateľ súhlas neudelí, nebude možné videá prehrať.

[1] nariadenie Európskeho parlamentu a Rady (EÚ) číslo 2016/679 z 27.4.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

[2] zákon NR SR číslo 18/2018 Z. z. z 29.11.2017 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

[3] článok 30 úvodu GDPR, § 5 písm. k) nového zákona o ochrane osobných údajov

[4] Čl. 6 ods. 1 GDPR; § 13 ods. 1 nového zákona o ochrane osobných údajov

[5] Čl. 6 ods. 1 písm. a) GDPR; § 13 ods. 1 písm. a) nového zákona o ochrane osobných údajov

[6] Čl. 6 ods. 1 písm. b) GDPR; § 13 ods. 1 písm. b) nového zákona o ochrane osobných údajov

[7] Čl. 6 ods. 1 písm. c) GDPR; § 13 ods. 1 písm. c) nového zákona o ochrane osobných údajov

[8] Čl. 6 ods. 1 písm. f) GDPR; § 13 ods. 1 písm. f) nového zákona o ochrane osobných údajov

[9] Čl. 32 úvodu GDPR; § 5 písm. a) nového zákona o ochrane osobných údajov

[10] Article 29 Working Party Guidelines on consent under Regulation 2016/679, str. 17

[11] Article 29 Working Party Guidelines on consent under Regulation 2016/679, str. 10

[12] Article 29 Working Party Opinion on purpose limitation 3/2013, str. 16

[13] Čl. 13 GDPR; § 19 nového zákona o ochrane osobných údajov

[14] Čl. 7 ods. 3 GDPR; § 14 ods. 3 nového zákona o ochrane osobných údajov

[15] Čl. 7 ods. 3 GDPR; § 14 ods. 3 nového zákona o ochrane osobných údajov

[16] Čl. 32 úvodu GDPR; § 5 písm. a) nového zákona o ochrane osobných údajov

[17] Article 29 Working Party Guidelines on consent under Regulation 2016/679, str. 8

[18] Čl. 7 ods. 1 GDPR; § 14 ods. 1 nového zákona o ochrane osobných údajov