Ako zabezpečiť, aby bol súhlas so spracovaním cookies v súlade s GDPR?

Čo presne znamená, že súhlas s cookies musí byť slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby. Prevádzkovateľ má tiež povinnosť preukázať získanie súhlasu a zabezpečiť, aby bolo odvolanie súhlasu pre dotknutú osobu rovnako jednoduché ako jeho udelenie.

Na spracovanie marketingových a analytických cookies je potrebný súhlas návštevníka webstránky

Od 1. februára 2022 nadobúda účinnosť nový zákone č. 452/2021 o elektronických komunikáciách. Cookies upravuje § 109 odsek (8) daného zákona. „(8) Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. …“

Na spracovanie cookies sa vyžaduje súhlas dotknutej osoby so spracovaním cookies. Prevádzkovatelia webstránok ale nemusia získavať súhlas na všetky druhy cookies. Na spracovanie cookies, ktoré sú nevyhnutné na správne fungovanie webstránky a funkcionalít, ktoré slúžia užívateľovi, získanie súhlasu nie je potrebné.

Do tejto definície nevyhnutnosti ale nespadajú marketingové a analytické cookies, ktoré nie sú nevyhnutné a tak je potrebné na ich spracovanie získať od návštevníka webstránky súhlas.

Súhlas je primeraným právnym základom, len ak je v súlade s GDPR

Nariadenie GDPR ustanovuje pravidlá, za akých sa získanie súhlasu považuje za zákonné. Pri posudzovaní zákonnosti získania súhlasu je prevádzkovateľ povinný posúdiť, či sú splnené všetky požiadavky GDPR na získanie platného súhlasu. V tomto článku si podrobne prejdeme všetky podmienky získania platného súhlasu a ich implikáciu na získanie súhlasu na spracovanie cookies.

V skratke sa dá povedať, že súhlas je v súlade s GDPR vtedy, ak má dotknutá osoba všetky potrebné informácie, aby sa rozhodla, či súhlas slobodne poskytne a či má zároveň možnosť kontroly a voľby, či sa osobné údaje, ktoré sa ich týkajú, budú spracúvať, alebo nie. Súhlas by mal byť tiež rozhodnutím, ktoré možno zmeniť, a teda na strane dotknutej osoby zostáva určitý stupeň kontroly.

Súhlas s cookies musí byť slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby

Článok 4 odsek 11 GDPR definuje, že „súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.“

Na zabezpečenie zákonnosti musia byť splnené všetky podmienky, súhlas musí byť:

• slobodne daný
• konkrétny
• informovaný
• jednoznačným prejavom vôle dotknutej osoby

Okrem týchto štyroch podmienok je veľmi podstatným aspektom platného súhlasu povinnosť prevádzkovateľa preukázať získanie súhlasu a taktiež zabezpečenie, aby bolo odvolanie súhlasu pre dotknutú osobu rovnako jednoduché ako jeho udelenie.

Súhlas s cookies musí byť slobodne daný

Súhlas s marketingovými a analytickými cookies musí byť slobodne daný. Za „slobodne daný“ sa považuje len taký súhlas, ktorý dáva dotknutým osobám skutočnú možnosť voľby (súhlasím alebo nesúhlasím). Ak dotknutá osoba nemá možnosť voľby a súhlas je nútená udeliť pod hrozbou určitých negatívnych následkov, takto udelený súhlas nie je právoplatný.

Súhlas nesmie byť podmienkou na používanie služieb

Na to, aby bol súhlas poskytnutý slobodne, prístup k službám a funkciám nesmie byť podmienený súhlasom používateľa so spracovaním cookies. Prístup k obsahu, službám alebo funkciám na webstránke nemôže byť viazaný ani podmieňovaný udelením súhlasu so spracovaním cookies. Nie je teda v súlade s GDPR, aby prevádzkovatelia webstránky podmieňovali vstup na webstránku prijatím cookies.

Pri viacerých účeloch je súhlas slobodne daný, len ak má dotknutá osoba možnosť voľby

V prípade ak sa osobné údaje spracúvajú na viac ako jeden účel, dotknuté osoby musia mať možnosť voľby, s ktorým účelom súhlasia. Súhlas nie je slobodne daný, ak neumožňuje dotknutým osobám samostatný súhlas na jednotlivé účely.

Cookies, ktoré vyžadujú súhlas, sú spracúvané na dva rôzne účely. Prvým účelom je marketing a druhým je analytika. Znamená to teda, že užívateľ musí mať možnosť voľby, či súhlasí so spracovaním marketingových cookies a či súhlasí so spracovaním analytických cookies. Ak by bol súhlas spojený do jedného, nebol by zákonný.

Prečo je teda v poriadku formulácia tlačidla „prijať všetko“, alebo „prijať všetky“?

Táto formulácia je v poriadku, ale len v tom prípade, ak je zároveň k dispozícii voľba medzi jednotlivými účelmi spracovania cookies (marketingové a analytické).

Súhlas s cookies musí byť konkrétny

Článok 5 ods. 1 písm. b) GDPR hovorí, že osobné údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi (tzv. zásada obmedzenia účelu). Toto ustanovenie pôsobí ako ochrana pred rozširovaním účelov spracovania údajov nad rámec účelu, na ktorý dotknutá osoba poskytla súhlas. Pri rozširovaní účelov dotknuté osoby strácajú kontrolu nad svojimi osobnými údajmi, čo je v rozpore s princípmi GDPR.

Konkrétnosť udelenia súhlasu pri cookies je zabezpečená len vtedy, ak sa cookies spracúvajú len na účely o ktorých bola dotknutá osoba pri udeľovaní súhlasu informovaná a s ktorými súhlasila. Ak dotknutú osobu informujeme, že cookies spracúvame za účelom merania a analýza návštevnosti, nemôžeme účel rozšíriť na spracúvanie cookies na marketingové účely.

Súhlas s cookies musí byť informovaný

Požiadavka transparentnosti je jednou zo základných zásad GDPR. Len ak majú dotknuté osoby všetky potrebné informácie, je z ich strany možné prijať informované rozhodnutie, či so spracovaním súhlasia, alebo nesúhlasia. Dotknuté osoby musia vedieť, s čím súhlasia, inak daný súhlas nie je v súlade s GDPR.

Prevádzkovatelia sa pri posudzovaní, aké informácie je potrebné poskytnúť dotknutej osobe, vedia oprieť o § 19 zákona č. 18/2018 o ochrane osobných údajov. Ten stanovuje, že dotknutá osoba musí byť pri získavaní osobných údajov informovaná napríklad o tom, kto spracúva jej osobné údaje, na aký účel, na akom právnom základe, o existencii príjemcov, dobe uchovávania a taktiež o jej právach v súvislosti so spracovaním osobných údajov. Dôležité je aby bol použitý jednoduchý a zrozumiteľný jazyk. Informácie by mali byť pochopiteľné pre bežného človeka a nemôžu byť tiež v skryté v rámci iného textu (napr. obchodných podmienok).

Aby bol súhlas s cookies informovaný, musia prevádzkovatelia zabezpečiť, aby bola dotknutá osoba (návštevník webstránky) informovaný o potrebných informáciách. Keďže súhlas s cookies sa na webstránke udeľuje prostredníctvom cookies lišty, tento by mal obsahovať všetky potrebné, ale zároveň jednoznačne formulované informácie, aby bol návštevník webstránky schopný urobiť informované rozhodnutie.  Z dôvodu prehľadnosti je možné časť informácií (tie najpodstatnejšie) prezentovať v rámci banneru a tie ostatné, napr. po prekliknutí na informácie o spracúvaní cookies.

Aby bol súhlas s cookies informovaný, je potrebné si dať tiež pozor na slová použité na tlačidle, ktorým sa súhlas vyjadruje. Slová musia jednoznačne znamenať súhlas, takže napr. slovo „Rozumiem“ nie je jednoznačné a dotknutá osoba ani nemusí vedieť, že kliknutím udeľuje súhlas.

Súhlas s cookies musí byť jednoznačným prejavom vôle dotknutej osoby

Na to, aby mohol byť súhlas s cookies považovaný za zákonný, musí dotknutá osoba jednoznačne prejaviť svoju vôľu, vykonať jednoznačný a úmyselný potvrdzujúci úkon. Musia byť vylúčené pochybnosti o zámere dotknutej osoby poskytnúť súhlas. Za jednoznačný prejav vôle sa nepovažuje využitie predvolených (predškrtnutých) možností, ktoré musí dotknutá osoba zmeniť, ak nesúhlasí so spracovaním daných osobných údajov (tzv. súhlas založený na mlčaní) a takýto súhlas nie je v súlade s GDPR.

Pri cookies to znamená, že nie je dovolené, aby bol v cookies lište predvolene zaškrtnutý súhlas s jednotlivými cookies. Je potrebné, aby boli jednotlivé možnosti (marketingové, analytické cookies) nezaškrtnuté. Je ale možné využiť tlačidlo „Prijať všetko“. To je považované za jednoznačný prejav vôle. Taktiež nie je zákonné, aby sa cookies spracovali aj napriek tomu, že používateľ webstránky len zavrie cookies banner a nevyjadrí svoj súhlas so spracovaním cookies, napr. kliknutím na tlačidlo.

Prevádzkovateľ má povinnosť preukázať získanie súhlasu s cookies

Okrem toho, že súhlas musí byť slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, má prevádzkovateľ povinnosť preukázať že dotknutá osoba poskytla súhlas so spracúvaním cookies. Definuje to § 14 odsek 1 zákona č. 18/2018 o ochrane osobných údajov nasledovne: „Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.“

Je teda potrebné, aby technické riešenie na webstránke na získanie súhlasu s cookies disponovalo funkcionalitou, ktorá zabezpečí preukázanie získania súhlasu so spracovaním cookies.

Odvolanie súhlasu s cookies musí byť rovnako jednoduché ako jeho poskytnutie

Článok 7 odsek 3 GDPR hovorí, že odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Pri cookies sa súhlas udeľuje väčšinou jedným kliknutím, je potrebné teda zabezpečiť, aby sa aj odvolanie súhlasu uskutočnilo primerane rovnako jednoducho. Ak by musela dotknutá osoba vynaložiť na odvolanie súhlasu s cookies neprimerane väčšie úsilie, neboli by splnené požiadavky GDPR. Požiadavka jednoduchého odvolania súhlasu je v GDPR braná ako nevyhnutný aspekt platného súhlasu.

Záver – získavate na webstránke súhlas s cookies v súlade s GDPR?

Ak ste prevádzkovateľom webstránky a spracúvate na nej cookies, ktoré podliehajú získaniu súhlasu (marketingové alebo analytické), je potrebné si overiť, či je tento súhlas získaný v súlade s GDPR.

Dúfame, že Vám bol tento náš článok nápomocný pri overovaní, či je Vaša cookies lišta správna.

K problematike cookies sme pripravili aj iné články:

• Základné informácie o legislatívnych zmenách ohľadom cookies
• Delenie cookies. Ktoré cookies sú nevyhnutné a ktoré nie sú nevyhnutné?
• Ako si splniť informačnú povinnosť pri cookies?
• Cookies, webová analytika a Google Analytics
• Prečo je Cookiebot najlepším riešením cookies lišty