Informačná povinnosť GDPR pri cookies

V súlade so zásadou transparentnosti je potrebné pri cookies splniť si informačnú povinnosť v rozsahu ako ju definuje článok 13 GDPR a § 19 zákona č. 18/2018 Z.z. o ochrane osobných údajov.

Informačná povinnosť pri cookies sa plní prostredníctvom informácií o spracovaní cookies

Zákon vyžaduje informovať dotknutú osobu o rôznych informáciách, ktoré podľa technického riešenia, nie je možné vždy zahrnúť do cookies banneru. Preto sa na informovanie využíva často preklik na podstránku „Informácie o spracovaní cookies“. Niektoré spoločnosti majú tento dokument nazvaný „Podmienky ochrany osobných údajov“. Odporúčal by som oddeliť informácie o spracovaní cookies od informácii o spracovaní ostatných osobných údajov na webstránke. Napríklad internetový obchod má informačnú povinnosť aj ohľadom osobných údajov, ktoré spracúva kvôli vybaveniu objednávky a kvôli prehľadnosti je vhodné mať oddelené tieto dva účely spracovania.

Niektoré technické riešenia cookies bannerov, hlavne tie komplexnejšie, ponúkajú možnosť záložiek v rámci cookies banneru a je možné uviesť podmienky spracovania cookies uviesť priamo na záložke banneru.

O čom všetkom je potrebné dotknutú osobu informovať?

Informácie o spracovaní cookies musia obsahovať všetky zákonom vyžadované informácie, podľa článku 13 GDPR, alebo podľa § 19 zákona č. 18/2018 Z.z. o ochrane osobných údajov. Obsahovo ide o dva totožné časti predpisov.

Zhrnuli sme všetky potrebné informácie a pri jednotlivých informáciách tiež uvádzame, či by táto informácia mala byť dostupná priamo v cookies banneri. Pod „dostupná priamo v cookies banneri“ myslíme, že je hneď viditeľná v banneri bez nutnosti prekliknutia na iné časti (záložky) banneru.

Ide o tieto informácie:

• Informácie o identifikačných a kontaktných údajoch prevádzkovateľa
• Účel spracúvania cookies
• Právny základ spracúvania cookies
• Identifikácia príjemcu alebo kategóriu príjemcu cookies, ak existuje
• Informácia o prenose cookies do tretej krajiny
• Informácie o dobe uchovávania cookies
• Informácie o právach dotknutej osoby
• Informácia, či je poskytovanie údajov zákonnou alebo zmluvnou požiadavkou
• Informácia, či je dotknutá osoba povinná poskytnúť cookies, ako aj o možných následkoch neposkytnutia cookies
• Informácie o spracovaní na iný účel

Informácie o identifikačných a kontaktných údajoch prevádzkovateľa

Dotknutá osoba by mala byť informovaná o tom, kto spracúva jej osobné údaje cookies. Nestačí uviesť meno webstránky, je potrebné uviesť prevádzkovateľa webstránky. Najčastejšie ide o právnickú osobu, alebo fyzickú osobu – živnostníka. Potrebná je jednoznačná identifikácia a doplnenie kontaktných údajov. Nie je definované, či je potrebný telefonický kontakt, alebo postačuje emailový. Ak prevádzkovateľ webstránky určil zodpovednú osobu, je potrebné uviesť aj jej kontaktné údaje.

Je potrebné uviesť tieto informácie v cookies banneri? NIE

V cookies banneroch sa väčšinou používa slovné spojenie „My“ alebo „Táto webstránka“. Konkrétne informácie o prevádzkovateľovi a jeho kontaktných údajoch sa uvádzajú na podstránke informácie o spracovaní cookies. Nie je ale na škodu spomenúť v cookies lište aspoň názov spoločnosti.

Účel spracúvania cookies

Veľmi podstatná a kľúčová informácia, ktorú návštevník webstránky musí dostať, je jednoznačné vymedzenie účelu alebo účelov, na ktoré sú jednotlivé cookies spracúvané. Kvôli prehľadnosti sa informácie o účeloch uvádzajú v kategóriách. Najčastejšie ide o kategórie:

• Technicky nevyhnutné cookies
• Analytické cookies
• Marketingové cookies

Cookies sa kategorizujú aj z iného dôvodu. Podľa zákona musí byť súhlas konkrétny, to znamená, že musí byť získaný zvlášť na každý účel spracovania. Ak by sa cookie nekategorizovali, ale uviedli by sa jednotlivé účely spracovania (ktorých môže byť veľké množstvo), bolo by potrebné získať súhlas na každý účel zvlášť.

Je potrebné uviesť účel spracovania v cookies banneri? ÁNO

Bez uvedenia jednotlivých účelov v cookies banneri by nebolo možné súhlas považovať za informovaný a konkrétny, čo je podmienkou získania legitímneho súhlasu.

Pozor na zavádzajúce formulácie o účeloch spracovania cookies

Treba si tiež dať pozor na zavádzajúce informácie o účeloch spracúvania. Veľmi často sa stretávam s formuláciou v nadpise banneru cookies: „Žiadame Vás o udelenie súhlasu na zlepšenie služieb“.

Veľký nadpis s touto formuláciou, ale keď hlbšie preskúmate celú cookies lištu, reálne žiadajú udelenie súhlasu na maketingové cookies (personalizovanú reklamu). Takáto formulácia teda môže byť zavádzajúca a v prípade kontroly úradom na ochranu osobných údajov vyhodnotená, že súhlas nebol informovaný, je teda neplatný a spracúvanie údajov je nezákonné.

Právny základ spracúvania cookies

GDPR požaduje, aby bol pri spracúvaní osobných údajov definovaný právny základ spracúvania. Právne základy sú definované v zákone č. 18/2018 Z.z., konkrétne v § 13 Zákonnosť spracúvania.

Ako hovorí zákon o elektronických komunikáciách: „Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.“

Je potrebné uviesť právny základ v cookies banneri? ÁNO

Keďže sa spracúvanie vykonáva na právnom základe súhlasu, dotknutá osoba musí byť na cookies banneri informovaná, že vyjadruje súhlas so spracovaním osobných údajov.

Identifikácia príjemcu alebo kategóriu príjemcu cookies, ak existuje

Ak cookies, ktoré webstránka spracúva, prijímajú aj iní príjemcovia, je potrebné týchto príjemcov identifikovať a informovať o nich návštevníka webstránky. Je teda potrebné uviesť aké iné spoločnosti spracúvajú cookies návštevníka webstránky. Najčastejším príjemcov sú spoločnosti ako Google, Facebook alebo Youtube.

Pre cookies banner je veľmi vhodné použiť technické riešenie, ktoré automaticky vedie zoznam cookies tretích strán.

Je potrebné uviesť príjemcov v cookies banneri? NIE

Nemyslím si, že je priestorovo možné uviesť v cookies banneri všetkých príjemcov cookies, môže ísť o dlhší zoznam. Je ale vhodné uviesť v cookies banneri aspoň informáciu, že cookies môžu byť zdieľané s tretími stranami.

Informácia o prenose cookies do tretej krajiny

Informácia o prenose do osobných údajov do tretej krajiny býva veľmi problematická. Podľa odseku (1) písmena f) § 19 zákona č. 18/2018 o ochrane osobných údajov je potrebné uviesť informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii. Je potrebné uviesť identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len „Komisia“) o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené.

Informácie o dobe uchovávania cookies

V princípe existujú tri spôsoby, ako je možné dotknutej osobe komunikovať dobu uchovávania cookies. Záleží od rozsahu spracúvaných cookies a technického riešenia, ktorú možnosť informovania a o dobe spracovania cookies prevádzkovateľ webstránky použije.

1. Uviesť dobu uchovávania v rámci cookies banneru

Ak spoločnosť zvolí technické riešenie cookies banneru, ktoré automaticky zobrazuje zoznam cookies, súčasťou tohto zoznamu štandardne býva aj doba uchovávania cookies.

2. Ohľadom doby uchovávania odkázať na nastavenie prehliadača

Informácie o dobe uchovávania sú dostupné v rámci webového prehliadača. Nie každý užívateľ je ale schopný tieto informácie vo webovom prehliadači nájsť. Je preto na zvážení, či prevádzkovateľ poskytne aspoň návody pre jednotlivé prehliadače.

3. Uviesť dobu uchovávania vo vlastnom zozname

Táto možnosť je najpracnejšia zo všetkých. Je potrebné ručne vypísať zoznam cookies a dobu ich uchovávania v textovej podobe.

Informácie o právach dotknutej osoby

Vďaka GDPR majú dotknuté osoby viaceré práva. Zákon vyžaduje, aby boli o týchto právach informované. Konkrétne ide o:

• právo kedykoľvek odvolať svoj súhlas,
• právo podať návrh na začatie konania dozornému orgánu
• právo na prístup k osobným údajom,
• právo na opravu osobných údajov,
• právo na výmaz osobných údajov,
• právo na obmedzenie spracúvania osobných údajov,
• právo na prenosnosť osobných údajov,
• právo namietať spracúvanie osobných údajov,
• právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania, ako aj právo na informáciu, či existuje takéto rozhodovanie

Je potrebné uviesť práva dotknutej osoby v cookies banneri? NIE

Kvôli rozsahu práv dotknutej osoby nie je možné uviesť všetky práva v cookies banneri. Keďže sa ale spracúvanie uskutočňuje na základe súhlasu, je vhodné uviesť aspoň právo na odvolanie súhlasu.

Informácia, či je poskytovanie údajov zákonnou alebo zmluvnou požiadavkou

Spracúvanie osobných údajov je častokrát potrebné z dôvodu, že ho vyžaduje zákon alebo je potrebné na plnenie zmluvy. Typickým príkladom je spracúvanie osobných údajov zákazníka pri objednávke v internetovom obchode. Spracúvanie údajov vyžaduje zákon o DPH, ktorý prikazuje platiteľovi DPH vystaviť faktúru. Spracúvanie údajov je tiež potrebné na plnenie zmluvy – dodanie tovaru zákazníkovi. V tomto prípade je poskytovanie údajov zákonnou, aj zmluvnou požiadavkou.

Poskytovanie cookies, hlavne tých marketingových a analytických nie je zákonnou alebo zmluvnou požiadavkou. Za určitých okolnosti je možné považovať funkčné cookies (produkty v košíku) za zmluvnú požiadavku. Bez týchto cookies nie je možné, aby zákazník objednal produkty z internetového obchodu.

Informácia, či je dotknutá osoba povinná poskytnúť cookies, ako aj o možných následkoch neposkytnutia cookies

Ak by dotknutá osoba bola povinná poskytnúť cookies, je potrebné ju o tejto povinnosti informovať. Pri cookies poskytnutie údajov síce nie je povinné, môže mať ale určité následky. Ak dotknutá osoba odmietne spracovanie funkčných cookies, môže to mať za následok nesprávne fungovanie webstránky, alebo obmedzenie funkcionality webstránky.

Informácie o spracovaní na iný účel

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

Záver – plníte ste si informačnú povinnosť pri cookies v súlade s GDPR?

Dúfame, že Vám bol tento náš článok nápomocný pri overovaní, či ste poskytli dotknutej osobe všetky potrebné informácie o spracovaní cookies.

K problematike cookies sme pripravili aj iné články:

• Základné informácie o legislatívnych zmenách ohľadom cookies
• Ako zabezpečiť, aby bol súhlas so spracovaním cookies v súlade s GDPR?
• Delenie cookies. Ktoré cookies sú nevyhnutné a ktoré nie sú nevyhnutné?
• Cookies, webová analytika a Google Analytics