Cookies lišta a GDPR od 1. 2. 2022: aké zmeny nastanú pre prevádzkovateľov webových stránok

Dňa 1. 2. 2022 nadobúda účinnosť nový zákon č. 452/2021 Z.z. o elektronických komunikáciách. Výrazná zmena nastáva pre oblasť spracovania cookies na webových stránkach prevádzkovateľov (napr. vlastné webové sídlo, e-shop).

Táto zmena prináša so sebou najmä nasledovné povinnosti:

  • každá webová stránka by mala obsahovať cookies lištu,
  • bez vyjadrenia súhlasu používateľa bude možné spracúvať len tzv. funkčné, resp. technické cookies,
  • na zber ostatných druhov cookies je potrebný súhlas používateľa,
  • je nevyhnutné zabezpečiť plnenie informačnej povinnosti pre cookies podľa čl. 13 GDPR.

Podstatná zmena nastáva i v oblasti tzv. nevyžiadanej komunikácie, resp. priameho marketingu. Nový zákon upravuje pravidlá marketingového oslovovania potenciálnych klientov, partnerov, podmienky získania súhlasu na takého oslovovanie. Výnimka z povinnosti získavať súhlas sa vzťahuje na zverejnené kontakty fyzickej osoby podnikateľa alebo právnickej osoby.

Na Slovensku doposiaľ chýbal tzv. Robinsonov zoznam, do ktorého sa môžu zapísať ľudia, ktorí si neželajú byť kontaktovaní s marketingovými ponukami.

Nové pravidlá tiež upravujú špeciálne prefixy pre čísla používané na marketingové oslovovanie potenciálnych klientov.

Cookies a GDPR od 1.2.2022

Zber údajov sa do 31.1.2022 riadi zákonom č. 351/2011, konkrétne § 55 ods. 5: ,,Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.” To znamená, že prevádzkovatelia webových stránok majú povinnosť informovať návštevníkov o zbere údajov a za súhlas sa akceptovalo aj použitie webového prehliadača.

Vypustenie jedinej vety v novom zákone č. 451/2021 o elektronických komunikáciách prináša prevádzkovateľom webových stránok novú povinnosť. Doterajšie nastavenie cookies lišty musia prispôsobiť tak, aby návštevník stránke mohol jasne udeliť svoj súhlas s ukladaním a spracovaním údajov.

Aké sú právne požiadavky na cookies lištu, zber a používanie cookies

Prevádzkovateľ webovej stránky musí vedieť, aké typy cookies zbiera a používa. Môže zbierať iba tie cookies, ktoré skutočne potrebuje. Tie cookies, ktoré sa nevyužívajú alebo ich prevádzkovateľ webovej stránky nepotrebuje, sa nesmú spracúvať.

Podľa posledných záverov judikatúry sa odporúča zbierať cookies najdlhšie po dobu 13 mesiacov odo dňa poslednej návštevy.

Ak sa pri mapovaní cookies zistí, že sa zbierajú aj cookies tretích strán napr. Facebook (využíva sa Facebook pixel) je potrebné získavať súhlasy nielen pre účely prevádzkovateľa webových stránok, ale aj pre tretie strany.

Súhlasy na cookies lište musia byť nastavené pre každú kategóriu cookies osobitne. Súhlasy musia byť získané formou opt-in, nie opt-out. Na cookies lište nemôžeme mať automaticky nastavený pred zaškrtnutý súhlas, ale návštevník webovej stránky ho musí aktívne udeliť.

Návštevník webovej stránky musí mať možnosť sa rozhodnúť, pre ktorý druh cookies, resp. pre ktorú tretiu stranu súhlas udelí. Lišta musí obsahovať mať možnosť manažovať súhlasy, t.j. tlačidlo „SPRAVOVAŤ MOŽNOSTI“.

Toto sa netýka technických cookies. Technické/nevyhnutné cookies sa zbierajú vždy bez ohľadu na to, či si návštevník webu zvolil na cookies lište možnosť „zamietnuť všetky“ cookies. Technické cookies sa musia zbierať a používať vždy, inak by nefungovala webstránka, chatovacie okno alebo pod., preto na ne nezbiera prevádzkovateľ webovej stránky súhlasy. Takouto technickou cookies je napr. cookies o informácii o prehliadači návštevníka, o zvolenom jazyku návštevníka, o zariadení návštevníka na technické účely a pod.

Technické cookies sa zbierajú na základe zákona, ostatné cookies len na základe súhlasu. Na cookies lište nemôže byť v žiadnom prípade pred zaškrtnutý tzv. „oprávnený záujem“.

Ako by mala vyzerať cookies lišta?

Z technického hľadiska musí cookies lišta umožňovať manažovanie si preferencii udeľovania súhlasov a ich prípadného odvolávania. Toto môže byť formou tlačidiel. Dizajn lišty je možné variovať.

Na prvej vrstve cookies lišty musí mať prevádzkovateľ webovej stránky tlačidlá: „SPRAVOVAŤ MOŽNOSTI“,  „PRIJAŤ VŠETKY COOKIES“, „ODMIETNUŤ VŠETKY COOKIES“.

V prípade, ak webovú stránku spravuje, resp. spracúva osobné údaje externá spoločnosť/živnostník, je potrebné mať s týmto subjektom uzatvorenú sprostredkovateľskú zmluvu.

Cookies lištu musí byť možné kedykoľvek znova vyvolať. Ideálnym spôsobom, ako to vyriešiť, je stiahnuť lištu po odkliknutí možnosti súhlasov do tzv. floating action tlačidla. Z pohľadu GDPR je to žiaduce riešenie, ale ak takéto nastavenie nie je možné, alternatívou je umožniť vyvolanie cookies lišty prostredníctvom sekcie v pätičke stránky označenej ako „Spravovať cookies“. Po kliknutí na túto sekciu by došlo k vyvolaniu cookies lišty.

V prípade účinného odvolania súhlasu so spracúvaním nejakej kategórie cookies je potrebné okamžite zastaviť spracovanie týchto cookies. Udelený súhlas pritom musí byť možné kedykoľvek odvolať a jeho odvolanie má byť také jednoduché, ako aj jeho získanie. Ak je na získanie súhlasu nastavený 1x klik, rovnaký počet klikov je potrebné mať nastavené aj na odvolanie súhlasu. Prevádzkovateľ webovej stránky musí uchovávať dôkaz o udelení súhlasu návštevníka s danou skupinou cookies.

V prípade, ak sa na cookie lište niečo zmení, napr. pridá sa tretia strana, účel spracúvania a podobne, je potrebné opätovne si pýtať súhlas na spracúvanie. Prevádzkovateľ webovej stránky musí disponovať dokázateľným súhlasom so všetkými druhmi cookies okrem nevyhnutných a so všetkým tretími stranami.

Sankcie za porušenie pravidiel získavania súhlasu s ukladaním cookies

Za to, že prevádzkovateľ webovej stránky nebude mať spracúvanie cookies nastavené správne nastavené, hrozí podľa zákona o elektronických komunikáciách sankcia do výšky 10 % z obratu za predchádzajúce účtovné obdobie a aj pokuta do 20 miliónov eur podľa GDPR.