Hľadáte niečo konkrétne?

Skúste zadať kľúčové slovo/-á.

Prihláste sa k odberu nášho Newslettra.

Avris
  /     /  Aktuality   /  Ako správne nastaviť cookies vzhľadom na GDPR?

Ako správne nastaviť cookies vzhľadom na GDPR?

Jednou z oblastí, ktorej úrady na ochranu osobných údajov v poslednej dobe venujú zvýšenú pozornosť je používanie tzv. cookies na webových stránkach. Správnemu používaniu cookies sa venuje aj nedávno vydaný manuál Európskeho výboru na ochranu osobných údajov o súhlase podľa GDPR. Pozrime sa teda na to ako majú byť cookies správne nastavené.

Čo sú cookies ?

Ide o dáta, ktoré sa uložia na zariadení používateľa ako krátky textový súbor pri návšteve webovej stránky. Ich zmysel spočíva v tom, že si zaznamenávajú voľbu, ktorú používateľ vykonal počas návštevy webovej stránky (napr. položky v nákupnom košíku alebo kliknutia na tlačidlá). Cookies je možné deliť podľa rôznych kritérií. Zvyčajne sa delia na základné, funkčné a reklamné.

Cookies a GDPR

Podľa GDPR sú cookies online identifikátory, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu. Prostredníctvom cookies teda môže dochádzať k získavaniu osobných údajov fyzických osôb a k ich následnému ďalšiemu spracúvaniu. Podľa GDPR je na každé spracúvanie osobných údajov potrebné disponovať právnym základom.

Právny základ cookies

V prípade cookies prichádzajú do úvahy dva právne základy – súhlas alebo oprávnený záujem. V prípade, ak by sa prevádzkovateľ rozhodol spracúvanie údajov prostredníctvom cookies založiť na právnom základe oprávneného záujmu, musel byť pred začatím spracúvania vykonať posúdenie oprávneného záujmu (test proporcionality), v rámci ktorého by musel preukázať, že spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje on alebo tretia strana a že nad takýmito záujmami neprevažujú záujmy alebo základné práva a slobody dotknutých osôb.

Keďže je otázne, či by test oprávneného záujmu bol pozitívny, v praxi prevádzkovatelia cookies zakladajú na súhlase používateľov, ktorý získavajú hneď pri návšteve webovej stránky.

V slovenskej legislatíve používanie cookies vo všeobecnosti upravuje Zákon o elektronických komunikáciách. Podľa tohto zákona každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení (čo sú napr. stolové počítače, notebooky, mobilné telefóny a pod.), je na to oprávnený iba, ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania, pričom za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.

Znamená to, že ak cookies, ktoré používate na webovej stránke vyžadujú súhlas používateľa podľa Zákona o elektronických komunikáciách, potom podľa GDPR nie je možné použiť iný právny základ ako súhlas dotknutej osoby.

Súhlas s cookies

GDPR kladie požiadavky na platné udelenie súhlasu, ktorý je definovaný ako akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú.

Podľa nového manuálu EDPB na to, aby bol súhlas slobodný, prístup k službám a funkcionalitám webovej stránky nemôže byť podmienený súhlasom používateľa s ukladaním informácii alebo so získaním prístupu k informáciám, ktoré sú už uložené, na koncovom zariadení používateľa (ide o tzv. cookies walls).

Príklad: Ide o situáciu, v ktorej poskytovateľ webovej stránky nainštaluje skript, ktorý pri návšteve webovej stránky zablokuje jej obsah a používateľovi zobrazí informáciu o cookies s požiadavkou na udelenie súhlasu. Obsah stránky nie je možné prehliadať bez toho, aby používateľ klikol na tlačidlo „súhlasím s cookies“. Keďže dotknutá osoba nemá možnosť voľby, udelenie súhlasu nie je slobodne poskytnuté.  Zároveň takéto udelenie súhlasu nie je platné. Ide o neplatný súhlas. Prevádzkovateľ v takomto prípade nemá platný právny základ na spracúvanie osobných údajov a spracovateľská činnosť, ktorú vykonáva je protizákonná. Za spracúvanie, ktoré je v rozpore s GDPR prevádzkovateľovi hrozia vysoké pokuty od Úradu na ochranu osobných údajov SR.

Ďalšie povinnosti

Podľa GDPR má dotknutá osoba právo kedykoľvek odvolať svoj súhlas, pričom odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Znamená to, že používatelia musia byť jednoduchým a zrozumiteľným spôsobom informovaní už predtým ako udelia svoj súhlas o možnosti súhlas odvolať a o lehote, na ktorú bol súhlas udelený. Odvolanie súhlasu by malo byť ľahko vykonateľné prostredníctvom používateľského rozhrania služby.

Dôležitou povinnosťou je aj uchovávanie dôkazu o poskytnutom súhlase. Prevádzkovatelia musia byť schopní preukázať, že používateľ im súhlas udelil. V záujme toho sa môžu implementovať rôzne mechanizmy, ktoré zabezpečia uchovávanie súhlasov.

 

Autor: JUDr. Jozef Liday, senior GDPR konzultant

 

Ak sa zaujímate o ďalšie aspekty GDPR vo vzťahu k používaniu cookies, môžete sa na nás obrátiť na obchod@avris.sk. Radi Vám poradíme.

 

Právny stav k 18.05.2020

PRIDAŤ KOMENTÁR

Prihláste sa k odberu nášho Newslettra.

Registrácia

Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov

Odoslaním údajov súhlasím s ich spracúvaním na účely registrácie. Súhlas je dobrovoľný a môžem ho kedykoľvek odvolať.

Resetovať heslo

Radi Vám pomôžeme
Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov