O tom ako sa pripraviť na túto legislatívnu zmenu sme sa porozprávali s majiteľom portálu pre podnikateľov www.efektívnejšie.sk, Martinom Jurkovičom.
Čo sa v novom zákone zmenilo, že to spôsobilo zmenu pri spracovaní cookies?
Podľa starého zákona o elektronických komunikáciách bolo za súhlas so spracovaním cookies považované aj nastavenie webového prehliadača. Umožňovala to jedna veta v zákone, ktorá bola ale z nového zákona vypustená. Z toho dôvodu je po novom potrebné od návštevníkov webstránky získať súhlas so spracovaním cookies.
Je súhlas potrebný pre všetky druhy cookies?
Nie, súhlas je potrebné získať len na marketingové a analytické cookies. Na cookies, ktoré sú nevyhnutné na správne fungovanie webstránky a poskytnutie funkcionalít užívateľovi, súhlas nie je potrebný.
Aké sú to marketingové a analytické cookies?
Reklamné cookies spôsobujú, že keď dnes navštívite napríklad internetový obchod určitej značky, nasledujúce dni sa Vám bude na iných stránkach zobrazovať reklama daného internetového obchodu. Takéto cielenie reklamy výrazne zvyšuje jej efektívnosť a je pre firmy veľmi dôležité.
Analytické cookies sa využívajú na analýzu správania sa návštevníkov webstránky. Majitelia webstránok a marketéri vedia vďaka nim lepšie pochopiť, ako ľudia webstránku používajú.
Ak teda webstránka nemá reklamu, ani neanalyzuje správanie svojich návštevníkov, nemusí ani naďalej získavať súhlas s cookies?
Žiaľ, nedá sa to takto zovšeobecniť. Napríklad marketingové cookies sa spracúvajú aj pri rôznych bežných funkcionalitách, ktoré sú na webstránke, napríklad video youtube. Dané video používa marketingové cookies, aby užívateľovi zobrazilo relevantnú reklamu vo videu a podľa zákona je teda potrebné získať od používateľa súhlas s cookies.
Aj v minulosti a aj teraz je vidno na webstránkach „cookies bannery“ a užívatelia odklikávajú „Rozumiem“ alebo „OK“, takéto webstránky sú v súlade s novým zákonom?
Záleží na tom aké druhy coookies daná webstránka spracúva a aký cookies banner používa. Z mojich pozorovaní môžem povedať, že veľká väčšina aktuálnych bannerov nespĺňa požiadavky GDPR a nového zákona o elektronických komunikáciách.
Prečo nespĺňajú tieto webstránky požiadavky GDPR?
Ide hlavne o veľmi prísne pravidlá pre získavanie súhlasu podľa GDPR. Súhlas s cookies musí byť slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby. Z týchto pár slov vyplývajú rôzne veľmi špecifické pravidlá pre získanie súhlasu. Spomeniem napríklad, že formulácia „používaním webstránky súhlasíte s cookies“, ktorú častokrát vidno na webstránkach, nie je v súlade s GDPR. Z viacerých dôvodov.
Prečo takáto formulácia nie je podľa zákona v poriadku?
Súhlas s cookies musí byť jednoznačný prejav vôle dotknutej osoby. Pokračovanie prezerania webstránky nemožno považovať za jednoznačný prejav vôle. Súhlas musí byť tiež konkrétny, teda viazaný na jednotlivý účel. Nie je povolené získať súhlas pre všetky účely naraz, hlavne bez informovania dotknutej osoby. Súhlasy musia byť udelené na všetky účely zvlášť.
Ako je potom možné, že webstránky pri cookies používajú tlačidlo „prijať všetko“?
Tlačidlo s takýmto textom je síce možné použiť, má to ale určité podmienky. Keďže súhlas musí byť informovaný, je potrebné v cookies lište jednoznačne informovať dotknutú osobu s čím súhlasí, keď zvolí možnosť „Prijať všetko“. Vhodná je napríklad formulácia: „Zvolením možnosti „prijať všetko“ súhlasíte so spracovaním cookies na marketingové a analytické účely.“ Touto formuláciou je tiež
splnená podmienka konkrétnosti, dotknutá osoba je informovaná o konkrétnych dvoch účeloch spracúvania, na ktoré dáva súhlas.
Ako sa majú majitelia a prevádzkovatelia webových stránok pripraviť na túto legislatívnu zmenu?
V prvom rade musia zanalyzovať aké druhy cookies na svojej webstránke spracúvajú. Od toho závisí či a aký cookies banner (cookies lištu) musia na webstránke použiť. Dôležité je si uvedomiť, že pri výbere bannera nejde len o text a tlačidlá, ktoré na banneri sú. Nevyhnutná je správna technická funkcionalita. To znamená, že ak návštevník webstránky nevyjadril súhlas so spracovaním marketingových a analytických cookies, takéto cookies sa ani naozaj v zariadení návštevníka ukladať nebudú.
Spomenuli ste, že od druhov cookies závisí, či musí byť na webstránke cookies lišta. Znamená to teda, že za istých okolností cookies lišta vôbec nie je potrebná?
Áno, ak webstránka spracúva len nevyhnutné cookies, tieto majú výnimku na získanie súhlasu a teda daná webstránka vie fungovať aj bez „otravnej“ cookies lišty. Stačí si splniť informačnú povinnosť, tak ako ju definuje článok 13 GDPR a § 19 zákona o ochrane osobných údajov. Treba ale mať 100% istotu, že daná webstránka spracúva naozaj len cookies, na ktorých spracúvanie nie je potrebné získanie súhlasu.
Ak spoločnosť vďaka analýze zistí, že musí na svojej webstránke získavať súhlasy cookies, čo má spraviť?
Odporúčal by som situáciu riešiť so subjektom, ktorý spoločnosti zabezpečuje webstránku (IT firma, freelancer). Ten by mal navrhnúť technické riešenie cookies banneru. Problémom však môže byť, že IT firmy sa nemusia 100% orientovať v problematike GDPR a nemusia byť schopné posúdiť, či dané riešenie spĺňa prísne požiadavky GDPR ohľadom súhlasu s cookies. Vhodné je overiť si, či má IT firma potvrdené, že je dané riešenie v súlade s GDPR.