Aká je aktuálna regulácia cookies? (memorandum)

blog4.jpg

Úvod 

ePrivacy smernica platí od roku 2002, pričom v roku 2009 prešla výraznou novelizáciou. Regulácii cookies sa venuje len okrajovo, a to v čl. 5 ods. 3: 

„Členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“

Aktuálne, vyššie uvedený článok predstavuje reguláciu cookies na úrovni EÚ. Avšak, členské štáty mohli implementovať dané ustanovenie mierne odlišne do svojich vnútroštátnych poriadkov. V praxi sa musia prevádzkovatelia spoliehať na ustanovenia vnútroštátneho práva a nie priamo na reguláciu cookies na úrovni EÚ. Taký je charakter smerníc. 

Najmä po prijatí GDPR sa vynára celý rad problematických otázok týkajúcich sa daného ustanovenia. Tromi kľúčovými otázkami v tejto súvislosti sú: 

  1. Je potrebný súhlas na použitie analytických a marketingových cookies používaných službami Google Analytics a Facebook? 

  2. Je možné na získanie súhlasu použiť nastavenie webového prehliadača? 

  3. Nie je určitá analytika nevyhnutne potrebná na poskytnutie služby informačnej spoločnosti? 

Navyše, všetko môže zmeniť nové ePrivacy nariadenie, ktoré bude mať dobrú šancu prijať nemecké predsedníctvo Rady EÚ v prvej polovici 2020. Návrhy ePrivacy nariadenia sa totiž pohrávajú s myšlienkou bezsúhlasového režimu na „web audience measuring“ alebo „audience measuring“. Nie je však jasné, či a v akom rozsahu by aj táto výnimka pokrývala dané služby. Prvý návrh ePrivacy nariadenia zároveň pracoval so špecifickým nastavením webových prehliadačov a podobných programov, prostredníctvom ktorého by sa mohol získavať súhlas. 

Čo hovoria európski regulátori? 

Zdá sa, že európski regulátori odpovedajú na dané otázky zatiaľ nasledovne:

 

ICO

CNIL

Výbor

 Je potrebný súhlas na použitie analytických a marketingových cookies používaných službami Google Analytics a Facebook?  

Áno, vždy

Väčšinou áno, nie však vždy

Áno, vždy

Je možné na získanie súhlasu použiť nastavenie webového prehliadača?

 Aktuálne nie, v budúcnosti áno

Nie je to možné vôbec

Nie je to možné vôbec

Nie je určitá analytika nevyhnutne potrebná na poskytnutie služby informačnej spoločnosti?

Nie 

Určitá (obmedzená) analytika áno

Nie 

Čo to znamená? 

Členské štáty majú stále mierne rozdielne prístupy ku výkladu cookies ustanovenia ePrivacy smernice a preto je zatiaľ potrebné sa prispôsobovať týmto prístupom podľa toho v režime akej jurisdikcie sú cookies spracúvané. 

Na Slovensku nemáme k tejto problematike žiadnu prax ani stanoviská regulátora, ktorým je Úrad pre reguláciu elektronických komunikácií a poštových služieb. Navyše, podľa výslovného znenia § 73 Zákona o elektronických komunikáciách za porušenie § 55 ods. 5 (cookies ustanovenie) nie je stanovená žiadna sankcia (napriek tomu že by podľa ePrivacy smernice mala byť). 

Úrad na ochranu osobných údajov však podľa nášho názoru môže nepriamo kontrolovať a pokutovať dodržiavanie daného ustanovenia prostredníctvom základných zásad spracúvania osobných údajov v GDPR, ktoré by sa mali vzťahovať aj na spracúvanie cookies, ak by išlo o osobné údaje. Išlo by však o veľmi odvážny prístup Úradu. 

To však neznamená, že netreba robiť nič. V prvom rade je potrebné začať sa oboznamovať s problematikou a reguláciou cookies a následne analyzovať (poznajúc právny rámec) ako sú cookies a technológie podobné cookies využívané v praxi. Až potom je možné zaoberať sa dopadom, ktorý bude mať ePrivacy nariadenie.  

Memorandum o cookies 

Vzhľadom na vyššie uvedené sme sa rozhodli pripraviť pre našich klientov podrobné memorandum o cookies, v ktorom sa snažíme odpovedať na nasledujúce otázky: 

  1. Čo sú cookies? 

  2. Aká je právna regulácia cookies?

  3. Predstavujú cookies osobné údaje?

  4. Aký je vzťah medzi Smernicou ePrivacy a GDPR?

  5. Aké sú právne základy pre spracúvanie cookies? 

  6. Kedy je potrebný súhlas na použitie cookies? 

  7. Kedy nie je potrebný súhlas na použitie cookies? 

  8. Čo je to služba informačnej spoločnosti? 

  9. Je nastavenie webového prehliadača súhlasom v súlade s GDPR?

  10. Čo sú tzv. cookie walls a aký je ich právny režim?

  11. Ako splniť informačnú povinnosť pri spracúvaní cookies?

  12. Aké sankcie hrozia za nezákonné použitie cookies? 

  13. Aké zmeny môže priniesť Nariadenie ePrivacy?

  14. Ako sa pripraviť a postupovať ďalej? 

Memorandum má rozsah 23 strán, pričom obsahuje aj manažérke zhrnutie odpovedí na všetky vyššie uvedené otázky. Je pripravené ku dňu 31. augusta 2019, pričom ho plánujeme pravideľne dopĺňať s príchodom novších usmernení a ePrivacy nariadenia. Na príprave memoranda sme strávili takmer 60 hodín, kedže ho však ponúkame všetkým klientom a verejnosti, jeho cena je symbolická. 

Ak máte záujem o zaslanie daného memoranda, dajte nám vedieť. 

Páčil sa Vám tento článok?

Jakub.png
Jakub Berthoty

Advokát a zakladateľ

Jakub je autorom a realizátorom myšlienky advokátskej kancelárie úzko špecializovanej na oblasť súkr... Zobraziť viac

Kontaktujte nás

Neváhajte nás kontaktovať. Naši odborníci sú vám k dispozícii.

Spojte sa s nami pre zaslanie ponuky k službe

Súvisiace príspevky

  • tanner-boriack-jkuR9QteDGY-unsplash.jpg
    Zodpovednosť prevádzkovateľa pri hackerskom útoku podľa Súdneho dvora EÚ (časť I.)

    Každý z nás sa môže stať obeťou hackerského útoku. Avšak, splnením sanačných, notifikačných a dokumentačných povinností podľa GDPR sa vec ani zďaleka nekončí. Čo spravidla nasleduje, je vyvodenie zodpovednosti. Pri ňom síce súdy pracujú s klasickými právnymi inštitútmi, ale ich aplikáciu môže komplikovať pre súdy stále pomerne nová právna úprava - GDPR. V sérii blogov budeme sledovať prípad C-340/21 pred Súdnym dvorom EÚ, ktorý môže posunúť vývoj v tejto oblasti ďalej.

  • daniel-falcao-Pt27b3dRdVA-unsplash.jpg
    Aktualizované usmernenie ku cookies

    V našom júnovom blogu sme zverejnili 10 dôvodov, prečo podľa nás bolo potrebné historicky prvé slovenské usmernenie ku cookies zmeniť. Úrad pre reguláciu elektronických komunikácií a poštových služieb (ďalej len „Úrad pre reguláciu“) sa aj v nadväznosti na túto kritiku (prebratú médiami) spojil s Úradom na ochranu osobných údajov SR a zverejnil aktualizované usmernenie. Čo sa v ňom zmenilo?

  • kniha dagital.png
    Auto-kamery a pixelovanie ŠPZ?

    Nemecký správny súd riešil zaujímavý prípad týkajúci sa používania auto-kamery a zverejňovania nahrávok z jázd na YouTube. Reagoval pritom na rozhodnutie dozorného orgánu, ktorý prikázal pixelovať ŠPZ na zverejnených nahrávkach alebo dané videá odstrániť. Súd zrušil len malú časť rozhodnutia, pričom jeho väčšinu potvrdil a rozoberá pritom aj viaceré praktické otázky aplikácie GDPR. Ak prevádzkujete auto-kameru, tento prípad by Vás mohol zaujímať.