Aká je aktuálna regulácia cookies? (memorandum)

Ne, 08/25/2019 - 12:37
Cookies gdpr eprivacy

Leto 2019 bolo v znamení cookies, ku ktorým vydali usmernenia britský ICO, francúzsky CNIL a nepriamo aj Výbor, ktorý vydal návrh stanoviska k právnemu základu plnenia zmluvy v kontexte online služieb. Čo znamenajú tieto stanoviská pred príchodom ePrivacy naridenia? Snažíme sa odpovedať v našom memorande o cookies. 

Úvod 

ePrivacy smernica platí od roku 2002, pričom v roku 2009 prešla výraznou novelizáciou. Regulácii cookies sa venuje len okrajovo, a to v čl. 5 ods. 3: 

„Členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“

Aktuálne, vyššie uvedený článok predstavuje reguláciu cookies na úrovni EÚ. Avšak, členské štáty mohli implementovať dané ustanovenie mierne odlišne do svojich vnútroštátnych poriadkov. V praxi sa musia prevádzkovatelia spoliehať na ustanovenia vnútroštátneho práva a nie priamo na reguláciu cookies na úrovni EÚ. Taký je charakter smerníc. 

Najmä po prijatí GDPR sa vynára celý rad problematických otázok týkajúcich sa daného ustanovenia. Tromi kľúčovými otázkami v tejto súvislosti sú: 

  1. Je potrebný súhlas na použitie analytických a marketingových cookies používaných službami Google Analytics a Facebook? 
  2. Je možné na získanie súhlasu použiť nastavenie webového prehliadača? 
  3. Nie je určitá analytika nevyhnutne potrebná na poskytnutie služby informačnej spoločnosti? 

Navyše, všetko môže zmeniť nové ePrivacy nariadenie, ktoré bude mať dobrú šancu prijať nemecké predsedníctvo Rady EÚ v prvej polovici 2020. Návrhy ePrivacy nariadenia sa totiž pohrávajú s myšlienkou bezsúhlasového režimu na „web audience measuring“ alebo „audience measuring“. Nie je však jasné, či a v akom rozsahu by aj táto výnimka pokrývala dané služby. Prvý návrh ePrivacy nariadenia zároveň pracoval so špecifickým nastavením webových prehliadačov a podobných programov, prostredníctvom ktorého by sa mohol získavať súhlas. 

Čo hovoria európski regulátori? 

Zdá sa, že európski regulátori odpovedajú na dané otázky zatiaľ nasledovne:

  ICO CNIL Výbor
 Je potrebný súhlas na použitie analytických a marketingových cookies používaných službami Google Analytics a Facebook?   Áno, vždy Väčšinou áno, nie však vždy Áno, vždy
Je možné na získanie súhlasu použiť nastavenie webového prehliadača?  Aktuálne nie, v budúcnosti áno Nie je to možné vôbec Nie je to možné vôbec
Nie je určitá analytika nevyhnutne potrebná na poskytnutie služby informačnej spoločnosti? Nie  Určitá (obmedzená) analytika áno Nie 

 Čo to znamená? 

Členské štáty majú stále mierne rozdielne prístupy ku výkladu cookies ustanovenia ePrivacy smernice a preto je zatiaľ potrebné sa prispôsobovať týmto prístupom podľa toho v režime akej jurisdikcie sú cookies spracúvané. 

Na Slovensku nemáme k tejto problematike žiadnu prax ani stanoviská regulátora, ktorým je Úrad pre reguláciu elektronických komunikácií a poštových služieb. Navyše, podľa výslovného znenia § 73 Zákona o elektronických komunikáciách za porušenie § 55 ods. 5 (cookies ustanovenie) nie je stanovená žiadna sankcia (napriek tomu že by podľa ePrivacy smernice mala byť). 

Úrad na ochranu osobných údajov však podľa nášho názoru môže nepriamo kontrolovať a pokutovať dodržiavanie daného ustanovenia prostredníctvom základných zásad spracúvania osobných údajov v GDPR, ktoré by sa mali vzťahovať aj na spracúvanie cookies, ak by išlo o osobné údaje. Išlo by však o veľmi odvážny prístup Úradu. 

To však neznamená, že netreba robiť nič. V prvom rade je potrebné začať sa oboznamovať s problematikou a reguláciou cookies a následne analyzovať (poznajúc právny rámec) ako sú cookies a technológie podobné cookies využívané v praxi. Až potom je možné zaoberať sa dopadom, ktorý bude mať ePrivacy nariadenie.  

Memorandum o cookies 

Vzhľadom na vyššie uvedené sme sa rozhodli pripraviť pre našich klientov podrobné memorandum o cookies, v ktorom sa snažíme odpovedať na nasledujúce otázky: 

  1. Čo sú cookies? 
  2. Aká je právna regulácia cookies?
  3. Predstavujú cookies osobné údaje?
  4. Aký je vzťah medzi Smernicou ePrivacy a GDPR?
  5. Aké sú právne základy pre spracúvanie cookies? 
  6. Kedy je potrebný súhlas na použitie cookies? 
  7. Kedy nie je potrebný súhlas na použitie cookies? 
  8. Čo je to služba informačnej spoločnosti? 
  9. Je nastavenie webového prehliadača súhlasom v súlade s GDPR?
  10. Čo sú tzv. cookie walls a aký je ich právny režim?
  11. Ako splniť informačnú povinnosť pri spracúvaní cookies?
  12. Aké sankcie hrozia za nezákonné použitie cookies? 
  13. Aké zmeny môže priniesť Nariadenie ePrivacy?
  14. Ako sa pripraviť a postupovať ďalej? 

Memorandum má rozsah 23 strán, pričom obsahuje aj manažérke zhrnutie odpovedí na všetky vyššie uvedené otázky. Je pripravené ku dňu 31. augusta 2019, pričom ho plánujeme pravideľne dopĺňať s príchodom novších usmernení a ePrivacy nariadenia. Na príprave memoranda sme strávili takmer 60 hodín, kedže ho však ponúkame všetkým klientom a verejnosti, jeho cena je symbolická. 

Ak máte záujem o zaslanie daného memoranda, dajte nám vedieť. 

Jakub Berthoty, Dagital Legal, s.r.o.