Aktualizované usmernenie ku cookies

V našom júnovom blogu sme zverejnili 10 dôvodov, prečo podľa nás bolo potrebné historicky prvé slovenské usmernenie ku cookies zmeniť. Úrad pre reguláciu elektronických komunikácií a poštových služieb (ďalej len „Úrad pre reguláciu“) sa aj v nadväznosti na túto kritiku (prebratú médiami) spojil s Úradom na ochranu osobných údajov SR a zverejnil aktualizované usmernenie.

Boli zohľadnené naše výhrady?

Na naše prekvapenie, až 6 z našich 10 výhrad je v aktualizovaných usmerneniach zapracovaných (aspoň čiastočne). Pre lepšiu ilustráciu uvádzame prehľadovú tabuľku.

Ktoré zmeny a doplnenia sú najpodstatnejšie?

Ak porovnáme zmeny v oboch usmerneniach zistíme, že usmernenie bolo textovo výrazne prepracované. Z týchto zmien je však potrebné vybrať významovo dôležité zmeny, ktoré zároveň považujeme za pozitívne.

Odkazy na GDPR

Najpodstatnejšou a veľmi pozitívnou zmenou je, že po zapojení Úradu na ochranu osobných údajov SR, usmernenie viac pracuje s regulačným rámcom pre požiadavky súhlasu podľa všeobecného predpisu – GDPR. Špecificky vyzdvihujeme spomenutie recitálu 17 ePrivacy smernice, podľa ktorého:

„Na účely tejto smernice súhlas užívateľa alebo účastníka, bez ohľadu na to či je účastník fyzickou alebo právnickou osobou, by mal mať rovnaký význam ako súhlas dátového subjektu definovaného a ďalej špecifikovaného v smernici 95/46/ES. Súhlas môže byť vyjadrený akýmkoľvek vhodným spôsobom umožňujúcim vyjadrenie špecifického želania, ktoré nastane na základe slobodného a vecného rozhodnutia užívateľa, vrátane označenia poľa na webovej stránke internetu.“

Inými slovami, vždy keď ePrivacy smernica a zákon o elektronických komunikáciách (ak ju implementuje) odkazuje na súhlas, má ísť o súhlas podľa GDPR. To sa netýka len cookies. Potvrdzujú to aj iné ustanovenia nového zákona o elektronických komunikáciách o nevyžiadanej komunikácii (§ 116), ale pri cookies tento odkaz v zákone absentuje.

To čo už usmernenie nedodáva je, že to isté platí aj v prípadoch, kedy nejde o osobné údaje alebo ide o získavanie súhlasu od právnických osôb. Tieto komplikovanejšie prípady už usmernenie naďalej nerieši a necháva ich na prax, spolu s otázkou právnych základov podľa GDPR, ak sa GDPR aplikuje.

Typológia cookies

Výrazne sme kritizovali pôvodne zavedené rozlišovanie medzi typmi cookies a spájanie súhlasu s druhom cookies. Pýtali sme sa, či je napríklad Google Analytics analytickou a marketingovou cookienou a koľko súhlasov je potom potrebné získavať. Tento problematický aspekt usmernenia bol v rámci textu potlačený do úzadia, ale nie úplne. Usmernenie už na viacerých miestach správne konštatuje, že súhlas sa získava na účel a nie na druh cookies. Na viacerých miestach však stále hovorí o druhu cookies. Je možné, že ide o kompromis mierne odlišných pohľadov regulátorov.

Ďalšou pozitívnou zmenou v tomto smere je, že z usmernenia bol odstránený aj jeho najväčší nezmysel, a to, že nevyhnutné cookies nepotrebujú resp. nespracúvajú osobné údaje. To samozrejme nie je pravda, a usmernenie to už reflektuje.

Informačné povinnosti

Súhlas a informačné povinnosti podľa GDPR nie je možné diskutovať oddelene, pretože tieto povinnosti sa plnia spoločne. Ide o prepojené nádoby. Pôvodne akékoľvek odkazy na cookies policy v usmernení úplne absentovali, čo bolo napravené. Dokonca bol doplnený odkaz na všeobecnú informačnú povinnosť podľa čl. 13 GDPR. To sú všetko pozitívne zmeny vo všeobecnej rovine. Avšak, zamieňanie si informačných povinností s náležitosťami súhlasu (viď nižšie), to už pozitívnou zmenou nie je.

Obrázok č. 1 – nesprávne nastavenie

Tento príklad je v usmernení naďalej považovaný za nesprávny, avšak dôležité je, že bola doplnená výhrada, že to nemusí platiť vždy. Podľa usmernenia by mohlo ísť o prípad, ak by sa dala webstránka ďalej prehliadať bez jej úplného prekrývania týmto oknom a kliknutím na „rozumiem“, pričom je spomenuté, že „rozumiem“ nie vhodná textácia súhlasu. To isté by podľa nášho názoru platilo, ak by sa dala lišta jednoducho zavrieť (X v rohu) a zároveň by webstránka spracúvala len nevyhnutné cookies a teda tlačidlo „rozumiem“ by neslúžilo ako súhlas. V takom prípade by tlačidlo ani nebolo potrebné.

Obsahuje usmernenie ešte nejaké problematické body?

Bohužiaľ sa do usmernenia dostali aj dva nové problematické body, ktoré dôverne poznáme z praxe Úradu na ochranu osobných údajov. Nechceme nimi zatieniť celkovo pozitívny vplyv, ktorý mal úrad na usmernenie, ale nedá sa s nimi ani súhlasiť. Možno ide v tomto smere aj o rozdielne názory medzi samotnými odbormi Úradu na ochranu osobných údajov, ktoré vyrieši až ďalšia prax.

Rovnaká farba políčok

Usmernenie sa strane 5 konštatuje, že súhlas nemôže byť zelený a ostatné možnosti červené. Toto je celkom známy a trochu sprofanovaný názor, ktorý však vznikol (ako aj mnoho iných mýtov o GDPR) dezinterpretáciou niečoho iného, čo povedal Výbor v usmerneniach 3/2022 (viď bod 93):

„This condition can become a challenge to prove, e.g. if users are supposed to provide consent by accepting cookies. Furthermore, data subjects might not always be aware that they are giving consent while they click quickly on a highlighted button or on pre-set options.“

To znamená, že ak je súhlas zobrazený prominentne a je zvýraznený oproti iným voľbám, môže byť podľa Výboru ťažšie preukázať, že ide o platne udelený súhlas, pretože užívateľ nemusí vedieť že vlastne ide o súhlas (!). Ako potvrdzuje prvá veta, to sa týka primárne praxe sociálnych sietí, ktoré zvykli pod akceptáciu cookies „schovávať“ aj iné súhlasy. Potvrdzuje to aj nadpis danej časti usmernenia, ktorý znie: "Managing one’s consent while using a social media platform". To by nemalo automaticky znamenať, že všetky polia súhlasového okna musia byť vždy v rovnakých farbách. Primárne preto, že v prípade cookies okna je dotknutej osobe úplne jasné, že ide o súhlas, a teda nejde o situáciu, ktorú Výbor rieši vyššie.

Ak by malo ísť o všeobecné výkladové pravidlo každého súhlasu, malo by byť spomenuté v hlavných usmerneniach Výboru k súhlasu a transparentnosti. Ale nie je. Nikde v týchto usmerneniach sa nespomína, že by iné ako rovnaké farby všetkých polí boli zakázané, farby tu ani nie sú diskutované. Dokonca máme za to, že takéto farebné rozlíšenie môže byť transparentné a pomôcť dotknutej osobe urobiť rozhodnutie jednoduchšie. Samozrejme iný prípad by bol, ak by boli zámerne farby vymenené s cieľom naviesť dotknutú osobu na udelenie súhlasu kliknutím na červenú možnosť. Obdobne sú zakázané aj účelové praktiky s použitím opačného / záporného textu. Vo všeobecnosti, podvodné alebo zavadzajúce použitie farieb môže byť jedným z viacerých aspektov, ktoré možno považovať za "dark patterns". Nemali by sme z toho však robiť všeobecný zákaz používania rôznych farieb.

Náležitosti súhlasu vs. informačné povinnosti

Usmernenie ďalej na strane 6 konštatuje, že podľa GDPR "textácia súhlasu" musí obsahovať všetko nasledovné:

„i) identita prevádzkovateľa, ii) účel všetkých spracovateľských operácii, na ktoré sa požaduje súhlas, iii) aké údaje (druh údajov) sa budú získavať a používať, iv) existencia práva odvolať súhlas, v) informácie o použití údajov na automatizované rozhodovanie podľa článku 22 ods. 2 písm. c), ak je to relevantné, vi) o možných rizikách prenosu údajov v dôsledku absencie rozhodnutia o primeranosti a, vii) primeraných záruk, ako je opísané v článku 46 všeobecného nariadenia o ochrane údajov.“

Ustanovenie GDPR, ktoré by niečo takéto vyžadovalo neexistuje. Avšak, vieme presne, odkiaľ táto dezinterpretácia pochádza. Tieto náležitosti sa spomínajú v usmerneniach Výboru k súhlasu (strana 15 bod 64), avšak Výboru tu nehovorí, že tieto informácie musia byť súčasťou textu súhlasu, ale že dotknutá osoba musí mať o týchto informáciách vedomosť pri udelení súhlasu:

"For consent to be informed, it is necessary to inform the data subject of certain elements that are crucial to make a choice. Therefore, the EDPB is of the opinion that at least the following information is required for obtaining valid consent: ..."

K samotnému obsahu týchto informácií sme v minulosti vyjadrili výhrady, pretože druh osobných údajov nie je súčasťou ani informačnej povinnosti podľa čl. 13 GDPR, iba čl. 14 GDPR. To však v tomto prípade nie je podstatné. Čo je podstatné, je že GDPR len definuje čo súhlas je a žiadne ďalšie obsahové náležitosti nestanovuje. Tie stanovoval len starý a zrušený zákon č. 122/2013 Z.z., pričom išiel úplne mimo znenia smernice / GDPR. Ako sa snažíme úradu vysvetliť vo viacerých konaniach, jedinou obsahovou náležitosťou súhlasu je účel spracúvania, pretože k nemu daný prejav vôle smeruje v zmysle čl. 6 ods. 1 písm. a) GDPR. Ako platná textácia súhlasu preto napríklad postačí:

"Súhlasím so spracúvaním údajov na účely priameho marketingu podľa Privacy / Cookies Policy."

Všetky ostatné informácie musia byť poskytnuté ale nemusia byť poskytnuté v rámci textu súhlasu. Môžu byť poskytnuté v rámci cookies policy alebo celkových informačných povinností. Ich nesplnenie samozrejme môže mať dopad na informovanosť dotknutej osoby, ale nejde o obsahovú náležitosť súhlasu. Ak sú potrebné informácie poskytnuté, súhlas je aj bez nich priamo vo svojom texte platný. Potvrdzuje to aj Výbor, GDPR a napokon aj toto usmernenie ku cookies, ktoré v žiadnom príklade zobrazenia cookies okna tieto informácie neobsahuje. Príklad súhlasu, ktorý by priamo vo svojom texte obsahoval tieto náležitosti nenájdete v žiadnom usmernení Výboru.

Treba spomenúť, že informácie, ktoré sa majú dotknutým osobám podľa GDPR poskytovať sú upravené aj v iných čl. ako je 13 a 14. V rámci informačných povinností je potrebné myslieť aj na to, že podľa :

čl. 7 ods. 3 GDPR: "Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná." čo potvrdzuje aj čl. 13 a 14 ods. 2 písm. c) GDPR.

čl. 21 ods. 4 GDPR: "Dotknutá osoba sa výslovne upozorní na právo uvedené v odsekoch 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií." (t.j. právo namietať voči oprávnenému a verejnému záujmu ako aj právo namietať voči priamemu marketingu, a to vrátane profilovania)

čl. 49 ods. 1 písm. a) GDPR: "dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách, ktoré takéto prenosy môžu pre ňu predstavovať z dôvodu absencie rozhodnutia o primeranosti a primeraných záruk" (aplikuje sa len na súhlas s prenosom).

Informačné povinnosti je však potrebné striktne odlišovať od obsahových náležitostí súhlasu, ktoré sú úplne minimálne (prakticky iba účel spracúvania). Samozrejme je možné aj tieto informácie inkorporovať do textu súhlasu, alebo do cookies okna resp. do jeho okolia, čo v praxi aj robíme. Vyriešenie tejto otázky je však súčasťou širšej informačnej povinnosti a zásady transparentnosti, nie obsahovej náležitosti alebo textu súhlasu. Radi by sme vychádzali z toho, že pod "textáciou súhlasu" má usmernenie na mysli nie len prvú textovú vrstvu cookies okna ale rozumejú pod ňou aj prípadné iné texty, či už v rámci privacy policy, cookies policy alebo webstránky, s ktorými sa má dotknutá osoba možnosť oboznámiť pred udelením súhlasu.

Toto sú však špecifické informačné povinnosti podľa GDPR. Existujú aj špecifické informačné povinnosti len vo vzťahu ku cookies, ktoré definuje judikatúra (SDEÚ - Planet49), podľa ktorej sa navyše pri cookies majú poskytovať aj tieto informácie:

"informácie, ktoré musí poskytovateľ služieb poskytnúť používateľovi internetovej stránky, zahŕňajú dĺžku funkčnosti súborov cookies, ako aj to, či tretie osoby majú alebo nemajú prístup k týmto cookies."

Z kontextu judikátu vyplýva, že je tým pádom potrebné poskytovať v rámci cookies policy aj zoznam cookies a ich názov, spolu s týmito špecifickými informáciami. Máme za to, že tak dôležitý judikát mal byť v usmernení spomenutý. Názov usmernenia však jasne vysvetľuje, že sa týka len samotného súhlasu. Bohužiaľ, ak si však usmernenie mylne spája obsahové náležitosti súhlasu s informačnými povinnosťami, potom je potrebné vysvetliť aj informačné povinnosti.

Ako je uvedené vyššie, dúfame, že pod "textáciou súhlasu" si je predstaviť aj cookies policy. Musíme si to predstaviť, ak nechceme mať súhlas s rovnakým obsahom ako je cookies policy.

Záver

Je potrebné uznať, že aktualizované usmernenie je ďaleko lepšie ako pôvodné. Je potrebné tiež privítať spoluprácu a konzultáciu medzi oboma regulátormi, ktorá v praxi chýba. Tomu všetkému naozaj vzdávame hold a verejnú pochvalu. Celkovo sa usmernenie dostalo do akceptovateľného všeobecného štandardu a vyriešenie detailnejších aspektov, s ktorými sa nevyhnutne stretávame v praxi, necháva na naše vysporiadanie. V konečnom dôsledku ide o prijateľný kompromis (pre nás poradcov).

Čo zostáva otvorené, je otázka vynútiteľnosti pravidiel cookies. Úrad na ochranu osobných údajov sa tejto téme zatiaľ v dozornej činnosti vyhýba, a rozhodnutia a pokuty Úradu pre reguláciu v tomto smere stále absentujú. Prekrývajúca pôsobnosť oboch regulátorov nie je stále vyriešená a bude naďalej obom regulátorom spôsobovať problémy v konaniach, aj keď riešenia existujú. Tým najlepším riešením by bolo nemať dvoch ale jedného regulátora na ePrivacy a GDPR.

Napokon, aj toto usmernenie potvrdzuje záver, že lepšie odborne a kapacitne pripraveným štátnym orgánom na enforcement pravidiel ePrivacy je Úrad na ochranu osobných údajov SR. Problémy s právomocou a enforcementom by boli úplne vymazané, ak by táto agenda patrila pod tento úrad, čo nie len že ePrivacy smernica a GDPR dovoľujú, ale aj preferujú.

V prípade ak máte záujem o pomoc s nastavením cookies vrátane cookies policy na Vašej webstránke (alebo vo Vašej aplikácii), dajte nám vedieť.

Jakub Berthoty

Dagital Legal, s.r.o.