Prvé slovenské usmernenie ku cookies (a 10 dôvodov prečo ho treba zmeniť)

Úrad pre reguláciu elektronických komunikácií a poštových služieb (ďalej len „Úrad pre reguláciu“) vydal 4. mája 2022 tlačovú správu ku cookies, v rámci ktorej zverejnil aj stanovisko odboru štátneho dohľadu k problematike získavania súhlasu s cookies, už podľa nového zákona o elektronických komunikáciách. Vzniklo tak historicky prvé slovenské usmernenie ku cookies, ktoré však narazilo na GDPR ako kosa na kameň.

Zmenilo sa niečo v regulácii cookies?

Nie. Aj keď sa v zahraničí výklad týchto pravidiel v praxi vyvíja, samotná regulácia sa nezmenila ani na úrovni EÚ od roku 2009 ani na Slovensku od roku 2011. Tzv. „regulácia cookies“ bola do 1. februára 2022 upravená v § 55 ods. 5 starého zákona a od 1. februára je upravená bez výrazných zmien v § 109 ods. 8 nového zákona. Medzi týmito ustanoveniami sú len drobné rozdiely:

• vypadlo kontroverzné získavanie súhlasu cez nastavenie webového prehliadača, ktoré medzitým takmer všetci zahraniční regulátori označili za nesúladné s GDPR;

• porušenie pravidiel je po prvýkrát prepojené s možnosťou udeľovať sankcie podľa zákona, možnosť, ktorá v starom zákone absentovala.

Novým zákonom sme sa viac priblížili zneniu čl. 5 ods. 3 ePrivacy smernice, ktorý nový zákon implementuje ale v zásade nedošlo k žiadnym podstatným zmenám.

Prečo bolo potom usmernenie vydané?

Na konferencii EPI v novembri 2021 mi zástupcovia Úradu pre reguláciu verejne potvrdili, že podľa starého zákona sme nemali ani jedno rozhodnutie ani usmernenie vo vzťahu ku cookies. Zároveň potvrdili, že v tom čase neexistoval žiadny plán kontrol alebo dohľadu vo vzťahu ku cookies podľa nového zákona. Aj keď ide o alarmujúcu informáciu po takmer 11 rokoch aplikovania starého zákona, taký bol skutočný stav o ktorom verejnosť a klienti majú právo vedieť.

Keď sa tieto informácie dostali vo februári 2022 do hlavných správ (pozrite si reportáž RTVS tu) a prebrali ich viaceré mienkotvorné média (pri príležitosti účinnosti nového zákona od 1. februára), Úrad sa rozhodol reagovať. Jednak začal s dohľadom nad pravidlami cookies a nevyžiadanej komunikácie podľa nového zákona (k dnešnému dňu evidujeme minimálne 17 začatých ale neskončených konaní) a zároveň vydal predmetné usmernenie.

A tak sa začali uplatňovať pravidlá cookies na Slovensku. Na jednej strane nás veľmi teší, že sme k tomu tak trochu dopomohli svojou aktivitou a že sa vôbec začali tieto pravidlá aplikovať.

Na druhej strane, sme v úplných začiatkoch. Pre štátnych zamestnancov, ktorí doteraz nesledovali usmernenia Výboru (EDPB), rozhodnutia zahraničných dozorných orgánov prípadne relevantnú judikatúru je veľmi ťažké sa zorientovať v spleti pravidiel a výkladov, navyše v tak krátkom čase len niekoľkých mesiacov. Usmernenie nevie zakryť skutočnosť, že prax Úradu pre reguláciu vo vzťahu ku cookies doteraz neexistovala a že Úrad pre reguláciu jednoducho nemá skúsenosti s výkladom GDPR. Aspekt, na ktorý som mimochodom vopred upozorňoval.

V tomto príspevku sa budem sústrediť len dôvody, pre ktoré je podľa môjho názoru potrebné usmernenie výrazne prepracovať, pretože mám pocit, že sa k týmto dôvodom budeme musieť opätovne vracať. Možno sa v ďalších príspevkoch dostaneme k tomu, že tieto pravidlá vyložíme pre benefit širokej verejnosti a oboch úradov. Zároveň verejne avizujeme ochotu zapájať sa do pripomienkovania a tvorby podobných usmernení ako aj podpory oboch úradov.

Dôvod č. 1: Usmernenie nepracuje so všetkými usmerneniami Výboru (EDPB)

Zatiaľ na úrovni EÚ nemáme žiadne komplexné usmernenie k článku 5 ods. 3 ePrivacy smernice, aj keď EDPB (Výbor) zriadil koncom roka 2021 pracovnú skupinu zameranú na cookies lišty a teda je možné ho očakávať v budúcnosti. Kým sa tak nestane, výkladové otázky, ktoré sú relevantné pre reguláciu cookies, máme obsiahnuté v rôznych usmerneniach Výboru, ktoré sú dostupné v slovenčine. Konkrétne:

• Usmernenia 8/2020 k cieleniu reklamy na sociálnych sieťach

• Usmernenia 5/2020 k súhlasu podľa GDPR – ktoré nadväzuje na staršie prevzaté usmernenie k súhlasu WP 29

• Usmernenia 2/2019 k právnemu základu plnenia zmluvy v kontexte online služieb

• Usmernenia WP 29 k transparentnosti.

Usmernenie Úradu pre reguláciu výslovne odkazuje len na usmernenia Výboru k súhlasu a evidentne sa nimi aj inšpiruje. Usmernenie teda pracuje s notoricky známymi náležitosťami súhlasu tak ako s nimi už roky pracuje Výbor resp. WP 29 („slobodne daný, konkrétny a informovaný...“). Problém je, že k tomuto naozaj nepotrebujeme usmernenie Úradu pre reguláciu. Jednak preto, že už ho máme od Výboru (dokonca dve) a zároveň preto, lebo do kompetencie Úradu pre reguláciu nepatrí vykladať všeobecný predpis, ktorým je GDPR. To patrí na Slovensku len do kompetencie Úradu na ochranu osobných údajov.

Neviem, či si zástupcovia Úradu pre reguláciu uvedomujú, že súhlas s cookies musí jednoducho spĺňať tie isté náležitosti ako súhlas podľa GDPR – a tie nie je potrebné opakovať ani vymýšľať nanovo. Neviem to preto, lebo zatiaľ čo odkaz na čl. 4 bod 11 GDPR bol pridaný pod čiaru pri nevyžiadanej komunikácii v § 116 nového zákona, do ustanovenia § 109 ods. 8 nového zákona z nejakého dôvodu pridaný nebol. Avšak, podľa recitálu 17 a čl. 2 písm. f) ePrivacy smernice:

"Na účely tejto smernice súhlas užívateľa alebo účastníka, bez ohľadu na to či je účastník fyzickou alebo právnickou osobou, by mal mať rovnaký význam ako súhlas dátového subjektu definovaného a ďalej špecifikovaného v smernici 95/46/ES (čítaj GDPR). Súhlas môže byť vyjadrený akýmkoľvek vhodným spôsobom umožňujúcim vyjadrenie špecifického želania, ktoré nastane na základe slobodného a vecného rozhodnutia užívateľa, vrátane označenia poľa na webovej stránke internetu."

„"súhlas" užívateľa alebo účastníka zodpovedá súhlasu dátového subjektu v súlade so smernicou 95/46/ES (čítaj GDPR)“

Ak by v usmernení Úrad pre reguláciu pracoval aj s ostatnými usmerneniami Výboru, zrejme by dokázal odpovedať aj na to, aký právny základ zvoliť pri nevyhnutných cookies. Bohužiaľ, Úrad pre reguláciu si z neznámeho dôvodu myslí, že nevyhnutné alebo funkčné cookies nespracúvajú osobné údaje, čo samozrejme nie je pravda.

Dôvod č. 2: Usmernenie si spája účel spracúvania a typ cookies

Usmernenie vychádza z premisy, že každý typ cookies je spracúvaný na iný účel spracúvania. To však nie len že nie je pravda, ale ide aj o najnebezpečnejší omyl usmernenia.

Účel spracúvania je základný stavebný kameň v oblasti ochrany osobných údajov a sú naňho naviazané takmer všetky základné zásady a povinnosti podľa GDPR. Narábať s účelom spracúvania musíme veľmi citlivo, lebo každý nový / iný účel násobí povinnosti, interné výstupy, analýzy a dokumenty, s ktorými musí prevádzkovateľ pracovať. Všetko v oblasti ochrany osobných údajov je štruktúrované podľa účelov spracúvania. Pre predstavu, ak regulátor namiesto jedného účelu hovorí o dvoch, bavíme sa tu o aktualizácii všetkej dokumentácie a desiatkach hodín práce, pričom nezabúdajme, že účely určuje prevádzkovateľ a ich vymedzenie z pohľadu transparentnosti kontroluje Úrad na ochranu osobných údajov.

Typy cookies, s ktorými usmernenie pracuje sú: (i) nevyhnutné alebo funkčné; (ii) štatistické; (iii) analytické; (iv) marketingové. V obrázku č. 3 je dokonca piaty typ cookies a to cookies tretích strán. Samotné usmernenie odkazuje na definíciu súhlasu podľa GDPR, ktorý sa získava vo vzťahu k účelu spracúvaniu. Hneď v ďalšej vete však usmernenie premostí do toho, že práve preto je potrebné získavať súhlas na každý iný typ cookies.

Je úplne irelevantné, o aký typ cookies ide. Osobne nevidím žiadny rozdiel medzi štatistickou a analytickou cookienou a ani usmernenie tieto rozdiely nepopisuje. Takisto pre mňa nie je jasné, či napríklad Google Analytics cookiena predstavuje štatistickú, analytickú alebo marketingovú cookienu.

Úrad pre reguláciu si výrazne zjednodušil prácu keď sa pri samostatných súhlasoch jednoducho obmedzil na rôzne typy cookies. V praxi však tento prístup nie je možné realizovať v súlade s GDPR a z usmernenia jednoducho badať, že narábanie s účelmi spracúvania a typmi cookies nebolo domyslené. Pozrime sa napríklad na nižšie uvedený obrázok č. 3 z usmernenia. Koľko rôznych účelov a súhlasov napočítate v tomto správne nastavenom okne?

Počet účelov je minimálne dva:

• účel č. 1: účel zabezpečenia rôznych funkcií webovej stránky a analýza prístupu k nim vrátane ich optimalizácie;

• účel č. 2: účely zefektívnenia personalizovanej reklamy a získavanie štatistík návštevnosti webovej stránky (+odovzdávanie tretím stranám).

Na tieto dva rôzne účely sa získavajú tri rôzne súhlasy. Ako má dotknutá osoba vedieť z tejto textácie, aké účely zapína napríklad analytická cookiena? Chceme tým povedať, že analytické cookies slúžia na zabezpečenie funkcií webovej stránky? Neslúžia na tie skôr nevyhnutné cookies? Chceme tým povedať, že štatistické cookies slúžia na účely zefektívnenia personalizovanej reklamy? Naozaj je toto rozdiel medzi analytickými a štatistickými cookies? Jedny sú marketingové a druhé sa týkajú fungovania webstránky? Prečo tu nepracujeme s marketigovými cookies a účelmi? Chceme tým povedať, že akonáhle sa používa napríklad Google Analytics alebo Facebook reklamné cookies tak potrebujeme dva súhlasy - jeden na štatistické cookies a druhý na cookies tretích strán? Uvedomuje si Úrad pre reguláciu, že na tú istú cookienu asi ťažko vieme získavať dva rôzne súhlasy? Po aký typ cookies by napríklad patrila v tomto prípade Google Analytics cookiena?

Mimochodom, v akom súlade je s týmto vymedzením účelov nasledovné tvrdenie na str. 4 usmernenia?

"Ak užívateľa napr. prevádzkovateľ webovej stránky informuje, že informácie spracúva za účelom štatistiky a analýz návštevnosti, nie je možné účel svojvoľne rozšíriť na spracúvanie informácií na marketingové účely."

Myslím, že tieto úvahy stačia na dokázanie toho, že takto sa nedá v praxi k súhlasom, účelom a typom cookies pristupovať. Samotné usmernenie si tu vnútorne rozporuje. Dovolím si povedať, že takto nastavená lišta by bola v rozpore so základnou zásadou transparentnosti podľa GDPR, pretože dotknutá osoba z nej netuší ktorý súhlas zapína ktorý účel a čo vlastne tieto účely znamenajú.

Dôvod č. 3: Usmernenie zabúda na cookies policy a celkové informačné povinnosti

Nie je jasné prečo sa usmernenie sústredí iba na súhlas, keď otázka súhlasu je úplne kriticky previazaná s informačnými povinnosťami (zjednodušenie cookies policy). Všetky príklady použité v usmernení predsa odkazujú na "viac informácií" alebo "zásady používania cookies", ale to, ako by mali tieto dôležité dokumenty vyzerať už nevysvetľujú. Jediné miesto, kde sa usmernenie čiastkovo venuje tejto otázke (aj to nejasne) je pri požiadavke na informovaný súhlas:

„Na získanie platného súhlasu je potrebné vopred poskytnúť aspoň tieto informácie:

- identita prevádzkovateľa webových stránok,

- účel všetkých spracovateľských operácii, na ktoré sa požaduje súhlas,

- aké údaje (druh údajov) sa budú získavať a používať,

- existencia práva odvolať súhlas a jednoduchý spôsob, akým ho odvolať, pričom odvolanie súhlasu musí byť minimálne rovnako jednoduché ako jeho udelenie,

- informácie o použití údajov na automatizované rozhodovanie (ak je to relevantné) a o možných rizikách prenosu údajov v dôsledku absencie rozhodnutia o primeranosti a primeraných záruk podľa článku 46 všeobecného nariadenia o ochrane údajov.“

Takéto požiadavky nevyplývajú ani z ePrivacy smernice, ani nového zákona ani GDPR a sú vlastnou tvorbou Úradu pre reguláciu. Bez akéhokoľvek odkazu alebo zdôvodnenia usmernenie vyberá iba niektoré z informačných povinností podľa čl. 13 a čl. 14 (!) GDPR a nesprávne a neúplne si ich spája s informovaným súhlasom. Informovaný súhlas a informačné povinnosti sú dve úplne odlišné povinnosti.

Navyše, usmernenie vôbec neobsahuje minimálne povinné náležitosti, o ktorých hovorí Súdny dvor EÚ vo veci Planet 49, a to:

„informácie, ktoré musí poskytovateľ služieb poskytnúť používateľovi internetovej stránky, zahŕňajú dĺžku funkčnosti súborov cookies, ako aj to, či tretie osoby majú alebo nemajú prístup k týmto cookies.“

Nie teda jasné, či na tomto mieste Úrad pre reguláciu hovoril o obsahu textácie súhlasu (prvá informačná vrstva) alebo o doplňujúcich informáciách po rozkliknutí cookies lišty (druhá vrstva) alebo o cookies / privacy policy (tretia vrstva) v duchu vrstveného prístupu Výboru v rámci usmernení k transparentnosti.

Keďže tieto otázky už sú upravené v usmerneniach Výboru, buď sa usmernenie má obmedziť len na odkázanie na ne, alebo má priniesť (na ich podklade) doplňujúce špecifické usmernenia ku cookies. Ani jedno usmernenie nerobí.

Dôvod č. 4: Usmernenie nevysvetľuje vzťah medzi ePrivacy a GDPR

Pravidlá regulácie cookies sa v konečnom dôsledku nedajú vykladať bez toho, aby sme jasne chápali, aký je vzťah medzi týmito dvomi sesterskými predpismi. Tým nemyslím zásadu lex specialis derogat legi generali. Tá platí. Ale čo to konkrétne znamená? Čo ak cookies sú a čo ak cookies nie sú osobnými údajmi? Aký právny základ zvoliť pri nevyhnutných cookies? Oprávnený záujem, plnenie zákonnej povinnosti alebo plnenie zmluvy? Ako informovať o cookies ak nie sú spracúvané osobné údaje? Mení sa niečo ak sú? Tieto otázky nezodpovieme bez chápania vzťahu medzi dvomi predpismi.

Usmernenie je tým najlogickejším miestom, kde čitateľ očakáva vysvetlenie tohto vzťahu. Prečo? Pretože len regulácia cookies, nevyžiadanej komunikácie a elektronických komunikačných dát vytvára potrebu vykladania tohto vzťahu súčasne, pričom pri cookies je táto potreba azda najviac viditeľná.

Bohužiaľ, Úrad pre reguláciu sa tejto komplexnej otázke vyhol a v usmernení ju nenájdeme. Naopak, v usmernení nájdeme skôr náznaky toho, že tento vzťah zrejme nie je jasný ani pre samotný Úrad.

Len pre ilustráciu, tri z piatich poznámok pod čiarou v usmernení sú odkazmi na GDPR (!). Napriek tomu v texte usmernenia si Úrad pre reguláciu namiesto priamych odkazov na GDPR vybral odkazy na ustanovenia druhej časti zákona o ochrane osobných údajov, pričom táto časť zákona sa prakticky na nič nevzťahuje (viac o tom tu). Na tomto mieste usmernenia to obsahovo nespôsobuje žiadny problém, len to bohužiaľ nie je pravda:

„Úrad za preukázateľný súhlas podľa § 109 ods. 8 zákona o elektronických komunikáciách považuje súhlas spĺňajúci podmienky definované vo vyššie citovanom § 5 písm. a) zákona o ochrane osobných údajov.“

Naopak na tomto mieste usmernenia už ide obsahovo aj výkladovo o absolútny nezmysel:

„Je nevyhnutné podotknúť, že uvedené sa nevzťahuje na prípady, kedy webová stránka spracúva alebo ukladá iba nevyhnutné resp. funkčné cookies potrebné na zabezpečenie riadneho fungovania webstránky, na spracovanie a ukladanie ktorých nepotrebuje súhlas, keďže neobsahujú žiadne osobné údaje (!!!).“

Neexistuje dôvod, prečo by nevyhnutné a funkčné cookies nemali spracúvať osobné údaje resp. ich obsahovať. Ak nevyhnutné cookies nespracúvajú osobné údaje, ako potom môže e-shop vybaviť objednávku a vystaviť faktúru na základe nevyhnutných cookies?

Táto formulácia je zároveň dôkazom o tom, že Úrad pre reguláciu nepracoval pri príprave usmernenia s rozsudkom Súdneho dvora EÚ vo veci Planet 49, ktorý zakazuje podobné úvahy. Tento rozsudok odstránil roky trvajúce výkladové nezhody naprieč EÚ, o ktorých som napríklad hovoril na konferencii eFocus v roku 2019. Podľa tohto rozsudku sa regulácia cookies (t.j. otázka súhlasu a informovania) vzťahuje rovnako na situácie, kedy ide alebo nejde o osobné údaje. Inými slovami, súhlas s cookies a informovanie o cookies v režime ePrivacy sú povinnosti, ktoré sa aplikujú bez ohľadu na to, či ide alebo nejde o osobné údaje. Táto kľúčová a zásadná informácia mohla v usmernení odznieť, ale neodznela.

Ďalším dôkazom toho, že Úrad pre reguláciu nemá jasno v tejto otázke je vzťah informačných povinností podľa GDPR a podľa ePrivacy smernice ako ju vykladá Súdny dvor EÚ, viď viac dôvod č. 3.

Dôvod č. 5: Usmernenie zabúda na pripravované ePrivacy nariadenie

Samozrejme, o text pripravovaného nariadenia sa nedá priamo opierať o usmernení. To však nie je ani potrebné ani navrhované. Z posledných návrhov pripravovaného ePrivacy nariadenia však vyplýva viacero návodov, ako sa dá pozerať na niektoré výkladové otázky v režime ePrivacy smernice, ktoré naopak nenájdeme v GDPR a ktoré usmernenie mohlo resp. malo vykladať. Napríklad:

• Otázka udeľovania súhlasu právnickou osobou

• Otázka konvalidácie súhlasu po uplynutí jeho platnosti (je fajn platný súhlas s marketingovými cookies ale dokedy sa naňho môžeme spoliehať a čo potom?)

• Otázka rozsahu technológií, ktoré majú spadať pod „reguláciu cookies“ okrem cookies samotných

• Rôzne typy cookies, ktoré zrejme nájdu cestu do bez-súhlasového režimu, pretože ich zahraniční regulátori už dnes výkladom považujú za nevyhnutné alebo technické (napríklad audience measuring alebo updaty aplikácií za určitých opdmienok).

Dôvod č. 6: Usmernenie nepracuje s usmerneniami zahraničných dozorných orgánov

Existuje viacero kľúčových usmernení cookies na vnútroštátnej úrovni, ktoré v formujú európsky výklad čl. 5 ods. 3 ePrivacy smernice. Konkrétne:

• Britské usmernenie ku cookies;

• Dánske usmernenie k využívaniu cookies;

• Francúzske usmernenie k používaniu cookies;

• Talianske usmernenie ku cookies;

• Maltské usmernenie k súhlasom s cookies;

• Luxemburské usmernenie ku cookies a iným nástrojom sledovania;

• České usmernenie k udeľovaniu súhlasu s cookies prostredníctvom cookie lišty;

• Nemecké usmernenie ku cookies; alebo

• Lotyšské usmernenie ku cookies používanými pri ponuke tovarov a služieb.

Iba z týchto usmernení sa dajú dozvedieť niektoré výkladové nuansy dôležité pre prax, ktoré v usmernení chýbajú. Napríklad:

• Spadajú cookies slúžice na bezpečnosť, prevenciu podvodom, overenie identity pod nevyhnutné cookies?

• Je potrebný súhlas na Google reCaptcha alebo podobné systémy?

• Môžu byť cookies, ktorými sledujú prevádzkovatelia svoje zákonné povinnosti a oprávnené záujmy (napr. na poli AML, boja proti financovaniu terorizmu a ochrane finančného spotrebiteľa) nevyhnutnými cookies?

• Môžu určité obmedzené štatistiky návštevnosti spadať pod nevyhnutné cookies?

• Ako môže súhlas udeliť právnická osoba?

• Aké ďalšie technológie spadajú pod cookies reguláciu? SDK, skriptové technológie, bluetooth beacons, pixely, pluginy alebo iné spôsoby zachytávania signálov či výmeny dát s koncovým zariadením?

Chceli by sme asi príliš veľa od štátnych zamestnancov, aby si prekladali cudzojazyčné usmernenia zahraničných dozorných orgánov, keď to nie je ich zákonnou povinnosťou ani náplňou práce. My a naši klienti to však robiť musíme, ak chceme nie len byť ale aj zostať v obraze.

Dôvod č. 7: Usmernenie nie je technologicky neutrálne

V skutočnosti regulácia cookies vôbec neobsahuje odkaz na cookies a nevzťahuje sa len na cookies. Cookies sú len jedným z mnohých nástrojov výmeny dát s koncovým zariadením, ktoré táto regulácia upravuje. Ak sa Úrad pre reguláciu rozhodne verejne reagovať na otázku cookies a vykladá pritom reguláciu, ktorá má byť technologicky neutrálna (viď najmä recitál 47 ePrivacy smernice ale aj recitál 15 GDPR), musí automaticky očakávať otázku, či pod ňu spadajú pixely, SDK, bluetooth beacony, skriptové technológie alebo iné technológie, ktoré zachytávajú dáta vysielané koncovým zariadením. Prípade, do akej miery bude Úrad pre reguláciu aplikovať § 109 ods. 8 zákona aj na internet vecí a výmenu dát medzi zariadeniami? Vymenovanie technológií, ktoré spadajú pod danú reguláciu je o to viac potrebné, ak technologickí giganti čoraz častejšie hovoria o konci cookies, ktoré chcú nahradiť alternatívnymi technológiami, ktoré však stále môžu spadať pod tú istú reguláciu.

Dôvod č. 8: Usmernenie neobsahuje praktické príklady

Je perfektné, že usmernenie označuje cookies lišty, ktoré zapínajú oprávnený záujem pri neudelení súhlasu za nezákonné. V skutočnosti ide o najväčšie pozitívum usmernenia okrem samotnej skutočnosti, že vôbec usmernenie existuje.

Avšak, v praxi sa nedá vyhnúť menovaniu konkrétnych riešení a nástrojov. Potrebujeme jasné stanovisko k tomu, či je potrebný podľa Úradu pre reguláciu súhlas na Google Analytics, Facebook pixels, Facebook plugins, Google reCaptcha.

Okrem toho by bolo fajn dozvedieť sa názor úradu na ďalšie typicky používané cookies, ktoré nie sú absolútnne nevyhnutné na to, aby webstránka alebo aplikácia fungovala, ale výrazne zlepšujú užívateľský komfort. Napríklad:

• cookies pamätajúce si užívateľské nastavenia prípadne heslá;

• cookies pamätajúce si obsah košíka alebo stránky pri návrate po prerušenej session;

• cookies rozpoznávajúce a pamätajúce si jazykové preferencie napríklad podľa lokality IP adresy;

• cookies pamätajúce si, či bol alebo nebol udelený súhlas.

Ďalej sú tu spomínané prípady ako:

• cookies slúžice na bezpečnosť, prevenciu podvodom, overenie identity;

• cookies, ktorými sledujú prevádzkovatelia svoje zákonné povinnosti a oprávnené záujmy (napr. na poli AML, boja proti financovaniu terorizmu a ochrane finančného spotrebiteľa) nevyhnutnými cookies;

• ale aj vysvetlenie rozdielov medzi cookies prvých a tretích strán a dopadov na povinnosti prevádzkovateľov.

S týmito otázkami sme sa už v praxi dávno museli vysporiadať a preto je na mieste očakávať to isté od usmernenia.

Dôvod č. 9: Usmernenie nevyužilo príležitosť pre slovenský „audience measuring“

Ak sledujete vývoj pripravovaného ePrivacy nariadenia, musíte vidieť, že jeho súčasťou zrejme bude výnimka zo súhlasu na bližšie nedefinované "audience measuring" účely. Čo to je? Zatiaľ čo horúca debata prebieha o oprávnenom záujme a vložení zlúčiteľných účelov medzi výnimky zo súhlasu, audience measuring je fakticky v každom návrhu a nezdá sa, že by blokoval prijatie predpisu. Dá sa teda predpokladať, že táto výnimka v ePrivacy nariadení naozaj bude. Podľa nášho názoru ide o legitimizáciu praxe z niektorých členských štátov (najmä Francúzsko a Nemecko), ktoré umožňujú bez súhlasu učitú základnú štatistiku návštevnosti webstránky, v princípe za týchto (ale aj ďalších) podmienok:

• dáta nie sú zdieľané s tretími stranami ani obohacované a kombinované s inými databázami;

• riešenie je nasadené len na konkrétnom webe a užívateľ nie je sledovaný naprieč internetom alebo inými webstránkami.

Tým je povedané, že táto vynimka je pomerne neškodná a nikdy nebude môcť zahŕňať prakticky žiadne komerčné riešenie od Google alebo Facebook. Prečo nevyužiť túto evidentne priechodnú interpretáciu toho, čo je nevyhnutné pre fungovanie webstránky? Prečo by takto základná analýza návštevnosti nemohla byť na Slovensku povolená, ak to evidentne dovoľuje ePrivacy smernica a bude to zrejme určite dovoľovať aj ePrivacy nariadenie? Neexistuje podnikateľský subjekt alebo klient, ktorý by nebol za využitie tejto interpretácie, pričom na to nie je potrebné meniť zákon, iba tak ustanoviť v usmernení (rovnako ako Francúzsko tu).

Dôvod č. 10: Usmernenie sa nevenuje odvolaniu súhlasu ani súhlasu detí

Existuje tendencia vykladať príliš reštriktívne a nepresne požiadavku čl. 7 ods. 3 GDPR, podľa ktorej odvolanie súhlasu musí byť tak jednoduché ako jeho udelenie. Zabúdame pritom na to, že táto požiadavka sa aplikuje až vtedy, keď je súhlas už udelený. Rozhodne nejde o požiadavku, podľa ktorej musíme vždy pri možnosti "súhlasiť" dávať možnosť "nesúhlasiť". Možnosť nesúhlasiť má byť "zapnutá by default" až do momentu, kým súhlas nie je udelený. Čo chceme odmietať, ak nič nie je povolené?

Bolo by dobré poznať názor Úradu pre reguláciu na to, či by z pohľadu technikality získavania súhlasu bolo nižšie uvedené okno nastavené správne, ak by ho bolo možné jednoducho zavrieť oknom v rohu za predpokladu, že v takom prípade nie je súhlas udelený a bolo by to zjavné. Samozrejme odhliadnuc od obsahu textácií v tomto príklade. Podľa nás by to bolo možné a nie je potrebné pri každom súhlase dávať možnosť aj nesúhlasiť. To žiadny predpis nevyžaduje.

Avšak, usmernenie sa detailne nevenuje otázke odvolania súhlasu s cookies. Práve pri odvolaní súhlasu v praxi narážame na najviac otázok klientov.

Mimochodom, aplikuje sa na 4-ročná doba uchovávania dôkazu o udelení a odvolaní súhlasu na účely priameho marektingu podľa § 116 ods. 5 a 6 zákona aj na marketingové cookies? Je správa cez Facebook messanger elektronickou poštou? A čo reklama zacielená na užívateľa cez sociálne siete? Tá nevyužíva cookies a elektronickú poštu?

A ako je to so získavaním súhlasu od mladistvých podľa čl. 8 GDPR? To nie je dôležité?

Zhrnutie

Úprimne sa tešíme, že sme sa dočkali usmernenia a aktivity vo vzťahu ku cookies. Toto je tá najpodstatnejšia vec, ktorú sme aj chceli dosiahnuť verejnou debatou. Nikdy nám nejde o kritiku, ale o posun v oblasti, ktorej sa profesionálne venujeme. Usmernenie je však potrebné výrazne prepracovať z vyššie uvedených dôvodov. Je to škoda, pretože odhliadnuc od týchto nedostatkov je usmernenie v podstate veľmi dobré. Pomerne podrobne sa zameriava na vzťah medzi technickými možnosťami "povoliť všetko" a samostatným odsúhlasovaním jednotlivých typov cookies. Treba povedať, že túto - azda najtechnickejšiu časť - zvládli autori usmernenia dobre a nedá sa jej nič vyčítať. Druhým a posledným pozitívom po obsahovej stránke je už spomínané označenie líšt, ktoré zapínajú oprávnený záujem ak nie je udelený súhlas za nesprávne. Toto naozaj potrebujeme počuť od regulátora, v záujme našich klientov. Ak však začneme aplikovať ePrivacy spoločne s GDPR, narážame s usmernením na nedostatky, ktoré sa nedajú dohnať za pár mesiacov. V podstate sa to dalo očakávať, aj keď tomu bolo možné predísť.

Čo navrhujeme? Navrhujeme zorganizovať workshop pre zamestnancov Úradu pre reguláciu a Úradu na ochranu osobných údajov, ktorého budeme odborným garantom a organizátorom. Rozoberieme si základné východiská a ciele oboch regulácií a začneme pekne od začiatku. Pozrieme sa na prax v zahraničí a ePrivacy nariadenie. Následne sa dohodne osnova a mantinely, ktoré usmernenie nebude prekračovať z dôvodu rôznych pôsobností oboch úradov. Následne sa pripraví nová verzia usmernenia pre verejnú konzultáciu. Následne Úrad pre reguláciu zohľadní pripomienky verejnosti a prijme nové usmernenie. Myslíme to úprimne a vážne a čoskoro oslovíme oba úrady s formálou žiadosťou o vyhovenie tomuto postupu. Máme za to, že iným spôsobom nie je možné docieliť to, aby sme v krátkom čase mali na Slovensku usmernenie ku cookies na európskej úrovni.