Nové usmernenia ku cookies pre oblasť ochrany osobných údajov

Odo dňa 25.05.2018 sa v plnom uplatňuje Nariadenie (EÚ) 2016/679 o ochrane osobných údajov („general data protection regulation“, ďalej len „GDPR“), ktoré sa pridalo k - už v tom čase existujúcej a k dnešnému dňu nezrušenej – európskej právnej úprave spracúvania osobných údajov a ochrane súkromia v sektore elektronických komunikácií, stanovenej Smernicou 2002/58/ES o tzv. „e-Privacy“ (ďalej len „Smernica e-Privacy“).

V oblasti ochrany osobných údajov fyzických osôb od vtedy došlo k ďalšiemu dôležitému vývoju aj z pohľadu aplikačnej praxe jednotlivých dozorných orgánov pre oblasť osobných údajov rôznych členských štátov Európskej Únie (ďalej len „Dozorné orgány“), ako aj v dôsledku rozsudkov národných a európskych súdov.

Z tohto pohľadu by sme chceli upozorniť najmä na aktuálny rozsudok Súdneho dvora Európskej Únie zo dňa 01.10.2019 vo veci C-673/17 (ďalej len „Rozsudok“, ktorý je dostupný v slovenskom jazyku na tento link). Rozsudok konštatoval niektoré nesmierne dôležité zásady o aktuálnej a dôležitej téme pre každého podnikateľa, ktorý v rámci svojho podnikania využíva internetovú stránku. Ústrednou témou je spracúvanie osobných údajov fyzických osôb pri používanie tzv. „cookies“, a to s bližším zameraním na ukladanie informácií (sťahovanie cookies) a sprístupňovanie už uložených informácií (prístup k informáciám po stiahnutí cookies) v koncovom zariadení (napríklad notebook alebo akékoľvek iné zariadenie, ktoré umožňuje prehliadanie na Internete), prostredníctvom ktorého určitý používateľ navštevuje webovú stránku podniku.

Pre bližšie špecifikovanie pojmu „cookies“ uvádzame nasledovné  vysvetlenia, obsiahnuté v preambule rozhodnutia talianskeho Úradu na ochranu osobných údajov zo dňa 08.05.2014: „Cookies sú reťazce textu v podobe malých súborov, ktoré navštevované webové stránky zasielajú do koncového zariadenia používateľa (spravidla do prehliadača), v ktorom sú ukladané do pamäte za tým účelom, aby boli následné opätovne zaslané na tie isté webové stránky pri nasledujúcej návšteve zo strany toho istého používateľa. V priebehu prehliadania webovej stránky môže používateľ „dostať“ do svojho koncového zariadenia aj cookies, ktoré sú zasielané odlišnými web stránkami alebo web servermi (tzv. „tretie osoby“), na ktorých sa môžu nachádzať niektoré zložky (ako napríklad obrazy, mapy, zvuky, špecifické linky a stránky iných domén), ktoré sú prítomné na stránke, ktoré používateľ navštevuje. Cookies sa spravidla nachádzajú v prehliadačoch používateľov vo veľmi vysokom počte a niekedy v dlhšom časovom rozmedzí, pričom sú používané na rôzne účely: vykonanie informatických overení, monitorovanie návštevnosti, ukladanie do pamäte informácií o špecifických nastaveniach, týkajúcich sa používateľov, ktorý pristupujú na server atď.“. Uvedené rozhodnutie pritom rozlišuje medzi tzv. „technickými cookies“ a „cookies určenými na profilovanie“. Medzi prvý druh (technické cookies) patria tie cookies, ktoré sú nevyhnutné na fungovanie internetovej stránky (tzv. „nevyhnutne potrebné cookies“), nakoľko ich ukladanie alebo prístup k nim slúži na účel realizácie samotnej komunikácie na sieti internet resp. sú obmedzené výlučne na to, aby bolo možné poskytnúť konkrétnu službu, ktorá bola v sieti internet výslovne vyžiadaná používateľom; Smernica e-Privacy pre nevyhnutne potrebné cookies neprikazuje, aby bol pre ich používanie vyjadrený súhlas, avšak používateľ o nich musí byť  poučený. Cookies druhého typu (cookies určené na profilovanie) sú naopak zamerané na vytvorenie profilov vo vzťahu ku konkrétnemu používateľovi a sú používané za účelom následného zasielania reklamných správ v súlade s preferenciami, prejavenými konkrétnym používateľom pri návšteve webovej stránky. Dodávame ešte existenciu tzv. „funkčných cookies“, ktoré umožňujú zapamätať si nastavenia konkrétneho používateľa aj pre budúce návštevy stránky; právny režim týchto typov cookies je prakticky rovnaký ako režim ostatných typov cookies, ktoré nie sú nevyhnute potrebnými cookies.

Z uvedeného vyplýva, že podľa druhu stiahnutých a uložených cookies, s výnimkou nevyhnutne potrebných cookies, prevádzkovateľ navštívenej internetovej stránky a prípadne tretie osoby, získavajú rôzne druhy informácií, ktoré predstavujú rôzne úrovne vplyvu na práva fyzických osôb, nakoľko takéto informácie môžu pozostávať z jednoduchého výpočtu návštev webovej stránky na štatistické účely, až po monitorovanie konkrétnych preferencií užívateľa, ktoré následne tretia osoba používa na nastavenie typu reklám, ktoré sa užívateľovi zobrazujú počas prehliadania internetových stránok.

Z pohľadu ochrany osobných údajov si problematika  cookies vyžadovala viac špecifických usmernení, pričom vyššie uvedený Rozsudok sčasti poskytol odpovede na niektoré otázky, ktorými sa zaoberala odborná literatúra a tzv. „Pracovná skupina 29“. Konkrétne, Rozsudok vyhlásil tri právne vety, ktoré sa ďalej posnažíme parafrázovať:

1)    súhlas na spracúvanie osobných údajov nie je účinne daný vtedy, keď je ukladanie informácií v koncovom zariadení používateľa internetovej stránky alebo pristupovanie k informáciám, ktoré sú tam už uložené prostredníctvom súborov cookies, povolené prostredníctvom vopred označeného začiarkavacieho políčka, ktorého označenie musí používateľ zrušiť, aby tak odmietol dať svoj súhlas (tzv. „opt-out“ je teda neprípustný);

2)    súhlas, ktorý musí byť udelený na spracúvanie osobných údajov, sa neodlišuje od súhlasu, ktorý musí byť udelený na spravovanie iných informácií, ukladaných v koncovom zariadení používateľa alebo informácií, do ktorých sa v takom zariadení nahliada, a to aj ak predmetné informácie nespadajú do definície pojmu „osobné údaje“ v zmysle európskych predpisov (predovšetkým v zmysle GDPR a Smernice e-Privacy);

3)    informácie, ktoré musí poskytovateľ služieb poskytnúť používateľovi internetovej stránky, zahŕňajú dĺžku funkčnosti súborov cookies, ako aj to, či tretie k týmto cookies majú prístup tretie strany.

Z prvej zásady vyplýva, že k porušeniu úpravy osobných údajov by došlo v prípade, ak by na konečnom zariadení používateľa, ktorý  pristupuje na konkrétnu internetovú stránku, boli  súbory cookies uložené na základe súhlasu, ktorý nie je vyjadrený prostredníctvom aktívneho konania (spočívajúceho napríklad v kliknutí na poličko o súhlase s používaním cookies), ale naopak, len prostredníctvom pasívneho konania, spočívajúceho v opomenutí kliknúť na prednastavený súhlas s používaním súborov cookies.

Druha zasadá implikuje to, že súhlas na použitie cookies musí byť vyjadrený aj vtedy, ak by cookies sťahované alebo uložené na zariadení používateľa, neumožňovali získať alebo inak spracúvať „osobné údaje“ ale len tzv. iné „informácie“; podľa nášho názoru tým však nie je dotknutá výnimka, týkajúca sa nevyhnutne potrebných cookies. Zdôvodnením tejto zásady je podľa Rozsudku „chrániť používateľov pred nebezpečenstvom, že skryté identifikátory alebo iné podobné zariadenia preniknú do koncového zariadenia týchto užívateľov bez ich vedomia“.

Tretia zásada je súčasťou širšej témy o poučení, ktoré musí byť poskytnuté osobám, ktoré navštevujú internetovú stránku.

Práve poučenie o spracúvaní osobných údajov pri používanie cookies je základom, ktorému  je potrebné venovať maximálnu pozornosť, nakoľko vyššie opísaný vývoj v oblasti ochrany osobných údajov priamo vyžaduje, aby uvedené poučenie bolo napísané a nastavené, tak aby dodržiavalo nielen GDPR a Smernicu e-Privacy, ale aj výklad predpisov na úseku ochrany osobných údajov vo svetle usmernení jednotlivých úradov na ochranu osobných údajov.

Dobrá „cookies policy“ by v tomto zmysle mala vychádzať najmä z nasledovných východísk:

1.    zverejnenie poučenia o spracúvaní osobných údajov, pri používaní cookies by malo mať „dve úrovne“, pričom 

1.1.    poučenie na prvej úrovni by malo stručným spôsobom poskytnúť niekoľko základných informácií o používaní cookies; poučenie prvej úrovne by sa malo používateľovi objaviť pri prístupe na webovú stránku vo forme upozornenia vo vyššej alebo nižšej časti obrazovky (tzv. „cookie banner“); cookie banner by mal následne obsahovať funkcionalitu, umožňujúcu udeliť súhlas na používanie jednotlivých typov cookies (funkčných cookies, analytických cookies, cookies určených na profilovanie, a pod.); stránka musí byť pritom použiteľná aj v prípade, ak používateľ súhlas neudelí; pri nevyhnutne potrebných cookies je podľa nášho názoru postačujúce používateľovi poskytnúť príslušné informácie, nie je potrebné vyžadovať jeho súhlas;

1.2.    v rámci poučenia na  druhej úrovni, by mali byť zverejnené podrobnejšie informácie o rôznych aspektoch spracúvania osobných údajov používateľa pri používanie cookies (tzv. „cookies policy“); poučenie druhej úrovne by malo byť sprístupnené v osobitnej sekcii internetovej stránky, dostupnej aj kliknutím na hypertextové prepojenie, ktorý by sa malo objaviť v cookie banner, aj kliknutím na nápis – napríklad – „Cookies“ alebo „Cookies policy“, ktorý by mal byť viditeľný na každej webovej strane danej internetovej stránky;

2.    informácie, ktoré by mali byť uvedené v poučení druhej úrovne, by mali aspoň obsahovať:

2.1.    označenie všetkých technológií (nielen cookies), prostredníctvom ktorých je vykonané spracúvanie osobných údajov;

2.2.    označenie rôznych druhov používaných cookies a stručné vysvetlenie  každého z nich;

2.3.    identifikačné údaje každého prevádzkovateľa osobných údajov, bez ohľadu na to, či ide o správcu  online platformy alebo tretiu osobu, ktorá bude spracúvať osobné údaje používateľa alebo pristúpi k informáciám prostredníctvom cookie (a to v súlade s vyššie uvedenou druhou a treťou zásadou Rozsudku);

2.4.    právny základ spracúvania, ktorým by mal byť súhlas dotknutej osoby;

2.5.    druhy spracúvaných údajov a získané informácie;

2.6.    účely spracúvania;

2.7.    dĺžka doby uchovávania spracúvaných osobných údajov (to v súlade s vyššie uvedenou treťou zásadou Rozsudku);

2.8.    pokyny o možnosti odvolať súhlas alebo zmeniť nastavenia internetového prehliadača tak, aby sa odistilo povolenie na sťahovanie cookies;

2.9.    práva používateľa ako „dotknutej osoby“, spôsoby ich uplatnenia a kontaktné údaje (napríklad e-mailová adresa) subjektu, na ktorého sa z tohto dôvodu možno obrátiť;

3.    okrem výnimiek stanovených Smernicou e-Privacy pre nevyhnutne potrebné cookies, musí byť používateľovi umožnené, aby mohol kedykoľvek udeliť a odvolať svoj súhlas na spracúvanie osobných údajov pre každý druh spracúvania a vo vzťahu ku každým prevádzkovateľom spracúvania (ide o tzv. „granulárny súhlas“, podľa ktorého si používateľ môže vybrať či udelí súhlas vo vzťahu ku každému jednotlivo určenému druhu cookies a  každému jednotlivo určenému prevádzkovateľovi spracúvania), s upresnením, že

3.1.    súhlas musí byť dobrovoľný, v takom zmysle, že by mohlo byť považované za nesúladné s pravidlami o ochrane osobných údajov, ak by v prípade neudelenia súhlasu bolo zamedzené samotné prehliadanie internetovej stránky alebo by boli odmietnuté niektoré funkcie stránky, pre ktoré nie je nevyhnutne potrebné, aby používateľ sťahoval alebo ukladal cookies (inými slovami, tzv. „cookie wall“ by mohol byť považovaný za neoprávnený);

3.2.    súhlas musí byť výslovný (to v súlade s vyššie uvedenou prvou zásadou Rozsudku) a jednoznačný;

3.3.    súhlas musí byť vyjadrený na špecifický prípad profilovania, o ktorom musia byť poskytnuté príslušné informácie;

3.4.    súhlas musí byť vyjadrený pred inštaláciou cookies na zariadenie používateľa, teda pred tým ako sa spracúvanie začne;

3.5.    je vhodné vyhnúť sa takému nastaveniu v paneli o výbere vyjadrenia súhlasu, ktoré by navádzalo používateľa k udeleniu určitého súhlasu;

4.    maximálna hranica doby uchovávania údajov používateľov, ktoré sú získané prostredníctvom cookies, nie je oficiálne stanovená; niektoré Dozorné orgány (napríklad ICO pre Spojené kráľovstvo) sa obmedzujú len na usmernenie, že taká doba by mala byť primeraná k sledovanému účelu spracúvania, pričom ďalšie Dozorné orgány (napríklad Úrad na ochranu osobných údajov Francúzskej republiky), poskytujú aj podrobnejšie návody, stanovením maximálnej dĺžky doby uchovávania na 13 mesiacov pre niektoré druhy cookies, a na 25 mesiacov pre iné druhy.

Napriek tomu, že ani Smernica e-Privacy, ani pokyny poskytnuté Pracovnou skupinou 29, resp. Európskym výborom pre ochranu údajov (EDPB) výslovne nevyžadujú  niektoré z vyššie uvedených obozretností, berúc do úvahy vývoj a pozornosť, ktorá sa tejto problematike v dnešnej dobe venuje, odporúčame tému politiky  nakladania so súbormi cookies nezanedbať.

Článok vyhotovený dňa 21.11.2019