Foto: Shutterstock

Stále chýba presná formulácia súhlasu

O potrebe regulácie cookies sa diskutuje už dlhšie. Platné legislatívne úpravy však zatiaľ zásadné veci nevyriešili. No chystá sa zmena – v Českej republike od 1. januára a na Slovensku od 1. februára 2022 vstúpi do platnosti nový zákon o elektronických komunikáciách.

Doteraz v zákone nebola uvedená presná formulácia, ako vyjadriť súhlas s cookies. Väčšina zainteresovaných si to preto vykladala štýlom, že pokiaľ zákazník cookies vyslovene neodmietne, tak sa môžu použiť. 

Nová legislatívna úprava však situáciu mení. Správcovia webových stránok môžu zhromažďovať osobné údaje návštevníkov iba na základe ich preukázateľného súhlasu. Podľa odborníkov to však stále nie je to pravé orechové. Ani nový zákon totiž nestanovuje, ako presne má formulácia súhlasu s použitím cookies vyzerať.

Na čo vlastne cookies slúžia

Cookies sú textové súbory, ktoré sa vytvárajú v mobile, počítači či tablete návštevníka webu. Webová stránka ich potom využíva pri návšteve zákazníka.

Cookies sa objavili na scéne s prvými internetovými prehliadačmi. Cieľom bolo priniesť návštevníkovi stránky podobný zážitok ako má v kamennej predajni. Webové stránky tak prispôsobujú svoju ponuku a prístup k zákazníkom. Ak by cookies neexistovali, každá návšteva webu by bola pre každého zákazníka úplne rovnaká, no takto sa prispôsobuje jeho záujmom a osobným preferenciám.

Vďaka cookies už zákazník nemusí opätovne vypĺňať údaje potrebné pri platbe za tovary alebo služby. Stránky si tiež pamätajú, čo si zákazník niekedy vložil do košíka. No weby získavajú aj informácie, na základe ktorých vedia adresne zacieliť reklamy na konkrétneho návštevníka. Vedia zistiť jeho nákupné zvyklosti, na ktoré linky už niekedy klikol, či koľkokrát mu web zobrazil nejakú reklamu. Niektoré z týchto vecí sú pre spotrebiteľa užitočné, iné ani veľmi nie, ale napriek tomu by ich chcel mať viac pod kontrolou.

Lišta s cookies by nemala brániť návšteve webovej stránky, malo by byť možné ju jednoducho vypnúť, a po odkliknutí by nemala opätovne vyskakovať. Zákazník by mal mať možnosť meniť nastavenie a odmietnuť cookies, ktoré si neželá. V praxi sa však môžeme stretnúť s rôznymi typmi líšt, a dokonca aj s takými, ktoré bránia návšteve stránky. Zákazník preto často lištu rýchlo odklikne, aby mohol web navštíviť bez zbytočných prekážok. Vtedy sa mu niekedy podarí vyjadriť súhlas aj s tým, s čím by inak možno ani nesúhlasil.

Čo platilo doteraz

Reguláciu cookies riešila ePrivacy smernica v roku 2002, ktorá prešla novelou zákona v roku 2009. „Podľa tohto režimu Európskej únie platí, že na ukladanie cookies je potrebný súhlas, pokiaľ neplatí niektorá z výnimiek, napríklad nevyhnutné cookies pre fungovanie služby alebo jej bezpečnosť,“ vysvetľuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Digital Legal.

V skutočnosti však členské štáty Európskej únie implementovali túto smernicu do praxe veľmi rozdielne. Samozrejme, najviac sa zaoberali potrebou súhlasu na analytické a marketingové cookies. Na Slovensku reguluje cookies zákon o elektronických komunikáciách. „No bez akejkoľvek metodiky, usmernení alebo rozhodnutí, takže je ťažké hovoriť o nejakej praxi,“ upozorňuje J. Berthoty.

Čo nás čaká v budúcnosti

Situáciu by mohol zmeniť nový zákon o elektronických komunikáciách, ktorý začne platiť od 1. februára 2022. Fungovanie cookies však upravuje veľmi podobne ako pôvodný zákon. Ide prakticky o rovnaký režim ako doteraz a vo vzťahu ku cookies sa zmenilo len veľmi málo.

Vypadla z neho možnosť získavať súhlas prostredníctvom nastavenia webového prehliadača. Tento spôsob získavania súhlasu bol kontroverzný, pretože nespĺňal náležitosti informovaného súhlasu podľa GDPR.

Ďalšou zmenou zákona sú sankcie. Ide o pokutu od 200 eur do 10 % z obratu firmy, čo je viac, ako požaduje GDPR. „Je to kontroverzné v prípade, ak prevádzkovateľ webu nie je podnikateľ. V tom prípade mu hrozia pokuty do výšky 20-tisíc eur. Takéto zvýhodnenie pre nepodnikateľov je podľa môjho názoru v rozpore s GDPR a ePrivacy smernicou,“ komentuje odborník.

Už samotné rozdelenie prevádzkovateľov webových stránok na podnikateľov a nepodnikateľov je podľa neho diskriminačné. Dôvodom je, že na zásah do súkromia nemá vplyv, či porušiteľ je alebo nie je podnikateľom.

Podstatný bude príchod európskej ePrivacy

Sankcia sa vzťahuje na viaceré časti porušenia zákona o elektronických komunikáciách, a teda aj nedodržania nariadenia o cookies. „Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu  k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovanie služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ,“ píše sa v zákone (§ 109, odsek 8).

Dohľad nad dodržiavaním opatrení má vykonávať Úrad pre reguláciu elektronických komunikácií a poštových služieb. Ak však nedochádza k zásadným zmenám, tak situácia s cookies môže byť neriadená ako doteraz. Podstatné zmeny v cookies by malo priniesť až ePrivacy nariadenie. Niekoľkoročné snahy však stále nie sú na konci, nariadenie stále nie je prijaté a existuje už približne 20 jeho návrhov.

EPrivacy nariadenie pritom patrí medzi top priority Európskej únie o súkromí a elektronických komunikáciách. Cieľom je harmonizovať európsky legislatívny rámec týkajúci sa súkromia v online prostredí a poskytnúť rovnaké podmienky pre poskytovateľov elektronických služieb pri zaručení dôvernosti elektronických komunikácií.

Nariadenie by malo byť v súlade s platným GDPR a malo by vyriešiť okrem iného aj použitie cookies súborov na dodatočné účely, kde sa vyžaduje priama peňažná platba. Členské štáty Európskej únie však majú rozdielne názory na viaceré kľúčové otázky, a tak rokovania neustále trvajú.