Od mája 2021 do augusta 2022 obdržali orgány na ochranu osobných údajov v EÚ a EHP stovky sťažností od združenia NOYB. Sťažnosti sa týkali dizajnov a vlastností cookies bannerov. Preto bola vytvorená pracovná skupina, ktorej závery boli včera zverejnené. Celý dokument si môžete prečítať, kliknutím na tento odkaz. Prinášame vám z nej najdôležitejšie body.
Právny rámec
Umiestňovanie súborov cookies do zariadenia návštevníka internetovej stránky (mobilný telefón, počítač, notebook a pod.) alebo ich čítanie sa riadia smernicou o súkromí a elektronických komunikáciach, ktorá bola u nás transformovaná zákonom č. 452/2021 Z. z. o elektronických komunikáciách. Tento vo svojom § 109 ods. 8 uvádza: “Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas. Povinnosť získania súhlasu sa nevzťahuje na orgán činný v trestnom konaní a iný orgán štátu. To nebráni technickému uloženiu údajov alebo prístupu k nim, ktorých jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete, alebo ak je to bezpodmienečne potrebné pre poskytovateľa služieb informačnej spoločnosti na poskytovanie služby informačnej spoločnosti, ktorú výslovne požaduje užívateľ.”
Z uvedeného vyplýva, že umiestnenenie cookies prebieha buď so súhlasom alebo bez súhlasu návštevníka stránky.
Až v prípade následných činností spracúvania osobných údajov, teda tých, ktoré sú vykonávané PO uložení cookies postupujeme podľa všeobecného nariadenia o ochrane údajov a z neho vyplývajúcih právnych základov.
Chýbajúce tlačidlo pre odmietnutie
Bannery s i informáciami o cookies, prostredníctvom ktorých je získavaný súhlas s umiestnením cookies musia obsahovať aj tlačidlo pre odmietnutie cookies.
Preto napríklad nie je správne, ak sú súčasťou banner len dve tlačidla, a to “Súhlasím s cookies” a “Ďalšie nastavenia”.
Akonáhle získavate súhlas, napríklad prostredníctvom tlačidla “Súhlasím”, je nevyhnutné, aby na tej istej úrovni bolo aj tlačidlo “Odmietnuť” cookies.
Vopred začiarknuté políčka
Ak prevádzkovateľ využíva funkciu prednastaveného začiarknutého políčka pre súhlas, jeho postup nie je v súlade s legislatívou.
Napríklad: Keď je súčasťou bannera tlačidlo “ďalšie nastavenia”, na ktoré keď návštevník stránky klikne a zobrazí sa mu podrobnejšia informácia o účeloch spracúvania osobných údajov získaných prostredníctvom cookies, pričom je predom začiarknutá možnosť súhlasu so spracúvaním. Tento postup nie je správny. Akékoľvek vopred začiarkné políčka pre získanie súhlasu (táto zásada platí vždy, nie len pri cookies) nevedú k získaniu platného súhlasu. Znamená to, že aj keď návštevník stránky ponechá možnosť začiarknutú (teda neodčiarkne prednastavený súhlas) a ďalej pokračuje v prehliadaní stránky, súhlas neudelil.
Odmietnutie nie je rovnocenné súhlasu
Niektorí prevádzkovatelia internetových stránok pre súhlas využívajú tlačidlo, možnosť odmietnúť cookies je však “degradovaná” na odkaz, nie tlačidlo. Možnosť odmietnúť cookies tak nie je vizuálne rovnocenná súhlasu.
Napríklad: Keď súčasťou bannera je tlačidlo “súhlasím” s cookies, možnosť “odmietnúť” je však zobrazená len ako text, ktorý je umiestnený mimo zreteľného banneru so súbormi cookies. Tento postup nie je správny.
Farba a kontrast tlačidiel
Použitý kontrast a farby nesmie byť zavádzajúce a nesmie vyvolávať neúmyselný súhlas. Je nesprávne, keď tlačidlo súhlasu ju pekne zreteľné a čitateľné, ale tlačidlo pre odmietnutie je s minimálnym kontrastom medzi textom tlačidla a jeho pozadím. Text tlačidla “odmietnúť” je tak pre väčšinu stránky nečitateľný. Tento postup nie je správny.
Oprávnený záujem
Na druhej informačnej vrstve sa prevádzkovatelia odvolávajú na právny základ oprávneného záujmu, a to v situáciách, keď ide napríklad o vytvorenie “personalizovaného profilu návštevníka” alebo nasmerovanie “personalizovných reklám”. Oprávnený záujem však nie je správny právny základ. Záujem prevádzkovateľa totiž neprevažuje nad záujmami dotknutých osôb.
Taktiež nie je možné oprávnený záujem považovať za právny základ pre umiestňovanie alebo čítanie súborov cookies, keď toto má prebiehať v zmysle smernice 2022/58/ES o súkromí a elektronických komunikáciách.
Nesprávna klasifikácia cookies
Niektorí prevádzkovatelia nesprávne klasifikujú cookies ako “nevyhnutné”, ktoré však v zmysle smernice o súkromí a elektronických komunikáciách nemožno považovať za nutné. V tejto súvislosti boli spomenuté rôzne nástroje (napríklad tie, ktoré sú dostupné online), ktoré možno využiť na analýzu internetovej stránky z hľadiska cookies.
Ikonky odvolania súhlasu
Každý prevádzkovateľ internetovej stránky, ktorý získa súhlas so spracúvaním musí zabezpečiť, aby:
- návštevník mal možno súhlas odvolať,
- mal možnosť súhlas odvolať kedykoľvek
- a odvolanie súhlasu musí byť bolo rovnako jednoduché, ako jeho udelenie.
Za účelom plnenia týchto troch požiadaviek využívajú prevádzkovatelia rôzne formy, ako napríklad trvalú malú ikonku (grafický prvok), ktorá sa zobrazuje v ktorejkoľvek časti webu (napríklad v ľavej dolnej časti). Po kliknutí naň sa návštevníkovi stránky zobrazí možnosť súhlas odvolať.