Skip to main content

Smernica o súkromí a elektronických komunikáciách: Vysvetlenie zákona EÚ o cookies

Keď ľudia hovoria o „zákone EÚ o cookies", zvyčajne majú na mysli smernicu o súkromí a elektronických komunikáciách (ePrivacy) — konkrétne článok 5 ods. 3. Hoci GDPR získava najviac pozornosti, práve smernica ePrivacy je predpisom, ktorý priamo upravuje používanie cookies a podobných sledovacích technológií. Porozumenie tejto smernici, jej vzťahu ku GDPR a pripravovanému nariadeniu ePrivacy je nevyhnutné pre každého, kto zodpovedá za súlad s pravidlami o cookies na európskej webovej stránke.

Čo je smernica ePrivacy?

Smernica ePrivacy (oficiálne smernica 2002/58/ES) bola prijatá 12. júla 2002 ako súčasť rámca EÚ pre ochranu súkromia v telekomunikáciách. Pôvodne sa zameriavala na súkromie v oblasti elektronických komunikácií — pokrývala témy ako dôvernosť komunikácií, prevádzkové údaje, spam a identifikáciu volajúceho.

V roku 2009 bola smernica výrazne novelizovaná smernicou 2009/136/ES (často nazývanou „smernica o právach občanov"). Táto novela zaviedla požiadavku na súhlas s cookies, ktorú poznáme dnes, a nahradila predchádzajúci režim opt-out modelom opt-in. Pred rokom 2009 museli webové stránky používateľov o cookies len informovať a poskytnúť im právo ich odmietnuť. Po roku 2009 sa predchádzajúci súhlas stal povinným pre všetky nepodstatné cookies.

Na rozdiel od GDPR, ktoré je nariadením (priamo uplatniteľným vo všetkých členských štátoch), je smernica ePrivacy smernicou (každý členský štát ju musí transponovať do vnútroštátneho práva). To znamená, že konkrétne pravidlá pre cookies sa v jednotlivých krajinách líšia, aj keď základné požiadavky sú rovnaké.

Článok 5 ods. 3: Pravidlo o súhlase s cookies

Článok 5 ods. 3 smernice ePrivacy je ustanovením, ktoré priamo upravuje cookies. V novelizovanom znení uvádza:

„Členské štáty zabezpečia, aby ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené v koncovom zariadení účastníka alebo používateľa, bolo povolené len pod podmienkou, že daný účastník alebo používateľ udelil svoj súhlas na základe jasných a úplných informácií poskytnutých v súlade s [smernicou o ochrane údajov, teraz GDPR], okrem iného o účeloch spracúvania."

Toto ustanovenie zakladá niekoľko kľúčových požiadaviek:

  1. Rozsah pôsobnosti: Vzťahuje sa na akékoľvek ukladanie informácií do zariadenia používateľa alebo prístup k informáciám uloženým v zariadení používateľa. To zahŕňa cookies, ale aj lokálne úložisko, IndexedDB, snímanie odtlačku zariadenia, sledovacie pixely a akúkoľvek inú technológiu, ktorá číta z alebo zapisuje do zariadenia používateľa.
  2. Predchádzajúci súhlas: Súhlas musí byť získaný pred uložením alebo sprístupnením informácií — nie potom.
  3. Informovaný súhlas: Používateľovi sa musia poskytnúť jasné a úplné informácie o účeloch ukladania alebo prístupu.
  4. Štandard súhlasu: Odkaz na GDPR (pôvodne smernicu o ochrane údajov) znamená, že sa uplatňuje definícia a podmienky súhlasu podľa GDPR. Súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný.

Výnimka pre „nevyhnutne potrebné" cookies

Článok 5 ods. 3 obsahuje vo svojej druhej vete dôležitú výnimku:

„Toto nebráni nijakému technickému ukladaniu alebo prístupu výhradne na účely vykonania prenosu komunikácie prostredníctvom elektronickej komunikačnej siete, alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služby informačnej spoločnosti, o ktorú účastník alebo používateľ výslovne požiadal, mohol túto službu poskytnúť."

Táto výnimka pokrýva dve kategórie cookies, ktoré nevyžadujú súhlas:

  1. Cookies potrebné na prenos komunikácie (napr. cookies na vyvažovanie záťaže).
  2. Cookies nevyhnutne potrebné na poskytnutie služby, o ktorú používateľ výslovne požiadal (napr. cookies nákupného košíka, cookies autentifikačnej relácie, cookies používateľských preferencií pre službu, ktorú používateľ aktívne používa).

Predchodca Európskeho výboru pre ochranu údajov, pracovná skupina podľa článku 29, poskytol podrobné usmernenie o tom, ktoré cookies spĺňajú kritériá nevyhnutne potrebných, v stanovisku 04/2012. Príklady zahŕňajú:

  • Vyňaté (súhlas nie je potrebný): cookies relácie pre používateľský vstup (viackrokové formuláre), autentifikačné cookies, cookies nákupného košíka, bezpečnostné cookies (CSRF tokeny), cookies relácie prehrávača multimédií, cookies na vyvažovanie záťaže, cookies na prispôsobenie používateľského rozhrania (jazyková preferencia) pre aktuálnu reláciu.
  • Nevyňaté (súhlas je potrebný): analytické cookies (vrátane Google Analytics), reklamné cookies, cookies na zdieľanie/sledovanie na sociálnych sieťach, trvalé preferenčné cookies, ktoré pretrvávajú aj po skončení relácie, akékoľvek sledovacie cookies tretích strán.

Kľúčovým rozdielom je rozlišovanie medzi cookies, ktoré slúžia výslovnej požiadavke používateľa, a cookies, ktoré slúžia záujmom prevádzkovateľa webovej stránky. Cookie jazykovej preferencie nastavená preto, že používateľ klikol na výber jazyka, je nevyhnutne potrebná. Analytické cookie nastavené na to, aby prevádzkovateľovi pomohli pochopiť návštevnosť, nie sú — aj keď ich prevádzkovateľ považuje za dôležité.

Ako ePrivacy a GDPR fungujú spoločne

Vzťah medzi smernicou ePrivacy a GDPR je vzťahom lex specialis (osobitný zákon) a lex generalis (všeobecný zákon). Smernica ePrivacy je osobitným zákonom upravujúcim súkromie v elektronických komunikáciách, zatiaľ čo GDPR je všeobecným rámcom na ochranu údajov.

V praxi to znamená:

  • Smernica ePrivacy upravuje, či môžete umiestniť cookie do zariadenia používateľa. Vyžaduje súhlas pre nepodstatné cookies, bez ohľadu na to, či cookie obsahuje osobné údaje.
  • GDPR upravuje, čo predstavuje platný súhlas a ako môžete spracúvať akékoľvek osobné údaje zhromaždené prostredníctvom cookies. Poskytuje tiež rámec na presadzovanie práva vrátane práva podať sťažnosť na dozorné orgány (DPA) a režimu vysokých pokút.

To znamená, že aj cookie, ktorá neobsahuje osobné údaje (napríklad náhodne vygenerovaný analytický identifikátor bez väzby na akékoľvek iné údaje), stále vyžaduje súhlas podľa smernice ePrivacy, pretože článok 5 ods. 3 sa vzťahuje na akékoľvek ukladanie do zariadenia používateľa — nielen na ukladanie osobných údajov.

Naopak, ak prostredníctvom cookies spracúvate osobné údaje, musíte dodržiavať celý rámec GDPR: právny základ, transparentnosť, práva dotknutých osôb, posúdenia vplyvu na ochranu údajov a všetky ostatné povinnosti.

Vnútroštátne implementácie

Keďže smernica ePrivacy je smernicou, a nie nariadením, každý členský štát EÚ ju transponoval do vnútroštátneho práva s určitými odchýlkami. Hoci základná požiadavka — súhlas pred nepodstatnými cookies — je vo všetkých členských štátoch jednotná, existujú výrazné rozdiely v:

  • Intenzite presadzovania: Francúzsko (CNIL) a Taliansko (Garante) boli najaktívnejšie v presadzovaní pravidiel o cookies, zatiaľ čo iné krajiny sústredili svoje zdroje inam.
  • Konkrétnych výnimkách: Niektoré krajiny prijali o niečo širšie alebo užšie výklady výnimky pre „nevyhnutne potrebné" cookies.
  • Analytických cookies: Niektoré dozorné orgány skúmali, či správne nakonfigurované, súkromie chrániace analytické nástroje (napr. anonymizovaná analytika bez sledovania medzi stránkami) môžu spĺňať kritériá základu oprávneného záujmu. Výnimka francúzskeho CNIL pre nástroje merania návštevnosti za osobitných podmienok je najznámejším príkladom, hoci zostáva kontroverzná.
  • Cookie stenách (cookie walls): Zákonnosť cookie stien (vyžadovanie súhlasu na prístup na webovú stránku) sa líši podľa jurisdikcie. Holandský dozorný orgán a EDPB zaujali voči nim prísne stanovisko, zatiaľ čo francúzska Štátna rada (Conseil d'État) ich za určitých podmienok považovala za prípustné.

Navrhované nariadenie ePrivacy

Európska komisia zverejnila návrh nariadenia ePrivacy v januári 2017 s cieľom nahradiť smernicu ePrivacy a zosúladiť pravidlá pre cookies s GDPR. O viac ako deväť rokov neskôr sa o nariadení stále rokuje, čím sa stalo jedným z najdlhšie prebiehajúcich legislatívnych procesov v histórii EÚ.

Kľúčové zmeny v navrhovanom nariadení

Hoci konečné znenie ešte nie je schválené, návrh a následné pozície Rady naznačili niekoľko významných zmien:

  • Priama uplatniteľnosť: Ako nariadenie, a nie smernica, by sa nariadenie ePrivacy uplatňovalo jednotne vo všetkých členských štátoch, čím by sa odstránila súčasná roztrieštenosť.
  • Súhlas na úrovni prehliadača: Skoré návrhy obsahovali ustanovenia umožňujúce používateľom nastaviť svoje preferencie pre cookies na úrovni prehliadača namiesto reagovania na jednotlivé cookie lišty na každej webovej stránke. Toto by dramaticky zjednodušilo používateľský zážitok, hoci technické a politické výzvy sú značné.
  • Rozšírený rozsah pôsobnosti: Nariadenie by sa rozšírilo tak, aby pokrývalo aj komunikačné služby typu over-the-top (OTT) ako WhatsApp a Skype, ktoré súčasná smernica nepokrýva.
  • Jasnejšie výnimky: Nariadenie sa snaží objasniť, ktoré typy cookies sú vyňaté z požiadavky na súhlas, pričom potenciálne rozširuje výnimku aj na určité typy merania návštevnosti.
  • Pravidlá pre metaúdaje: Nové ustanovenia upravujúce spracúvanie metaúdajov o komunikáciách (údaje o polohe, časy pripojenia) nad rámec toho, čo pokrýva súčasná smernica.
  • Harmonizované presadzovanie: Nariadenie by zaviedlo jednotný mechanizmus presadzovania práva, pravdepodobne podľa vzoru zásady jednotného kontaktného miesta (one-stop-shop) z GDPR.

Aktuálny stav a časový harmonogram

Začiatkom roka 2026 je nariadenie ePrivacy stále predmetom trialógových rokovaní medzi Európskym parlamentom, Radou EÚ a Európskou komisiou. Pokrok je pomalý pre zásadné nezhody v niekoľkých bodoch vrátane mechanizmu súhlasu na úrovni prehliadača, rozsahu výnimky pre „nevyhnutne potrebné" cookies a pravidiel pre spracúvanie metaúdajov.

Najrealistickejším scenárom je, že nariadenie nebude finalizované skôr ako v roku 2027, a to s ďalším prechodným obdobím 12 – 24 mesiacov, kým nadobudne účinnosť. Prevádzkovatelia webových stránok by mali naďalej dodržiavať súčasnú smernicu ePrivacy transponovanú do ich vnútroštátneho práva, doplnenú o rámec súhlasu podľa GDPR.

Praktické dôsledky pre vlastníkov webových stránok

Bez ohľadu na regulačnú neistotu okolo pripravovaného nariadenia ePrivacy sú súčasné pravidlá jasné a aktívne presadzované. Vlastníci webových stránok by mali:

  1. Považovať súčasný režim za východiskový stav. Požiadavka na súhlas pre nepodstatné cookies je zavedeným zákonom v celej EÚ. Nečakajte na nariadenie ePrivacy, aby ste zaviedli súlad.
  2. Blokovať nepodstatné cookies pred udelením súhlasu. Toto je technicky najnáročnejším aspektom súladu, ale je neoddiskutovateľné. Váš mechanizmus súhlasu s cookies musí zabrániť skriptom nastavovať cookies, kým používateľ aktívne neudelí súhlas.
  3. Uplatňovať štandard súhlasu podľa GDPR. Keď smernica ePrivacy hovorí „súhlas", myslí tým súhlas podľa GDPR: slobodný, konkrétny, informovaný, jednoznačný a preukázaný jasným kladným úkonom.
  4. Dokumentovať svoje nevyhnutne potrebné cookies. Udržiavajte jasný záznam o tom, ktoré cookies považujete za nevyhnutne potrebné a prečo. Buďte pripravení túto klasifikáciu odôvodniť, ak ju dozorný orgán spochybní.
  5. Sledovať vnútroštátny vývoj. Keďže smernica ePrivacy je implementovaná v každej krajine odlišne, buďte informovaní o usmerneniach a činnostiach presadzovania práva dozorných orgánov v krajinách, kde sa nachádzajú vaši používatelia.
  6. Pripraviť sa na nariadenie ePrivacy. Hoci je časový harmonogram neistý, smerovanie je jasné: harmonizovanejšie pravidlá, potenciálne širšie mechanizmy súhlasu a pokračujúci dôraz na súkromie používateľov. Vybudovanie robustného systému správy súhlasu už teraz uľahčí prechod, keď nastane.

Smernica ePrivacy má síce viac ako dve desaťročia, no zostáva základným kameňom zákona o cookies v Európe. V kombinácii s rámcom súhlasu podľa GDPR a aktívnymi programami presadzovania práva národných dozorných orgánov vytvára regulačné prostredie, v ktorom súlad s pravidlami o cookies nie je voliteľný — je to zákonná povinnosť s reálnymi finančnými dôsledkami pri jej nedodržaní.

Je váš web v súlade s pravidlami cookies?

Skenujte svoj web zadarmo a nájdite všetky cookies za pár minút.

Skenovať cookies zadarmo