Skip to main content

Súhlas s cookies: čo zákon skutočne vyžaduje

Súhlas s cookies patrí medzi najviac nepochopené požiadavky v oblasti digitálneho súkromia. Mnohé firmy sú presvedčené, že sú v súlade s predpismi, pretože zobrazujú cookie lištu. Lišta však nie je súhlasom. Súhlas je konkrétny právny pojem s presnými požiadavkami — a ich nesplnenie môže znamenať, že celý váš zber údajov je nezákonný.

Právny základ

Súhlas s cookies stojí na dvoch právnych pilieroch:

Článok 5(3) smernice ePrivacy stanovuje požiadavku: ukladanie informácií na zariadení používateľa alebo prístup k nim si vyžaduje súhlas používateľa, pokiaľ ukladanie nie je nevyhnutne potrebné pre službu, ktorú si používateľ výslovne vyžiadal. Toto je pravidlo, ktoré konkrétne upravuje cookies.

Článok 4(11) GDPR definuje, čo súhlas znamená: „,súhlas' dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú."

Tieto dve ustanovenia fungujú spoločne. Smernica ePrivacy vám hovorí, kedy je súhlas potrebný (pri nepodstatných cookies). GDPR vám hovorí, ako vyzerá platný súhlas. Splnené musia byť obe.

Päť požiadaviek platného súhlasu

Na základe článku 4(11) GDPR, článku 7 a usmernení EDPB 05/2020 o súhlase musí platný súhlas s cookies spĺňať päť kritérií:

1. Slobodne daný

Používateľ musí mať skutočnú možnosť voľby. Súhlas nie je slobodný, ak:

  • Prístup je podmienený súhlasom. Ak používateľ nemôže využívať webovú stránku bez prijatia všetkých cookies (tzv. „cookie wall"), súhlas nie je slobodne daný. EDPB tento postoj potvrdil, hoci niektoré národné dozorné orgány za osobitných okolností povoľujú obmedzené cookie walls — najmä ak existuje skutočná alternatíva (napríklad platená verzia bez cookies).
  • Existuje výrazná nerovnováha síl. Vo vzťahoch zamestnávateľ – zamestnanec alebo štát – občan nemusí byť súhlas skutočne slobodný. Pre väčšinu webových stránok je to menej relevantné, no je to dôležité pri štátnych službách a intranetových platformách.
  • Odmietnutie je výrazne ťažšie ako prijatie. Ak je „Prijať všetko" výrazným tlačidlom a „Odmietnuť všetko" si vyžaduje prechádzanie cez nastavenia, súhlas nie je slobodne daný. Talianska Garante aj francúzska CNIL vydali konkrétne usmernenia, ktoré vyžadujú, aby odmietnutie cookies bolo rovnako jednoduché ako ich prijatie.

2. Konkrétny

Súhlas musí byť udelený osobitne pre každý samostatný účel. Práve preto existujú kategórie cookies. Platný mechanizmus súhlasu musí umožniť používateľom prijať analytické cookies a zároveň odmietnuť marketingové cookies, prípadne naopak. Zoskupenie všetkých cookies do jediného „prijať" alebo „odmietnuť" nespĺňa požiadavku konkrétnosti — hoci ponúknutie tlačidiel „Prijať všetko" a „Odmietnuť všetko" ako rýchlych volieb popri ovládaní jednotlivých kategórií je prípustné.

3. Informovaný

Pred udelením súhlasu musí byť používateľ informovaný o tom:

  • Kto cookies nastavuje (prevádzkovateľ webovej stránky a prípadné tretie strany)
  • Čo jednotlivé kategórie cookies robia
  • Ako dlho cookies trvajú
  • Ako súhlas odvolať

Tieto informácie musia byť prezentované zrozumiteľne a jednoduchým jazykom. Zásady používania cookies s 5 000 slovami skryté za troma kliknutiami nerobia súhlas „informovaným" v žiadnom zmysluplnom význame. Prvá vrstva vášho mechanizmu súhlasu by mala obsahovať dostatok informácií na to, aby sa používateľ mohol informovane rozhodnúť.

4. Jednoznačný

Súhlas si vyžaduje jednoznačný potvrdzujúci úkon. Používateľ musí aktívne niečo urobiť na vyjadrenie súhlasu — kliknúť na tlačidlo, zaškrtnúť políčko, prepnúť prepínač.

Čo NEPREDSTAVUJE jednoznačný súhlas:

  • Vopred zaškrtnuté políčka. Súdny dvor EÚ rozhodol definitívne vo veci Planet49 (vec C-673/17, október 2019), že vopred zaškrtnuté políčka nepredstavujú platný súhlas. Platí to pre nastavenia súhlasu s cookies, kde sú kategórie predvolene zaškrtnuté.
  • Pokračovanie v prehliadaní. „Pokračovaním v používaní tejto stránky súhlasíte s cookies" nie je platný súhlas. Samotné rolovanie alebo kliknutie na odkaz nie je „jednoznačným prejavom vôle". Potvrdilo to viacero dozorných orgánov a usmernenia EDPB sú v tomto bode výslovné.
  • Nastavenia prehliadača. Spoliehanie sa na nastavenia prehliadača používateľa ako formu súhlasu regulátori odmietli. Prevádzkovateľ webovej stránky musí získať súhlas priamo.
  • Mlčanie alebo nečinnosť. Ak používateľ lištu ignoruje a pokračuje v prehliadaní, nie je to súhlas. Žiadne cookies by sa nemali umiestniť, kým používateľ neurobí aktívnu voľbu.

5. Predchádzajúci

Hoci nie je v článku 4(11) GDPR uvedený ako samostatný prvok, smernica ePrivacy jasne stanovuje, že súhlas musí byť získaný predtým, ako sa cookies umiestnia. Túto požiadavku mnohé webové stránky stále nespĺňajú. Skripty, ktoré sa spustia pri načítaní stránky — nastavujúce analytické a marketingové cookies ešte predtým, ako používateľ vôbec uvidel lištu súhlasu — porušujú túto základnú požiadavku.

Technicky to znamená, že nepodstatné skripty musia byť blokované, kým sa neudelí súhlas. Samotné zobrazenie lišty, zatiaľ čo sa cookies už nastavujú, nespĺňa požiadavku predchádzajúceho súhlasu.

Ako vyzerá platný súhlas v praxi

Implementácia súhlasu s cookies, ktorá je v súlade s predpismi:

  1. Blokuje všetky nepodstatné cookies predtým, ako používateľ interaguje s mechanizmom súhlasu.
  2. Prezentuje jasnú prvú vrstvu, ktorá vysvetľuje kategórie použitých cookies, s možnosťou prijať alebo odmietnuť každú kategóriu.
  3. Ponúka „Prijať všetko" a „Odmietnuť všetko" na rovnakej úrovni výraznosti — rovnaká veľkosť, rovnaká vizuálna váha, rovnaký počet potrebných kliknutí.
  4. Nepoužíva klamlivé vzory (dark patterns) — žiadne zavádzajúce farby tlačidiel, žiadne skryté možnosti odmietnutia, žiadne mätúce formulácie, žiadne nabádanie k prijatiu.
  5. Odkazuje na podrobné zásady používania cookies, ktoré uvádzajú každý cookie podľa názvu, účelu, trvania a poskytovateľa.
  6. Zaznamenáva súhlas s časovou pečiatkou a konkrétnymi kategóriami, ktoré používateľ prijal alebo odmietol.
  7. Spúšťa len príslušné skripty po udelení súhlasu pre danú konkrétnu kategóriu.

Životný cyklus súhlasu

Súhlas nie je jednorazová udalosť. Má životný cyklus, ktorý musí vaša implementácia podporovať:

Zber

Prvá návšteva: zobrazte mechanizmus súhlasu, blokujte nepodstatné cookies, počkajte na úkon používateľa.

Uchovávanie

Keď je súhlas udelený, uložte voľbu používateľa do nevyhnutne potrebného cookie (pre tento cookie nie je potrebný súhlas, keďže je nutný na rešpektovanie preferencií súkromia používateľa). Uložte tiež záznam na strane servera ako dôkaz o súhlase.

Uplatnenie

Pri následných načítaniach stránky prečítajte cookie so súhlasom a spustite len tie skripty, ktoré zodpovedajú kategóriám, ktoré používateľ prijal. Lištu už znova nezobrazujte — rešpektujte uloženú voľbu.

Odvolanie

Článok 7(3) GDPR je jednoznačný: „Odvolať súhlas musí byť také jednoduché ako ho udeliť." Vaša webová stránka musí používateľom poskytnúť trvalý, ľahko dostupný spôsob, ako kedykoľvek zmeniť svoje preferencie cookies. Bežným prístupom je malá ikona alebo odkaz v pätičke, ktorý znovu otvorí rozhranie na správu súhlasu.

Obnovenie

Súhlas netrvá večne. CNIL odporúča obnovovať súhlas každých 13 mesiacov. EDPB nestanovil konkrétnu dobu, ale vyžaduje, aby súhlas zostal platný a aby voľba používateľa stále odrážala jeho skutočné želania. Osvedčeným postupom je vyžiadať si súhlas znova aspoň raz ročne alebo vždy, keď sa vaše používanie cookies výrazne zmení.

Zmeny

Ak pridáte nové cookies, nové služby tretích strán alebo nové účely, existujúci súhlas ich už nemusí pokrývať. Používatelia by mali byť znova vyzvaní, aby udelili (alebo odmietli) súhlas s novým spracúvaním.

Záznamy o súhlase a dôkazy

Článok 7(1) GDPR uvádza: „Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas." Pri súhlase s cookies to znamená, že musíte viesť záznamy o tom:

  • Kedy bol súhlas udelený (časová pečiatka)
  • S čím používateľ súhlasil (ktoré kategórie boli prijaté, ktoré odmietnuté)
  • Ako bol súhlas získaný (ako vyzeral mechanizmus súhlasu v danom čase — identifikátor verzie alebo snímka obrazovky)
  • Kto súhlas udelil (zvyčajne anonymizovaný identifikátor, nie meno používateľa)

Ak vás regulátor požiada, aby ste preukázali, že konkrétny cookie bol umiestnený s platným súhlasom, tieto záznamy sú vašou obranou. Bez nich nemáte žiadny dôkaz, že váš mechanizmus súhlasu funguje — a dôkazné bremeno leží na vás, nie na regulátorovi.

Bežné zlyhania súhlasu

Na základe donucovacích opatrení naprieč Európou sú toto najčastejšie sankcionované zlyhania súhlasu:

  1. Cookies umiestnené pred súhlasom. Analytické a marketingové skripty spúšťané pri načítaní stránky ešte predtým, ako používateľ interaguje s lištou.
  2. Žiadna možnosť odmietnutia v prvej vrstve. Vyžadovanie, aby používatelia klikli na „Nastavenia" alebo „Spravovať preferencie" na odmietnutie cookies, zatiaľ čo „Prijať všetko" je okamžite dostupné.
  3. Vopred zaškrtnuté kategórie. Prepínače súhlasu, ktoré sú pre analytiku a marketing predvolene „zapnuté".
  4. Žiadny spôsob odvolania súhlasu. Po zatvorení lišty nemá používateľ žiadny spôsob, ako svoju voľbu zmeniť.
  5. Súhlasová stena / cookie wall. Blokovanie prístupu k obsahu, pokiaľ nie sú prijaté všetky cookies.
  6. Zavádzajúci dizajn. Použitie zelenej pre „Prijať" a sivej pre „Odmietnuť", zväčšenie tlačidla na prijatie alebo použitie mätúcich formulácií ako „Pokračovať bez prijatia" oproti „Prijať a pokračovať".

Passiro skenuje implementáciu súhlasu s cookies na vašej webovej stránke a kontroluje tieto bežné zlyhania, čím vám pomáha identifikovať a odstrániť medzery v súlade s predpismi skôr, ako to urobí regulátor.

Ďalej: kedy presne je súhlas potrebný? Odpoveď zahŕňa niekoľko dôležitých nuáns vrátane výnimky pre nevyhnutne potrebné cookies a pokračujúcej diskusie okolo analytiky prvej strany.

Je váš web v súlade s pravidlami cookies?

Skenujte svoj web zadarmo a nájdite všetky cookies za pár minút.

Skenovať cookies zadarmo