GDPR a cookies: Kompletný sprievodca súladom s predpismi
Všeobecné nariadenie o ochrane údajov (GDPR) od svojej účinnosti 25. mája 2018 zásadne zmenilo spôsob, akým webové stránky pracujú s cookies. Hoci hlavným právnym predpisom EÚ upravujúcim cookies je smernica ePrivacy, GDPR sa uplatňuje vždy, keď cookies spracúvajú osobné údaje — čo v praxi znamená takmer vždy. Pochopenie toho, ako sa GDPR vzťahuje na cookies, je nevyhnutné pre každú webovú stránku, ktorá pôsobí v Európskom hospodárskom priestore alebo cieli na jeho používateľov.
Ako sa GDPR vzťahuje na cookies
GDPR cookies výslovne nespomína. Namiesto toho upravuje spracúvanie osobných údajov, ktoré článok 4 ods. 1 definuje ako akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Recitál 30 GDPR výslovne uvádza, že online identifikátory — vrátane identifikátorov cookies — sa môžu použiť na vytváranie profilov fyzických osôb a ich identifikáciu. To znamená, že akékoľvek cookie obsahujúce jedinečný identifikátor alebo naň naviazané predstavuje podľa GDPR osobný údaj.
V praxi to zahŕňa takmer všetky cookies s výnimkou tých najzákladnejších funkčných. Analytické cookies, ktoré priraďujú jedinečné ID návštevníka, reklamné cookies, ktoré sledujú správanie pri prehliadaní, a dokonca aj relačné cookies naviazané na používateľský účet, všetky spracúvajú osobné údaje, a preto podliehajú požiadavkám GDPR.
Článok 6: Právny základ spracúvania
Podľa článku 6 GDPR si každé spracúvanie osobných údajov vyžaduje právny základ. V prípade spracúvania súvisiaceho s cookies sa najčastejšie uplatňujú dva základy:
- Súhlas (článok 6 ods. 1 písm. a): Dotknutá osoba udelila súhlas so spracúvaním na jeden alebo viac konkrétnych účelov. Ide o hlavný právny základ pre väčšinu spracúvania cookies, najmä pri analytických, marketingových a reklamných cookies.
- Oprávnený záujem (článok 6 ods. 1 písm. f): Spracúvanie je nevyhnutné na účely oprávnených záujmov prevádzkovateľa za predpokladu, že tieto záujmy neprevažujú nad právami a slobodami dotknutej osoby.
Právny základ oprávneného záujmu je v kontexte cookies predmetom výraznej diskusie. Niektorí prevádzkovatelia webových stránok argumentovali, že analytické sledovanie slúži oprávnenému záujmu. Viacero úradov na ochranu údajov však tento argument v prípade cookies, ktoré nie sú nevyhnutné, odmietlo. Francúzsky CNIL, rakúsky DSB aj Európsky výbor pre ochranu údajov (EDPB) zaujali stanovisko, že pri analytických cookies je potrebný súhlas a že oprávnený záujem nemôže slúžiť ako právny základ na ukladanie nepodstatných cookies na zariadenie používateľa.
Usmernenia EDPB 05/2020 o súhlase jednoznačne uvádzajú: „Rolovanie alebo pokračovanie v prehliadaní webovej stránky nepredstavuje platný súhlas.“ Éra predpokladaného súhlasu s cookies sa skončila.
Článok 7: Podmienky platného súhlasu
Článok 7 stanovuje podmienky, ktoré musí súhlas spĺňať. Aby bol súhlas s cookies podľa GDPR platný, musí byť:
- Slobodne udelený: Používateľ musí mať skutočnú možnosť voľby. Súhlas nie je slobodne udelený, ak ho používateľ nemôže odmietnuť alebo odvolať bez ujmy. Cookie steny, ktoré blokujú prístup na webovú stránku, ak nie sú prijaté všetky cookies, viaceré úrady na ochranu údajov vyhodnotili ako nesúladné, hoci právny stav sa v jednotlivých jurisdikciách líši.
- Konkrétny: Súhlas musí byť udelený na každý samostatný účel. Jediné tlačidlo „Prijať všetko“ bez možnosti udeliť súhlas s konkrétnymi kategóriami túto požiadavku nespĺňa.
- Informovaný: Používateľovi musí byť jasne oznámené, s čím súhlasí. To znamená identifikovať cookies, ich účely, zbierané údaje a všetky zúčastnené tretie strany.
- Jednoznačný: Súhlas musí byť udelený jasným potvrdzujúcim úkonom. Vopred zaškrtnuté políčka, mlčanie alebo nečinnosť nepredstavujú platný súhlas.
Článok 7 ods. 3 pridáva zásadnú požiadavku: odvolanie súhlasu musí byť rovnako jednoduché ako jeho udelenie. Ak môže používateľ prijať cookies jediným kliknutím, musí mať možnosť tento súhlas odvolať rovnako ľahko. Cookie banner, ktorý zvýrazňuje tlačidlo „Prijať“, ale možnosť odmietnutia skrýva na stránke nastavení niekoľko kliknutí hlboko, nie je v súlade.
Článok 4 ods. 11: Definícia súhlasu
Článok 4 ods. 11 definuje súhlas ako „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú“.
Túto definíciu posilňuje recitál 32, ktorý uvádza:
„Súhlas by sa mal vyjadriť jednoznačným potvrdzujúcim úkonom, ktorým dotknutá osoba slobodne, konkrétne, informovane a jednoznačne prejaví súhlas so spracúvaním osobných údajov. Mohlo by to zahŕňať zaškrtnutie políčka pri návšteve internetovej stránky. Mlčanie, vopred zaškrtnuté políčka alebo nečinnosť by sa preto nemali pokladať za súhlas.“
Prelomové rozhodnutie Súdneho dvora Európskej únie (SDEÚ) vo veci Planet49 z októbra 2019 (vec C-673/17) tento výklad potvrdilo, keď rozhodlo, že vopred zaškrtnuté políčka nepredstavujú platný súhlas s cookies.
Povinnosti transparentnosti: Články 12 – 14
Články 12 až 14 vyžadujú, aby prevádzkovatelia poskytovali informácie o spracúvaní údajov v stručnej, transparentnej, zrozumiteľnej a ľahko prístupnej forme, jasným a jednoduchým jazykom. V prípade cookies to znamená:
- Vaše zásady používania cookies musia byť napísané jazykom, ktorému bežní používatelia rozumejú — nie právnickým žargónom.
- Informácie sa musia poskytnúť v čase zberu údajov (t. j. skôr, než sa cookies nastavia).
- Používateľom sa musí oznámiť totožnosť prevádzkovateľa, účely spracúvania, kategórie údajov, prípadní príjemcovia, doby uchovávania a ich práva.
- Ak sa cookies zdieľajú s tretími stranami (napríklad Google Analytics, Facebook Pixel alebo reklamné siete), tieto tretie strany musia byť identifikované.
Článok 17: Právo na vymazanie
Článok 17 dáva dotknutým osobám právo na vymazanie ich osobných údajov. V kontexte cookies to znamená, že ak používateľ požiada o vymazanie svojich údajov, musia sa vymazať všetky osobné údaje zhromaždené prostredníctvom cookies. Zahŕňa to analytické profily, reklamné identifikátory a všetky ostatné údaje naviazané na identifikátory cookies.
Pre prevádzkovateľov webových stránok využívajúcich analytické alebo reklamné služby tretích strán to môže byť obzvlášť náročné, keďže údaje môže mať v držbe tretia strana. Vaše zmluvy o spracúvaní údajov s poskytovateľmi cookies tretích strán by mali obsahovať ustanovenia o vybavovaní žiadostí o vymazanie.
GDPR verzus ePrivacy: Ktorý sa uplatní a kedy?
Vzťah medzi GDPR a smernicou ePrivacy môže byť mätúci. Takto na seba nadväzujú:
- Smernica ePrivacy (článok 5 ods. 3) upravuje samotné ukladanie informácií do zariadenia používateľa alebo prístup k nim. Vyžaduje súhlas pri všetkých cookies okrem tých, ktoré sú nevyhnutne potrebné. Ide o lex specialis (osobitný predpis) pre cookies.
- GDPR upravuje následné spracúvanie akýchkoľvek osobných údajov zhromaždených prostredníctvom cookies. Poskytuje rámec pre to, čo predstavuje platný súhlas, práva dotknutých osôb a povinnosti prevádzkovateľov.
V praxi: smernica ePrivacy vám hovorí, že na nastavenie cookie potrebujete súhlas. GDPR vám hovorí, ako má platný súhlas vyzerať, čo môžete s údajmi robiť a aké práva majú používatelia vo vzťahu k týmto údajom. Oba sa uplatňujú súčasne.
Úrady na ochranu údajov a vymáhanie predpisov
Každý členský štát EÚ má úrad na ochranu údajov (DPA) zodpovedný za vymáhanie GDPR aj vnútroštátnych implementácií smernice ePrivacy. Tieto úrady majú právomoc vyšetrovať sťažnosti, vykonávať audity a ukladať pokuty až do výšky 4 % celosvetového ročného obratu alebo 20 miliónov €, podľa toho, ktorá suma je vyššia.
Vymáhanie predpisov súvisiacich s cookies sa od roku 2020 dramaticky zrýchlilo. Úrady na ochranu údajov v celej Európe prešli od usmernení a varovaní k výrazným pokutám, čím sa súlad v oblasti cookies stal skutočným obchodným rizikom, a nie iba teoretickým problémom.
Významné pokuty podľa GDPR súvisiace s cookies
Nasledujúce vymáhacie opatrenia dokazujú reálne finančné dôsledky nesúladu v oblasti cookies:
| Spoločnosť | Pokuta | Úrad | Rok | Kľúčový problém |
|---|---|---|---|---|
| Amazon Europe | 746 miliónov € | CNPD (Luxembursko) | 2021 | Nesúladné reklamné sledovanie a mechanizmy súhlasu |
| Google LLC | 150 miliónov € | CNIL (Francúzsko) | 2022 | Odmietnutie cookies nebolo rovnako jednoduché ako ich prijatie |
| Facebook (Meta) | 60 miliónov € | CNIL (Francúzsko) | 2022 | Žiadny jednoduchý mechanizmus na odmietnutie cookies |
| Microsoft (Bing) | 60 miliónov € | CNIL (Francúzsko) | 2022 | Cookies ukladané bez súhlasu, žiadny jednoduchý mechanizmus odmietnutia |
| TikTok | 5 miliónov € | CNIL (Francúzsko) | 2023 | Odmietnutie cookies si vyžadovalo viac kliknutí ako ich prijatie |
| Criteo | 40 miliónov € | CNIL (Francúzsko) | 2023 | Nezískanie platného súhlasu pre sledovacie cookies |
| Vueling Airlines | 30 000 € | AEPD (Španielsko) | 2020 | Žiadna možnosť odmietnuť cookies, iba „prijať“ |
Tieto pokuty sa neobmedzujú len na veľké korporácie. Vymáhacím opatreniam čelili aj malé a stredné podniky, najmä vo Francúzsku, Taliansku a Nemecku. Len samotný CNIL vydal v roku 2021 viac ako 100 formálnych výziev webovým stránkam všetkých veľkostí v súvislosti so súladom v oblasti cookies.
Praktický kontrolný zoznam pre súlad cookies s GDPR
Použite tento kontrolný zoznam na overenie, či vaša webová stránka spĺňa požiadavky GDPR na cookies:
- Identifikujte všetky cookies, ktoré vaša webová stránka nastavuje, vrátane tých, ktoré umiestňujú skripty tretích strán, ako sú analytické, reklamné a widgety sociálnych médií.
- Zaraďte každé cookie ako nevyhnutne potrebné, funkčné, analytické alebo marketingové/reklamné.
- Zaveďte predchádzajúci súhlas pre všetky nepodstatné cookies. Žiadne analytické ani marketingové cookies by sa nemali spustiť skôr, ako používateľ udelí súhlas.
- Prezentujte možnosti súhlasu spravodlivo. Možnosť odmietnuť cookies musí byť rovnako výrazná a dostupná ako možnosť ich prijať.
- Ponúknite granulárny súhlas. Používatelia musia mať možnosť udeliť súhlas s konkrétnymi kategóriami cookies namiesto toho, aby boli nútení do voľby všetko alebo nič.
- Nepoužívajte vopred zaškrtnuté políčka. Všetky voliteľné kategórie cookies musia byť predvolene nezaškrtnuté.
- Poskytnite jasné informácie o účele každého cookie, o údajoch, ktoré zbiera, o tom, kto má k údajom prístup a ako dlho cookie pretrváva.
- Identifikujte tretie strany. Uveďte názvy služieb tretích strán, ktoré na vašej stránke nastavujú cookies (Google Analytics, Facebook Pixel, HubSpot a pod.).
- Uľahčite odvolanie súhlasu. Poskytnite trvalý a ľahko dostupný spôsob, akým môžu používatelia zmeniť svoje preferencie cookies po počiatočnom súhlase. Bežnými riešeniami sú odkaz v päte alebo plávajúca ikona.
- Uchovávajte záznamy o súhlase. Veďte protokol o tom, kedy každý používateľ udelil súhlas, s čím súhlasil a aká verzia zásad používania cookies bola v tom čase platná.
- Rešpektujte voľby súhlasu aj technicky. Zabezpečte, aby odmietnutie súhlasu skutočne zabránilo nastaveniu príslušných cookies. To si vyžaduje blokovanie skriptov pred udelením súhlasu, nielen vymazanie cookies dodatočne.
- Udržiavajte zásady používania cookies, ktoré sú aktuálne, presné a napísané jednoduchým jazykom. Aktualizujte ich vždy, keď pridáte nové cookies alebo služby tretích strán.
- Vybavujte žiadosti dotknutých osôb. Majte zavedený postup na vybavovanie žiadostí o vymazanie, ktorý zahŕňa aj údaje zhromaždené prostredníctvom cookies.
- Skenujte pravidelne. Spúšťajte automatizované skenovanie cookies aspoň raz mesačne a po každom nasadení, aby ste zachytili nové cookies zavedené aktualizovanými skriptami alebo doplnkami.
Súlad v oblasti cookies podľa GDPR nie je jednorazová záležitosť. Vyžaduje si neustálu pozornosť, ako sa vaša webová stránka vyvíja, pribúdajú nové skripty a aktualizujú sa regulačné usmernenia. Organizácie, ktoré to vnímajú ako nepretržitý proces, a nie ako odškrtnutie políčka, sú tie, ktoré sa vyhýbajú vymáhacím opatreniam — a súčasne si budujú dôveru u svojich používateľov.
Je váš web v súlade s pravidlami cookies?
Skenujte svoj web zadarmo a nájdite všetky cookies za pár minút.
Skenovať cookies zadarmo