streda 24. marca 2021

Cookies: Zákonné používanie

Stránky na internete aj aplikácie v elektronických zariadeniach o nás zbierajú údaje, ktoré následne využívajú na marketingové účely. Európska únia a členské štáty sa týmito, často neoprávnenými zásahmi do súkromia zaoberajú už roky, no v mnohých krajinách, vrátane Slovenska, stále absentuje reálny enforcement pravidiel, ktoré v Európskej únii existujú minimálne od roku 2002 a u nás od roku 2011. Prvé zmeny v podobe pokút by mal priniesť nový Zákon o elektronických komunikáciách, no oveľa dôležitejšie bude finálne znenie ePrivacy nariadenia, ktorým sa už zaoberá Európsky parlament.

Medzirezortné pripomienkové konanie (MPK) k novému Zákonu o elektronických komunikáciách prinieslo 801 pripomienok, z toho 460 zásadných a len 2 sa týkali právnej úpravy tzv. cookies. Skriptové technológie (cookies) aktuálne reguluje čl. 5 ods. 3 ePrivacy smernice a § 55 ods. 5 Zákona o elektronických komunikáciách, ktoré podmieňujú ich marketingové využívanie súhlasom používateľa. Na rozdiel od väčšiny členských štátov EÚ má Slovenská republika túto právnu úpravu síce implementovanú, no nešťastne a bez reálneho enforcementu. V platnom Zákone o elektronických komunikáciách napríklad chýba zmienka o pokutách za porušenie cookies regulácie a Úrad pre reguláciu elektronických komunikácií a poštových služieb SR k problematike cookies od roku 2011 nevyvinul prakticky žiadne aktivity. „Obávam sa, že pri regulácii cookies nový zákon v praxi veľké zmeny neprinesie. V časti venovanej cookies a podobným technológiám je prakticky totožný s pôvodným zákonom, vypadol iba súhlas cez webový prehliadač, ktorý bol od začiatku aj tak otázny. Väčšina prehliadačov je totiž prednastavená na akceptovanie akýchkoľvek cookies“, hodnotí Jakub Berthoty. Problém však doteraz podľa neho nebol ani tak so znením zákona, ako s nulovým enforcementom cookies pravidiel. Zmeniť by to mal nový zákon, ktorý výslovne zavádza sankcie za porušenie pravidiel cookies, ktoré v zákone doteraz absentovali. „Prekvapila ma však ich výška, ktorá by sa mala pohybovať až do 10 % z obratu právnických osôb. Čl. 15 ePrivacy smernice a rovnako aj návrhy ePrivacy nariadenia počítajú s rovnakými sankciami ako podľa GDPR, t.j. do 20 miliónov eur alebo 4 % z obratu podľa toho, čo je vyššie. S týmto režimom je v rozpore aj výnimka pre fyzické osoby, ktorým sa navrhujú pokuty do 20.000 eur. Pri takto významných zásahoch do súkromia je jedno, či ich robí fyzická alebo právnická osoba a takéto znenie bude skôr predstavovať motiváciu na obchádzanie zákona. Na druhej strane hovoríme o pokutách, ktoré na Slovensku ešte nikdy neboli udelené. Kým sa tieto pravidlá reálne neaplikujú, je to asi aj jedno“, konštatuje advokát Jakub Berthoty.

Vyzerá to tak, že nový Zákon o elektronických komunikáciách výrazne nezmení aktuálny stav v oblasti cookies a priameho marketingu a reálne zmeny regulačného rámca pravidiel cookies prinesie až ePrivacy nariadenie. Je možné, že s príchodom nového ePrivacy nariadenia bude potrebná novela tohto zákona, čo už môže byť čoskoro. ePrivacy nariadenie bude dopĺňať nariadenie GDPR, no kým GDPR sa vzťahuje na pravidlá spracúvania osobných údajov, ePrivacy bude špecifikovať, kedy a na čo je potrebný súhlas koncového používateľa. Regulácia cookies sa rozšíri aj o zachytávanie dát vysielaných koncovým zariadením (napr. Bluetooth beacons, infrared žiarenia, wifi tracking). Ďalší podstatný rozdiel oproti GDPR je v tom, že ePrivacy chráni rovnako právnické aj fyzické osoby, kým GDPR iba fyzické. Konečná podoba ePrivacy nariadenia by mala byť schválená Európskym parlamentom do júna 2021, pričom s účinnosťou sa počíta už od 1. augusta 2022. Či sa termíny stihnúť podarí je však nateraz otázne.

GDPR aj ePrivacy sa s veľkou pravdepodobnosťou budú vzťahovať súčasne na každého, kto používa Google Analytics, nástroje Facebooku, prevádzkuje aplikáciu alebo webstránku. Podnikateľov sa však ePrivacy nariadenie dotkne ďaleko viac ako GDPR. Advokát Berthoty je presvedčený, že verejnosť si stále neuvedomuje dopady cookies regulácie na každodenný podnikateľský život. Kto dnes nepoužíva webstránku, mobilnú aplikáciu, Google Analytics alebo nástroje sociálnych sietí pre svoj business? Poznáte vôbec niekoho, kto nespadne pod ePrivacy? „Zdá sa, že schválenie nového ePrivacy nariadenia je už len otázkou času, a preto odporúčam začať s analýzou používaných technológií pri weboch aj aplikáciách už teraz. Je dôležité vedieť, na ktoré technológie je potrebný platný GDPR súhlas používateľa a zároveň sa zamerať aj na prenosy údajov do USA. Firmám a podnikateľom s kolegami odporúčame skontrolovať a doplniť ich Privacy Policy aj o cookies a zverejňovať ju všade – od webového sídla, cez sociálne siete, až po odkaz na Privacy Policy v podpise emailu. Základ je, aby bola ľahko dostupná, čo poslúži ako dobrý argument a dôkaz pri prípadnej kontrole“, radí Jakub Berthoty.