Od nadobudnutia účinnosti všeobecného nariadenia o ochrane údajov (GDPR) ste ako prevádzkovateľ nesúkromnej webovej stránky museli brať do úvahy dôležité aspekty ochrany údajov. Otázka, ako sa vysporiadať so súbormi cookie, bola spočiatku kontroverzná. Európsky súdny dvor (ESD) svojím rozsudkom (1. októbra 2019) prijal konkrétne ustanovenia týkajúce sa cookies , pokiaľ ide o súhlas so spracovaním. Súhlas s používaním cookies je známy aj ako súhlas s cookies. Poskytovatelia správy súhlasu (CMP) ponúkajú zjednodušenie v právne zabezpečenom dizajne používania súborov cookie. Sofistikované riešenia súborov cookie fungujú automaticky a umožňujú používateľom povoliť typ a rozsah používania súborov cookie.
Rozsudok ESD a súbory cookie: právny význam v skratke
Základom rozhodnutia ESD je právna vec Planet49 . Pod spisovým číslom: C-673/17 sú teraz jasnejšie informácie o tom, ako má byť štruktúrovaný súhlas s používaním cookies. V zásade musí mať návštevník webovej stránky možnosť dobrovoľne a výslovne súhlasiť s používaním súborov cookie. Podľa rozhodnutia ESD o súboroch cookie je používanie a spracovanie určitých súborov cookie povolené len po udelení súhlasu. To vylučuje súbory cookie, ktoré sú nevyhnutne potrebné na prevádzku webovej stránky.
Európsky súdny dvor v rozhodnutí ESD o súboroch cookie uvádza, že nariadenie ePrivacy už vyžaduje povinný súhlas pre súbory cookie, ktoré nie sú absolútne nevyhnutné (pozri článok 5 ods. 3 smernice ePrivacy ). Toto tvrdenie ESD o cookies je v zásade známe už z predchádzajúcich rozsudkov.
Treba si uvedomiť, že známy § 15 ods. 3 Zákon o digitálnych službách DDG (predtým Zákon o telemédiách, TMG) sa nemá chápať ako implementácia smernice ePrivacy . Rovnako nie je možný ani výklad DDG v súlade s usmerneniami, ani priame uplatňovanie smernice ePrivacy . Preto používanie a zhromažďovanie cookies zásadne podlieha GDPR . Podľa GDPR môže byť použitie založené na oprávnenom záujme alebo súhlase (pozri (čl. 6 ods. 1 písm. a GDPR). Keďže toto samo osebe nevedie k povinnej požiadavke na súhlas, ESD sa odvoláva na smernicu ePrivacy .
Rozsudok ESD o cookies a jeho dôsledkoch: Súhlas s používaním
Účinný súhlas je v praxi viazaný na určité požiadavky v dôsledku rozsudku ESD o súboroch cookie. ESD urobil zásadné vyhlásenia o súboroch cookie s ohľadom na účinnosť súhlasu s ich používaním. Tie sa týkajú starého a nového zákona o ochrane údajov podľa GDPR.
Z rozsudku ESD o cookies v zásade vyplýva, že súhlas s používaním a spracovaním vyžaduje aktívne správanie užívateľa . Ak neexistuje žiadne aktívne správanie, nie je jasné, či používatelia majú dostatočné znalosti o situácii. Z toho už vyplýva
predtým zaškrtnuté políčko pre súbory cookie nemôže predstavovať účinný súhlas . V zmysle skutočného opt-in sa návštevník musí sám stať aktívnym a udeliť súhlas kliknutím, aby bolo možné zbierať a spracovávať cookies podľa rozhodnutia ESD.
Okrem toho, pokiaľ ide o súbory cookie, podľa rozhodnutia ESD súhlas vo všeobecnosti vyžaduje samostatné a neprednastavené možnosti kliknutia pre všetky mysliteľné prípady. Žiadny súhlas pre konkrétne prípady nemožno odvodiť z čistého tlačidla odoslania.
Okrem toho rozhodnutie ESD o súboroch cookie znamená, že s prihliadnutím na smernicu ePrivacy je potrebné zdôrazniť, či informácie o súboroch cookie predstavujú osobné údaje alebo nie. Smernica tak má regulačnú oblasť, ktorá dokonca presahuje zákon o ochrane údajov. Právni experti však upozorňujú, že smernica ePrivacy ešte nebola v Nemecku plne implementovaná.
V dôsledku rozsudku ESD o súboroch cookie by ste ako prevádzkovateľ webovej stránky mali poskytnúť presné informácie o používaní súborov cookie. Informácie požadované v súvislosti so súhlasom s cookies zahŕňajú okrem iného čas spracovania údajov. Rovnako v dôsledku rozsudku ESD o súboroch cookie musia byť návštevníkom oznámené informácie o prístupe tretích strán k súborom cookie . Patria sem aj presné informácie o príjemcoch údajov alebo kategóriách príjemcov. Najneskôr od rozsudku ESD musí návštevník vedieť, ktorí inzerenti zozbierané údaje spracúvajú.
Dôležitosť a nevyhnutnosť súhlasu s cookies pre prevádzkovateľov webových stránok
Takmer každý komerčný web zhromažďuje údaje. Patria sem nielen prevádzkovo nevyhnutné údaje, ale vo väčšine prípadov aj údaje, ktoré si podľa rozsudku ESD o cookies vyžadujú výslovný súhlas vašich návštevníkov. Aj používanie tých najjednoduchších analytických nástrojov je spojené so zhromažďovaním množstva údajov a vytváraním zodpovedajúcich súborov cookie. Bežným príkladom je nástroj Google Analytics. K tejto forme zberu údajov dochádza aj vtedy, keď niekto umiestni widget na sociálne médiá. Preto sa každý prevádzkovateľ webovej stránky, ktorý obsluhuje zákazníkov v oblasti GDPR (EÚ a mimo nej), spolieha na správu súhlasu s cookies . Podľa rozhodnutia ESD o súboroch cookie je prevádzka webovej stránky v súlade s právnymi predpismi možná len vtedy, ak je zaručené správne spracovanie súhlasu so súbormi cookie .
Súhlas s cookies v praxi: implementácia ako opt-in
Rozsudok ESD o cookies má už jasné a konkrétne účinky. Z toho vyplýva potreba konať zo strany prevádzkovateľov webových stránok. Ide o typ a prevedenie súhlasu s cookies, teda výslovný súhlas s jeho použitím. Ovplyvnené sú aj informácie, ktoré sa majú používateľom oznamovať o používaní súborov cookie.
V tejto súvislosti musí byť súhlas navrhnutý ako skutočné vyjadrenie súhlasu v praxi . To znamená, že na získanie súhlasu je potrebná aktívna akcia používateľa. V zásade od roku 2009 usmernenia EÚ o ochrane údajov umožňujú návštevníkom požiadať o súhlas. V minulosti si však prevádzkovatelia webových stránok mohli túto požiadavku vykladať vo forme opt-out . To znamená, že súbory cookie boli vo všeobecnosti nastavené bez toho, aby používateľ musel čokoľvek urobiť. Používateľ
mohol namietať proti používaniu cookies, ale musel na to prevziať iniciatívu. To sa mení s rozsudkom ESD o súboroch cookie: prechod na opt-in stanovuje, že webová lokalita vo všeobecnosti nenastavuje súbory cookie, pokiaľ sa pre ne používateľ nerozhodne. V dôsledku toho je možné cookies nastaviť len vtedy, ak na to návštevník dal súhlas. Súhlas so súbormi cookie podľa ESD teda nemožno získať zaškrtnutím políčka, ktoré už bolo vopred nastavené .
Preto je vhodné, aby sa spoločnosti a prevádzkovatelia webových stránok vo všeobecnosti čo najrýchlejšie prispôsobili rozsudku ESD o súboroch cookie a prijali vhodné opatrenia pre právne bezpečný obsah súborov cookie. Riešenia na správu súhlasu, ktoré jednak komplexne informujú používateľa o používaní cookies a jednak si vyžiadajú jeho výslovný súhlas, výrazne uľahčujú prevádzkovateľom webových stránok.
Riešenia pre súhlas so súbormi cookie: štandardy a funkčnosť
Existuje rámec pre súhlas s nastavením a spracovaním súborov cookie, ktorý vyvinula organizácia IAB Europe (Interactive Advertising Bureau): ide o Transparency and Consent Framework (TCF) , ktorý sa etabloval ako Standard pre súhlas so súbormi cookie. Cieľom vývoja tohto rámca je dosiahnuť komplexnú štandardizáciu v otázke súhlasu . Prvý variant rámca bol predstavený v apríli 2018. Aktuálna verzia TCF 2.0 nasledovala v máji 2020. Najmä vzhľadom na rozsudok ESD o súboroch cookie má rámec veľký význam, pretože uľahčuje získanie potrebného súhlasu. Presnejšie povedané, požiadavka IAB je presne pochopiť informácie o súhlase používateľa so spracovaním súborov cookie. To ovplyvňuje celý reťazec doručovania používania súborov cookie. Vo väčšine prípadov sa na generovaní viacerých súborov cookie podieľa viacero poskytovateľov služieb. Väčšinou sa týkajú reklamných bannerov a iných marketingových opatrení. Všetky strany zapojené do tohto procesu sú závislé od informácií o tom, či bol alebo nebol udelený súhlas so spracovaním cookies.
Na jednej strane sa v rámci správy súhlasu so súbormi cookie na základe rámca IAB zisťuje, či používateľ vôbec udelil súhlas s používaním súborov cookie. V druhom kroku Správca súhlasu identifikuje, ktoré konkrétne súhlasy dal používateľ na banneri súhlasu. Návštevníci majú možnosť súhlasiť alebo odmietnuť iné použitie a účely spracovania súborov cookie. Na základe štruktúry súhlasu správca súhlasu so súbormi cookie vytvorí takzvaný reťazec súhlasu, ktorý sa následne vytvorí v súbore cookie. Na základe tohto reťazca súhlasu môžu ďalšie zúčastnené strany (napr. iní poskytovatelia správy súhlasu) tiež zistiť súhlas návštevníka.
CMP: Riešenia správy súhlasu pre webové stránky a ich výhody
Výhody používania dobrého správcu súhlasu sú pre prevádzkovateľov webových stránok mnohé. Právne bezpečný dizajn súhlasu s cookies podľa ESD tak možno zaručiť. Každý dobrý web má za cieľ poskytnúť čo najlepší používateľský zážitok. Potreby návštevníkov by mali byť uspokojené, aby na stránke zostali. Medzi najdôležitejšie aspekty dlhodobého uchovávania patrí vysoká miera prijatia a nízka miera odchodov. Dobrý poskytovateľ správy súhlasu prispieva k minimalizácii miery okamžitých odchodov a tým k zvýšeniu miery prijatia. Prispieva tak k dobrému výkonu webovej stránky. Zákazníkov možno získať a natrvalo udržať na webovej lokalite iba vtedy, ak je miera okamžitých odchodov na webovej lokalite nízka.
S dobre premysleným riešením správy súhlasu nielenže zaistíte súlad s požiadavkami rozhodnutia Európskeho súdneho dvora o súboroch cookie, ale budete mať aj prehľad o aktuálnych mierach prijatia a okamžitých odchodov v reálnom čase. Správanie návštevníkov webových stránok, zákazníkov a potenciálnych zákazníkov je možné pochopiť. Z toho možno vyvodiť závery o možnom potenciáli zlepšenia.
Medzinárodná orientácia bannera so súhlasom je samozrejmosťou pri moderných riešeniach súhlasu so súbormi cookie. Vyskakovacie okno sa automaticky zobrazí v príslušnom jazyku krajiny GDPR, z ktorej návštevníci pristupujú na vašu webovú stránku. Poskytovateľ správy súhlasu zobrazuje informácie celkovo v 29 jazykoch. Okrem toho CMP ponúka citlivé prispôsobenie sa koncovému zariadeniu používanému návštevníkmi. Riešenie súhlasu so súbormi cookie reaguje na aspekty, ako je veľkosť obrazovky a operačný systém (napr. iOS alebo Android) a zobrazuje návštevníkom optimalizované zobrazenie.
Záver
Rozsudok ESD nepochybne skomplikoval prax ochrany údajov prevádzkovateľov webových stránok. Pri navrhovaní právne vyhovujúceho cookie bannera treba brať do úvahy okrem technických otázok aj dizajnové aspekty a predovšetkým právny rozmer transparentného spracovania údajov. To, čo najmä prevádzkovatelia webových stránok vyvolávajú dojem povýšeneckých smerníc a špecifikácií, v konečnom dôsledku slúži používateľom ako zainteresovaným stranám a zákazníkom. V tomto zmysle by online predajcovia, vydavatelia alebo agentúry mali považovať rozhodnutie ESD za stimul. Návštevníci webových stránok vedia čoraz viac o rozsahu prenosu údajov a vyžadujú maximálnu prehľadnosť a transparentnosť pri správe súborov cookie. Z tohto pohľadu môžu prevádzkovatelia webov zo šikovného systému správy súhlasov pri kontakte so zákazníkom len profitovať – prostredníctvom väčšej dôvery v spojení s prehľadnou použiteľnosťou.