GDPR

Koláčiky Cookies a GDPR

Kde bolo tam bolo…v jeden zimný podvečer som napiekla chutné, chrumkavé bezlepkové a bezlaktózové cookies (a to vám poviem, je riadna výzva :D). A zrazu mi napadlo, že na blogu ochransiznacku.sk sme sa ešte nezaoberali témou cookies a GDPR.

V tomto prípade však nemám na mysli chutné koláčiky k čaju, ale “ajťácke” cookies, teda malé textové súbory, ktoré webová lokalita ukladá vo vašom počítači alebo mobilnom zariadení pri jej prehliadaní.

Čo sú to koláčiky Cookies? 

Cookies predstavujú nevyhnutnú podmienku pre funkčnú webovú analytiku. Na princípe cookies totiž pracujú štatistiky a ďalšie meracie systémy, ktoré si ukladajú do cookies identifikátor návštevníka, zdroj návštevy, čas a pod. Získané údaje načítajú a dopĺňajú na ďalších stránkach a môžu tak daného užívateľa ,,prenasledovať “. Tieto malé textové súbory sa tiež používajú na uloženie stavu, že je používateľ na danej stránke prihlásený (do administrácie webu, e-shopu, na sociálnych sieťach a pod. – tento typ cookies sa nazýva autentizačné cookies).

Práve vďaka cookies si webová lokalita na určitý čas uchováva informácie o vašich krokoch príp. o preferenciách (ako sú prihlasovacie meno, jazyk, veľkosť písma a iné nastavenia zobrazovania), takže ich pri ďalšej návšteve webovej lokality alebo prehliadaní jej jednotlivých stránok nemusíte opätovne uvádzať.

V praktickom živote môžeme nájsť rozličné koláčiky Cookies…

…a to napríklad:

  • cookies, ktoré neidentifikujú užívateľa – ide o cookies technického charakteru, bez ktorých by navštívená stránka nemala isté funkcionality a tieto cookies nevyžadujú súhlas užívateľa podľa GDPR;
  • cookies, ktoré umožňujú identifikovať užívateľaautentizačné, preferenčné, remarketingové (umožňujúce personalizáciu reklamy), analytické, konverzné, trackingové (ktoré je spolu možné označiť aj ako marketingové cookies) – vyžadujú súhlas užívateľa podľa GDPR, ak nepoužijete iný právny základ napr. váš oprávnený záujem.

Okrem uvedeného členenia je možné cookies rozdeliť aj na:

  • cookies dočasné (session cokies) – uložené len dovtedy, kým zatvoríte okno prehliadača;
  • cookies dlhodobé (persistent cookies) – uložené pri každom ďalšom prehliadaní webových stránok až pokým ich nevymažete z nastavení cookies vo vašom internetovom prehliadači.

Uvedené rozčlenenie koláčikov je len čisto názorné a môžete sa stretnúť aj s podrobnejším, príp. aj s iným delením.

Z hľadiska spracúvania osobných údajov zbieraných cez sušienky je pre účely tohto článku potrebné rozlišovať:

  • cookies jednej strany – bežia na danej doméne navštívenej používateľom Internetu, sú považované za bezpečnejšie – napr. v základnom nastavení Google Analytics;
  • cookies tretích strán – bežia na inej doméne ako tej navštívenej užívateľom, a preto umožňujú sledovanie naprieč rôznymi doménami, považujú sa za menej bezpečné – napr. Google Adwords.

Čo hovorí GDPR na naše sušienky? 

Sušienky sú veľmi dobrý nástroj pre marketing, no čo na to GDPR (nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov), okolo ktorého bol veľký boom odo dňa jeho účinnosti – od 25.05.2018 a vďaka ktorému sa všetci používatelia Internetu začali viac zaujímať o osobné údaje ich ochranu?

GDPR spomína cookies len na jednom mieste – a to v recitáli 30 Nariadenia Európskeho parlamentu a Rady č. 2016/679 ako jeden z možných online identifikátorov fyzických osôb, ktoré môžu zanechávať stopy, a to najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov ak sa použijú na vytvorenie profilov fyzických osôb a na ich identifikáciu.

Preto je dôležité klásť si otázku, či sa na niektoré použitia cookies vôbec GDPR vzťahuje – a teda či ide o spracúvanie osobných údajov, ktoré umožňujú identifikovať fyzickú osobu. Podľa môjho názoru nepôjde o spracúvanie osobných údajov pri dočasných cookies, ktoré vyžaduje technické fungovanie webovej stránky a po tom, ako zatvoríte svoj prehliadač sú automaticky vymazané – chýba tu tzv. GDPR pojmová náležitosť, aby sa tieto dočasné cookies stali natrvalo súčasťou informačného systému. Podľa mňa sa na využívanie technických a dočasných cookies GDPR nevzťahuje, keďže nedochádza cez ne k takému spracúvaniu osobných údajov, aké vyžaduje GDPR vo svojom článku č. 2 na to, aby sa vôbec uplatňovalo.

No proti môjmu názoru, stoja názory národných úradov, ktoré vydávajú stanoviská – a preto sa pozrime napr. na názor českého Úradu na ochranu osobných údajov, podľa ktorého k technickým cookies nie je potrebné vyžadovať súhlas na spracovanie osobných údajov, no napriek tomu je potrebné užívateľa o ich používaní a existencii na webovej stránke INFORMOVAŤ plne podľa GDPR.

Základné zásady pre používanie cookies na webových stránkach…

…možno podľa Čechov zhrnúť nasledovne (náš úrad sa zatiaľ nevyjadril):

  • nastavenie PC užívateľa, v ktorom povolil koláčiky cookies vo svojom webovom prehliadači je možné považovať za súhlas s použitím cookies – prehliadač je nástrojom sprostredkovania súhlasu, avšak ešte nespĺňa všetky náležitosti súhlasu podľa GDPR; je to len súhlas pre cookies, ktorý je potrebné rozlišovať od súhlasu so spracovaním osobných údajov! a tento tzv. cookies súhlas je nutný pre všetky cookies s výnimkou technických koláčikov;
  • základnou povinnosťou je vaša povinnosť informovať o všetkých cookies (aj technických!!!, ktoré vyžaduje správne fungovanie vášho webu) – najlepšie na samostatnej podstránke o Cookies – pričom uvedené informácie by mali byť vrstvené podľa druhu koláčikov (technické, trackingové apod.);
  • pri informovaní o spracúvaní osobných údajov rozlišovať účel daného spracúvania cez cookies a následne použiť správny právny základ – oprávnený záujem (tu sa dajú šupnúť technické cookies podľa recitálu 49 GDPR), plnenie zmluvy príp. na poslednom mieste súhlas so spracovaním osobných údajov – a tadááá prichádza do hry známy Cookie banner (viac o právnych základoch tu);
  • informovať aj o tom, kto má prístup ku koláčikom (tretie strany) a na aké účely;
  • pri spracúvaní koláčikov inými osobami ako vami mať uzavretú sprostredkovateľskú zmluvu (viac o vzťahu prevádzkovateľ a sprostredkovateľ tu);
  • v prípade použitia súhlasu ako právneho základu na spracúvanie osobných údajov (napr. preferenčné cookies za účelom profilovanej marketingovej kampane alebo remarketingu) poskytovať rovnocennú možnosť súhlas odvolať;
  • cookies mazať v krátkej lehote – max. po uplynutí 13 mesiacov od ich posledného použitia.

To však nie je posledné slovo Európskej únie ku cookies

Po nariadení s názvom GDPR príde Nariadenie o ePrivacy = Nariadenie o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách – Návrh Nariadenia bol publikovaný 20.09.2018 vo Vestníku EÚ a jeho účinnosť sa predpokladá v roku 2020 pre všetky členské štáty EÚ.

A práve ePrivacy Nariadenie prinesie viac zmien vo vzťahu ku cookies – napr. viditeľnosť nastavenia cookies v používateľskom PC pre vás ako prevádzkovateľa a povinnosť dané nastavenie akceptovať, čo bude sťažovať získanie súhlasu na spracúvanie osobných údajov napr. v rámci remarketingu.

Ak si nechcete nechať ujsť novinky aj o ePrivacy prihláste sa na môj newsletter 🙂

Zadaním Vašej e-mailovej adresy súhlasíte so zasielaním noviniek zo sveta ochransiznacku.sk. E-Mail Vám bude chodiť odo mňa (Soňa Surmová) max. 1x do mesiaca. Kedykoľvek sa môžete odhlásiť zaslaním e-mailu na sonasurmova@ochransiznacku.sk. Vašu e-mailovú adresu uchovávam po dobu 5 rokov. Viac sa dozviete v Zásadách spracúvania osobných údajov (odkaz v pätičke webstránky).

E-mailová adresa:

Verím, že vám cookies nezostanú nezjedené na tanieriku, ale že si ich vychutnáte s radosťou.

Želám dobrú chuť!

Soňa z ochransiznacku.sk

autor napečených dobrôt a obrázkov: Soňa Surmová

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

three × 5 =