Nový zákon stanoví pre firmy vysoké pokuty za nezákonné používanie cookies

Autor Juraj Vedej marec 2021 -
Nový zákon stanoví pre firmy vysoké pokuty za nezákonné používanie cookies Pixabay

Nariadenie EÚ o ochrane súkromia v kyberpriestore – ePrivacy – prinesie nové povinnosti prevádzkovateľom webstránok. Slovenský zákon nie je optimálny.

Stránky na internete aj aplikácie v elektronických zariadeniach o nás zbierajú údaje, ktoré následne využívajú na zlepšenie používateľského zážitku, ale aj na marketingové cielenie a ďalšie účely.

Európska únia a jej členské štáty sa týmito, často neoprávnenými, zásahmi do súkromia zaoberajú už roky, no v mnohých krajinách vrátane Slovenska stále absentuje reálna vynútiteľnosť (enforcement) pravidiel, ktoré v EÚ existujú minimálne od roku 2002 a u nás od roku 2011.

Prvé zmeny v podobe pokút by mal priniesť nový Zákon o elektronických komunikáciách, no oveľa dôležitejšie bude finálne znenie ePrivacy nariadenia, ktorým sa už zaoberá Európsky parlament.

Zatiaľ laxný prístup úradov

Cookies, alebo skriptové technológie, aktuálne reguluje čl. 5 ods. 3 ePrivacy smernice a § 55 ods. 5 aktuálneho zákona o elektronických komunikáciách, ktoré podmieňujú ich marketingové využívanie súhlasom používateľa.

Na rozdiel od väčšiny členských štátov EÚ má Slovenská republika túto právnu úpravu síce implementovanú, no nešťastne a bez reálneho enforcementu. V ešte stále aktuálnom Zákone o elektronických komunikáciách napríklad chýba zmienka o pokutách za porušenie regulácie cookies a Úrad pre reguláciu elektronických komunikácií a poštových služieb SR (bývalý Telekomunikačný úrad SR) k problematike cookies od roku 2011 nevyvinul prakticky žiadne aktivity.

Dňa 12. marca 2021 bolo ukončené medzirezortné pripomienkové konanie (MPK) k novému Zákonu o elektronických komunikáciách, ktorý predložilo Ministerstvo dopravy a výstavby Slovenskej republiky. Z celkového počtu 801 pripomienok bolo 460 zásadných a len 2 sa týkali právnej úpravy tzv. „cookies“.

Privysoké sankcie?

„Obávam sa, že pri regulácii cookies nový zákon v praxi veľké zmeny neprinesie. V časti venovanej cookies a podobným technológiám je prakticky totožný s pôvodným zákonom, vypadol iba súhlas cez webový prehliadač, ktorý bol od začiatku beztak otázny. Väčšina prehliadačov je totiž prednastavená na akceptovanie akýchkoľvek cookies,“ hodnotí odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie DAGITAL Legal.

Problém však podľa neho doteraz nebol ani tak so znením zákona, ako s nulovým enforcementom pravidiel pre cookies. Nový zákon už výslovne zavádza sankcie za porušenie pravidiel cookies, ktoré v zákone z neznámych dôvodov doteraz absentovali.

Prekvapila ma však ich výška, ktorá by sa mala pohybovať až do 10 % z obratu právnických osôb. Čl. 15 ePrivacy smernice a rovnako aj návrhy ePrivacy nariadenia počítajú s rovnakými sankciami ako podľa GDPR, t.j. do 20 miliónov eur alebo 4 % z obratu, podľa toho čo je vyššie,“  konštatuje advokát Jakub Berthoty.

S týmto režimom je podľa neho v rozpore výnimka pre fyzické osoby, ktorým sa navrhujú pokuty do 20 000 eur. „Pri takto významných zásahoch do súkromia je jedno, či ich robí fyzická alebo právnická osoba a takéto znenie bude skôr predstavovať motiváciu pre obchádzanie zákona. Na druhej strane hovoríme o pokutách, ktoré na Slovensku ešte nikdy neboli udelené. Kým sa tieto pravidlá reálne neaplikujú, je to asi aj jedno,“ dodáva.

Implementácia ePrivacy je stále otázna  

Vyzerá to tak, že nový Zákon o elektronických komunikáciách výrazne nezmení aktuálny stav v oblasti cookies a priameho marketingu a reálne zmeny regulačného rámca pravidiel cookies prinesie až nariadenie ePrivacy. Je možné, že s jeho príchodom bude potrebná novela tohto zákona, čo už môže byť čoskoro.

Nariadenie o ePrivacy bude dopĺňať nariadenie GDPR, no kým GDPR sa vzťahuje na pravidlá spracúvania osobných údajov, ePrivacy bude špecifikovať, kedy a na čo je potrebný súhlas koncového používateľa. Regulácia „cookies“ sa rozšíri aj o zachytávanie dát vysielaných koncovým zariadením (napr. Bluetooth beacons, infrared žiarenia, wifi tracking).

Ďalší podstatný rozdiel oproti GDPR je v tom, že ePrivacy chráni rovnako právnické aj fyzické osoby, kým GDPR iba fyzické. Konečnú podobu ePrivacy nariadenia by mal Európsky parlament schváliť do júna 2021, pričom s účinnosťou sa počíta už od 1. augusta 2022. Nateraz je však otázne, či sa termíny podarí stihnúť.

Pozor pri používaní nástrojov FB či Googlu

GDPR aj ePrivacy sa s veľkou pravdepodobnosťou budú vzťahovať na každého, kto používa Google Analytics, nástroje Facebooku, prevádzkuje aplikáciu alebo webstránku. Podnikateľov sa však ePrivacy nariadenie dotkne ďaleko viac ako GDPR.

Advokát J. Berthoty je presvedčený, že „verejnosť si stále neuvedomuje dopady regulácie cookies na každodenný podnikateľský život. Kto dnes nepoužíva webstránku, mobilnú aplikáciu, Google Analytics alebo nástroje sociálnych sietí pre svoj biznis? Poznáte vôbec niekoho, kto nespadne pod ePrivacy?“

Treba sa pripraviť

„Zdá sa, že schválenie nového ePrivacy nariadenia je už len otázkou času, a preto odporúčam začať s analýzou používaných technológií pri weboch aj aplikáciách už teraz,“ radí J. Berthoty.

„Je dôležité vedieť, na ktoré technológie je potrebný platný GDPR súhlas užívateľa a zároveň sa zamerať aj na prenosy údajov do USA. Firmám a podnikateľom s kolegami odporúčame skontrolovať a doplniť ich Privacy Policy aj o cookies a zverejňovať ju všade – od webového sídla, cez sociálne siete, až po odkaz na Privacy Policy v podpise e-mailu,“ konštatuje právnik. Podľa neho má byť Privacy Policy ľahko dostupná, čo poslúži ako dobrý argument a dôkaz pri prípadnej kontrole.

Juraj Vedej, Chapter 4 Slovakia

Partneri