Súhlas so spracovaním osobných údajov: nové pravidlá GDPR pre „cookie wall, scrolling a swiping"


Dňa 4. mája 2020 prijal Európsky výbor pre ochranu údajov (ďalej ako „EDPB“) nové usmernenia týkajúce sa „súhlasu“ s názvom „Usmernenia 05/2020 o súhlase podľa nariadenia 2016/679 (ďalej ako „Usmernenie“).

Usmernenie predstavuje aktualizovanú a mierne pozmenenú verziu pôvodných usmernení o súhlase, ktoré boli dňa 10. apríla 2018 prijaté podľa nariadenia 2016/679 (ďalej ako „GDPR“) pracovnou skupinou vytvorenou podľa článku 29 (ďalej ako „WP29“) pod názvom WP259.01.

Dôvodom pre prijatie Usmernenia bola okrem drobných redakčných zmien potreba objasnenia niektorých dôležitých bodov týkajúcich sa:

1. „podmienenosti“ slobodne daného súhlasu;

2. platnosti „slobodne“ udeleného súhlasu poskytnutého dotknutou osobou pri interakcii s tzv. “Cookie walls“, resp. „stenami súborov cookie“;

3. scrollingu (rolovanie po internetovej stránke) alebo swipingu (potiahnutie) na internete.

Vyššie uvedená problematike bodov 2 a 3 je v rámci Usmernenia obsiahnutá v bodoch 38 až 41 a v bode 86 Usmernenia.

I. Podmienenosť slobodne daného súhlasu

Na úvod sa EDPB v Usmernení venuje problematike tzv. „podmienenosti“ slobodne daného súhlasu.

Vo všeobecnosti v zmysle GDPR platí, že existuje 6 právnych základov na spracúvanie osobných údajov.

Pri začatí činností, ktoré zahŕňajú spracúvanie osobných údajov, musí prevádzkovateľ vždy venovať náležitý čas a zvážiť, aký by bol vhodný právny základ na predpokladané spracúvanie osobných údajov, pričom ako sme už vyššie uviedli, jedným z možných právnych základov pre spracúvanie osobných údajov prevádzkovateľom je aj súhlas dotknutej osoby. Súčasne v zmysle čl. 4 bodu 11 GDPR platí, že nemôže ísť o akýkoľvek súhlas, nakoľko GDPR stanovuje kvalitatívne znaky, ktoré musí udelený súhlas spĺňať.

Udelený súhlas musí byť:

· slobodne daný;

· konkrétny;

· informovaný;

· jednoznačný; a

· musí mať formu vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú.

Hneď prvým a významným atribútom udeleného súhlasu je skutočnosť, že bol daný dotknutou osobou slobodne. Pri určení, či je súhlas daný slobodne zohráva významnú úlohu aj čl. 7 ods. 4 GDPR, kedy pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

EDPB v Usmernení uvádza, že ak dochádza ku „zväzovaniu“ súhlasu s prijatím podmienok alebo k „viazaniu“ poskytnutia zmluvy alebo služby so žiadosťou o udelenie súhlasu so spracovaním osobných údajov, ktoré nie je potrebné na splnenie zmluvy alebo služby, sa predmetná situácia považuje za vysoko nežiaducu. Ak sa v tejto situácii dá dotknutá osoba súhlas, predpokladá sa v zmysle recitálu 43 GDPR, že nebol udelený slobodne.

EDBP v predmetnej veci ďalej uviedlo, že súhlas nemožno považovať za slobodný, ak prevádzkovateľ tvrdí, že existuje možnosť voľby medzi jeho službou, ktorá zahŕňa súhlas s použitím osobných údajov na ďalšie účely na jednej strane a rovnocennou službou ponúkanou iným prevádzkovateľom na strane druhej. EDPB zdôraznilo, že poskytovateľ služieb nemôže zabrániť dotknutým osobám v prístupe k službe na základe toho, že im dotknutá osoba neposkytla súhlas. To znamená, že prístup k službe nemôže byť podmienený súhlasom používateľa so spracúvaním jeho osobných údajov.

II. Platnosť „slobodne“ udeleného súhlasu poskytnutého dotknutou osobou pri interakcii s tzv. “Cookie walls“

Čo sú „cookies“?

Cookie je textový súbor, ktorý je automaticky uložený v zariadení užívateľa a po ukončení relácie môže alebo nemusí byť odstránený. Cookies zvyčajne slúžia na rozlišovanie jednotlivých užívateľov a môžu mať rôzne účely. Môžu byť potrebné napríklad na spustenie webovej stránky, na identifikáciu, čo používateľ robí, na zapamätanie hesla, jazyka a ďalších najčastejšie používateľom využívaných predvolieb.

Rozlišujeme medzi cookies prvej strany a cookies tretích strán, pričom prvé z nich sú uložené na zariadení priamo webom, ktorý užívateľ navštevuje, zatiaľ čo cookies tretích strán sú uložené treťou stranou.

Čo je „cookie wall“, resp. „stena súborov cookie“?

Stena súborov cookie je spôsob, ako môžu poskytovatelia služieb (bez ohľadu na ich povahu podnikania) odopierať používateľom prístup na ich webové stránky, ak nesúhlasia s používaním súborov cookie prítomných na rovnakom webovom serveri toho istého poskytovateľa služieb. Z tohto dôvodu stena cookie zvyčajne funguje ako hranica proti používateľom, ktorí s cookies nesúhlasia, a vylučuje (blokuje) ich z používania danej služby.

V súvislosti s cookie walls EDPB zastáva názor, že prístup k službám a funkciám sa nesmie podmieniť súhlasom používateľa na uchovávanie informácií alebo na získanie prístupu k už uloženým informáciám v koncovom zariadení na použitie.

Príklad vyššie uvedenej situácie je prípad, kedy poskytovateľ webových stránok zavedie skript, ktorý bude blokovať viditeľnosť obsahu, s výnimkou žiadosti o prijatie súborov cookie a informácií o tom, ktoré súbory cookie sa nastavujú a na aké účely sa budú údaje spracovávať. V takomto prípade prístup k obsahu nie je možný bez kliknutia na tlačidlo „Prijať cookies“.

EDPB zastáva názor, že ak by aj dotknutá osoba súhlas poskytla, tento nebude slobodný, nakoľko jej nebola ponúknutá skutočná voľba na udelenie súhlasu.

V zmysle vyššie uvedeného umožnenie prístupu na webovú stránku až po odkliknutí súhlasu s cookies nie je možné považovať za platne udelený súhlas.

III. Scrolling a swiping

Ako sme už v úvode avizovali, v zmysle GDPR je zrejmé, že súhlas dotknutej osoby vyžaduje buď jej vyhlásenie, alebo iný jasný kladný akt dotknutej osoby, čo znamená, že sa súhlas na spracúvanie osobných údajov musí vždy udeliť prostredníctvom aktívneho pohybu alebo vyhlásenia dotknutej osoby. Musí byť zrejmé, že dotknutá osoba so spracovaním jej osobných údajov súhlasila.

Smernica 95/46/EHS súhlas definuje ako slobodne poskytnutú a informovanú indikáciu jeho prianí, ktorou osoba pracujúca s údajmi prejaví svoj súhlas, aby sa osobné údaje, ktoré sa ho týkajú, spracovali.

Článok 4 ods. 11 GDPR vychádza z tejto definície tým, že ďalej špecifikuje, že platný súhlas si vyžaduje formu vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

Jednoznačný potvrdzujúci úkon znamená, že dotknutá osoba musí urobiť úmyselné kroky na udelenie súhlasu s konkrétnym spracúvaním. V recitáli 32 GDPR sa k tomu poskytujú ďalšie usmernenia ako napríklad, že súhlas možno získať prostredníctvom písomného alebo (zaznamenaného) ústneho vyhlásenia, a to aj elektronickými prostriedkami.

V zmysle vyššie uvedeného a na margo recitálu 32 GDPR, EDPB zastáva názor, že akcie, ako je napríklad rolovanie (scrolling) alebo posúvanie sa cez webovú stránku (swiping) alebo iná podobná aktivita užívateľa, za žiadnych okolností nespĺňa požiadavku jednoznačného potvrdzujúceho úkonu.

Rolovanie alebo posúvanie sa cez webovú stránku môžu byť náročné na rozlíšenie od inej činnosti alebo interakcie používateľa, a preto nebude tiež možné určiť, či sa získal jednoznačný súhlas. Okrem toho v takom prípade bude ťažké poskytnúť používateľovi spôsob, ako odvolať súhlas spôsobom, ktorý je rovnako jednoduchý ako jeho udelenie.

Inými slovami, bannery týkajúce sa cookies, ktoré tvrdia, že ďalšie prehliadanie stránok sa bude považovať za akceptáciu používania cookies, nie sú v súlade s GDPR.

Anglická verzia revidovaného Usmernenia je dostupná na linku nižšie:

https://www.dataprotection.gov.sk/uoou/sites/default/files/guidelines_on_consent_1.pdf

©2020 by Bukovinský & Chlipala. Proudly created with Wix.com