Služby

pondelok 28. marca 2022

GDPR: Cookie lišta v rozpore?

Belgický dozorný orgán rozhodol, že cookie lišta od IAB Europe je v rozpore s GDPR. Ak nadobudne rozhodnutie právoplatnosť, bude mať vplyv aj na slovenských prevádzkovateľov webov. Téma tzv. „cookies“ je na Slovensku dlhodobo podceňovaná, a to aj napriek tomu, že sa týka prakticky všetkých prevádzkovateľov webov. Na čo sa teda máme pripraviť?

V Slovenskej republike upravuje cookies zákon o elektronických komunikáciách, ktorý okrem iného implementuje ePrivacy smernicu Európskej únie. Tá podmieňuje marketingové využívanie cookies súhlasom používateľa. Až v minulom roku však boli zavedené sankcie za porušenie pravidiel cookies, ktoré v slovenskej legislatíve takmer 20 rokov chýbali. Prekvapivá je však ich výška - až do 10 % z obratu. Pokuta tak môže v tomto prípade presiahnuť aj výšku sankcie podľa GDPR, ktorá je v najvyššej sadzbe 4 % z celkového svetového ročného obratu s limitom 20 miliónov eur. Naopak, pri „nepodnikateľoch“ môže byť uložená maximálne pokuta vo výške do 20.000 eur. „Pri zásahoch do súkromia nie je dôležité, či ich robí fyzická alebo právnická osoba alebo či má status podnikateľa, podstatný je dopad porušenia na práva dotknutých osôb. Znenie zákona upravujúce sankcie pre podnikateľov a nepodnikateľov rozdielne bude skôr motiváciou pre obchádzanie zákona“, zhodnotil zavedenie sankcií advokát Jakub Berthoty.

Väčšina prevádzkovateľov nemá čas ani dostatočné vedomosti na riešenie úpravy cookies a volia jednoduché riešenie formou externého dodávateľa rozhrania. Medzi najznámejších poskytovateľov v EÚ patrí spoločnosť IAB Europe so svojím systémom získavania súhlasu Transparency & Consent Framework (TCF). Známe cookie lišty využíva v EÚ až 80 % prevádzkovateľov webov, vrátane gigantov ako Google, Microsoft či Amazon. Cieľom je informovať používateľov o oprávnených záujmoch inzerentov a súčasne získavať súhlas používateľov so spracovaním osobných údajov v systéme real - time bidding (RTB)*. Podľa belgického dozorného orgánu sú však cookie lišty v rozpore s GDPR. IAB Europe bola uložená aj pokuta vo výške 250 tisíc eur a povinnosť vymazať všetky údaje zhromaždené s využitím TCF. V zmysle rozhodnutia TCF totiž okrem iného nezabezpečuje bezpečnosť a dôvernosť osobných údajov, nepoužíva platný právny základ a neinformuje používateľov o tom, ako budú ich osobné údaje ďalej spracúvané. Rozhodnutie zatiaľ nie je právoplatné, keďže IAB Europe podalo odvolanie. Ak však bude neúspešné, budú osobné údaje, ktoré prostredníctvom TCF zhromaždili prevádzkovatelia v EÚ, spracúvané nezákonne, a teda budú musieť byť vymazané. Prevádzkovatelia by mali zvážiť komplexný audit využívania cookies zameraný na to, ktoré osobné údaje skutočne potrebujú a ktoré údaje postačujú aj v anonymizovanej forme, a teda nepodliehajú GDPR. Audit by mal tiež jasne určiť, aké právne základy sú vhodné na príslušné spracúvanie osobných údajov a či využívaný súhlas spĺňa zákonné podmienky.

*RTB je sieť partnerov, ktorá umožňuje zlepšiť predaj reklamného priestoru prostredníctvom využívania dát v reálnom čase a personalizovanej (behaviorálnej) reklamy. Na predaj a nákup reklamného priestoru používa okamžitú automatizovanú on-line aukciu, kde používateľ vstúpi na webovú stránku alebo do aplikácie, ktorá obsahuje reklamný priestor, čím sa aktivuje sa automatizovaný on-line aukčný systém. Tisícky inzerentov ponúkajú v reálnom čase cenu za cielenú reklamu, špecificky prispôsobenú profilu dotknutej osoby. Denne sa takto vydražia miliardy inzerátov.