Slovenská legislatíva už má prvé záväzné stanovisko regulátora v oblasti cookies a získavania súhlasu návštevníkov internetových stránok. Aj keď podľa Úradu pre reguláciu elektronických komunikácií a poštových služieb nemá povinnosť zverejňovať usmernenia k problematike cookies. Odborníci hodnotia snahu úradu pozitívne, no poukazujú na nedostatočné skúsenosti s výkladom GDPR a z toho prameniace rozpory.
Úrad pre reguláciu elektronických komunikácií a poštových služieb v máji t. r. zverejnil stanovisko odboru štátneho dohľadu k problematike získavania súhlasu s cookies, ktoré je doteraz jediným platným usmernením regulátora k používaniu cookies na Slovensku. „Z usmernenia je však zrejmé, že pre štátnych zamestnancov, ktorí doteraz nesledovali usmernenia Výboru (EDPB), rozhodnutia zahraničných dozorných orgánov, prípadne relevantnú judikatúru, je veľmi ťažké sa v priebehu len niekoľkých mesiacov zorientovať v spleti pravidiel a výkladov. Usmernenie nevie zakryť doteraz neexistujúcu prax Úradu pre reguláciu vo vzťahu ku cookies a ani absenciu skúseností Úrad pre reguláciu s výkladom GDPR,“ upozorňuje Jakub Berthoty. Podľa neho má úrad problém tiež pochopiť vzťah medzi účelom spracúvania a typom cookies, pričom si spája zlučiteľnosť účelov s typmi cookies. „Typy cookies sú len akési zaužívané kategórie, používané skôr v hovorovej reči. Podstatný tu je účel spracovania. Osobne nevidím žiadny rozdiel medzi štatistickou a analytickou cookienou a ani usmernenie tieto rozdiely nepopisuje. Takisto pre mňa nie je jasné, či napríklad Google Analytics cookiena predstavuje štatistickú, analytickú alebo marketingovú cookienu. Z hľadiska GDPR je totiž rozhodujúce to, na aký účel prevádzkovateľ získané údaje spracováva,“ približuje Jakub Berthoty.
Medzi ďalšie nedostatky v usmernení patrí aj absencia vysvetlenia informačných povinností (Cookies policy) a to napriek skutočnosti, že otázka súhlasu je s informačnými povinnosťami kriticky previazaná. Usmernenie tiež nevysvetľuje vzťah medzi ePrivacy a GDPR ani judikatúru SDEÚ (Planet 49). Rovnako absentuje práca s ostatnými kľúčovými usmerneniami Výboru (EDPB) aj s usmerneniami zahraničných dozorných orgánov, ktoré obsahujú viaceré výkladové nuansy dôležité pre prax. Usmernenie sa tiež nevenuje odvolaniu súhlasu ani súhlasu detí a chýbajú aj praktické príklady. V usmernení úradu nájdeme dokonca aj absolútne nezmysly, ako napríklad tvrdenie, že nevyhnutné cookies „neukladajú ani nespracúvajú žiadne osobné údaje užívateľov a ich jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete“ alebo už spomínané chaotické narábanie s účelmi spracúvania.