Technológie súborov cookie a sledovania: ako môžu byť správcovia údajov v súlade

Použitie súhlasu so súbormi cookie a technológiami sledovania sa v poslednom čase opäť dostalo do centra pozornosti po niektorých kľúčových regulačných zmenách. V apríli zverejnila Komisia pre ochranu údajov (DPC) správu o používaní súborov cookie na írskych webových stránkach a mobilných aplikáciách. Nasledovalo usmernenie a oznámilo sa šesťmesačné obdobie na dodržiavanie nových zákonov upravujúcich súbory cookie. V máji prijal Európsky výbor pre ochranu údajov (EDPB) pokyny pre súhlas so súbormi cookie. V tomto blogu sumarizujeme hlavné body týchto publikácií a upozorňujeme na opatrenia, ktoré teraz musia správcovia údajov vykonať.

(Stručný právny bočný panel: nariadenie 5 nariadení o súkromí a elektronických komunikáciách chráni dôvernosť elektronických komunikácií v Írsku. Tieto právne predpisy sú samostatné, ale dopĺňajú všeobecné nariadenie o ochrane údajov (GDPR). Organizácie musia dodržiavať oba zákony, ale pravidlá podľa právnych predpisov o súkromí a elektronických komunikáciách sa uplatňujú najskôr, pokiaľ ide o používanie súborov cookie prehliadača a iných technológií sledovania, ako sú odtlačky prstov zariadenia alebo pixely. Nezáleží na tom, či informácie obsahujú osobné údaje.)

Súbory cookie sa rozpadajú: čo zistil DPC

Minulý rok DPC preveril, či súbory cookie a podobné technológie používa 40 webových stránok, alebo aplikácií správcov údajov. Preskúmanie sa týka sektorov, ako sú médiá, maloobchod, reštaurácie a objednávanie potravín, poistenie, šport a voľný čas a verejný sektor. V správe boli zistené problémy s kompatibilitou takmer so všetkými webmi správcov údajov alebo mobilnými aplikáciami, ktoré kontrolovala. Patria sem: nastavenie súborov cookie, keď používateľ príde na svoj web/ aplikáciu bez súhlasu; použitie vopred začiarknutých políčok v banneri so súhlasom; nesprávna interpretácia definície potrebného súboru cookie (ktorý môže poskytovať výnimku z potreby súhlasu); nedostatočné zahrnutie technológie sledovania tretích strán ako súčasti súhlasu s používaním súborov cookie; a zmätok okolo implikovaného súhlasu z nastavení prehliadača používateľa.

K ďalším problémom v správe patrilo, že životnosť súborov cookie nebola proporcionálna a správcovia údajov nectili súhlasy, ktoré používatelia poskytli. DPC tiež zdôraznil bod, ktorý bude známy každému, kto si prezerá web. Niektoré zložité nástroje alebo bannery na súhlas so súbormi cookie sa javili iba ako ponuka možnosti „prijať všetko“. Pokyny DPC sú 17-stranovým dokumentom, ktorý sa podrobnejšie zaoberá niektorými príkladmi nedodržiavania predpisov. (Tiež to prinieslo podcast na túto tému.)

Medzitým v Európe – aktualizované pokyny pre súhlas

EDPB prijal aktualizovanú verziu svojich usmernení o súhlase, ktorá sa zamerala na tri kľúčové body:

  • Prístup k službe poskytovanej správcom údajov nemôže byť podmienený súhlasom používateľa so spracovaním jeho osobných údajov prostredníctvom súborov cookie alebo sledovacích technológií.
  • Steny súborov cookie (kde používatelia nemajú prístup na web alebo do mobilnej aplikácie, pokiaľ nesúhlasia s používaním súborov cookie) nie sú v súlade s GDPR.
  • Používateľ posúvajúci sa na webovej stránke alebo na nej prechádzajúci prstom nespĺňa kritériá pre jasný a potvrdzujúci súhlas.

Ako dodržiavať požiadavky na technológie cookie a sledovanie

Tým, že DPC poskytuje svoje usmernenia, dáva správcom údajov skutočne čas na implementáciu opatrení na dosiahnutie súladu so zákonmi o súboroch cookie. Potom môže DPC vykonať opatrenia na presadzovanie práva a začať vyšetrovanie, ak nie sú k dispozícii uspokojivé kontroly. Čo teda musia správcovia údajov zvážiť?

  • Na väčšinu súborov cookie musia mať výslovný súhlas (vzťahujú sa niektoré výnimky, pozri nižšie).
  • Ako prevádzkovateľ údajov nemôžu odoberať súlad so súbormi cookie.
  • Musia zaistiť, aby prijali všetky opatrenia do 5. októbra 2020.

Po vykonaní niekoľkých počiatočných krokov by tieto štyri faktory mali tvoriť základ pre kontrolu súladu:

  • Zapojte všetky relevantné zainteresované strany.
  • Zistite, aké technologické zdroje potrebujete.
  • Auditujte všetky súbory cookie a metódy sledovania, ktoré používa váš web alebo aplikácia.
  • Zaistite, aby sa kládol dôraz na transparentnosť pre návštevníkov vášho webu alebo aplikácie.

Úvahy o súbore cookie

Najprv zistite, do akej klasifikácie vaše súbory cookie patria:

  • Nevyhnutne potrebné (pozri nižšie).
  • Analytika/ marketing.
  • Funkčné.
  • Ostatné kategórie podľa určenia.

Existujú dva typy súborov cookie klasifikovaných ako oslobodené, ktoré nevyžadujú súhlas. Sú to:

Výnimka z komunikácie: súbor cookie, ktorého jediným účelom je smerovať informácie cez sieť na identifikáciu koncových bodov komunikácie, t. j. ale ak sa súbor cookie používa na rýchlejšie načítanie webových stránok, nespĺňa požiadavky.

Je to úplne nevyhnutné: výnimka sa vzťahuje na „služby informačnej spoločnosti“ (ISS) – t. j. službu poskytovanú cez internet, ako je webová stránka alebo aplikácia. Okrem toho túto službu musel používateľ výslovne požadovať a používanie súboru cookie musí byť obmedzené na to, čo je nevyhnutné na poskytovanie tejto služby.

Niektorí správcovia používajú platformu na správu súhlasu alebo poskytovateľa správy súhlasov (CMP), ktoré im pomáhajú spravovať voľby súborov cookie používateľov. To im môže pomôcť splniť si povinnosti súvisiace s transparentnosťou podľa zákona o ochrane údajov. CMP však musí dodržiavať tu uvedené požiadavky a nepreberá zodpovednosť za súlad; to stále zostáva správcovi údajov.

Prevádzkovatelia údajov musia tiež pri navrhovaní rozhraní pre bannery, posuvníky alebo „začiarkavacie“ políčka brať do úvahy prístupnosť. Zvážte ľudí so zrakovým postihnutím alebo farebnou slepotou a typ farebných schém, ktoré musíte použiť.

Získanie súhlasu v praxi

Prevádzkovatelia údajov nemôžu „zoskupovať“ súhlas na viacero účelov. V prvej vrstve komunikácie by mali načrtnúť, že žiadajú súhlas s používaním súborov cookie na konkrétne účely. Potom môžu použiť druhú vrstvu informácií na poskytnutie podrobnejších informácií o typoch súborov cookie alebo iných používaných technológiách sledovania. Potom môžu používateľovi poskytnúť možnosti, aby tieto súbory cookie povolil alebo prijal.

  • Súhlas nie je potrebné udeľovať pre každý súbor cookie, ale musí byť udelený pre každý účel, na ktorý sa súbory cookie používajú.
  • Na označenie súhlasu používateľa s nastavením alebo používaním súborov cookie nemôžete predvolene používať vopred začiarknuté políčka, posúvače alebo iné nástroje nastavené na hodnotu „ZAPNUTÉ“. Tieto nie sú v súlade s európskym právom.
  • Nemôžete sa spoliehať na to, že používateľ bude listovať alebo prechádzať prstom po vašom webe/ mobilnej aplikácii. Napríklad banner, ktorý uvádza, že „pokračovanie v prehliadaní sa bude považovať za prijatie všetkých súborov cookie“, nie je v súlade s najnovšími pokynmi EDPB v súlade s GDPR.
  • Životnosť súboru cookie musí byť primeraná jeho funkcii. Nemalo by byť považované za primerané mať napríklad súbor cookie relácie so životnosťou „navždy“.
  • Používateľov stránok alebo aplikácií nemožno považovať za používateľov, ktorí súhlasili len preto, že používajú prehliadač alebo inú aplikáciu, ktorá v predvolenom nastavení umožňuje zhromažďovanie a spracovanie ich informácií.
  • Ak vaša organizácia bude spracovávať údaje akejkoľvek špeciálnej kategórie odvodenej z používania súborov cookie alebo iných technológií sledovania, budete potrebovať výslovný súhlas tých osôb, ktorých údaje spracúvate.
  • Bez súhlasu nesmiete používať cookie ani iné technológie na sledovanie polohy používateľa alebo zariadenia. Ak nastavíte súbory cookie, ktoré sa používajú na sledovanie polohy zariadenia alebo používateľa, môžete to urobiť iba so súhlasom používateľa.

Tu je niekoľko grafických príkladov vyhovujúcich nástrojov na získanie súhlasu.

Umožnenie používateľom odvolať alebo zmeniť a doplniť súhlas

Používatelia musia mať možnosť odvolať súhlas rovnako jednoducho, ako ho udelili. To neznamená žiadny „súhrnný“ súhlas so súbormi cookie so súhlasom na iné účely alebo s podmienkami zmluvy o iných službách, ktoré spoločnosť poskytuje.

  • Mali by ste poskytnúť informácie o tom, ako môžu používatelia vyjadriť a neskôr odvolať svoj súhlas s používaním súborov cookie.
  • Ak použijete súbor cookie na uloženie záznamu, že používateľ udelil súhlas s používaním súborov cookie, mali by ste používateľa požiadať, aby svoj súhlas znova potvrdil, a to maximálne šesť mesiacov po uložení tohto stavu súhlasu. Ako praktické riešenie zvážte použitie jednoduchého nástroja, ako je napríklad „prepínač“ na vašom webe, ktorý umožní používateľom ovládať, ktoré súbory cookie sa nastavujú, a umožniť im kedykoľvek zmeniť svoj súhlas.
  • Každý záznam o súhlase musí byť tiež podložený preukázateľnými organizačnými a technickými opatreniami, ktoré zaisťujú, že vyjadrenie súhlasu (alebo odvolania) dotknutej osoby môže byť účinne prijaté.

Piaty október tu bude skôr, ako si myslíme. V tomto čase vnútroštátne a európske usmernenia poskytujú správcom údajov nástroje, ktoré potrebujú na dodržiavanie zákonov o súboroch cookie. Preto je potrebné konať teraz.