Stránky na internete aj aplikácie v elektronických zariadeniach o nás zbierajú údaje, ktoré následne využívajú na zlepšenie používateľského zážitku, ale aj na marketingové cielenie a ďalšie účely. Európska únia a členské štáty sa týmito, často neoprávnenými, zásahmi do súkromia zaoberajú už roky, no v mnohých krajinách, vrátane Slovenska, stále absentuje reálny enforcement pravidiel, ktoré v Európskej únii existujú minimálne od roku 2002 a u nás od roku 2011. Prvé zmeny v podobe pokút by mal priniesť nový Zákon o elektronických komunikáciách, no oveľa dôležitejšie bude finálne znenie ePrivacy nariadenia, ktorým sa už zaoberá Európsky parlament.
Nový Zákon o elektronických komunikáciách veľké zmeny neprinesie
V piatok 12. marca bolo ukončené medzirezortné pripomienkové konanie (MPK) k novému Zákonu o elektronických komunikáciách, ktorý predložilo Ministerstvo dopravy a výstavby Slovenskej republiky (MDaVSR). Z celkového počtu 801 pripomienok bolo 460 zásadných a len 2 sa týkali právnej úpravy tzv. „cookies“.
Cookies, alebo skriptové technológie, aktuálne reguluje čl. 5 ods. 3 ePrivacy smernice a § 55 ods. 5 aktuálneho zákona o elektronických komunikáciách, ktoré podmieňujú ich marketingové využívanie súhlasom používateľa. Na rozdiel od väčšiny členských štátov EÚ má Slovenská republika túto právnu úpravu síce implementovanú, no nešťastne a bez reálneho enforcementu. V ešte stále aktuálnom Zákone o elektronických komunikáciách napríklad chýba zmienka o pokutách za porušenie cookies regulácie a Úrad pre reguláciu elektronických komunikácií a poštových služieb SR (bývalý Telekomunikačný úrad SR) k problematike cookies od roku 2011 nevyvinul prakticky žiadne aktivity.
Obávam sa, že pri regulácii cookies nový zákon v praxi veľké zmeny neprinesie. V časti venovanej cookies a podobným technológiám je prakticky totožný s pôvodným zákonom, vypadol iba súhlas cez webový prehliadač, ktorý bol od začiatku beztak otázny. Väčšina prehliadačov je totiž prednastavená na akceptovanie akýchkoľvek cookies,
Problém však doteraz nebol ani tak so znením zákona, ako s nulovým enforcementom cookies pravidiel. Zmeniť by to mal nový zákon, ktorý výslovne zavádza sankcie za porušenie pravidiel cookies, ktoré v zákone, z nepochopiteľných dôvodov, doteraz absentovali.
Prekvapila ma však ich výška, ktorá by sa mala pohybovať až do 10 percent z obratu právnických osôb. Čl. 15 ePrivacy smernice a rovnako aj návrhy ePrivacy nariadenia počítajú s rovnakými sankciami ako podľa GDPR, t.j. do 20 miliónov eur alebo 4 percent z obratu, podľa toho čo je vyššie. S týmto režimom je v rozpore aj výnimka pre fyzické osoby, ktorým sa navrhujú pokuty do 20 000 eur. Pri takto významných zásahoch do súkromia je jedno, či ich robí fyzická alebo právnická osoba a takéto znenie bude skôr predstavovať motiváciu pre obchádzanie zákona. Na druhej strane hovoríme o pokutách, ktoré na Slovensku ešte nikdy neboli udelené. Kým sa tieto pravidlá reálne neaplikujú, je to asi aj jedno,“ konštatuje advokát Jakub Berthoty.
Implementácia ePrivacy je stále otázna
Vyzerá to tak, že nový Zákon o elektronických komunikáciách výrazne nezmení aktuálny stav v oblasti cookies a priameho marketingu a reálne zmeny regulačného rámca pravidiel cookies prinesie až ePrivacy nariadenie. Je možné, že s príchodom nového ePrivacy nariadenia bude potrebná novela tohto zákona, čo už môže byť čoskoro. ePrivacy nariadenie bude dopĺňať nariadenie GDPR, no kým GDPR sa vzťahuje na pravidlá spracúvania osobných údajov, ePrivacy bude špecifikovať, kedy a na čo je potrebný súhlas koncového používateľa. Regulácia „cookies“ sa rozšíri aj o zachytávanie dát vysielaných koncovým zariadením (napr. Bluetooth beacons, infrared žiarenia, wifi tracking). Ďalší podstatný rozdiel oproti GDPR je v tom, že ePrivacy chráni rovnako právnické aj fyzické osoby, kým GDPR iba fyzické. Konečná podoba ePrivacy nariadenia by mala byť schválená Európskym parlamentom do júna 2021, pričom s účinnosťou sa počíta už od 1. augusta 2022. Či sa termíny stihnúť podarí je však nateraz otázne.
Zmeny sa pravdepodobne dotknú každého, kto používa Facebook, či nástroje Google
GDPR aj ePrivacy sa s veľkou pravdepodobnosťou budú vzťahovať súčasne na každého, kto používa Google Analytics, nástroje Facebooku, prevádzkuje aplikáciu alebo webstránku. Podnikateľov sa však ePrivacy nariadenie dotkne ďaleko viac ako GDPR.
Verejnosť si stále neuvedomuje dopady cookies regulácie na každodenný podnikateľský život. Kto dnes nepoužíva webstránku, mobilnú aplikáciu, Google Analytics alebo nástroje sociálnych sietí pre svoj business? Poznáte vôbec niekoho kto nespadne pod ePrivacy?
Zdá sa, že schválenie nového ePrivacy nariadenia je už len otázkou času, a preto odporúčam začať s analýzou používaných technológií pri weboch aj aplikáciách už teraz. Je dôležité vedieť, na ktoré technológie je potrebný platný GDPR súhlas používateľa a zároveň sa zamerať aj na prenosy údajov do USA. Firmám a podnikateľom s kolegami odporúčame skontrolovať a doplniť ich Privacy Policy aj o „cookies“ a zverejňovať ju všade – od webového sídla, cez sociálne siete, až po odkaz na Privacy Policy v podpise e-mailu. Základ je, aby bola ľahko dostupná, čo poslúži ako dobrý argument a dôkaz pri prípadnej kontrole.