Bezpečnosť
Byť, či nebyť GDPR? Časť o Cookies

Byť, či nebyť GDPR? Časť o Cookies

Pred týždňom sme boli na konferencii, po ktorej sme rozprúdili bujnú debatu o Cookies a či sa teda niečo zmenilo vzhľadom na GDPR. Konkrétne sme sa dostali do názorového súboja kvôli tomu, či musíme vždy zobrazovať tzv. "Cookie banner" a či teda musí vždy užívateľ súhlasiť s uložením Cookies v jeho počítači.

Dal som si tú námahu a preštudoval Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov publikovaný v Zbierke zákonov SR, viac známy pod názvom GDPR, ktorý je v účinnosti od 25. mája 2018.

V celom znení zákona sa nachádza pojem "online identifikátor" (ktorého je súčasťou aj Cookies) dvakrát.

Čo je osobný údaj?

Prvýkrát sa pojem "online identifikátor" nachádza v definícii pojmu "Osobný údaj":

Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

Čo je online identifikátor?

Druhýkrát sa Cookies spomínajú v zákone v časti, kde sa definuje čo konkrétne znamená online identifikátor:

§ 5: Vymedzenie základných pojmov
Odsek k: online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,

Ako tomu rozumieť?

Podľa vyššie definovaných pojmov teda máme za úlohu, ako správcovia webu, spýtať sa užívateľa, či súhlasí, aby boli v prehliadači uložené cookies, ktoré identifikujú jeho konkrétnu fyzickú osobu.

Tu ale nastáva otázka, čo s cookies, ktoré nijako neidentifikujú fyzickú osobu. Ako príklad uvediem web, ktorý si zaznamenáva, ktoré stránky užívateľ navštívil a zobrazuje ich na stránke v boxe s linkami "Navštívili ste tieto stránky:".

Vodu káže, víno pije...

Len pre zaujímavosť, sme si overeli, či sa nás stránka Európskej komisie spýta na súhlas s používaním Cookies na ich stránke: ec.europa.eu. Tak trochu sme tušili, že si predsa len niečo v Cookies uložia. Uložia a dokonca dlhodobo, až 1 rok, pričom k žiadnej interakcii s užívateľom nedošlo:

Otázky

  • Mali by sme aj v tomto prípade zobraziť informačný panel s pravidlami používania Cookies a vyžiadať si súhlas od užívateľa s uložením takýchto cookies? Čo by ste spravili Vy?

To nám napíšte dole do commentov.