Slovenská legislatíva sa konečne dočkala prvého stanoviska regulátora v oblasti cookies a získavania súhlasu. Aj keď, podľa vlastných slov, Úrad pre reguláciu elektronických komunikácií a poštových služieb nie je povinný zverejňovať usmernenia k problematike cookies, vypočul volania odborníkov a pokúsil sa vniesť poriadok do chaosu, ktorý na Slovensku vládne. Odborníci hodnotia snahu úradu pozitívne, no poukazujú na nedostatočné skúsenosti úradu s výkladom GDPR a z toho prameniace rozpory.
Úrad pre reguláciu elektronických komunikácií a poštových služieb v máji zverejnil stanovisko odboru štátneho dohľadu k problematike získavania súhlasu s cookies, ktoré je doteraz jediným platným usmernením regulátora k používaniu cookies. „Sme radi, že úrad zareagoval na naše naliehanie, aj keď podľa jeho vlastných slov nemusel. Z usmernenia je však zrejmé, že pre štátnych zamestnancov, ktorí doteraz nesledovali usmernenia Výboru (EDPB), rozhodnutia zahraničných dozorných orgánov, prípadne relevantnú judikatúru, je veľmi ťažké sa v priebehu len niekoľkých mesiacov zorientovať v spleti pravidiel a výkladov. Usmernenie nevie zakryť doteraz neexistujúcu prax Úradu pre reguláciu vo vzťahu ku cookies a ani absenciu skúseností Úrad pre reguláciu s výkladom GDPR,“ upozorňuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal.
Veľké množstvo nedostatkov
Podľa odborníka na ochranu osobných údajov má úrad problém tiež pochopiť vzťah medzi účelom spracúvania a typom cookies, pričom si spája zlučiteľnosť účelov s typmi cookies. „Typy cookies sú len akési zaužívané kategórie, používané skôr v hovorovej reči. Podstatný tu je účel spracovania. Osobne nevidím žiadny rozdiel medzi štatistickou a analytickou cookienou a ani usmernenie tieto rozdiely nepopisuje. Takisto pre mňa nie je jasné, či napríklad Google Analytics cookiena predstavuje štatistickú, analytickú alebo marketingovú cookienu. Z hľadiska GDPR je totiž rozhodujúce to, na aký účel prevádzkovateľ získané údaje spracováva,“ približuje Jakub Berthoty.
Medzi ďalšie nedostatky v usmernení patrí aj absencia vysvetlenia informačných povinností (Cookies policy) a to napriek skutočnosti, že otázka súhlasu je s informačnými povinnosťami kriticky previazaná. Usmernenie tiež nevysvetľuje vzťah medzi ePrivacy a GDPR ani judikatúru SDEÚ (Planet 49). Rovnako absentuje práca s ostatnými kľúčovými usmerneniami Výboru (EDPB) aj s usmerneniami zahraničných dozorných orgánov, ktoré obsahujú viaceré výkladové nuansy dôležité pre prax. Usmernenie sa tiež nevenuje odvolaniu súhlasu ani súhlasu detí a chýbajú aj praktické príklady.
V usmernení úradu nájdeme dokonca aj absolútne nezmysly, ako napríklad tvrdenie, že nevyhnutné cookies „neukladajú ani nespracúvajú žiadne osobné údaje užívateľov a ich jediným účelom je prenos alebo uľahčenie prenosu správy prostredníctvom siete“ alebo už spomínané chaotické narábanie s účelmi spracúvania.