5 fatálnych chýb pri cookies: Prečo väčšina slovenských webov stále porušuje GDPR a ako sa im vyhnúť?

Správa cookies na slovenskom internete prešla od 1. februára 2022 zásadnou legislatívnou zmenou, no napriek tomu sa zdá, že mnohí prevádzkovatelia webov stále podceňujú vážnosť situácie. Prechod z režimu „opt-out“ na striktný „opt-in“ model znamenal, že bez aktívneho a slobodného súhlasu návštevníka nesmie byť do jeho zariadenia uložený žiaden súbor cookie, ktorý nie je nevyhnutne potrebný pre fungovanie stránky. Mnohé firmy sa však stále spoliehajú na zastarané lišty, ktoré len oznamujú používanie cookies, alebo používajú manipulatívne techniky známe ako „dark patterns“. Tieto nedostatky nie sú len estetickou chybou, ale priamou pozvánkou pre Úrad na ochranu osobných údajov (ÚOOÚ) k udeleniu vysokej pokuty. V nasledujúcom článku podrobne analyzujeme päť najčastejších prešľapov, ktorých sa slovenské e-shopy a firemné weby dopúšťajú, a vysvetlíme si, ako tieto chyby napraviť v súlade s aktuálnou európskou judikatúrou a slovenskou legislatívou.

1. Predzaškrtnuté políčka a predpokladaný súhlas

Jednou z najčastejších a zároveň najzávažnejších chýb je využívanie tzv. predzaškrtnutých políčok (pre-ticked boxes) v nastaveniach cookie lišty. Podľa nariadenia GDPR a rozsudku Súdneho dvora EÚ v prípade Planet49 musí byť súhlas udelený aktívnym úkonom. Ak návštevník príde na web a v podrobných nastaveniach už vidí zaškrtnutý súhlas s marketingovými alebo analytickými cookies, nejde o platný súhlas.

Mnohé slovenské weby tento fakt ignorujú v snahe umelo zvýšiť mieru súhlasu (consent rate). Realita je však taká, že pasivita používateľa – teda to, že políčko neodškrtne – sa v právnom zmysle nepovažuje za prejav vôle. Správne riešenie vyžaduje, aby boli všetky voliteľné kategórie cookies (okrem tých technicky nevyhnutných) predvolene vypnuté. Používateľ ich musí sám aktívne zapnúť, ak si to želá. V opačnom prípade sú všetky dáta zbierané cez tieto nástroje získané nezákonne, čo znehodnocuje aj vaše marketingové reporty.

Chýbajúce tlačidlo „Odmietnuť všetko“ na prvej úrovni

Európske dozorné orgány čoraz častejšie prízvukujú pravidlo rovnocennosti. To znamená, že odmietnutie cookies musí byť pre používateľa rovnako jednoduché ako ich prijatie. Ak vaša cookie lišta obsahuje výrazné zelené tlačidlo „Prijať všetko“, ale možnosť odmietnuť je schovaná hlboko v „Nastaveniach“ alebo je napísaná drobným, nevýrazným písmom, porušujete princíp transparentnosti a slobodného súhlasu.

Ideálna konfigurácia z pohľadu legislatívy obsahuje dve rovnocenné tlačidlá na prvej úrovni lišty:

• Prijať všetko – pre používateľov, ktorí chcú plnohodnotný zážitok.
• Odmietnuť všetko – pre tých, ktorí si chránia súkromie a chcú povoliť len nevyhnutné minimum.
• Nastavenia/Individuálny výber – ako doplnková možnosť pre detailnú konfiguráciu.

Absencia tlačidla na odmietnutie priamo v prvom kontakte s používateľom je považovaná za nátlakovú metódu, ktorá môže viesť k neplatnosti všetkých udelených súhlasov.

Nemožnosť jednoducho odvolať súhlas

Zákon o elektronických komunikáciách a GDPR jasne stanovujú, že odvolať súhlas musí byť také isté jednoduché, ako bolo jeho udelenie. Tu narážame na obrovský problém slovenskej praxe. Kým udeliť súhlas je otázkou jedného kliku pri vstupe na web, jeho odvolanie je často procesom na detektívnu prácu. Používateľ by nemal byť nútený mazať si históriu prehliadača alebo hľadať návody v päte webu.

Správne implementovaný systém cookies by mal obsahovať trvalý prvok na stránke, napríklad malú ikonu „štítu“ alebo „odtlačku prsta“ v rohu obrazovky, ktorá po kliknutí opäť vyvolá cookie lištu. Používateľ tak môže kedykoľvek zmeniť svoje preferencie. Ak váš web túto možnosť neponúka, nespĺňate jednu zo základných podmienok zákonného spracúvania osobných údajov. Pamätajte, že súhlas nie je trvalý stav, ale odvolateľné povolenie.

3. Nesprávna kategorizácia a „všetko je nevyhnutné“

Prevádzkovatelia webov sa často pokúšajú obísť povinnosť získania súhlasu tým, že do kategórie „nevyhnutné cookies“ zaradia aj nástroje, ktoré tam nepatria. Typickým príkladom je Google Analytics alebo rôzne chatovacie pluginy. Hoci sú tieto nástroje pre biznis dôležité, nie sú nevyhnutné pre technické zobrazenie webu.

Nevyhnutné cookies sú len tie, bez ktorých by stránka doslova nefungovala – napríklad cookies na udržanie tovaru v košíku, prihlásenie do klientskej zóny alebo bezpečnosť (ochrana pred botmi). Všetko ostatné, čo slúži na meranie návštevnosti, personalizáciu reklamy alebo sledovanie správania používateľa (heatmapy, nahrávanie session), vyžaduje explicitný súhlas. Ak v popise vašej lišty tvrdíte, že analytika je „nutná pre chod webu“, zavádzate spotrebiteľa, čo je ďalším rizikovým faktorom pri kontrole.

4. Spúšťanie skriptov ešte pred udelením súhlasu

Toto je technicky najčastejšia chyba, ktorú odhalí aj jednoduchý audit. Mnohé cookie lišty fungujú len ako „estetický doplnok“. To znamená, že hoci sa lišta zobrazí, na pozadí sa už dávno spustili všetky sledovacie kódy ako Facebook Pixel alebo Google Tag Manager. V momente, keď používateľ ešte len premýšľa, či klikne na „Prijať“, jeho údaje už prúdia na servery tretích strán.

Správna technická implementácia musí zabezpečiť tzv. prior blocking. Žiaden netechnický skript nesmie byť vykonaný, kým systém nedostane signál o súhlase. Ak váš web ukladá marketingové cookies ihneď po načítaní stránky, porušujete zákon bez ohľadu na to, ako pekne vyzerá vaša lišta. Tento technický detail je najjednoduchšie overiteľný dôkaz pri sťažnostiach nespokojných používateľov alebo konkurentov.

5. Chýbajúci zoznam cookies a informácie o tretích stranách

Transparentnosť je pilierom GDPR. Používateľ má právo vedieť nielen to, že používate cookies, ale aj kto presne dáta spracúva a ako dlho budú uložené. Mnohé slovenské weby používajú všeobecné frázy typu „používame cookies na zlepšenie služieb“, čo je absolútne nepostačujúce.

Vaša politika cookies alebo rozšírené nastavenia lišty musia obsahovať:

• Presný názov cookie súboru.
• Poskytovateľa (napr. Google Ireland Ltd., Meta Platforms Inc.).
• Účel (napr. meranie konverzií, retargeting).
• Dobu exspirácie (či ide o session cookie alebo perzistentnú cookie na 2 roky).

Bez týchto informácií nie je súhlas používateľa považovaný za „informovaný“, a teda je podľa právnych noriem neplatný. Je nevyhnutné pravidelne skenovať svoj web a aktualizovať tento zoznam, pretože pluginy tretích strán môžu svoje cookies priebežne meniť.

Cesta k legálnemu webu: Čo musíte urobiť hneď teraz

Zabezpečenie súladu s GDPR v oblasti cookies nie je len o vyhnutí sa vysokým pokutám od Úradu na ochranu osobných údajov, ale predovšetkým o budovaní dôvery s vašimi zákazníkmi. Moderný používateľ internetu je čoraz viac vzdelaný v oblasti súkromia a agresívne či netransparentné cookie lišty ho môžu odradiť od nákupu. Ak váš web stále využíva metódy, ktoré boli bežné pred piatimi rokmi, vystavujete sa zbytočnému riziku. Prvým krokom k náprave by mal byť dôkladný audit vášho riešenia – skontrolujte, či sa skripty nespúšťajú predčasne, či sú kategórie správne rozdelené a či dávate používateľovi skutočnú možnosť voľby bez manipulácie. Mnohé moderné platformy pre správu súhlasu (Consent Management Platforms – CMP) dnes ponúkajú automatizované riešenia, ktoré tieto legislatívne požiadavky spĺňajú „out of the box“, no vyžadujú správnu konfiguráciu.

V konečnom dôsledku je dôležité si uvedomiť, že ochrana osobných údajov nie je jednorazová úloha, ale kontinuálny proces. Pravidelne revidujte svoje zoznamy cookies, sledujte novinky v judikatúre a uistite sa, že vaše marketingové oddelenie rešpektuje nastavenia súkromia návštevníkov. Správne nastavená cookie lišta, ktorá rešpektuje používateľa, síce môže mierne znížiť objem zbieraných analytických dát, ale tie dáta, ktoré získate, budú legálne, etické a od ľudí, ktorí vám skutočne dôverujú. V ére, kedy sa Google a ďalšie technologické giganty pripravujú na koniec cookies tretích strán, je navyše najvyšší čas začať premýšľať nad alternatívnymi spôsobmi marketingu, ktoré sú postavené na priamom vzťahu so zákazníkom a nie na skrytom sledovaní.