Nemôžete vyplniť toto pole
Domov / Blog / Ako GDPR súvisí so smernicou o súkromí a elektronických komunikáciách?

Ako GDPR súvisí so smernicou o súkromí a elektronických komunikáciách?

Ak riešite cookies, newslettere, remarketing alebo analytiku na webe, skôr či neskôr narazíte na dve skratky, ktoré sa často zamieňajú: GDPR a smernica o súkromí a elektronických komunikáciách (tzv. ePrivacy smernica). V praxi to vyzerá jednoducho, kým nepríde kontrola, sťažnosť dotknutej osoby alebo otázka typu: „Stačí mi cookie lišta kvôli GDPR?“

Ako odborník a poradca pre GDPR, to zhrniem priamo: GDPR a ePrivacy nie sú to isté, majú odlišný rozsah, používajú sa paralelne a v niektorých témach má ePrivacy prednosť. Dobrý súlad preto nie je o tom „vybrať si“ jednu z nich, ale pochopiť, kedy sa uplatní ktorá a ako sa dopĺňajú.

V tomto článku vám vysvetlím:

  • čo presne rieši GDPR a čo ePrivacy,
  • prečo ePrivacy často rozhoduje pri cookies a elektronickej komunikácii,
  • ako súvisí súhlas podľa ePrivacy so súhlasom podľa GDPR,
  • čo to znamená pre marketing (email, SMS, volania),
  • aké sankcie hrozia a kde firmy najčastejšie chybujú,
  • čo prinesie budúce ePrivacy nariadenie.

GDPR vs. ePrivacy: dve pravidlá pre „online súkromie“, ale nie dvojmo to isté

GDPR (nariadenie 2016/679)

GDPR je všeobecný právny rámec pre spracúvanie osobných údajov. Týka sa prakticky každej organizácie, ktorá spracúva osobné údaje, napríklad:

  • zákaznícke databázy,
  • HR agenda,
  • CRM,
  • webové formuláre,
  • analytika, ak vedie k identifikácii alebo profilovaniu,
  • marketingové databázy.

Kľúčové je, že GDPR sa spustí vtedy, keď spracúvate osobné údaje (alebo údaje, ktoré sa môžu stať osobnými údajmi v kontexte, napríklad online identifikátory).

ePrivacy smernica (2002/58/ES v znení neskorších predpisov)

ePrivacy smernica je špecifická úprava pre:

  • dôvernosť elektronických komunikácií,
  • používanie cookies a podobných technológií (ukladanie a prístup k informáciám v zariadení používateľa),
  • elektronický marketing (najmä pravidlá pre nevyžiadanú komunikáciu).

Je to smernica, takže sa implementuje do národných právnych predpisov. Preto v praxi vidíte rôzne „lokálne“ odtiene, hoci základné princípy sú v EÚ podobné.

Ako sa dopĺňajú: ePrivacy rieši „kanál a zariadenie“, GDPR rieši „osobné údaje“

Najjednoduchšia pomôcka:

  • ePrivacy chráni súkromie v elektronickej komunikácii a v zariadení používateľa (napríklad čo sa ukladá do prehliadača, čo sa číta z telefónu, ako fungujú marketingové správy).
  • GDPR reguluje, čo robíte s osobnými údajmi, ktoré pri tom získate alebo použijete (napríklad IP adresa, identifikátor cookie, email, profil správania).

Preto pri jednom scenári často platia oba predpisy naraz.

Príklad: remarketingová cookie

  • ePrivacy: rieši, či vôbec smiete uložiť/čítať marketingovú cookie (typicky potrebujete súhlas).
  • GDPR: rieši, či následné spracúvanie osobných údajov (napr. online identifikátor, profilovanie) má právny základ, informovanie, doby uchovávania, práva dotknutej osoby a podobne.

Kto má prednosť a kedy? Lex specialis: ePrivacy často „prebíja“ GDPR

V oblasti elektronickej komunikácie a cookies platí princíp, že ePrivacy je špeciálna úprava. To znamená:

  • Ak ePrivacy niečo výslovne upravuje (napríklad súhlas na cookies, dôvernosť komunikácie, pravidlá pre nevyžiadaný marketing), uplatní sa prednostne.
  • GDPR sa potom použije doplnkovo, najmä ak spracúvate osobné údaje.

V praxi je to dôležité, lebo firmy robia častú chybu: opierajú sa o GDPR právny základ (napríklad „oprávnený záujem“) aj tam, kde ePrivacy vyžaduje súhlas už na úrovni prístupu k zariadeniu alebo komunikácie.

Cookies: ePrivacy hovorí „kedy treba súhlas“, GDPR hovorí „ako má súhlas vyzerať“

Čo vyžaduje ePrivacy pri cookies

ePrivacy smernica (v známej „cookie“ časti) v zásade vyžaduje:

  • informovanie používateľa,
  • a predchádzajúci súhlas s ukladaním alebo prístupom k informáciám v koncovom zariadení,

okrem výnimiek (najmä technicky nevyhnutné cookies).

Dôležitý detail: ePrivacy sa netýka len klasických cookies. Týka sa aj podobných technológií, ktoré ukladajú alebo čítajú informácie zo zariadenia, napríklad rôzne identifikátory, lokálne úložiská, SDK v aplikáciách, pixelové tagy v kombinácii s prístupom k zariadeniu a podobne.

Čo k tomu dopĺňa GDPR

GDPR následne určuje, čo je „platný súhlas“, ak je súhlas právnym základom. V praxi sa pri cookies často stretávame s tým, že:

  • ePrivacy vyžaduje súhlas na uloženie/čítanie,
  • GDPR vyžaduje, aby ten súhlas bol slobodný, konkrétny, informovaný a jednoznačný (a pri osobitných prípadoch aj výslovný).

To je dôvod, prečo nestačí cookie lišta typu „Používaním stránky súhlasíte“. Takýto model typicky nespĺňa požiadavky ePrivacy ani GDPR.

Čo býva najčastejší problém v praxi

  1. Predvolené zapnutie marketingu/analytiky (opt-out namiesto opt-in).
  2. Súhlas nie je rovnocenný: „Prijať“ je jedno kliknutie, odmietnutie je skryté alebo komplikované.
  3. Nejasné účely: „Zlepšovanie služieb“ bez konkrétneho rozlíšenia analytika, marketing, personalizácia.
  4. Chýba možnosť odvolať súhlas rovnako jednoducho ako ho udeliť.
  5. Nezrovnalosť medzi CMP a realitou: lišta tvrdí, že sa nenačítavajú marketingové skripty bez súhlasu, ale technicky sa spúšťajú už pri načítaní stránky.

Elektronický marketing: ePrivacy nastavuje pravidlá oslovenia, GDPR nastavuje pravidlá spracúvania údajov

ePrivacy smernica rieši najmä nevyžiadanú komunikáciu a dôvernosť komunikácie. Najčastejšie to pocítite pri:

  • email marketingu,
  • SMS marketingu,
  • automatizovaných volaniach,
  • direct messagingu v elektronickom prostredí (v závislosti od národnej úpravy a výkladu).

Kedy potrebujete súhlas na marketing

V mnohých prípadoch ePrivacy vyžaduje predchádzajúci súhlas adresáta pri zasielaní marketingových správ elektronickými prostriedkami.

Popritom však GDPR rieši:

  • aký právny základ máte na spracúvanie emailu/telefónneho čísla,
  • ako informujete dotknutú osobu,
  • ako riešite odhlásenie (právo namietať, odvolať súhlas),
  • ako dlho údaje uchovávate.

„Soft opt-in“ (typická výnimka pri existujúcich zákazníkoch)

V praxi existuje známy koncept, že ak ste získali kontakt v súvislosti s predajom produktu alebo služby, môžete za určitých podmienok posielať marketing aj bez nového súhlasu, ale:

  • len na podobné produkty/služby,
  • s jasnou a jednoduchou možnosťou odmietnuť takéto správy už pri zbere kontaktu aj v každej správe,
  • a stále musíte dodržať GDPR informačné povinnosti a práva dotknutých osôb.

Pozor: konkrétne podmienky v detailoch závisia od transpozície do národného práva a aplikačnej praxe. Preto to vždy nastavujte opatrne a konzistentne v dokumentácii.

Dôvernosť komunikácie: nie všetko je len o osobných údajoch

Veľká výhoda (a zároveň pasca) ePrivacy je, že chráni komunikáciu aj vtedy, keď nejde priamo o osobné údaje.

Typické príklady, kde ePrivacy „zaberá“:

  • monitoring obsahu elektronickej komunikácie,
  • metadata komunikácie (kto s kým, kedy, ako dlho),
  • niektoré typy sledovania v zariadení.

GDPR sa k tomu pridá v momente, keď sú údaje identifikujúce alebo identifikovateľné. V reálnom digitálnom prostredí však často identifikovateľné sú.

Súhlas podľa ePrivacy a GDPR: prečo sa firmy často popália

Často počujem vetu: „My máme súhlas podľa GDPR.“ Lenže otázka znie: súhlas na čo presne?

  • Ak ide o cookies a podobné technológie, ePrivacy povie, či súhlas potrebujete.
  • GDPR povie, či je súhlas platný a ako ho evidovať, a zároveň môže vyžadovať ďalšie právne základy pre nadväzné spracúvanie.

Prakticky to znamená:

  1. Súhlas na cookies neznamená automaticky súhlas na marketingové profilovanie v každom rozsahu. Musíte mať jasné účely.
  2. Súhlas musí byť preukázateľný. Nestačí „mali sme lištu“. Potrebujete vedieť doložiť, čo používateľ odsúhlasil, kedy, z akého rozhrania a ako to vtedy vyzeralo.
  3. Nesmiete „vynucovať“ súhlas, ak nie je nevyhnutný. Takzvané cookie walls sú rizikové, najmä ak bez súhlasu nepustíte používateľa k obsahu, hoci cookies nie sú technicky nutné.

Sankcie: porušenie jedného pravidla často znamená porušenie druhého

Z hľadiska rizík je dôležité, že pri typických digitálnych scenároch (cookies, tracking, marketing) sa porušenia kumulujú.

  • Porušenie ePrivacy môže viesť k sankciám podľa národných predpisov a dozoru.
  • Porušenie GDPR môže viesť k vysokým pokutám (v režime GDPR až do 20 mil. EUR alebo 4 % z celosvetového ročného obratu, podľa toho, ktorá hodnota je vyššia).

Okrem pokút sú tu aj ďalšie následky:

  • reputačné škody,
  • nápravné opatrenia (napríklad povinnosť vypnúť tracking),
  • sťažnosti dotknutých osôb,
  • komplikácie v zmluvách s partnermi (audity, due diligence).

Ako to uchopiť prakticky: jednoduchá kontrolná logika

Keď nastavujete web, aplikáciu alebo marketing, odporúčam uvažovať v troch krokoch:

1) Používam prístup k zariadeniu alebo elektronickú komunikáciu?

  • cookies, SDK, pixely, fingerprinting, lokálne úložiská,
  • email, SMS, push notifikácie, online správy.

Ak áno, riešite ePrivacy (resp. národnú úpravu, ktorá ju implementuje).

2) Spracúvam osobné údaje?

  • email, telefón, IP, online identifikátory, používateľské profily,
  • údaje o správaní, ak sú priraditeľné k osobe alebo zariadeniu.

Ak áno, riešite GDPR.

3) Aké sú právne základy a aké informácie musím poskytnúť?

  • súhlas (často pri cookies a marketingu),
  • oprávnený záujem (len tam, kde je obhájiteľný a nie je „prebitý“ ePrivacy požiadavkou súhlasu),
  • zmluva, zákonná povinnosť (typicky mimo marketingu a trackingu).

A k tomu:

  • informačné povinnosti,
  • nastavenie doby uchovávania,
  • práva dotknutých osôb,
  • zmluvy so sprostredkovateľmi (napríklad poskytovatelia analytiky, emailingové nástroje),
  • prenosy do tretích krajín, ak sa vás týkajú.

Budúcnosť: ePrivacy nariadenie má zjednotiť pravidlá a lepšie ho zosúladiť s GDPR

Dlhodobo sa diskutuje budúce ePrivacy nariadenie, ktoré má nahradiť smernicu. Zmysel je jasný:

  • nariadenie by platilo priamo, čím by sa znížili rozdiely medzi štátmi,
  • lepšie by sa zosúladilo s GDPR,
  • reagovalo by na technologický posun (nové formy trackingu, komunikácie, aplikácie, IoT).

Kým sa tak stane, realita je taká, že firmy musia zvládnuť kombináciu:

  • GDPR ako priamo uplatniteľného rámca,
  • ePrivacy smernice cez národné predpisy a výklady dozorných orgánov.

Zhrnutie, ktoré si zapamätáte

  • GDPR je všeobecný rámec pre spracúvanie osobných údajov.
  • ePrivacy smernica je špeciálna úprava pre cookies, elektronickú komunikáciu a elektronický marketing.
  • V oblasti cookies a elektronickej komunikácie má ePrivacy často prednosť (je lex specialis).
  • ePrivacy často hovorí, že treba súhlas, a GDPR určuje, aký súhlas je platný a aké ďalšie povinnosti máte pri spracúvaní osobných údajov.
  • V praxi sa porušenia kumulujú, preto má zmysel nastaviť cookies, tracking a marketing tak, aby obstáli pred ePrivacy aj GDPR naraz.
  • Do budúcna sa očakáva ePrivacy nariadenie, ktoré má pravidlá viac zjednotiť a zosúladiť s GDPR.

Ak chcete, napíšte mi, aký typ webu alebo marketingu riešite (napríklad B2B lead gen, e-shop, SaaS, vydavateľstvo) a aké cookies a nástroje používate. Navrhnem vám praktické rozdelenie účelov, právne základy a čo presne má obsahovať cookie banner a informačná dokumentácia tak, aby dávali zmysel aj pri kontrole.

Často kladené otázky

Čo je GDPR a na čo sa vzťahuje?

GDPR (nariadenie 2016/679) je všeobecný právny rámec pre spracúvanie osobných údajov, ktorý sa týka takmer každej organizácie spracúvajúcej osobné údaje, ako sú zákaznícke databázy, HR agenda, CRM, webové formuláre či analytika vedúca k identifikácii alebo profilovaniu.

Čo je ePrivacy smernica a aké oblasti upravuje?

ePrivacy smernica (2002/58/ES) je špecifická úprava zameraná na dôvernosť elektronických komunikácií, používanie cookies a podobných technológií v zariadení používateľa, ako aj pravidlá pre elektronický marketing, najmä nevyžiadanú komunikáciu.

Aký je rozdiel medzi GDPR a ePrivacy smernicou?

GDPR reguluje spracúvanie osobných údajov bez ohľadu na kanál, zatiaľ čo ePrivacy sa špecificky zameriava na ochranu súkromia v elektronickej komunikácii a používateľských zariadeniach, napríklad pri ukladaní cookies. Obe pravidlá sa často uplatňujú paralelne a dopĺňajú sa.

Ako sa uplatňuje súhlas podľa ePrivacy v porovnaní so súhlasom podľa GDPR?

Súhlas podľa ePrivacy je potrebný najmä na uloženie alebo prístup k informáciám v zariadení používateľa (napríklad cookies), zatiaľ čo GDPR vyžaduje právny základ pre spracovanie osobných údajov vrátane informovania dotknutých osôb a zabezpečenia ich práv. Súhlasy podľa oboch predpisov môžu byť potrebné zároveň.

Ktorý predpis má prednosť pri riešení cookies a elektronickej komunikácie?

V oblasti elektronickej komunikácie a používania cookies platí princíp lex specialis, teda ePrivacy smernica má často prednosť pred GDPR ako špeciálny predpis upravujúci tieto témy.

Čo znamená kombinácia GDPR a ePrivacy pre marketingové aktivity ako emaily, SMS alebo remarketing?

Marketingové aktivity musia rešpektovať požiadavky oboch predpisov: ePrivacy určuje pravidlá pre nevyžiadanú elektronickú komunikáciu (napr. súhlas na zasielanie emailov alebo SMS), zatiaľ čo GDPR zabezpečuje zákonnosť spracovania osobných údajov získaných počas týchto aktivít vrátane profilovania či uchovávania dát.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?