Cookies jsou z právního pohledu asi nejzákeřnějším aspektem webu. České a evropské právo jsou v rozporu, čím se tedy má řídit český podnikatel? Český Úřad na ochranu osobních údajů se to snaží českým podnikatelům spíše usnadnit ale kouzlí u toho jak David Copperfield. A co na to cookies lišta?
Cookies netřeba představovat, snad každý zná Google Analytics, asi nejznámější službu pro sledování návštěvnosti webu. Tento článek tedy nebude o sladkostech ale o soborech ukládaných do prohlížeče nebo zařízení uživatele, které poskytují určité informace zpět provozovateli webu nebo třetím stranám.
Cookies jsou z právního pohledu asi nejzákeřnějším aspektem webu. Pro všechna cookies platí zákon o elektronických komunikacích, ale na úrovni EU existuje E-privacy směrnice. A pokud se data z cookies přiřazují ke konkrétním identifikovatelným uživatelům, tak se na ně vztahuje i GDPR.
V našem článku vysvětlíme problematiku cookies komplexně. A na závěr dostanete doporučení, co s cookies dělat (pokud nemáte rádi dlouhé čtení, přeskočte až na doporučení).
Souhlas s použitím cookies – iluze jak od Davida Copperfielda
1. Evropská Unie
Minulý rok rozčeřil „sušenkové“ vody judikát Soudního dvora Evropské unie. Podle něj může web cookies použít jen na základě samostatného souhlasu. V červnu Úřad na ochranu osobních údajů („ÚOOÚ“) zveřejnil stanovisko Evropského sboru pro ochranu osobních údajů. To říká, že souhlas nemůže být udělen tím, že uživatel dále pokračuje (skroluje) na webové stránce. Co to znamená pro české weby?
Rozsudek i stanovisko sboru vychází z evropské úpravy cookies, tzv. E-privacy směrnice. Jde o právní předpis odlišný od GDPR, který neřeší, zda cookies obsahují osobní údaje. Směrnice ukládá povinnost získat k použití cookies souhlas a judikát konkrétně řešil souhlas s použitím marketingových cookies u německého webu. Došel k závěru, že souhlas s použitím cookies musí mít stejné náležitosti jako souhlas podle GDPR, tedy musí být dostatečně určití a svobodný. Nelze tedy spoléhat na předškrtnutá okénka či skrolování na webu.
2. ČR
Jenže situace je v ČR o dost složitější. U nás směrnici implementuje zákon o elektronických komunikacích. A podle tohoto zákona stačí k použití cookies opt-out, tedy je zapotřebí uživatele webu informovat o tom, jaká cookies web používá a jak je možné je odmítnout.
A aby to nebylo příliš jednoduché, ÚOOÚ se v roce 2018 dopustil stanoviska, že k použití cookies je sice zapotřebí souhlas, ale souhlas uživatel uděluje tím, jak má nastavené cookies ve svém prohlížeči. Nebudeme komentovat, že nepoučený uživatel (tedy většina) nemá ani páru o tom, že něco takového existuje, a jde tedy o iluzi souhlasu hodnou Davida Copperfielda.
E-privacy směrnice není přímo závazná pro české firmy, pro ty je závazný český zákon o elektronických komunikacích. A proto v ČR opravdu není zapotřebí k použití cookies na webových stránkách výslovný souhlas uživatele, ale postačí opt-out. Kontroly ÚOOÚ ukazují, že ÚOOÚ se svého výkladu drží a akceptuje užití cookies bez výslovného souhlasu. V ČR tedy provozovatelům webů stačí, pokud na používání cookies upozorní.
Judikát SDEU se uplatní jen na obsah upozornění ke cookies. Informace o cookies musí obsahovat také údaje o funkční době jednotlivých cookies a dalších příjemcích dat z cookies. U mnoha webů tyto informace chybí a je zapotřebí je na webové stránky doplnit.
Co když cookies zpracovávají osobní údaje?
V mnoha případech cookies osobní údaje nesbírají (u Google Analytics doporučujeme zapnout funkci, která znepřesní IP adresu, která může být osobním údajem). Pokud ale propojíte informace z cookies s identifikovatelnými uživateli, pak musí být použití cookies a údajů z nich v souladu navíc také s GDPR.
V těchto případech musíte zvážit, zda údaje z cookies můžete zpracovávat podle GDPR na základě oprávněného zájmu nebo potřebujete souhlas. A pokud potřebujete souhlas, tak už si nevystačíte se souhlasem uděleným přes nastavení prohlížeče, ale potřebujete sebrat od uživatele samostatný a konkrétní souhlas. Do souhlasové kategorie mohou patřit zejména reklamní cookies.
Takže i když má ČR v zákoně u cookies umožněný opt-out, jakmile se cookies zkříží s osobními údaji, provozovatelé webu se často tomu opravdovému souhlasu nevyhnou. I proto se v ČR stále častěji setkáváme s komplexními cookies lištami. V poslední době je zejména u zpravodajských webů v módě tato lišta, která upozorňuje na to, že reklama (a cookies) tyto weby živí:
Pravděpodobně jde i o reakci na tento příspěvek zveřejněný na stránkách ÚOOÚ.
Praktické doporučení – jak na cookies
- Na webu mějte cookies lištu, která obsahuje odkaz na informace o cookies.
- Na web umístěte informaci o cookies, ve které uvedete, jaká cookies na webu máte, jaké informace sbírají, k čemu je používáte, kdo další informace z cookies dostane a jaká je funkční doba jednotlivých cookies. Informace by dále měla obsahovat, že souhlas s použitím cookies se uděluje přes nastavení prohlížeče a jak může uživatel cookies odmítnout.
- Zanalyzujte, zda informace získávané z cookies jsou osobními údaji. Pokud ne, máte hotovo.
- Pokud jde o osobní údaje, proveďte analýzu, zda k jejich zpracování potřebujete souhlas nebo si vystačíte s oprávněným zájmem podle GDPR (ten si zdokumentujte balančním testem).
- Jestliže z analýzy vyplyne, že k použití některých informací z cookies potřebujete souhlas, nemůžete se už spoléhat na souhlas získaný přes prohlížeč, ale budete potřebovat separátní souhlas. Souhlas může být zapotřebí zejména k reklamním cookies či personalizaci obsahu.
- Pokud cookies na vaší stránce posílají osobní údaje do USA, zamyslete se, jak se poprat se zákazem předávání osobních údajů od USA.
NECHCETE SI SUŠENKAMI KAZIT NÁLADU? DEJTE NÁM VĚDĚT.