Změna v úpravě cookies

29. března 2022

Stalo se Vám, že jste hledali vysavač a najednou se Vám na Vašem facebookovém účtu zobrazovaly reklamy na vysavače? Nebo boty? Jsou to právě cookies, které umožňují provozovatelům webů a aplikací zacílit reklamu dle Vašich preferencí. Prvním lednem 2022 nabyla účinnosti novela zákona o elektronických komunikacích (dále jen „ZEK“), která mění pravidla spojená s užíváním cookies a obdobných nástrojů (dále jen „cookies“).[1] Dosavadní režim opt-out je nahrazen režimem opt-in. Jak se pravidla ohledně cookies mění? Na co si dát pozor?

Cookies jsou krátké textové soubory, které si vyměňují webové stránky a prohlížeč uživatele.[2] Tyto textové soubory internetové stránky se ukládají do počítače nebo mobilního zařízení uživatele v okamžiku, kdy je začne používat. Cookies jsou využívány pro lepší funkčnost a osobitost, sledování pohybů uživatelů, technický provoz webu nebo k marketingovým účelům. Na základě údajů získaných prostřednictvím cookies lze například vytvořit relevantní reklamy podle preferencí uživatele nebo přizpůsobit jazykovou verzi webové stránky.[3]

Novela ZEK

V původním znění ZEK zákonodárce výkladem směrnice ePrivacy (dále jen „Směrnice“) dovozoval tzv. režim opt-out. Bylo tedy možné, za splnění informační povinnosti, zpracovávat všechny druhy cookies, dokud uživatel nevyjádřil svůj nesouhlas. Tento přístup byl však v rozporu se Směrnicí, která dovoluje shromažďovat data o uživatelích jen na základě aktivního souhlasu. Nedokonalou transpozici Směrnice napravuje novela ZEK, která zavádí tzv. režim opt-in.[4] Nově zavedený režim předpokládá, že uživatel od začátku nesouhlasí s ukládáním a čtením cookies. Jedinou výjimku představují technické a nezbytné cookies (dále jen „nezbytné cookies“), avšak tato výjimka ze souhlasu se vztahuje pouze na uložení a čtení cookies v prohlížeči uživatele. Změny dopadají téměř na všechny provozovatele webů a aplikací.

Už jen se souhlasem

Hlavní změna, kterou novela ZEK přináší, je podmínění shromažďování a další užívání souborů cookies získáním aktivního souhlasu uživatele, vyjma nezbytných cookies. Zjednodušeně řečeno, pokud cookies nejsou nezbytné pro fungování webové stránky nebo aplikace, může provozovatel takové cookies používat jen na základě aktivního jednání uživatele – souhlasu.

Zase to GDPR

Nařízení GDPR upravuje souhlas k dalšímu zpracování osobních údajů získaných prostřednictvím cookies. Získání souhlasu s používáním cookies a získání souhlasu k následnému zpracování osobních údajů může být spojeno do jednoho kroku – udělení. Udělený souhlas musí splňovat požadavky dle GDPR, tj. musí jít o svobodný, konkrétní a informovaný souhlas, který je zároveň aktivním souhlasem uživatele, kdy jde o jeho jednoznačný projev vůle. Předem nastavený souhlas v prohlížeči tuto podmínku nesplňuje. U aplikací se povinnost získání souhlasu vztahuje na nové i stávající uživatele.

Udělení souhlasu by mělo být pro uživatele srozumitelné, přehledné a nemělo by ho nepřiměřeně obtěžovat. Ke získání souhlasu nejčastěji slouží cookies lišta s tlačítkem nebo tzv. checkboxem.

Cookies lišta

Vpravo, vlevo nebo ve středu – kam jen cookies lištu umístit? Pro dodržení doporučení Úřadu pro ochranu osobních údajů a ZEK by lišta neměla zabírat nepřiměřeně velkou část zobrazení webu a tím zamezovat konzumaci webu. Lištu nebo plovoucí ikonu – obdélník či čtverec, lze situovat na spodní nebo vrchní okraj (nejběžnější řešení) v přiměřené velikosti. Lišta musí umožnit odmítnutí udělení souhlasu nebo její zavření. Zde ale upozorňujeme, že pouhé zavření cookies lišty neznamená, že uživatel vyjádřil souhlas.

Oblíbený trik, kdy je lišta sytě barevná a pozadí šedé, nepovažujeme za vhodné řešení. Tento přístup může v uživateli vzbuzovat dojem, že bez udělení souhlasu nelze web využívat. Bylo by možné rozporovat, jestli bylo udělení souhlasu skutečně svobodné. Podmínění užívání webu udělením souhlasu s využitím jiných, než nezbytných cookies by bylo taktéž v rozporu s požadavky GDPR.

Na jeden klik

Provozovatelé webů a aplikací preferují nastavení přijetí všech cookies „na jeden klik“ a omezení jednotlivých cookies až v dalších krocích. Tuto praxi ale nepovažujeme za zcela správnou. Uživatel by měl mít i možnost odmítnout všechny cookies najednou. Aby byl udělený souhlas v souladu s GDPR, tlačítko pro přijetí všech cookies se musí nacházet na stejné úrovni jako tlačítko pro odmítnutí.  Zároveň by podle Úřadu pro ochranu osobních údajů nemělo být tlačítko souhlasu větší a barevnější, čímž by tlačítko pro odmítnutí mohlo být hůře viditelné nebo identifikovatelné, případně by jej mohl uživatel zcela přehlédnout. Udělený souhlas by v takovém případě nebyl považován za svobodný.

Přehlednost nade vše

Pro lepší přehlednost a srozumitelnost doporučujeme zvolit rozvrstvení informací, tj. nabídnout uživateli i třetí variantu - možnost zvolit si užití konkrétních cookies. V navazujícím rozšířeném nastavení je vhodné vytvořit výčet jednotlivých účelů pro které jsou cookies využívány, typicky se jedná o marketingové, statistické nebo analytické účely. Uživatel se může sám rozhodnout, které z nich chce povolit a které ne. Není možné, aby byly jednotlivé účely předem zaškrtnuté, opět však vyjma nezbytných cookies.

Změny souhlasu

Změna uděleného souhlasu a jeho odvolání by měla být stejně jednoduchá jako jeho udělení. Nejvhodnějším řešením je snadno viditelný odkaz či tlačítko pro snadnou a rychlou změnu nebo odvolání souhlasu.[5] Lze se setkat i s řešením, že po celou dobu přítomnosti na webu má uživatel k dispozici po obrazovce „plovoucí“ sušenku nebo jinou ikonku pomocí které mohou být nastavení cookies kdykoliv měněny. 

Informační povinnost

Informační povinnost zůstává nedotčena, cookies lišta by měla obsahovat odkaz na podrobné informace o používaných cookies. Doporučujeme proto aktualizovat tyto informace, především část zaměřenou na odvolání souhlasu, výčet používaných cookies a jednotlivé účely zpracování.

Jde to i kreativně

Textace cookies lišty není zákonem limitována. Pokud se chcete odlišit nebo chcete, aby lišta odpovídala stylu Vašeho webu, lze namísto prostého „Odmítám vše“ a „Přijímám vše“ sáhnout i po odvážnějším řešení. „Ano, dávám vám vše“ nebo „Nemám co tajit“ je možná textace pro přijetí veškerých cookies.  Odmítnutí může být formulováno jako „Ne, nechci zanechávat stopy“ nebo „Jsem zde na tajné misi“ či „Smůla, šmírování nebude.“ Rovněž lze použít symbol sušenky nebo jiného koláčku.  Souhlas může být symbolizován celou sušenkou a odmítnutí jako rozlomená sušenka. Je však nutno mít na paměti, že uživateli musí být zřejmé, že uděluje souhlas s ukládáním cookies.

Kontrolní plán ÚOOÚ

Úřad pro ochranu osobních údajů ve svém plánu kontrol pro rok 2022 avizoval provádění kontrol nastavení cookies ve druhém čtvrtletí. Jste na tyto kontroly připraveny? Pokud potřebujete poradit, neváhejte se na nás obrátit.



[1] Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.

[2] Weinhold Legal. Novela zákona o elektronických komunikacích zavádí povinnost předchozího souhlasu pro použití cookies od 1. ledna 2022. Legal Alert, 2021, č. 9.

[3]Jaké typy souborů cookie používáme? [online]. idg.cz. [cit. 8. 2. 2022]. https://idg.cz/jake-typy-souboru-cookie-pouzivame

[4] Weinhold Legal. Novela zákona o elektronických komunikacích zavádí povinnost předchozího souhlasu pro použití cookies od 1. ledna 2022.

[5] Cookies od začátku roku 2022 pouze se souhlasem [online]. Úřad pro ochranu osobních údajů. 25. 11. 2021. [cit. 8. 2. 2022]. https://www.uoou.cz/cookies-od-zacatku-roku-2022-pouze-se-souhlasem/d-53646


Autor článku:


Témata článku

GDPR
Advokát
Advokát Brno