Cookies už jen se souhlasem – upravte weby
Není to tak dávno, co jsme školili v organizacích a institucích, jak se co nejlépe vypořádat s GDPR a mimo jiné také s oznámením o používání cookies na webech. Málo kdo to měl tenkrát před naší intervencí správně. Uběhly tři roky a cookies je potřeba řešit znova.
Poslanecká sněmovna schválila ve třetím čtení novelu zákona č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZEK“). Návrh zákona jakožto sněmovní tisk 1084 ještě neprošel celým legislativním procesem, ale předpokládáme, že ke zdárnému konci dospěje vzhledem k tomu, že je jeho účelem harmonizace české právní úpravy s evropským kodexem elektronických komunikací.
Evropský kodex pro elektronické komunikace nahrazuje dosavadní předpisový rámec pro sítě a služby elektronických komunikací. Ten byl tvořen pěti směrnicemi (rámcovou, přístupovou, autorizační, o univerzální službě a tzv. ePrivacy) přijatými v roce 2002 a naposledy revidovanými v roce 2009. Evropský kodex většinu z těchto směrnic konsolidoval do jediné. Výjimkou je pouze ePrivacy směrnice, která i nadále zůstává v platnosti, a bude tak na elektronické komunikace dopadat spolu s evropským kodexem.
S plánovanou účinností od 1. ledna 2022 se podstatně zpřísní dosavadní pravidla používání cookies a jiných technologií, jež mohou ukládat údaje do zařízení uživatele nebo z něho číst informace (web beacony, trackovací pixely, web trackery a další). Pro zjednodušení budeme nadále v článku používat označení cookies, neboť se jedná o nejčastěji používanou technologii pro sledování uživatele.
Změna dopadne na každého, kdo provozuje webovou prezentaci nebo mobilní aplikaci a využívá různé statistické, analytické či marketingové nástroje a dosud setrvává v režimu opt-out pro používání cookies. Od ledna už totiž jiný režim než aktivní souhlas uživatele, tedy opt-in, nebude přípustný.
Cookies jsou malé soubory ukládané do vašeho zařízení, jejichž primárním účelem je zajištění technického fungování webové stránky. (Bez nich by například e-shop při procházení jednotlivých stránek se zbožím nepoznal, že se stále jedná o stejného uživatele a s načtením každé další stránky by došlo k vymazání obsahu košíku.)
Cookies se však používají také pro statistické a analytické účely (měření návštěvnosti, sledování uživatele – jak se na webu chová, kam kliká) nebo pro marketingové účely, kdy jsou sledovány jeho zájmy podle v minulosti navštívených stránek s cílem generovat personalizovanou reklamu.Zajímá vás, jak mít cookies pod kontrolou z pozice uživatele? Přečtěte si článek na našem blogu „Blokace cookies v prohlížeči„.
Podle stávajícího znění ZEK, §89, odst. 3 je „každý, kdo hodlá používat sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout“.
Proto můžete na různých webech nebo v mobilních aplikacích vidět lišty, které upozorňují na používání cookies. Někdy jsou tyto informace uvedeny v patičce stránky nebo i na samostatné stránce.
Litera zákona hovoří rovněž o tom, že je provozovatel povinen poskytnout uživateli možnost odmítnout používání cookies, tedy umožnit mu opt-out. Jinými slovy je používání cookies (tedy i měření návštěvnosti a sledování pohybu uživatele na stránkách) možné do doby, než uživatel vyjádří svůj nesouhlas.
V tomto bodě došlo k nesprávné implementaci směrnice ePrivacy, které od její aktualizace v roce 2009 opt-out nestačí a požaduje, aby každý provozovatel webu získal aktivní souhlas uživatele s rozsahem a účelem zpracování, tedy opt-in. Mimochodem podobného omylu s opt-out se dopustili i Němci. U nás tento rozpor napraví zmiňovaná novela ZEK. Používání cookies či jiných technologií tak bude moci být aktivováno až na základě uděleného souhlasu uživatele, nikoliv v okamžiku navštívení stránky. Pasivita uživatele už nebude žádoucí. Skončí stávající praxe, kdy je za souhlas považováno i prosté pokračování v prohlížení webové stránky.
Cookie lišta, se kterou se stále ještě na valné většině webů můžete setkat, neobsahuje aktivní předchozí opt-in souhlas uživatele, ba co víc, uživatel většinou ani nemá možnost uplatit opt-out a používání cookies odmítnout. Obvykle se jen z informačního textu dočtete, že jsou cookies používány a po kliknutí na tlačítko „Rozumím“ nebo „Souhlasím“ dojde k pouhému skrytí lišty, zatímco cookies se aktivovaly ihned po příchodu uživatele na webové stránky (bez ohledu na to, zda na tlačítko klikl nebo zůstal pasivní a nechal lištu lištou).
Bez souhlasu uživatele lze dle § 89 odst. 3 ZEK používat úzce vymezenou skupinu cookies. Zde se nic nemění. Povoleny jsou nezbytné cookies pro „technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací“ nebo „pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem“. Jinými slovy v pořádku jsou cookies používané pro správné fungování stránek nebo všelijaké chaty, které uživatel aktivuje pro komunikaci se zákaznickou podporou. Statistické, analytické či marketingové nástroje však mezi výjimkami nečekejte.
Souhlas s používáním cookies by měl odpovídat požadavkům stanovených v GDPR. Musí být udělen dobrovolně (neměl by být vynucen například zablokováním přístupu k obsahu stránky ani by nemělo dojít k znepříjemnění používání webu, dokud uživatel souhlas neudělí). Mělo by být patrné, co je obsahem souhlasu, k čemu budou získaná data použita a komu jsou předávána (např. poskytovatelům reklamních systémů). Udělení souhlasu by mělo být stejně jednoduché jako jeho odvolání.
Uživateli by měly být k odsouhlasení předloženy všechny skupiny používaných cookies dle jejich účelu. Inspirovat se můžete například u ČSOB. Jedná se o tzv. granularitu souhlasu.
Každopádně je potřeba mít na paměti, že před udělením souhlasu není možné cookies používat. Tedy spolu s navštívením stránky nelze do zařízení uživatele cookies ukládat (vyjma nezbytných technických) a získané údaje zpracovávat, dokud k tomu sám uživatel nedá souhlas.
Na Internetu je několik online služeb, které vám zdarma (nebo za e-mailovou adresu) prověří, jak si váš web vede. Jaké cookies se snaží nasypat do zařízení uživatele, zda jsou cookies blokovány před udělením souhlasu uživatelem, nebo zda cookie lišta obsahuje všechny náležitosti. My používáme služby consentmanager.net a cookiebot.com.
Francouzský dozorový úřad pro ochranu osobních údajů CNIL v loňském roce zjistil, že internetové stránky Googlu a Amazonu nepožádaly návštěvníky předem o souhlas s uložením reklamních cookies ani neposkytly jasné informace o tom, jak zamýšlejí získané informace použít, či jak mohou uživatelé cookies odmítnout. Obě společnosti si tak vysloužily vysokou pokutu – 100 milionů EUR Google a 35 milionů EUR Amazon. Více si můžete přečíst v článku serveru Novinky.cz.
V České republice zatím nebylo neoprávněné používání cookies pokutováno. Úřad pro ochranu osobních údajů nemůže otázku získávání souhlasů hodnotit z důvodu chybného převedení evropské směrnice do českého zákona, na což dlouhodobě upozorňoval ať už veřejně nebo přímo v protokolech o kontrolách. Ostatně režim opt-in byl do novely ZEK zařazen právě z iniciativy ÚOOÚ. Lze tedy očekávat, že po nabytí účinnosti novely už nebude při kontrolách zdrženlivý a pokuty začnou padat i u nás.
Novela ZEK tímto dohání směrnicí ePrivacy zavedený evropský standard v přístupu ke cookies, což pro nás znamená významné zpřísnění pravidel. V budoucnu by však směrnici ePrivacy i transponovaná ustanovení ZEK mělo nahradit nařízení ePrivacy, které ve svém současném návrhu obsahuje podobnou úpravu opt-in, ale umožňuje použití některých cookies pro statistické účely bez souhlasu. Schválení tohoto nařízení však bylo již několikrát odloženo, do té doby je potřeba řídit se ustanoveními ZEK.
S přípravami na nové znění zákona doporučujeme začít co nejdříve.
