Cookies jsou již dnes zcela běžnou součástí internetového prohlížení a architektury většiny moderních internetových stránek. Snad i proto se oblast cookies a jejich právní regulatorika stále vyvíjí, zejména ve vztahu ke zpracovávání osobních údajů jejich prostřednictvím.
Zásadní změnu v této oblasti přinesl zákon č. 374/2021 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále jen „Zákon o elektronických komunikacích“), od jehož účinnosti nově platí, že cookies může provozovatel webu používat pouze se souhlasem návštěvníka (tzv. princip opt-in), až na níže uvedené výjimky.
Článek poskytuje souhrn právní úpravy užívání cookies a praktické tipy zejména pro provozovatele webových stránek, bez ohledu na to, zda je jím drobný podnikatel a/nebo velká společnost.
Co jsou cookies a proč jsou důležité pro provozovatele
Soubory cookies jsou krátké textové soubory (stopy uživatele) ukládané na jakékoliv podporované zařízení uživatele při návštěvě webových stránek. Tyto soubory zpravidla obsahují informace o uživateli a jeho činnosti na dané webové stránce např. jazykové preference, přihlašovací údaje nebo záznamy o aktivitě a chování návštěvníka na webových stránkách – přitom na tyto informace je nutné pohlížet optikou Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“) jako na osobní údaje.
Samotné používání souborů cookies na webových stránkách může být pro uživatele i pro provozovatele užitečné. Soubory cookies slouží k ukládání informací o uživatelích a jejich interakci s webovými stránkami, což umožňuje personalizaci obsahu a zlepšuje tak uživatelskou zkušenost. Nicméně, používání souborů cookies má také své nevýhody, jako jsou například rizika související s ochranou osobních údajů.
Provozovatel by měl být transparentní ohledně používání souborů cookies a umožnit uživatelům volbu, zda chtějí být sledováni nebo ne. To znamená, že provozovatel musí informovat uživatele o používání souborů cookies a získat od nich souhlas, nebo nabídnout možnost odmítnutí používání souborů cookies. Pokud provozovatel používá soubory cookies pro cílení reklam, musí také zajistit, aby uživatelé měli možnost odmítnout takové zpracování svých osobních údajů.
Pokud se provozovatel rozhodne pro používání souborů cookies, musí dodržovat pravidla stanovená GDPR a zajistit, aby uživatelé byli informováni o tom, jaké údaje jsou zpracovávány a jakým způsobem jsou používány – tohoto docílí kombinací dvou nástrojů, a to informačním dokumentem o zpracování osobních údajů prostřednictvím souborů cookies (Cookies Policy) a správně nastavenou funkčností cookies a souvisejících pluginů spolu s řádně implementovanou cookies lištou či oknem.
Cookies Policy
Cookies Policy je informační dokument, který slouží k informování uživatelů o tom, jaké údaje jsou zpracovávány pomocí souborů cookies a jakým způsobem jsou tyto údaje používány. Tento dokument by měl být přístupný na webových stránkách provozovatele (zpravidla v zápatí webových stránek) a měl by být snadno dostupný pro uživatele.
Hlavním cílem Cookies Policy je poskytnout uživatelům transparentní informace o tom, jaké údaje jsou zpracovávány pomocí souborů cookies, a umožnit jim tak rozhodování o svém soukromí a o tom, zda chtějí být sledováni nebo ne, případně v jakém rozsahu.
Cookies Policy by měla obsahovat například informace o tom, jaké druhy souborů cookies jsou používány, jak dlouho jsou uchovávány, a jaké údaje jsou jejich prostřednictvím získávány. Ačkoliv se jedná fakticky o právní dokument, měl být srozumitelný a jednoduchý, aby byl pro uživatele snadno čitelný.
Kromě poskytování informací o zpracování osobních údajů pomocí souborů cookies by Cookies Policy měla obsahovat také informace o tom, jak uživatelé mohou uplatňovat svá práva v souvislosti se zpracováváním jejich osobních údajů podle GDPR. To znamená, že uživatelé by měli být informováni o tom, že mají právo na přístup ke svým osobním údajům, právo na opravu těchto údajů, právo na výmaz osobních údajů a další práva v souvislosti se zpracováním osobních údajů.
Je důležité, aby provozovatel dodržoval stanovená pravidla v oblasti ochrany osobních údajů a aby informace poskytnuté v Cookies Policy byly aktuální a přesné. Pokud se provozovatel rozhodne pro změny v Cookies Policy, měl by o těchto změnách informovat uživatele a zajistit, aby uživatelé byli informováni o nových podmínkách zpracování osobních údajů pomocí souborů cookies.
Cookies lišta
Cookies lišta je nástroj používaný na webových stránkách k informování uživatelů o používání souborů cookies a poskytování možnosti pro jejich správu.
Cookies lišta je důležitá pro zajištění souladu s GDPR a musí být správně implementována, aby byla efektivní.
V zásadě se cookies lišty skládají z několika základních prvků:
- prvním z nich je zpravidla textová zpráva, která informuje uživatele o používání souborů cookies na webových stránkách. Tato zpráva musí být snadno čitelná a musí obsahovat jasný popis účelu používání souborů cookies a jakým způsobem jsou tyto soubory používány;
- druhým prvkem cookie lišty jsou interaktivní tlačítka, jejichž pomocí uživatel může spravovat své preference ohledně souborů cookies. Tato tlačítka by měla umožnit uživatelům odmítnout používání volitelných souborů cookies, nebo umožnit uživatelům upravit své preference ohledně používání souborů cookies na dané webové stránce, případně akceptovat všechny soubory cookies najednou.
Kromě toho musí být cookie lišta snadno viditelná a umístěna na místě, kde uživatelé mohou lehce najít informace o používání souborů cookies. Měla by být umístěna na každé stránce webového místa a měla by zůstat na místě, dokud uživatel nevyjádří své preference ohledně používání souborů cookies. Při implementaci cookie lišty je třeba zajistit, aby byla zobrazena na všech stránkách webu, na kterých jsou používány cookies, a aby obsahovala relevantní informace o používání cookies.
Cookies lišta by měla vždy jednoduchou a dostupnou formou odkazovat na Cookies Policy.
Jak správně implementovat cookie lištu?
Správná implementace cookie lišty zahrnuje dodržování zásad transparentnosti, uživatelské volby a ochrany osobních údajů. Provozovatel by měl zajistit, aby uživatelé měli možnost snadno zavřít nebo ignorovat cookie lištu a měli jasný a srozumitelný popis toho, co se stane, pokud cookies povolí nebo ne.
Provozovatel by se měl naopak vyhnout veškerým neetickým praktikám (Dark Patterns), které zahrnují účelové ztížení zavření cookie lišty nebo použití triků, aby uživatelé povolili cookies bez jejich vědomí – např. skryté nastavení cookie souhlasu nebo povinnost přijetí souborů cookies pro přístup na webovou stránku jsou v rozporu s GDPR a mohou vést k sankcím.
Dalším příkladem neetické praxe může být používání matoucího jazyka nebo nesprávného umístění cookie lišty, například na místě, kde ji uživatelé mohou snadno přehlédnout nebo mylně považovat za součást banneru nebo reklamy. Provozovatel by se měl vyvarovat takových praktik a zajistit, aby uživatelé měli skutečnou možnost volby a přístupu k důležitým informacím o souborech cookies a jejich použití.
Nejčastější vady cookies lišty a výběr rozhodnutí
Úřad pro ochranu osobních údajů, který vykonává dozor v oblasti ochrany osobních údajů (dále jen „ÚOOÚ“) a který dodržování zásad obsažených v GDPR kontroluje, vydal v roce 2022 tiskovou zprávu, ve které konstatuje, že mezi hlavní nedostatky, které byly historicky zjištěny, patří především používání netechnických cookies bez souhlasu, příliš dlouhá platnost cookies, chybějící možnost nesouhlasu s využitím netechnických cookies, nesprávná kategorizace cookies, absence konkrétních informací o používaných cookies, rozdílná viditelnost tlačítek pro souhlas a nesouhlas s využitím netechnických cookies, nesprávná klasifikace souborů cookies, informace o cookies v cizím jazyce a cookie lišta, která může znesnadňovat čtení webových stránek.
Je to právě ÚOOÚ, který dohlíží na plnění pravidel zpracovávání osobních údajů a dodržování veškerých povinností dle GDPR i ve vztahu k provozovatelům.
Níže pro ilustraci přikládáme výběr zajímavých rozhodnutí ÚOOÚ, na kterých lze ilustrovat, že se ÚOOÚ dodržováním zásad zpracovávání osobních údajů získaných prostřednictvím souborů cookies v detailu zabývá. ÚOOÚ provádí kontroly ze své vlastní iniciativy či případně na základě podnětů od veřejnosti. Pokud dojde ke konstatování porušení, je fyzická či právnická osoba ÚOOÚ seznámena s výsledkem kontroly a je jí poskytnut čas na nápravu, přičemž v případě neuposlechnutí dochází k uložení sankce, jejíž výše závisí na závažnosti porušení.
Jedním z příkladů, kde ÚOOÚ shledal porušení v souvislosti s využíváním cookies, je rozhodnutí se sp. zn. UOOU-03120/19. Provozovatel webové stránky v tomto případě řádně nesdělil uživatelům webových stránek další příjemce jejich osobních údajů (v případě předávání osobních údajů třetím stranám) a neuvedl dobu uložení cookies. Současně, v tomto konkrétním případě nedošlo ze strany provozovatele k aktualizaci cookies policy od roku 2013, což ÚOOÚ shledal též za pochybení.
ÚOOÚ dále provedl kontrolu se sp. zn. UOOU-00374/20, při které shledal porušení ve způsobu plnění informační povinnosti provozovatelem webové stránky – kontrolovaná osoba měla sice zpracované zásady ochrany osobních údajů a cookie policy, ale měla je uložené pouze v záložce Kontakty, aniž by uživatel webové stránky byl na toto umístění upozorněn. Pro uživatele webové stránky tak nebyly informace snadno dohledatelné, nadto nebyly informační dokumenty aktuální a obsahovaly odkazy na již neúčinné právní předpisy.
Závěrem kontroly evidované pod sp. zn. UOOU-00686/20 konstatoval ÚOOÚ porušení možnosti svobodného souhlasu či nesouhlasu s používáním statistických a marketingových cookies a následným zpracováváním osobních údajů tím, že kontrolovaný subjekt považoval prosté prohlížení webové stránky jako udělený souhlas ke zpracovávání. Zejména pak nelze akceptovat nastavení webové stránky takovým způsobem, že uživatel může na webové stránce setrvat pouze pokud souhlasí s používáním cookies. Takto daný souhlas není považován za svobodně udělený souhlas v souladu s GDPR.
Evropský kontext
Evropský sbor pro ochranu osobních údajů, nejvyšší dozorový úřad v oblasti GDPR (dále jen „EDPB“), vydává pravidelně mimo jiné pokyny, doporučení, osvědčené postupy a zprávy týkající se spolupráce v oblasti GDPR a jeho prosazování. Začátkem roku 2022 přijal pokyny k právům subjektu údajů na přístup, jejichž cílem je analyzovat různé aspekty práva na přístup a upřesnit, jak je třeba právo na přístup uplatňovat v různých situacích. Pokyny objasňují také rozsah práva na přístup, informace, které musí provozovatel poskytnout, formát žádosti o přístup, hlavní postup pro poskytování přístupu a vysvětlují pojem zjevně nedůvodných a nepřiměřených žádostí. Tyto pokyny tvoří základ pro prosazování vnitrostátními orgány pro ochranu údajů v každém členském státě EU.
Dalším relevantním a významným dokumentem je Zpráva o práci pracovní skupiny pro cookie lišty z ledna 2023, která představuje nejčastější problémy spolu s tím, jak se jim mohou provozovatelé webu vyhnout. Mezi zmíněné body patří: předem zaškrtnutá políčka, barevné rozlišení tlačítek, snadné odvolání souhlasu, možnost odmítnutí cookies aj.
V evropském právním prostředí je judikatura Soudního dvora Evropské unie (dále jen „SDEU“) bohatší a jeho rozhodnutí jsou klíčová pro výklad norem platného práva.
V rozhodnutí C-673/17 („Planet 49“) SDEU v roce 2019 rozhodl mimo jiné o neplatnosti souhlasu poskytnutého prostřednictvím předem zaškrtnutého políčka, jelikož se nejedná o aktivní souhlas, i když je uživateli zachována možnost použití cookies odmítnout. Pasivita uživatele může být považována za souhlas pouze u nezbytných cookies. Dále v rozhodnutí SDEU specifikoval informační povinnost, kdy je nutné uživatele webové stránky informovat také o funkční době jednotlivých používaných cookies a dalších příjemcích, což se reflektuje nejčastěji v Cookies Policy;
V rozhodnutí C-592/19 („Orange Romania“) SDEU stanovuje, mimo nutnosti aktivního souhlasu, možnost svobodně odmítnout shromažďování a uchovávání snadným způsobem, za který není považováno vyplnění dodatečného formuláře deklarujícího odmítnutí;
V rozhodnutí C-311/19 („Schrems II“) týkající se přenosu osobních údajů z Evropské unie do USA, jejichž úroveň ochrany osobních údajů soud shledal jako nedostatečnou, a stejně tak i mechanismy jako je Privacy Shield. Dopad v oblasti cookies je znatelný u identifikátorů zařízení nebo v případě IP adres předávaných do třetích zemí. Obecně musí být zajištěna dostatečná ochrana těchto údajů v souladu se standardy stanovenými v GDPR, což se týká i použití služeb jako Google Analytics. V důsledku tohoto rozhodnutí musí provozovatelé webových stránek, kteří používají služby jako je Google Analytics, zajistit, aby byla při přenosu osobních údajů zajištěna dostatečná úroveň ochrany. Pokud toto není možné, mohou být nuceni zcela odstranit používání takových služeb na svých webových stránkách.
Doporučení a závěr
Téma cookies a ochrany osobních údajů jsou důležitými otázkami, které se týkají jak provozovatelů webových stránek, tak jejich uživatelů.
Pro zajištění dodržování předpisů na ochranu osobních údajů je nezbytné sledovat aktuální právní úpravu a pravidelně aktualizovat Cookies Policy v souladu s nejnovějšími požadavky a normami GDPR a mít správně implementovanou cookie lištu, a to nejen technicky, ale také textově.
Více obecných informací na téma cookies naleznete v námi již publikovaných článcích dostupných zde: https://www.peytonlegal.cz/?s=cookies.
Mgr. Tomáš Maux, advokátní koncipient – maux@plegal.cz
Mgr. Jakub Málek, managing partner– malek@plegal.cz
Tereza Benešová, právní asistentka – benesova@plegal.cz
30. 03. 2023