Stávající právní úprava cookies je v České republice provedena v rámci ZEK, jenž transponuje Směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (dále jen „směrnice ePrivacy“).

V současnosti jsou v § 89 odst. 3 ZEK stanoveny obecné podmínky, při jejichž splnění je možné ukládat údaje do zařízení uživatele nebo získat přístup k údajům v zařízení uložených. Mezi tyto podmínky patří povinnost informovat uživatele o tom, že dochází k použití cookies a povinnost poskytnout uživateli možnost takové používání cookies odmítnout. Jedná se tedy o režim opt-out.[2] Tento režim však nereflektuje aktualizovanou úpravu z roku 2009 obsaženou v čl. 5 odst. 3 směrnice ePrivacy, ve kterém byl zakotven režim opt-in, dle něhož je použití cookies podmíněno získáním předchozího informovaného souhlasu uživatele. Musí se tedy jednat o aktivní a předem udělený souhlas, na jehož základě mohou být cookies následně použity.

Novela tak přináší velkou změnu, která ovlivní prakticky všechny provozovatele webových stránek a mobilních či jiných aplikací v České republice. Ti budou nuceni přejít z režimu opt-out na režim opt-in, který novela zakotvuje a jenž je v souladu s evropskou právní úpravou, a to již od 1. 1. 2022.

Toto stanovisko vychází z názorů Spolku a doporučení a pokynů jednotlivých národních dozorových úřadů, a tedy reflektuje zejména tyto dokumenty. Nezabývá se primárně standardy jednotlivých subjektů, jako je např. organizace IAB. Provozovatel webové stránky by měl ovšem vždy rozlišovat, zda získává souhlas pouze pro sebe nebo také pro další subjekty, které mohou mít např. své vlastní specifické standardy či požadavky.

Reklama

DPP/DPČ ve víru legislativních změn (online - živé vysílání) - 25.11.2024

25.11.2024 09:303 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Působnost právní úpravy

Jakkoliv je v názvu i dále v textu tohoto stanoviska používán pojem cookies, jedná se pouze o jednu z řady technologií, na které novela dopadá. Právní úprava je totiž technologicky neutrální a reguluje obecně všechny případy, kdy dochází k ukládání informací do koncového zařízení uživatele (např. do stolního počítače, tabletu nebo mobilního telefonu) nebo k přistupování k informacím, které jsou v takovém zařízení již uloženy.

Vedle cookies tak jde i o další technologie (např. local storage, session storage), které na popsaných principech fungují, a to podle názorů dozorových úřadů[3] včetně tzv. „device fingerprinting“.[4] Tato technologie je založena na čtení informací ze zařízení uživatele a k rozlišování jednotlivých koncových zařízení používá informace, které webový prohlížeč spuštěný v koncovém zařízení sdílí se vzdáleným serverem. Jde například o informace o operačním systému a jeho verzi, rozlišení obrazovky, jazykové preferenci nebo časovém pásmu. Dle stanoviska WP29 je i „device fingerprinting“ nutné považovat za získání přístupu k informacím pocházejícím z koncového zařízení uživatele, a proto se také na tuto technologii bude od 1. 1. 2022 vztahovat režim opt-in.

Autoři tohoto stanoviska budou dále v textu pro zjednodušení používat i pro tyto další technologie souhrnné označení „cookies“.

Ukládání a čtení cookies ve vztahu ke zpracování osobních údajů

V praxi velice často dochází ke směšování problematiky používání cookies a zpracování osobních údajů. Je tomu tak zejména proto, že cookies mohou být jedním ze zdrojů zpracování osobních údajů a zpracování osobních údajů na použití cookies často navazuje. Přestože spolu obě témata úzce souvisejí, každé z nich podléhá samostatné právní regulaci.

Zatímco zpracování osobních údajů je regulováno primárně GDPR,[5] tak ukládání a čtení cookies je upraveno ve směrnici ePrivacy a její české adaptaci, tj. v ZEK. Směrnice ePrivacy a ZEK chrání koncová zařízení jako součást soukromí uživatele. Souhlas udělený uživatelem pak umožňuje narušení této ochrany soukromí a přistupování k informacím v těchto koncových zařízeních nebo ukládání informací do nich. A to bez ohledu na to, zda se tyto informace týkají konkrétního přímo či nepřímo identifikovatelného  člověka, tj. bez ohledu na to, zda se jedná o osobní údaje či nikoliv.[6]

Souhlas s využitím cookies a souhlas s navazujícím zpracováním osobních údajů je však podle autorů tohoto stanoviska možné vyjádřit jedním právním jednáním. Platí to za předpokladu, že bude tento souhlas dostatečně informovaný a bude splňovat i další požadavky uvedené v GDPR. V opačném případě by totiž bylo nutné získávat v některých případech dva samostatné souhlasy, což by mohlo vést k nežádoucím a matoucím situacím, kdy by například uživatel vyslovil souhlas s uložením cookies, ale již nepovolil následné zpracování z nich získaných osobních údajů nebo naopak. Náležitostem souhlasu se podrobně věnuje následující kapitola.

Získávání souhlasu s ukládáním a čtením cookies

Novela ZEK s datem účinnosti od 1. 1. 2022 zavádí výše uvedený opt-in režim, na jehož základě musí provozovatelé webové stránky získat předchozí prokazatelný souhlas uživatele s rozsahem[7] a účelem zpracování. Výjimkou z povinnosti získání aktivního souhlasu jsou tzv. nezbytné cookies, které jsou podrobněji popsány níže.

Požadavky na souhlas jsou ukotveny v čl. 2 písm. f) transponované směrnice ePrivacy, jež ve vztahu ke konkrétním náležitostem souhlasu odkazuje na GDPR.[8] Souhlas s použitím cookies dle novely tedy musí splňovat i požadavky podle GDPR.

Souhlas dle GDPR musí být svobodný, což znamená, že uživatel musí mít skutečnou volbu souhlas udělit či nikoliv.[9] Stanovisko Evropského sboru pro ochranu osobních údajů (dále jen „EDPB“) dále specifikuje, že by poskytnutí služby nemělo být podmiňováno udělením souhlasu a uživatel by neměl mít pocit, že mu v případě jeho neudělení či odvolání hrozí újma. Vynucování souhlasu prostřednictvím zablokování přístupu ke stránce (např. prostřednictvím tzv. cookie walls), pokud ho uživatel neudělí, nebo jiné způsoby výrazného snížení uživatelského komfortu, které mají za cíl přinutit uživatele k udělení souhlasu, také nejsou dle EDPB[10] v souladu s GDPR.[11]

O „částečných“ cookie walls lze do jisté míry hovořit v případě pop-up oken, která se objeví při příchodu na webovou stránku a uživatel má kvůli nim na stránku zakrytý pohled nebo se stránkou nemůže dále interagovat, dokud souhlas neudělí nebo dokud jeho udělení neodmítne, případně pop-up okno nezavře pomocí křížku, je-li mu tato volba nabídnuta (toto téma je blíže rozebráno níže). Dle názoru Spolku jsou takové „částečné“ cookie walls obecně přípustné za předpokladu splnění ostatních zákonných náležitostí, jelikož uživatel má možnost odmítnout udělení souhlasu, resp. nemusí vůbec vyjádřit souhlas či nesouhlas. Vždy je ovšem nutné zvážit zvolené konkrétní technické řešení, charakter poskytované služby, zejména s důrazem na služby veřejného sektoru.[12] Podle názoru Spolku však za částečnou cookie wall nelze považovat tzv. cookie banner, který nezakrývá podstatnou část stránky a umožňuje uživateli se stránkou bez větších problémů nadále pracovat.

GDPR klade požadavky současně také na konkrétnost souhlasu. V takovém případě uživatel uděluje souhlas pouze k vybraným specifikovaným účelům zpracování. Má-li docházet ke zpracování pro různé účely (např. statistika a marketing), k čemuž v souvislosti s cookies často dochází, měla by být uživateli nabídnuta možnost udělit souhlas pro každý z definovaných účelů zvlášť.[13] V tomto případě hovoříme o tzv. granularitě souhlasu, která je podrobněji rozebrána níže. Pokud by se provozovatel nepokusil získat souhlas pro každý účel odděleně, nebyl by souhlas dostatečně svobodný[14] ani konkrétní.[15] Přípustné je ovšem získání souhlasu pro více účelů jedním úkonem (stisknutím jednoho tlačítka), pokud uživatel měl možnost zvolit, pro jaké vymezené účely souhlas poskytuje.

Dále by souhlas dle ZEK i GDPR měl být informovaný. K naplnění tohoto požadavku musí být uživatel před udělením souhlasu seznámen alespoň s totožností správce, rozsahem a s účely zpracování získaných údajů a také s právem souhlas kdykoliv odvolat.[16] Zároveň musí být informován o době funkčnosti souborů cookies, jakož i o možnosti přístupu třetích osob k těmto souborům cookies.[17],[18] S ohledem na obvyklou praxi na trhu doporučují autoři tohoto stanoviska informaci o používaných cookies vedle cookie banneru uvádět také v patičce internetových stránek pod odkazem s názvem „Cookies“ či podobným názvem. V rámci mobilních aplikací je třeba zvolit přiměřený způsob informování (s ohledem na omezený prostor na obrazovce mobilního zařízení[19]).

Udělení souhlasu by mělo být také jednoznačným projevem vůle. Z tohoto důvodu není možné souhlas dovozovat z jiného chování uživatele, které nesměřuje bezprostředně k vyjádření takového souhlasu. Typickým příkladem takového chování je situace, kdy si uživatel prohlíží po určitou dobu webové stránky nebo se posouvá do určité části stránky (tzv. skroluje) bez toho, aniž by učinil jiný aktivní krok bezprostředně směřující k jasnému udělení souhlasu.

V neposlední řadě by souhlas měl být odvolatelný a takové odvolání by dle čl. 7 odst. 3 GDPR mělo být stejně jednoduché jako udělení. Z praktického hlediska by se mělo jednat o jednoduchou možnost vyvolat stejný nebo obdobný dialogový prvek (např. banner či pop-up okno), jaký byl použit pro udělení souhlasu, a v něm změnit dřívější volbu. O právu souhlas odvolat by měl být uživatel informován. Důsledkem odvolání souhlasu je pak nemožnost dále používat cookies a zpracovávat jejich prostřednictvím získané osobní údaje.

Možnost zavřít (skrýt) dialogový prvek pro udělení souhlasu (banneru či pop-up okna) bez vyjádření volby (souhlasu či nesouhlasu) může, ovšem také nemusí, provozovatel webové stránky uživateli umožnit. Nejčastěji tak bude činěno pomocí křížku v rohu dialogového okna nebo jiného grafického prvku. Kliknutí na křížek nelze vykládat jako udělení souhlasu, ale není nezbytné jej vykládat ani jako vyjádření nesouhlasu. Nejde totiž o jednoznačný projev vůle uživatele, ale spíše o odklad učinění konkrétní volby. Dialog pro udělení souhlasu tak může být uživateli zobrazen znovu při další návštěvě webové stránky, čímž mu je opětovně poskytnuta možnost projevit svoji vůli.

Existují výjimky z povinnosti získávání aktivního souhlasu. Ty se uplatní pro tzv. nezbytné cookies, tj. cookies „nezbytné pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací,“ a cookies, jejichž použití je „nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“[20]

Mezi nezbytné cookies, jež spadají do zákonem stanovených výjimek, lze zařadit ty, bez kterých by přenos sdělení vůbec nebyl možný a jejichž jediný účel je zajištění přenosu informací, tj. typicky zajištění fungování webové stránky[21] (např. cookies používané internetovým obchodem pro zachování informace o vložení zboží do nákupního košíku).[22] Mezi nezbytné cookies se řadí také cookies, které slouží k zapamatování uživatelova rozhodnutí o udělení či neudělení souhlasu.[23]

Mezi nezbytné cookies obvykle naopak nepatří cookies, které slouží pouze k usnadnění přenosu informací,[24] tj. k usnadnění fungování webové stránky nebo zajištění jejích dodatečných funkcí, které si uživatel nevyžádal (např. cookies nezbytné pro zapamatování preferencí uživatele přesahující dobu trvání relace či několika málo hodin, pokud uživatel nebyl při volbě nastavení informován o tom, že se dané nastavení ukládá na delší dobu).[25] Stejně tak mezi nezbytné cookies nepatří ty, které slouží k měření návštěvnosti webové stránky nebo k analýze chování jejích uživatelů, byť by získaná data sloužila pouze pro optimalizaci webu.[26]

Je třeba upozornit, že i u nezbytných cookies je v případě, kdy je jejich využití spojeno se zpracováním osobních údajů, nutné dodržovat zásadu minimalizace doby uložení údajů podle GDPR a je třeba nastavit vhodně dobu jejich trvání tak, aby byla přiměřená k jejich účelu.[27]

Novela neobsahuje přechodná ustanovení týkající se časově omezeného používání cookies uložených v režimu opt-out. Na tuto situaci je ovšem možné analogicky aplikovat situaci vzniklou v souvislosti s nabytím účinnosti GDPR a použitelností souhlasů udělených podle předchozí právní úpravy. Souhlas získaný podle předchozí právní úpravy je dle bodu č. 171 GDPR platný pouze, pokud by jeho udělení obstálo i ve světle podmínek uvedených v GDPR.

Výše zmíněné vede k závěru, že pokud předchozí souhlas nesplňuje všechny podmínky stanovené novelou a s ní souvisejících právních předpisů jako je směrnice ePrivacy a GDPR, bude nezbytné získat souhlas nový, pokud chce provozovatel webové stránky dále ukládat a číst data z cookies v zařízení uživatele.[28] Toho lze dosáhnout například prostřednictvím pop-up okna, cookie banneru nebo jiného vhodného řešení.

Granularita souhlasu

Granularita označuje míru členění souhlasu na jednotlivé účely zpracování či využití cookies, pro něž se uděluje souhlas. Podle míry granularity souhlasu osoba udělující souhlas může samostatně rozhodovat o více či méně jednotlivých složkách této aktivity (účelech, operacích zpracování, příjemcích údajů apod.). Z hlediska granularity souhlasu lze v rámci udělování souhlasu s uložením a čtením cookies typicky rozlišovat varianty per-purpose, per-provider a per-service.

Varianta per-purpose znamená, že uživatel může rozhodovat o jednotlivých účelech, pro které je souhlas udělován. Účely, které jsou v rámci per-purpose typicky rozlišovány, jsou:

• analytika a statistika;
• marketing;
• usnadnění, případně preferenční či dodatečné funkce.

Vedle těchto účelů pak bývá často uváděna kategorie nezbytných cookies, o kterých však uživatel nemůže rozhodovat, protože jsou nezbytné pro fungování webové stránky a není třeba pro jejich ukládání a čtení získávat souhlas.

Varianta per-provider znamená, že uživatel může rozhodovat o jednotlivých třetích stranách, které v rámci webové stánky budou do jeho zařízení cookies ukládat a číst je (např. se může rozhodnout, že neudělí souhlas pro cookies ukládané společností Facebook, ale pro cookies ukládané společností Google souhlas udělí). S ohledem na obecný požadavek granularity per-purpose je i při variantě per-provider třeba zachovat možnost rozhodovat o jednotlivých účelech ukládání a čtení cookies. Pokud tedy cookies jedné třetí strany slouží k různým účelům, je třeba uživateli poskytnout možnost o nich rozhodovat samostatně.

Varianta per-service znamená, že uživatel může rozhodovat o jednotlivých službách poskytovaných třetími stranami. Tato varianta se v praxi do značné míry překrývá s variantou per-provider, avšak může být v konkrétních případech ještě podrobnější. Jeden poskytovatel totiž může poskytovat více různých služeb. I v případě souhlasu per-service, obdobně jako u varianty per-provider, je třeba odlišovat cookies sloužící k různým účelům, a je tedy třeba umožnit uživateli o nich rozhodovat samostatně.

Úřad pro ochranu osobních údajů se dosud nevyjádřil k tomu, jakou variantu souhlasu považuje za nejvíce souladnou s požadavky právní úpravy. S ohledem na to jsou dále v textu rozebrána názorová stanoviska zahraničních dozorových úřadů.

Francouzský[29], dánský[30] a irský[31] dozorový úřad spolu s EDPB[32] zastávají názor, že uživatelé mají mít možnost udělit souhlas pro každý jednotlivý účel zpracování zvlášť, tj. varianta per-purpose.

Španělský dozorový úřad pak konkrétně uvádí: „El grado de granularidad en el panel a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Si bien es aconsejable que se tengan en cuenta las siguientes reglas: Como mínimo, deberían agruparse las cookies por su finalidad (por ejemplo, el usuario podría elegir aceptar las cookies analíticas y no así las publicitarias comportamentales).“ [33] a „At the very least, cookies must be grouped by purpose (so that, for example, users may choose to accept analytics cookies and not behavioural advertising cookies).“[34] Míra granularity je tedy dle těchto úřadů na provozovateli, ale soubory cookies by měly být seskupeny přinejmenším podle jejich účelu, což poskytuje uživateli možnost udělit souhlas jednotlivě.

Řecký dozorový úřad v této souvislosti referuje na souhlas dle kategorií sledovacích nástrojů, když uvádí: „It is permitted to provide information using multiple layers, as long as the user’s consent is sought after the user has been specifically informed at least of the categories of trackers used.“[35] Belgický dozorový úřad pak odkazuje na typy souborů cookies.[36]

Dle dozorového úřadu Velké Británie: „It also means consent should be unbundled from other terms and conditions (including giving separate granular consent options for different types of processing) wherever possible,“[37] z čehož vyplývá, že aby byl souhlas svobodný, je nezbytné možnosti souhlasu rozdělit dle druhu zpracování údajů. Stejně tak německá Datenschutzkonferenz tvořená německými dozorovými úřady navrhuje granularitu souhlasu dle jednotlivých operací zpracování.[38]

Italský dozorový úřad pak dle svých pokynů nechává kritéria granularity na provozovateli webové stránky, přičemž mezi možná kritéria řadí funkcionalitu, třetí strany a kategorie cookies.[39]

Povinnost rozdělit souhlas dle účelu zpracování, tedy per-purpose, potvrzuje také bod č. 43 odůvodnění GDPR, dle kterého lze předpokládat, že souhlas není svobodný, pokud není možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů,[40] i čl. 6 odst. 1 písm. a) GDPR, který uvádí, že souhlas musí být udělen pro jeden či více konkrétních účelů a bod č. 32 odůvodnění GDPR pak uvádí: „Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely.“

Přestože se názory dozorových úřadů na úroveň granularity souhlasu požadovanou směrnicí ePrivacy liší (tj. zda by souhlas měl být granulární pouze na úrovni per-purpose nebo také na úrovni per-provider či per-service), většina dozorových úřadů se shoduje na požadavku na granularitu ve variantě per-purpose (podle účelů ukládání a čtení cookies). V případě, kdy jsou cookies používány pro různé účely, by měl uživatel webové stránky mít možnost rozhodovat o jednotlivých účelech samostatně a (ne)udělit souhlas jen pro některé z nich.

Možnost udělit souhlas s jednotlivými účely lze poskytnout až v druhé vrstvě, která se objeví až po rozkliknutí příslušného cookie banneru nebo jiného řešení, které se uživateli zobrazí při vstupu na webovou stránku. V rámci této druhé vrstvy mohou být uživateli zobrazeny jednotlivé účely zpracování a možnost udělit nebo odmítnout udělit samostatné souhlasy. Je tak přípustné použití jednoho tlačítka pro vyjádření souhlasu se všemi používanými cookies, pokud je uživatel transparentně informován o důsledcích kliknutí na takové tlačítko a o tom, že ve druhé vrstvě může provést nastavení ve vztahu k jednotlivým základním účelům.

Výše uvedené potvrzují také dříve zmíněné pokyny italského[41], francouzského[42] a španělského[43] dozorového úřadu. Řecký dozorový úřad uvádí: „It is permitted to provide information using multiple layers, as long as the user’s consent is sought after the user has been specifically informed at least of the categories of trackers used,“[44] z čehož lze také dovodit, že granularita souhlasu může být uživateli nabídnuta v druhé informační vrstvě, pokud byl již v první informační vrstvě o účelech (kategoriích) zpracování alespoň v základní podobě informován. Tato povinnost vyplývá i z bodu č. 42 odůvodnění GDPR.

Požadavek na granularitu souhlasu je tedy naplněn i v případě, kdy možnost podrobného výběru účelů poskytnuta až v rámci druhé vrstvy. V rámci první vrstvy by ovšem měla být obsažena základní informace o účelech zpracování. Současně by bylo dle názoru Spolku vhodné v takových případech zvážit, zda by v první vrstvě neměla být umožněna (v odůvodněných případech) i volba pro pokračování bez uložení jakýchkoliv (nikoliv nezbytných) cookies, například prostřednictvím tlačítka „Pouze nezbytné cookies“.

Doba platnosti souhlasu

Další problematikou, kterou právní úprava cookies pro provozovatele webových stránek přináší, je určení doby platnosti uživatelem uděleného souhlasu. A stejně tak i určení doby, po jejímž uplynutí může provozoval opětovně požádat o souhlas s použitím cookies, pokud uživatel udělení souhlasu odmítl.

GDPR, směrnice ePrivacy ani ZEK výslovně neomezují platnost získaného souhlasu ani nestanoví platnost uděleného „nesouhlasu“. Souhlas může být udělen maximálně na dobu, po kterou trvá účel zpracování, s nímž byl uživatel seznámen (může však být udělen i na kratší dobu). To by mohlo vést k závěru, že souhlas není třeba obnovovat, zvlášť pokud uživatel souhlasí s použitím všech cookies, anebo naopak k tomu, že je možné od uživatele žádat udělení souhlasu v podstatě okamžitě poté, co jeho udělení odmítl. V prvním případě, tedy v otázce nutnosti obnovovat souhlas, se domníváme, že ve skutečnosti by postačovalo pravidelně uživatele upozorňovat na to, že dochází ke zpracování jeho údajů tak, aby si byl této skutečnosti vědom. Ve druhém případě, kdy by uživatel byl žádán opakovaně o udělení souhlasu, je situace složitější, protože by mohl být nepřímo nucen častým zobrazováním banneru se žádostí o souhlas takový souhlas udělit.[45]

Dozorové úřady se nicméně shodují na tom, že doba platnosti souhlasu by měla být omezená na přiměřenou dobu a opětovné zobrazování dialogu pro získání souhlasu nesmí být příliš časté, aby nebylo pro uživatele nepřiměřeně obtěžující. Takové jednání by totiž opět narušovalo jeden ze základních požadavků na souhlas, kterým je požadavek na jeho svobodné udělení (viz výše).

To ostatně zdůrazňuje i italský dozorový úřad, který ve svých pokynech uvádí, že možnost opakovaného zobrazování dialogu pro souhlas je omezená, a to i v případě, kdy uživatel odmítl souhlas udělit. Souhlas dle názoru italského regulátora nesmí být vyžadován znovu až na případy, kdy:

• se významně změnila jedna nebo více okolností zpracování;
• provozovatel není schopný sledovat předchozí souhlas (např. uživatel smazal cookies uložené v jeho zařízení);
• od posledního zobrazení cookie banneru uplynulo alespoň 6 měsíců.[46]

Podobně, avšak o něco obecněji, se vyjádřil dozorový úřad Velké Británie, který ve vztahu k obnovení souhlasu s použitím cookies sice nestanovil konkrétní dobu, kdy má být uživateli znovu zobrazena příslušná volba, ale uvedl, že je na provozovateli, aby určil, kdy se bude souhlas nebo odmítnutí obnovovat a kdy volby ohledně cookies expirují. Opětovné zobrazování by ovšem nemělo narušovat činnost uživatele při používání stránky, ať už souhlas udělil či odmítl udělit.[47] Naproti tomu řecký dozorový úřad uvádí, že doba pro znovu zobrazení cookie banneru musí být stejná v případě udělení i neudělení souhlasu, nestanovuje ovšem konkrétní časový údaj.[48]

Dle doporučení francouzského dozorového úřadu je vhodné, aby souhlas i odmítnutí byly zaznamenávány takovým způsobem, aby uživatelé po určitou dobu nebyli znovu dotazováni. Délku uchovávání, tj. respektování učiněné volby uživatele, je třeba posuzovat dle konkrétního případu.[49] Doba by měla zohledňovat kontext a rozsah původního souhlasu a vhodné příležitosti pro obnovu. Dále uvádí, že obecně je vhodné uchovávat souhlas i odmítnutí po dobu 6 měsíců. [50] Stejně tak irský dozorový úřad uvádí, že souhlas by neměl být starší než 6 měsíců, delší dobu by musel provozovatel objektivně zdůvodnit.[51]

Pokyny španělského dozorového úřadu[52],[53] odkazují na WP29 a EDPB[54] a doporučují obnovovat souhlas v pravidelných intervalech, aby nebylo nutné pokaždé uživatele žádat o souhlas nový, souhlas by neměl být starší než 24 měsíců.

Pro úplnost dodáváme, že dle návrhu doporučení českého dozorového úřadu by platnost jednotlivých cookies (jako jejich technická vlastnost) neměla být delší než 13 měsíců a stejnou dobu vztahuje také na platnost souhlasu.[55] Stejnou dobu uvádí i organizace IAB.[56]

Z výše uvedeného plyne, že neexistuje jednoznačný závěr o tom, jak dlouho je možné spoléhat na udělený souhlas, případně po jak dlouhé době lze uživateli opětovně zobrazit možnost k jeho udělení. Dozorové úřady se nicméně shodují, že by provozovatelé webových stránek neměli uživatele obtěžovat příliš častým zobrazováním výzev k udělení souhlasu s používáním cookies. Pokud již dozorové úřady navrhují nějakou maximální dobu, tak ta se obecně pohybuje mezi 6 až 24 měsíci. Platí však, že čím déle je volba uchovávána, tím závažnější důvod by měl mít provozovatel pro její stanovení v uvedené délce.

Dle názoru Spolku lze obecně za zcela legitimní považovat dobu mezi 12 až 14 měsíci, po kterou je souhlas platný, byť nelze vyloučit ani delší dobu, pokud bude řádně odůvodněna. Tato doba totiž stále umožňuje generování ročních přehledů.  V případě odmítnutí používání cookies lze uvažovat i o kratší době pro znovu zobrazení cookie lišty, například v řádu týdnů, a to s přihlédnutím k frekvenci používání stránky ze strany uživatelů, aby, jak již bylo výše rozebráno, nedocházelo k příliš častému zobrazování cookie banneru. Již zmiňovaná cookie, která slouží k zapamatování uživatelova rozhodnutí, je považována za technicky nezbytnou a nevztahuje se na ni povinnost získání aktivního souhlasu s jejím uložením.

Získávání souhlasu pro více webových stránek

Provozovatel často mívá více webových stránek na různých doménách, pro něž získává jeden souhlas, aby se proces získávání souhlasu ulehčil a zefektivnil. K tomu využívají někteří provozovatelé tzv. cross-domain souhlas, což znamená, že souhlas, který byl uživatelem udělen na jedné webové stránce, se aplikuje také na dalších webových stránkách stejného provozovatele.

Španělský dozorový úřad se na toto téma vyjádřil a uvedl, že takový postup je možný a provozovatel může od uživatelů požadovat udělení souhlasu k používání cookies na všech jím provozovaných webových stránkách, jejichž prostřednictvím jsou poskytovány služby.[57] V případě získávání takového souhlasu je nezbytné splnění informační povinnosti, v rámci které budou uživateli poskytnuty informace o tom, pro jaké domény jednoho provozovatele je takový souhlas udělován. Současně by mělo jít pouze o takové webové stránky, které vykazují podobné charakteristiky v souvislosti se službou, která je poskytována uživateli na základě jeho žádosti.[58]

Výše uvedené platí pro případy, kde se jedná o jednoho provozovatele více webových stránek. Dále GDPR, novela ani směrnice ePrivacy obecně nevylučují možnost, aby jeden subjekt získal souhlas i pro další subjekty, tedy aby jeden provozovatel získával souhlas i pro další provozovatele a jejich domény. WP29 ve svém stanovisku tuto možnost připouští, když uvádí, že souhlas s umístěním cookies a využitím informací pro zasílání cílené reklamy zahrnuje „následná čtení tohoto cookie, ke kterým dochází pokaždé, když uživatel navštíví partnerské internetové stránky poskytovatele reklamní sítě, který původně umístil toto cookie.“[59]

Z pohledu Spolku je ovšem třeba přistupovat obezřetně k případům, kdy uživatel jedné webové stránky jedním souhlasem uděleným na jedné webové stránce (doméně či subdoméně) udělí souhlas potenciálně pro vyšší desítky[60] až stovky jiných provozovatelů či webových stránek (domén) provozovaných různými provozovateli, zejména pokud by se jednalo o stránky nacházející se v různých státech. Při získávání takového souhlasu by mohlo být obtížné dodržet veškeré požadavky, které GDPR na souhlas klade, především požadavky na konkrétnost a informovanost. Řešením této problematiky by mohl být souhlas, který bude oddělený od běžných cookie bannerů a bude například udělován na samostatné stránce, kde budou podrobněji vysvětleny jeho dopady, včetně aktualizovaného seznamu všech zapojených partnerů.[61] Provozovatel, který shromažďuje souhlasy takovým způsobem, by měl také v souvislosti s legitimním očekáváním zohlednit okruh adresátů takto získaného souhlasu, např. pokud se bude jednat o získávání souhlasu na stránce určené primárně pro zájemce o sport a tento souhlas by se měl vztahovat i na webové stránky stejného provozovatele určené zahrádkářům, každá stránka tedy míří na jinou cílovou skupinu a okruh adresátů se s největší pravděpodobností bude lišit a při udělování souhlasu by uživatel měl být o jeho šíři zvláště informován.

Od této situace je ovšem třeba odlišit případ, kdy uživatel na jedné stránce uděluje souhlas pro užití cookies vícero standardizovaným reklamním nástrojům pro tuto konkrétní stránku či pro tohoto konkrétního provozovatele (či pro omezené množství provozovatelů jiných stránek, viz výše). I zde je však třeba velmi dbát na řádné splnění informační povinnosti. V případě využití standardizovaných nástrojů, jako je IAB Transparency and Consent Framework 2.0, doporučujeme vždy pečlivě vybírat, jakým reklamním sítím provozovatel stránky umožní souhlas získávat a nepovolovat vždy paušálně všechny do úvahy přicházející provozovatele reklamních sítí.

Předávání údajů do zahraničí v souvislosti s nástroji využívajícími cookies

GDPR obsahuje právní úpravu pro zpracování osobních údajů v Evropském hospodářském prostoru (dále jen „EHP“), ve kterém dovoluje jejich volný pohyb. V kapitole V GDPR jsou obsažena pravidla pro předávání osobních údajů mimo EHP, dle kterých nesmí být narušena úroveň ochrany zaručená GDPR.

K zajištění odpovídající úrovně ochrany musí mít správce nebo zpracovatel předávající osobní údaje mimo EHP (dále jen „předávající subjekt“) důkladně zmapovaný proces předávání a musí ověřit, že ochrana osobních údajů ve třetí zemi nebude narušena.

V souvislosti s používáním cookies je třeba zmínit, že významní poskytovatelé marketingových a analytických nástrojů využívajících cookies mají sídlo v USA (např. Google, Facebook), resp. jejich použití obecně často vede k předání údajů do třetích zemí. V této souvislosti je tak nutné podrobně posoudit i podmínky předávání do třetí země, kterou je mimo jiné a nejčastěji právě USA, a to zejména s ohledem na závěry rozsudku Soudního dvora EU C-311/18 (Schrems II).

Správci a zpracovatelé, kteří hodlají tyto nástroje používat, by měli důkladně zmapovat, na základě jakého právního základu mohou být osobní údaje do třetí země předány (zpravidla půjde o standardní smluvní doložky, které jsou součástí obchodních podmínek daného poskytovatele). Současně by měl správce nebo zpracovatel posoudit, jaký je právní řád v cílové třetí zemi a případně zda vedle těchto doložek přijal poskytovatel i další dodatečná opatření směřující k ochraně údajů a zda tato opatření považuje za dostatečná s ohledem na charakter předávaných dat.

Při posuzování ochrany v dané zemi musí předávající subjekt zohlednit, zda je pravděpodobné, že zpravodajské služby dané země budou usilovat o přístup k údajům, a to jak s jeho vědomím, tak i bez něj.[62] Provozovatel by měl také zohlednit zkušenosti ostatních předávajících subjektů ze stejného odvětví nebo týkající se stejného předávání, s žádostmi o přístup k údajům. Absence předchozích žádostí ovšem nemůže být sama o sobě rozhodující faktor pro rozhodnutí o použitelnosti nástroje pro předávání dle čl. 46 GDPR.[63]

Povaha předávaných údajů, dodatečná opatření či jiné záruky a veškeré další relevantní skutečnosti týkající se předávání do třetí země by měly být nadto podrobně popsány v tzv. Data Transfer Impact Assessment (DTIA), neboli posouzení vlivu na ochranu osobních údajů v souvislosti s jejich předáním do třetí země mimo EHP.

Cookies využívané orgány veřejné správy

Úprava čl. 5 odst. 3 směrnice ePrivacy a § 89 odst. 3 ZEK dopadá na každý subjekt, který hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních. Tato úprava tedy plně dopadá i na orgány veřejné správy a jimi provozované webové stránky či mobilní aplikace, prostřednictvím kterých dochází ke zpracování cookies (a dalších online identifikátorů).

Spolek pro ochranu osobních údajů

Spolek pro ochranu osobních údajů

Hellichova 1/458
118 00  Praha 1

tel.:    +420 730 677 644
e-mail:    spolek@ochranaudaju.cz

___________________________________
[1] Nejedná se o závazný výklad zákona. Stanovisko může obsahovat názory a doporučení, které nemusí být akceptovány příslušnými orgány veřejné správy.
[2] Podle většinového názoru odborné veřejnosti.
[3] WP29. Stanovisko č. 9/2014 k uplatňování směrnice 2002/58/ES na otisky zařízení ze dne 25. listopadu 2014. Dostupné >>> zde.
[4] Je však třeba upozornit, že text směrnice ePrivacy, zejména v porovnání s návrhy budoucího nařízení ePrivacy, není v tomto smyslu zcela jednoznačný.
[5] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[6] „Tato ochrana se vztahuje na veškeré informace uložené na tomto koncovém zařízení, bez ohledu na to, zda se týkají osobních údajů či nikoliv, a má za cíl zejména, jak vyplývá z tohoto bodu odůvodnění, chránit uživatele před rizikem pronikání skrytých identifikátorů nebo jiných podobných nástrojů do koncového zařízení těchto uživatelů bez jejich vědomí.“ Viz bod 70 rozsudku SDEU ze dne 1. října 2019 ve věci C-673/17 (Planet49). Dostupné >>> zde.
[7] Je třeba upozornit, že požadavek na získání souhlasu s „rozsahem“ zpracování je poněkud nejasný. Směrnice ePrivacy primárně požaduje souhlas s užitím síťových identifikátorů, resp. s přístupem k informacím uloženým v koncovém zařízení, přičemž uživatel musí být informován o tom, za jakým účelem budou informace získané díky těmto síťovým identifikátorům, případně získané z koncového zařízení, užívány.
[8] Směrnice ePrivacy odkazuje na zrušenou směrnici 95/46/ES, přičemž v souladu s čl. 94 odst. 2 GDPR se odkazy na tuto zrušenou směrnici považují za odkazy na GDPR.
[9] Viz bod č. 42 odůvodnění GDPR.
[10] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 7 a násl. Dostupné >>> zde.
[11] Tento závěr není ovšem přijímán zcela bez výhrad.
[12] To může být zejména problematické u těch subjektů, na které se vztahuje zákon č. 99/2019 Sb. o přístupnosti internetových stránek a mobilních aplikací a o změně zákona č. 365/2000 Sb. , o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů.
[13] Viz bod č. 43 odůvodnění GDPR.
[14] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 12-13. Dostupné >>> zde.
[15] Tamtéž. Str. 14-15.
[16] Viz bod č. 42 odůvodnění GDPR.
[17] Viz rozsudek SDEU ze dne 1. října 2019 ve věci C-673/17 (Planet49). Bod 75. Dostupné >>>zde.
[18] Blíže k informační povinnosti viz také EDPB. Pokyny č. 8/2020 k cílení na uživatele sociálních médií ze dne 13. dubna 2021. Bod 72 a násl. Dostupné >>> zde.
[19] V tomto ohledu je tak nezbytné responzivním způsobem přizpůsobit konkrétní zobrazení cookie lišty v rámci samotné mobilní aplikace.
[20] Viz § 89 odst. 3 ZEK.
[21] WP29. Stanovisko č. 4/2012 k výjimce z požadavku na souhlas s cookies ze dne 7. června 2012. Str. 3. Dostupné >>> zde.
[22] Tamtéž. Str. 5. Také dle Information Commissioner's Office. Cookies and similar technologies. Dostupné >>> zde.
[23] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 5. Dostupné >>> zde. „Irrespective of whether trackers are accepted or rejected, the reappearance of the pop-up window, in order to ask the user again (about the use of trackers), must be made after the same period of time. This means that the duration of the user’s choice must be the same either the user accepts or rejects trackers. The use of trackers to remember this choice is deemed technically necessary.“
[24] WP29. Stanovisko č. 4/2012 k výjimce z požadavku na souhlas s cookies ze dne 7. června 2012. Str. 4. Dostupné >>> zde.
[25] Tamtéž. Str. 8-9.
[26] Návrh nařízení ePrivacy, které by mělo směrnici ePrivacy i relevantní úpravu ZEK v budoucnu nahradit, s takovou výjimkou pro vlastní analytické nástroje ve znění aktuálním v době vydání tohoto stanoviska počítá.
[27] WP29. Stanovisko č. 4/2012 k výjimce z požadavku na souhlas s cookies ze dne 7. června 2012. Str. 5. Dostupné >>> zde.
[28] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 34. Dostupné >>> zde.
[29] Commission nationale de l'informatique et des libertés. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs. Str. 7. Dostupné >>> zde: „25. Afin de s’assurer du caractère libre du consentement donné, la Commission recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte. 26. Toutefois, la Commission estime que cela ne fait pas obstacle à la possibilité de proposer aux utilisateurs de consentir de manière globale à un ensemble de finalités, sous réserve de présenter, au préalable, aux utilisateurs l’ensemble des finalités poursuivies.“
[30] Datatilsynet. Behandling af personoplysninger om hjemmesidebesøgende. Str. 12. Dostupné >>> zde: „En tjeneste kan omfatte flere behandlingsoperationer til mere end et formål. Et væsentligt element i vurderingen af, om et samtykke er frivilligt, er derfor også princippet om ”granularitet” Hvis en dataansvarlig ønsker at behandle personoplysninger til flere formål, skal de registrerede frit kunne vælge, hvilke formål de ønsker at give samtykke til.“
[31] An Coimisiún um Chosaint Sonraí. Guidance Note: Cookies and other tracking technologies. Str. 9. Dostupné >>> zde: „The user’s consent must be specific to each purpose for which you are processing their data, it must be freely given and unambiguous and it requires a clear, affirmative action on the part of the user. Silence or inaction by the user cannot constitute their consent to any processing of their data.”
[32] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 12. Dostupné >>> zde: „A service may involve multiple processing operations for more than one purpose. In such cases, the data subjects should be free to choose which purpose they accept, rather than having to consent to a bundle of processing purposes. In a given case, several consents may be warranted to start offering a service, pursuant to the GDPR.“
[33] Agencia Española de Protección de Datos. Guía sobre el uso de las cookies. Str. 22. Dostupné >>> zde.
[34] Agencia Española de Protección de Datos. A Guide on the use of cookies. Str. 25. Dostupné >>> zde.
[35] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 4. Dostupné >>> zde.
[36] Autorité de protection des données. Cookies et autres traceurs. Dostupné >>> zde: „Si le responsable d’un site Internet ou d’une application mobile sollicite votre consentement pour plusieurs types de cookies, vous devez avoir le choix de donner (ou de refuser) votre consentement pour chaque type de cookies, voire, dans une deuxième strate d’information, pour chaque cookie individuellement.“
[37] Information Commissioner's Office. What is valid consent? Dostupné >>> zde.
[38] Datenschutzkonferenz. Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien. Str. 10. Dostupné >>> zde: „Wenn bei Websites durch vorgeschaltete Abfragen eine Einwilligung eingeholt wird, müssen die einzelnen Verarbeitungsvorgänge daher gesondert anwählbar sein.“
[39] Garante per la protezione dei dati personali. Guidelines on the use of cookies and other tracking tools, Kapitola 7. 1 bod (v). Dostupné >>> zde: „a link to an additional dedicated area where the user can select, individually, the functionalities, the so-called third parties - whose list must be kept up-to-date whether they can be reached through ad-hoc links or via links to the websites of intermediaries representing them - and the cookies - possibly grouped into homogeneous categories - to which the user chooses to consent. If cookies are grouped into homogeneous categories and the list of the third parties changes as reflected by the links placed in this area, i.e., if additional third parties are included in the said list, it shall be for the first party (i.e., the website operator) to accurately select them and carry out the necessary supervision to ensure that the inclusion of these new entities and the resulting processing operations continue to be in line with the grouping by homogeneous categories.“
[40] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 12-13. Dostupné >>> zde.
[41] Garante per la protezione dei dati personali. Guidelines on the use of cookies and other tracking tools, Kapitola 7. 1 bod (v). Dostupné >>> zde.
[42] Commission nationale de l'informatique et des libertés. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs. Str. 7. Dostupné >>> zde: „28. Pour permettre aux personnes de choisir finalité par finalité, il est possible d’inclure un bouton, sur le même niveau d’information que les liens ou boutons permettant de tout accepter et de tout refuser, permettant d’accéder au choix finalité par finalité. A titre d’exemple, un bouton « personnaliser mes choix » ou « décider par finalité » permettrait d’indiquer clairement cette possibilité. Les utilisateurs pourraient se voir également proposer d’accepter ou de refuser finalité par finalité directement sur le premier niveau d’information. “
[43] Agencia Española de Protección de Datos. Guía sobre el uso de las cookies. Str. 21. Dostupné >>> zde:  „La opción “Aceptar” podrá sustituirse por términos equivalentes, tales como “Aceptar y continuar”, “OK” o “Aceptar y cerrar”. Del mismo modo, y también a título de ejemplo, la opción “Configurar” podrá sustituirse por términos como “Opciones”, “Más opciones”, “Otras opciones” o “Configuración de privacidad”. Estas opciones serán admisibles siempre que se haya informado con claridad de las consecuencias de la elección respecto de la aceptación o configuración de las cookies. El enlace o botón para administrar preferencias debe llevar al usuario directamente al panel de configuración, sin que tenga que desplazarse.“
[44] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 4. Dostupné >>> zde.
[45] Zde lze také odkázat na problematiku tzv. dark patterns, byť podle názoru Spolku je třeba k tomu, kdy se již jedná o dark patterns, přistupovat zdrženlivě.
[46] Garante per la protezione dei dati personali. Guidelines on the use of cookies and other tracking tools, Kapitola 6. 2. Dostupné >>> zde.
[47] Information Commissioner's Office. How do we comply with the cookie rules? Dostupné >>> zde: „You therefore need to decide an appropriate interval between when you require users to select their preference (whether that is consent or rejection), and also decide when that preference expires (after which point users are given the option again). At the same time, PECR isn’t intended to inconvenience or unduly disrupt the experience of your users. You are not expected to repeatedly require your users to specify their preference as a matter of course, whether that results in consent for non-essential cookies or refusal.“
[48] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 5. Dostupné >>> zde: „Irrespective of whether trackers are accepted or rejected, the reappearance of the pop-up window, in order to ask the user again (about the use of trackers), must be made after the same period of time. This means that the duration of the user’s choice must be the same either the user accepts or rejects trackers. The use of trackers to remember this choice is deemed technically necessary.“
[49] Commission nationale de l'informatique et des libertés. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs. Str. 10-11. Dostupné >>> zde: „37. De manière générale, la Commission recommande que le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience.“
[50] Tamtéž. Str. 11: „38. Par ailleurs, dans la mesure où le consentement peut être oublié par les personnes qui l'ont manifesté à un instant donné, la Commission recommande aux responsables de traitement de renouveler son recueil à des intervalles appropriés. Dans ce cas, la durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs. 39. Au regard de ces éléments, la Commission considère, de manière générale, que conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.“
[51] An Coimisiún um Chosaint Sonraí. Guidance Note: Cookies and other tracking technologies. Str. 11. Dostupné >>> zde:  „If such a third-party tool is used to keep a record of a user’s consent to the use of cookies, you must also keep a record of that consent as part of your record of processing activities in accordance with Article 30 of the GDPR. You should limit the length of time such consent is valid for no longer than six months, after which time the user must be prompted to give their consent again.“
[52] Agencia Española de Protección de Datos. Guía sobre el uso de las cookies. Str. 29. Dostupné >>> zde:  „El CEPD, en sus directrices sobre el consentimiento, recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.“
[53] Agencia Española de Protección de Datos. A Guide on the use of cookies. Str. 34. Dostupné >>> zde: „The WP29, in their guidelines on consent endorsed by the EDPB, recommends to renew consent at regular intervals as the best practice. This entity considers good practice that consent granted by users to use a specific cookie is valid for a period no longer than 24 months. During this time, users’ preferences may be stored so they are not asked to set them up again every time they visit the relevant page.“
[54] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 20. Dostupné >>> zde.
[55] Úřad pro ochranu osobních údajů. Doporučení ke zpracování cookies a obdobných prostředků sledování. Str. 4. Dostupné >>> zde.
[56] IAB Europe. Transparency & Consent Framework Policies. Chapter II, sec. 5. Dostupné >>> zde.
[57] Agencia Española de Protección de Datos. A Guide on the use of cookies. Str. 33. Dostupné >>> zde.
[58] Tamtéž. Str. 33–34.
[59] WP29. Stanovisko 2/2010 k internetové reklamě zaměřené na chování ze dne 22. června 2010. Str. 17. Dostupné >>> zde.
[60] V rozsudku SDEU ze dne 1. října 2019 ve věci C-673/17 (Planet49) se SDEU zabýval případem, kdy byl souhlas získáván pro 57 subjektů, aniž by tuto skutečnost výslovně považoval za nemožnou (neproveditelnou).
[61] Viz analogicky ÚOOÚ. Často kladené otázky k zákonu č. 480/2004 Sb. Otázka č. 12. Dostupné >>> zde.
[62] EDPB. Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Str. 14. Dostupné >>> zde.
[63] Tamtéž. Str. 19.