Úřad pro ochranu osobních údajů shrnul pravidla pro udělování souhlasu s použitím cookies prostřednictvím cookies lišty
Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil shrnutí pravidel pro udělování souhlasu s použitím souborů cookies prostřednictvím tzv. cookies lišty.[1] Ačkoliv se nejedná o vyčerpávající rozbor této problematiky, lze jistě ocenit, že Úřad pro ochranu osobních údajů v poměrně přístupné formě (FAQ) představuje základní pravidla a odpovídá na v praxi často řešené otázky při používání cookies lišty. Přehled toho nejzásadnějšího přibližujeme v tomto příspěvku.
Proč se vlastně souhlas s použitím cookies řeší?
Úplným úvodem je nutné zmínit, že používání souborů cookies je obecně možné – s určitými výjimkami, které budou rozebírány dále – pouze se souhlasem návštěvníka webové stránky, a to s ohledem na pravidla zákona o elektronických komunikacích.[2] Jak přitom uvádí Úřad pro ochranu osobních údajů ve svém shrnutí, používání souborů cookies navíc zpravidla současně představuje zpracování osobních údajů.[3] Souhlas se zpracováním osobních údajů je přitom jedním z právních titulů, na základě kterého mohou být osobní údaje (tedy fakticky cookies) z pohledu pravidel pro nakládání s osobními údaji zpracovávány.[4]
Je tedy zřejmé, že pokud provozovatel webové stránky hodlá na této stránce používat cookies, musí se vypořádat se skutečností, že dle pravidel právních předpisů je možné cookies používat (s určitými výjimkami – viz dále) pouze tehdy, pokud s tím návštěvník webové stránky souhlasí.[5]
Technické vs „netechnické“ cookies
Jedním se základních kritérií pro udělování souhlasu s použitím cookies a fungování tzv. cookies lišty je vymezení účelu, pro který jsou cookies na dané webové stránce používány.
Na základě vymezení účelu používání cookies v zásadě můžeme rozlišit dvě kategorie cookies, a to tzv. technické cookies, které jsou nezbytné pro samotné základní fungování webové stránky a veškeré další cookies – souhrnně označované jako „netechnické“ – sloužící k nejrůznějším účelům jako sledování návštěvnosti, analýze chování návštěvníka na webové stránce, marketing apod.
Jak totiž zdůrazňuje Úřad pro ochranu osobních údajů, pokud webová stránka používá pouze technické cookies, není třeba na webovou stránku cookies lištu vůbec zavádět a souhlas s použitím technických cookies po návštěvníkovi vyžadovat, protože technické cookies mohou být používány i bez souhlasu návštěvníka webové stránky.
Avšak ani používání pouze technických cookies nezbavuje provozovatele webové stránky povinnosti návštěvníka informovat o tom, jakým způsobem jsou v této souvislosti zpracovávány jeho osobní údaje (pokud použitím cookies dochází ke zpracování osobních údajů, což zpravidla dochází). Návštěvník webové stránky tak musí být informován o osobě správce, účelu, právním titulu a době zpracování osobních údajů, svých právech atd. dle požadavků příslušných právních předpisů (zejm. obecného nařízení o ochraně osobních údajů).
Používání cookies lišty
Cookies lišta je poté ve své podstatě jednoduchá aplikace (resp. funkcionalita) webové stránky, která určitým způsobem umožňuje nastavení používání cookies ze strany návštěvníka webové stránky a současně obsahuje příslušné informace o používání cookies (či odkazy na jiná místa webové stránky, kde jsou dané informace k dispozici). Základní funkcí tzv. cookies lišty je však možnost udělení souhlasu či nesouhlasu s použitím cookies ze strany návštěvníka webové stránky.
Vzhledem k tomu, že v praxi bývá použití cookies lišty nastaveno nesprávně, resp. neodpovídá režimu právních předpisů, uvedl Úřad pro ochranu osobních údajů ve svém shrnutí základní pravidla pro to, jak má být fungování cookies lišty nastaveno:
- Tlačítko pro vyjádření nesouhlasu s použitím cookies by mělo mít stejnou „důležitost“ jako tlačítko pro vyjádření souhlasu – jinými slovy, mělo by být stejně jednoduché souhlas s použitím cookies udělit i neudělit.
Toto pravidlo reflektuje praxi některých webových stránek, na kterých tlačítko pro odmítnutí použití cookies (tzn. vyjádření nesouhlasu) úplně chybí či je zobrazeno jako daleko menší, na nepřehledném místě, v jiné barvě apod.
V rámci tohoto pravidla je nutné rovněž doplnit, že jakmile je souhlas udělen, je nutné návštěvníkovi webové stránky umožnit souhlas odvolat stejně jednoduše, jako byl souhlas udělen – tzn. kliknutím na příslušné tlačítko (odkaz); není např. možné pro odvolání souhlasu vyžadovat telefonát či zaslání e-mailu.
- Cookies lišta nesmí bránit interakci se samotnou webovou stránkou ani v případě, kdy návštěvník webové stránky ještě nezvolil žádnou z možností ohledně (ne)souhlasu s použitím cookies.
V praxi se lze setkat s webovými stránkami, které vlastně vůbec není možné navštívit ani na nich nic zobrazit, pokud návštěvník nesouhlasí s použitím cookies. Porušením uvedeného pravidla by však bylo i to, pokud by použití cookies sice bylo možné odmítnout (dle požadavků písm. a) výše), avšak webovou stránku by bylo možné fakticky zobrazit až po odmítnutí.
Tento fenomén bývá v praxi označován jako tzv. cookies wall, když návštěvník nemá vůbec možnost zobrazit webovou stránku, pokud se nevypořádá s nastavením použití cookies. Takové fungování webové stránky je však v rozporu s pravidly příslušných právních předpisů.
- Netechnické cookies se mohou aktivovat až po udělení souhlasu návštěvníka webové stránky.
Toto pravidlo bývá některými provozovateli webových stránek ignorováno, avšak jeho smysl spočívá v tom, že jestliže je použití netechnických cookies vázáno na předchozí souhlas návštěvníka webové stránky, není možné, aby došlo k použití netechnických cookies před tím, než je souhlas udělen. Jestliže navíc souhlas udělen nebude (návštěvník souhlas odmítne udělit či se nevyjádří = nezvolí žádnou možnost na cookies liště), není možné netechnické cookies vůbec použít.
Dané pravidlo neplatí pro technické cookies, které mohou být použity i bez souhlasu návštěvníka webové stránky, avšak pouze pro účely nezbytné pro vlastní provoz webové stránky.
- Návštěvník webové stránky by měl mít možnost vyjádřit nesouhlas s použitím každé jednotlivé cookies, ale i všech cookies najednou.
Provozovatelé webových stránek toto pravidlo vesměs dodržují, avšak stále je možné narazit na webové stránky, na kterých je nutné odmítat použití i několika desítek různých cookies jednotlivě bez možnosti odmítnout použití všech cookies najednou, což samozřejmě odporuje uvedenému pravidlu.
- Souhlas s použitím cookies musí být aktivním úkonem návštěvníka webové stránky
Není možné udělit souhlas s použitím cookies pouze v rámci nastavení prohlížeče, stejně jako není možné udělení souhlasu na cookies liště „předvyplnit“ (např. zaškrtnutím jednotlivých políček) – je vyžadován aktivní úkon návštěvníka webové stránky, kterým souhlas s použitím cookies udělí.
Za udělení souhlasu tudíž nelze považovat ani úkon návštěvníka webové stránky, který cookies lištu „zavře“, aniž by aktivně zaškrtnul políčko (zmáčknul tlačítko) pro souhlas s použitím cookies a tedy ani situaci, kdy si návštěvník prohlíží webovou stránku, aniž by měl jakoukoliv interakci s cookies lištou (tzn. cookies lištu ignoruje).
- V případě, že návštěvník webové stránky použití cookies odmítl, nemělo by být udělení souhlasu s použitím cookies znovu vyžadováno obecně dříve než za 6 měsíců od posledního zobrazení cookies lišty.
Cookies lištu lze tak návštěvníkovi webové stránky znovu zobrazit až po uplynutí uvedené doby s tím, že tato doba může být i kratší pokud se se významně změnila jedna nebo více okolností použití cookies (např. zcela nové nastavení cookies lišty a/nebo účelů zpracování osobních údajů, výrazné omezení počtu dalších zpracovatelů, změna režimu předávání osobních údajů mimo EU apod.) nebo pokud provozovatel webové stránky není schopen sledovat předchozí souhlas/nesouhlas s použitím cookies (např. návštěvník smazal cookies uložené ve svém zařízení).
Úřad pro ochranu osobních údajů současně za přiměřenou dobu, na kterou byl souhlas s použitím cookies udělen, považuje 12 měsíců. Po uplynutí této doby tak již není možné považovat souhlas s použitím cookies za platně udělený a návštěvníkovi webové stránky je nutné cookies lištu zobrazit znovu, aby mohl být souhlas s použitím cookies ze strany návštěvníka webové stránky znovu udělen.
Závěrem
Z výše uvedeného je zřejmé, že ačkoliv se jednotlivá pravidla mohou jevit jako poměrně jasná a jednoznačná, v praxi je více než doporučeno uvažovat nad nastavením fungování cookies lišty poměrně podrobně, aby udělování souhlasu s použitím cookies jejím prostřednictvím bylo v souladu s právními předpisy.
Mgr. Martin Winter advokát
Mgr. Martin Winter,
advokát
Doležal & Partners s.r.o., advokátní kancelář
Růžová 1416/17
110 00 Praha
Koliště 1912/13
602 00 Brno
tel.: +420 222 544 201
e-mail: office@dolezalpartners.com
[2] Zákon č. 127/2005 Sb. , o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů
[3] Ve smyslu čl. 4 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.04.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[4] Cookies jako osobní údaje však mohou být zpracovávány i na základě jiných právních titulů – typicky např. oprávněného zájmu.
[5] Jedná se o tzv. opt-in princip, který byl do českého právního řádu zaveden novelou zákona o elektronických komunikacích s účinností od 01.01.2022. Dříve uplatňovaný opt-out princip (tedy možnost používat cookies, pokud jejich použití návštěvník webové stránky výslovně neodmítl) byl tak v souladu s požadavky na harmonizaci daných pravidel v rámci Evropské unie nahrazen právě opt-in principem.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
