+420 607 888 494 gdpr@everyregard.one

Cookie 2022

Stanovisko ÚOOÚ

Cookies lišty vykazují řadu nedostatků

Praha, 30. červen 2022 – Úřad pro ochranu osobních údajů (ÚOOÚ) za 1. pololetí roku 2022 v souvislosti s legislativní změnou v oblasti cookies (zavedení principu opt-in) v rámci své úřední činnosti monitoroval dodržování obecného nařízení pro ochranu osobních údajů (GDPR) v souvislosti s nastavením zpracování cookies souborů u různých provozovatelů webových portálů a stránek. Činnost ÚOOÚ probíhá nejen na základě podnětů a stížností, ale také podle plánu kontrol pro letošní rok.

„Úřad zjistil řadu nedostatků, které ve svém důsledku porušují ochranu osobních údajů, a to i u velkých internetových společností, které oslovují statisíce lidí denně. V prvním pololetí jsme dali provozovatelům prostor, aby se nové legislativě přizpůsobili. Nyní ovšem na základě vlastní iniciativy monitorujeme dodržování a oslovujeme správce, kteří porušují právní předpisy v této oblasti, aby zjednali nápravu. Pokud k ní nedojde, přistoupíme k sankcím, a to především finančního charakteru.“ Uvedl v této souvislosti předseda Úřadu pro ochranu osobních údajů Jiří Kaucký.

Mezi hlavní nedostatky, které byly zjištěny kontrolami Úřadu pro ochranu osobních údajů, patří:

  • Používání netechnických cookies bez souhlasu
  • Neúměrně dlouhá doba platnosti cookies vzhledem k jejich účelu
  • Nepřítomnost volby určené pro vyjádření nesouhlasu s využitím netechnických cookies v první vrstvě cookies lišty
  • Špatná kategorizace cookies
  • Absence informací o konkrétních použitých cookies
  • Rozdíl ve viditelnosti tlačítek pro souhlas a nesouhlas s využitím netechnických cookies
  • Nesprávná klasifikace cookies souborů
  • Informace o cookies v cizím jazyce
  • Cookies lišta znesnadňuje či znemožňuje čtení webové stránky

Právní regulace cookies souborů je řešena zákonem č. 127/2005 Sb., o elektronických komunikacích, konkrétně § 89 odst. 1 a 3 zákona č. 127/2005 Sb., a v ustanovení § 87 odst. 2 takto: „Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Na základě čl. 7 odst. 2 nařízení (EU) 2019/679 musí být souhlas se zpracováním osobních údajů odlišitelný od jiných skutečností, musí být také srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.“ Podle čl. 4 odst. 11 nařízení (EU) 2019/679 (GDPR) se musí jednat o „svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů.“

Často kladené otázky ohledně souhlasu s cookies uděleného prostřednictvím tzv. cookie lišty

Musím získat souhlas uživatele s ukládáním všech cookies?

Ne. Souhlas není vyžadován v případě technických cookies, avšak tato výjimka ze souhlasu se vztahuje pouze na uložení a čtení cookies v prohlížeči uživatele. Je třeba si uvědomit, že i prostřednictvím technických cookies zpravidla dochází ke zpracování osobních údajů a jakékoli další zpracování těchto údajů tak musí probíhat v souladu s obecným nařízením.

Jaké jsou podmínky udělení souhlasu?

Souhlas by měl být především svobodný, konkrétní, informovaný a jednoznačný. Subjekt údajů musí mít jednoduchou možnost souhlas neudělit, aniž by to pro něho znamenalo újmu (např. nedostupnost obsahu webových stránek). Současně musí být subjektu údajů poskytnuty dostatečné informace o účelu zpracování, pro který jsou osobní údaje určeny (blíže k tomu v Pokynech WP29 k transparentnosti, str. 9 příklady dobré praxe), kdo je bude zpracovávat, jak dlouho a jestli budou údaje předávány dalším subjektům či do třetích zemí. Udělení souhlasu by pro uživatele nemělo být matoucí ani obtěžující, tzn. uživatel sice může vyjádřit svůj souhlas či nesouhlas s každou jednotlivou cookie, či jednotlivým účelem nebo správcem, avšak má mít i jednoduchou možnost vše najednou odmítnout. Požadavky na souhlas jsou blíže popsány v Pokynech EDPB č. 05/2020.

Je možné udělit souhlas prostřednictvím prohlížeče?

Úřad tuto možnost nevylučuje. Správce osobních údajů musí být schopen prokázat, že mu uživatel souhlas k danému zpracování (k jednotlivým účelům) udělil. V případě udělení souhlasu je třeba aktivní činnost uživatele (např. kliknutí na tlačítko souhlasu), předem nastavený souhlas v prohlížeči tuto podmínku nesplňuje. Uživatel musí mít možnost v prohlížeči udělit informovaný souhlas pro jednotlivé účely jednotlivým správcům.

Jakým způsobem informovat uživatele o cookies při získávání souhlasu?

Poskytované informace by měly být srozumitelné pro běžného uživatele a přehledné. Struktura informací se bude lišit podle množství uložených cookies. Jinak bude vypadat v případě uložení jedné cookie, kde nebude docházet k předávání údajů dalším subjektům a jinak při ukládání desítek cookies, kde bude docházet ke zpracování údajů řadou dalších subjektů. V případě obsáhlejší informace je vhodné ji pro větší přehlednost poskytovat strukturovaně.

Musím umožnit uživateli udělený souhlas odvolat?

Ano. Souhlas se zpracováním osobních údajů může subjekt údajů kdykoli odvolat, přičemž odvolání souhlasu musí být stejně snadné jako jeho udělení. V případě udělení souhlasu prostřednictvím cookie lišty nelze akceptovat, aby odvolání souhlasu bylo možné např. pouze telefonicky. Ideálně by tedy na internetových stránkách měly být snadno dostupné tlačítko či odkaz, pomocí kterých lze souhlas odvolat.

Je možné od ledna zpracovávat osobní údaje prostřednictvím cookies na základě oprávněného zájmu?

Ano. Je třeba odlišit povinnost získat souhlas s uložením a čtením cookies v prohlížeči uživatele (podle zákona o elektronických komunikacích) od následného zpracování osobních údajů (analýza, profilování atd.), které plně podléhá režimu obecného nařízení. Správce tedy musí pro následné zpracování údajů stanovit právní titul, kterým v případě cookies může být souhlas subjektu údajů, oprávněný zájem nebo zpracování nezbytné pro splnění smlouvy. Pokud však uživatel neudělí souhlas s ukládáním a čtením cookies, logicky nemůže docházet k žádnému následnému zpracování jeho osobních údajů.

Je možné, aby tlačítko „Přijmout vše“ mělo jinou barvu než „Odmítnout vše“?

Vzhled a barevnost tlačítek by měly být zvoleny tak, aby měl subjekt údajů možnost se svobodně rozhodnout, zda souhlas udělí či nikoli. Tlačítko „souhlasím“ by tak např. nemělo být výrazně větší či výrazně barevnější než tlačítko „odmítám“. Pokud by tlačítko odmítnutí bylo hůře viditelné nebo identifikovatelné, mohl by jej subjekt údajů přehlédnout a udělený souhlas by nebyl považován za svobodný.

Je třeba, aby bylo tlačítko „Odmítnout vše“ vidět na první pohled? Je případně možné umístit jej až do Nastavení?

Aby měl subjekt údajů možnost svobodné volby, mělo by být odmítnutí souhlasu stejně jednoduché jako jeho udělení. Ideálně by tedy tlačítko odmítnutí mělo být na stejné úrovni jako tlačítko souhlasu.

Je možné mít v Nastavení předem zaškrtnuté ANO u analytických a marketingových cookies?

Předem zaškrtnutá políčka nelze považovat za souhlas v souladu s obecným nařízením, což vyplývá z recitálu 32. Ke stejnému závěru dospěl i Soudní dvůr EU ve svém rozhodnutí ve věci Planet49 GmbH (C 673/17).

Je potřeba informovat o všech jednotlivých cookies, které uživatel přijímá? Kde případně má být výpis umístěn?

Výpis jednotlivých cookies včetně jejich účelu lze určitě doporučit. Umístění této informace je potřeba zvážit s ohledem na množství cookies, aby poskytované informace byly přehledné a zároveň snadno dostupné. Informace tedy může být přímo ve strukturované cookies liště, např. po rozkliknutí „více informací“ nebo zde může být odkaz na dokument obsahující informace o cookies.

Mohu před udělením souhlasu s cookies bránit zákazníkovi v použití stránek?

Z recitálu 32 obecného nařízení vyplývá, že má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, nesmí tato žádost narušit využívání služby.

V bodě 39 Pokynů EDPB č. 05/2020 je uvedeno, že aby byl souhlas, poskytnut svobodně, nesmí být přístup ke službám a funkcím podmíněn souhlasem uživatele s uchováváním informací nebo získáním přístupu k již uloženým informacím v koncovém zařízení uživatele (tzv. cookie walls).

Pokud uživatel cookie lištu zavře, mohu to považovat za souhlas?

Ne. Uživatel musí svůj souhlas jednoznačně vyjádřit. Je-li možnost lištu zavřít, aniž by uživatel vyjádřil, zda souhlas uděluje či nikoli, nelze její zavření a následné setrvání na internetových stránkách považovat za souhlas. Stejně tak v případě „prohlížení“ webových stránek bez jakékoli interakce s cookie lištou nelze cookies do prohlížeče uživatele uložit (kromě technických). Vždy je nutné nejprve získat souhlas a teprve následně mohou být cookies uloženy.

Jak dlouho je možné uchovávat souhlas s ukládáním cookies a kdy lze opětovně žádat o udělení souhlasu v případě jeho předchozího odmítnutí?

Dobu, po kterou je platně udělen souhlas se zpracováním osobních údajů prostřednictvím cookies, i dobu pro opětovné zobrazení cookie lišty v případě odmítnutí udělit souhlas, musí stanovit správce s ohledem na účel, ke kterému jsou osobní údaje zpracovávány, a současně s ohledem na očekávání subjektů údajů. Opětovné zobrazování cookie lišty by nemělo narušovat činnosti uživatele při používání webové stránky, ať už souhlas udělil či odmítl udělit.

Obecně lze za přiměřenou dobu, na kterou byl souhlas s využíváním cookies udělen, považovat 12 měsíců. V případě, že uživatel odmítl souhlas udělit, nemělo by být jeho udělení znovu vyžadováno alespoň 6 měsíců od posledního zobrazení cookie lišty. Tato doba může být kratší pokud:

  • se významně změnila jedna nebo více okolností zpracování,
  • provozovatel není schopen sledovat předchozí souhlas/nesouhlas (např. uživatel smazal cookies uložené ve svém zařízení).

Za významnou změnu zpracování lze považovat zcela nové nastavení cookie lišty a/nebo účelů zpracování, nebo takovou změnu, u které lze předpokládat, že uživatel, který odmítl udělit souhlas, by jej nově udělit mohl (např. výrazné omezení počtu subjektů – správců a zpracovatelů; nebo např. u analytických cookies dojde ke změně zpracovatele a osobní údaje již nebudou předávány mimo EU). Jelikož souhlas se zpracováním osobních údajů prostřednictvím cookies je udělován ke konkrétnímu účelu a určeným subjektům (správcům), nelze považovat za významnou změnu zpracování změnu jednotlivých cookies.

V této souvislosti je třeba upozornit na to, že dojde-li k významné změně zpracování, která by měla vliv i na uživatele, kteří dříve souhlas se zpracováním osobních údajů udělili, bude nezbytné znovu požádat o udělení souhlasu s tímto novým zpracováním i tyto uživatele.