Články
11. 2. 2022
Cookies – dobrý sluha, špatný pán
Zřejmě jste postřehli, že při každé návštěvě nově navštíveného webu, na Vás vyskočí banner nebo pop-up okno, kterým jste informováni, že příslušná webová stránka používá tzv. cookies a dává Vám zpravidla na výběr mezi tlačítkem „Povolit vše“ nebo „Upravit“. Proč tomu tak je, co to znamená? A jaké povinnosti mají provozovatelé webů používající nástroje cookies?
Co jsou tzv. cookies?
Cookies jsou malé textové soubory, které server posílá prohlížeči, jenž je ukládá do zařízení uživatele. Při každé další návštěvě serveru mu prohlížeč zasílá zpět data. Díky tomu je možné navzájem rozlišovat jednotlivé uživatele, získávat informace o jejich chování (např. jaké navštěvují stránky, jak často, co vyhledávají apod.) a následně je využívat pro marketingové účely – cílené, personalizované reklamě, pro statistické účely apod. Jinými slovy, díky cookies je server schopný si při dalším prohlížení webu např. zapamatovat, jaké zboží jste při poslední návštěvě vložili do košíku, zapamatovat si Vaše osobní údaje vyplňované do formulářů, Váš poslední vlakový spoj nebo číslo Vaší platební karty. Dále také, které odkazy jste na webu již rozklikli. To se obvykle projeví např. vybledlým zbarvením konkrétního odkazu. Je díky nim možné přizpůsobovat nabídku zboží, tedy nabízet jen to, co zákazník chce a neobtěžovat ho něčím, o co zájem nemá. Dokonce lze jejich prostřednictvím upravovat reklamu napříč různými weby. Pokud jste si tedy na e-shopu prohlíželi např. horská kola, dost pravděpodobně se vám při následné návštěvě webové stránky s oblíbenými recepty budou objevovat reklamní bannery s tímto e-shopem s dalšími horskými koly.
Změny ohledně nastavení cookies od 1. 1. 2022
Do 31.12.2021 byly cookies založeny na tzv. „opt-out“ principu, což znamená, že Váš souhlas se zpracováním cookies byl příchodem na server automaticky předpokládán. Tento režim však nereflektoval aktualizovanou úpravu z roku 2009 obsaženou v čl. 5 odst. 3 směrnice ePrivacy[1], ve které byl zakotven režim opt-in, dle něhož je použití cookies podmíněno získáním předchozího informovaného souhlasu uživatele. Musí se tedy jednat o aktivní a předem udělený souhlas, na jehož základě mohou být cookies následně použity.
Počátkem roku 2022 došlo k transpozici této směrnice ePrivacy do českého právního řádu, a to novelou zákona č. 127/2005 Sb., o elektronických komunikacích, která přináší zásadní změny týkající se pravidel nastavení cookies. Od 1. 1. 2022 pro použití cookies vyplývá ze zákona o elektronických komunikací povinnost získat předchozí prokazatelný aktivní souhlas uživatele s rozsahem a účelem zpracování. Zde hovoříme o režimu „opt-in“, kdy používání cookies může být aktivováno až na základě aktivního úkonu (souhlasu) uživatele. Před udělením souhlasu přitom není možné cookies používat. Tímto krokem je také česká právní úprava harmonizována s evropským kodexem elektronických komunikací[2].
Z potřeby udělení souhlasu pro využití cookies existuje několik výjimek, které ale jsou vymezeny poměrně úzce. Jde např. o situace, kdy je použití cookies nezbytné pro technické ukládání nebo pro poskytnutí služby, která je poskytována na základě žádosti uživatele, tj. nejde o nějakou vedlejší službu, kterou uživatel nepožaduje.
Tyto technické (funkční) cookies napomáhají tomu, aby webová stránka byla správně použitelná tak, že umožní základní funkce jako navigace stránky a přístup k zabezpečeným sekcím webové stránky, bez nich by webová stránka nemohla správně fungovat. To, že jsou cookies nezbytné pro poskytnutí služby pak mimo jiné znamená, že použití cookies je časově omezené právě na poskytování dotčené služby. Hranice mezi tím, kdy jsou cookies nezbytné k poskytnutí služby a kdy již nikoli, může být v některých případech nejasná a bude se odvíjet od charakteru poskytované služby. Statistické a analytické nástroje však do výjimek zpravidla nespadnou.
Základní pravidla, jež je nutné aplikovat od 1. 1. 2022
Jste-li provozovatelem webové stránky, mobilní či jiné aplikace, např. máte-li vlastní e-shop či webovou stránku, jejíž prostřednictvím nabízíte svoje služby, jste povinni získat aktivní souhlas k použití cookies. Do doby udělení souhlasu není možné cookies ukládat a případně aktivovat jiné technologie, nepůjde-li o některou z výjimek (technické cookies). Požadavky na souhlas jsou ukotveny v čl. 2 písm. f) transponované směrnice ePrivacy, jež ve vztahu ke konkrétním náležitostem souhlasu odkazuje na GDPR.[3] Souhlas s použitím cookies dle novely tedy musí splňovat i požadavky podle GDPR.
Zde je přehled základních pravidel:
Pokud předchozí souhlas uživatele získaný před rokem 2022 nesplňuje všechny podmínky stanovené novelou a s ní souvisejících právních předpisů jako je směrnice ePrivacy a GDPR, bude nezbytné získat souhlas nový, pokud jako provozovatel chcete webové stránky dále ukládat a číst data z cookies v zařízení uživatele.[4] Toho lze dosáhnout například prostřednictvím pop-up okna, cookie banneru nebo jiného vhodného řešení. Pokud byste neměly cookies ošetřeny odpovídajícím způsobem, v případě kontroly ze strany úřadu by Vám mohly hrozit zbytečné sankce.
Co jsou tzv. cookies?
Cookies jsou malé textové soubory, které server posílá prohlížeči, jenž je ukládá do zařízení uživatele. Při každé další návštěvě serveru mu prohlížeč zasílá zpět data. Díky tomu je možné navzájem rozlišovat jednotlivé uživatele, získávat informace o jejich chování (např. jaké navštěvují stránky, jak často, co vyhledávají apod.) a následně je využívat pro marketingové účely – cílené, personalizované reklamě, pro statistické účely apod. Jinými slovy, díky cookies je server schopný si při dalším prohlížení webu např. zapamatovat, jaké zboží jste při poslední návštěvě vložili do košíku, zapamatovat si Vaše osobní údaje vyplňované do formulářů, Váš poslední vlakový spoj nebo číslo Vaší platební karty. Dále také, které odkazy jste na webu již rozklikli. To se obvykle projeví např. vybledlým zbarvením konkrétního odkazu. Je díky nim možné přizpůsobovat nabídku zboží, tedy nabízet jen to, co zákazník chce a neobtěžovat ho něčím, o co zájem nemá. Dokonce lze jejich prostřednictvím upravovat reklamu napříč různými weby. Pokud jste si tedy na e-shopu prohlíželi např. horská kola, dost pravděpodobně se vám při následné návštěvě webové stránky s oblíbenými recepty budou objevovat reklamní bannery s tímto e-shopem s dalšími horskými koly.
Změny ohledně nastavení cookies od 1. 1. 2022
Do 31.12.2021 byly cookies založeny na tzv. „opt-out“ principu, což znamená, že Váš souhlas se zpracováním cookies byl příchodem na server automaticky předpokládán. Tento režim však nereflektoval aktualizovanou úpravu z roku 2009 obsaženou v čl. 5 odst. 3 směrnice ePrivacy[1], ve které byl zakotven režim opt-in, dle něhož je použití cookies podmíněno získáním předchozího informovaného souhlasu uživatele. Musí se tedy jednat o aktivní a předem udělený souhlas, na jehož základě mohou být cookies následně použity.
Počátkem roku 2022 došlo k transpozici této směrnice ePrivacy do českého právního řádu, a to novelou zákona č. 127/2005 Sb., o elektronických komunikacích, která přináší zásadní změny týkající se pravidel nastavení cookies. Od 1. 1. 2022 pro použití cookies vyplývá ze zákona o elektronických komunikací povinnost získat předchozí prokazatelný aktivní souhlas uživatele s rozsahem a účelem zpracování. Zde hovoříme o režimu „opt-in“, kdy používání cookies může být aktivováno až na základě aktivního úkonu (souhlasu) uživatele. Před udělením souhlasu přitom není možné cookies používat. Tímto krokem je také česká právní úprava harmonizována s evropským kodexem elektronických komunikací[2].
Z potřeby udělení souhlasu pro využití cookies existuje několik výjimek, které ale jsou vymezeny poměrně úzce. Jde např. o situace, kdy je použití cookies nezbytné pro technické ukládání nebo pro poskytnutí služby, která je poskytována na základě žádosti uživatele, tj. nejde o nějakou vedlejší službu, kterou uživatel nepožaduje.
Tyto technické (funkční) cookies napomáhají tomu, aby webová stránka byla správně použitelná tak, že umožní základní funkce jako navigace stránky a přístup k zabezpečeným sekcím webové stránky, bez nich by webová stránka nemohla správně fungovat. To, že jsou cookies nezbytné pro poskytnutí služby pak mimo jiné znamená, že použití cookies je časově omezené právě na poskytování dotčené služby. Hranice mezi tím, kdy jsou cookies nezbytné k poskytnutí služby a kdy již nikoli, může být v některých případech nejasná a bude se odvíjet od charakteru poskytované služby. Statistické a analytické nástroje však do výjimek zpravidla nespadnou.
Základní pravidla, jež je nutné aplikovat od 1. 1. 2022
Jste-li provozovatelem webové stránky, mobilní či jiné aplikace, např. máte-li vlastní e-shop či webovou stránku, jejíž prostřednictvím nabízíte svoje služby, jste povinni získat aktivní souhlas k použití cookies. Do doby udělení souhlasu není možné cookies ukládat a případně aktivovat jiné technologie, nepůjde-li o některou z výjimek (technické cookies). Požadavky na souhlas jsou ukotveny v čl. 2 písm. f) transponované směrnice ePrivacy, jež ve vztahu ke konkrétním náležitostem souhlasu odkazuje na GDPR.[3] Souhlas s použitím cookies dle novely tedy musí splňovat i požadavky podle GDPR.
Zde je přehled základních pravidel:
- Souhlas dle GDPR musí být svobodný. Jde zejména o požadavek na dobrovolné udělení souhlasu, který by neměl být vynucován zablokováním přístupu ke stránce nebo jiným znepříjemňováním používání webové stránky s cílem přinutit uživatele k udělení souhlasu.
- Souhlas by měl být informovaný, tedy mělo by být zřejmé, co je jeho obsahem, k čemu budou získaná data použita. Dnešní často velmi obecné formulace „souhlasím s používáním cookies“ již nebudou dostatečné. GDPR totiž klade požadavky na konkrétnost souhlasu. V takovém případě uživatel uděluje souhlas pouze k vybraným specifikovaným účelům zpracování. Má-li docházet ke zpracování pro různé účely (např. statistika a marketing), k čemuž v souvislosti s cookies často dochází, měla by být uživateli nabídnuta možnost udělit souhlas pro každý z definovaných účelů zvlášť.
- Stejně tak by souhlas měl být vyjádřen jednoznačným projevem vůle, a tím by měla skončit stávající praxe, dle které je souhlas udělován například pokračováním v prohlížení webové stránky – to totiž nepředstavuje jednoznačný úkon uživatele směřující k vyjádření souhlasu s používáním cookies.
- V neposlední řadě by souhlas měl být odvolatelný. Platí, že udělení souhlasu by mělo být stejně jednoduché jako jeho odvolání (viz čl. 7 odst. 3 GDPR).
Pokud předchozí souhlas uživatele získaný před rokem 2022 nesplňuje všechny podmínky stanovené novelou a s ní souvisejících právních předpisů jako je směrnice ePrivacy a GDPR, bude nezbytné získat souhlas nový, pokud jako provozovatel chcete webové stránky dále ukládat a číst data z cookies v zařízení uživatele.[4] Toho lze dosáhnout například prostřednictvím pop-up okna, cookie banneru nebo jiného vhodného řešení. Pokud byste neměly cookies ošetřeny odpovídajícím způsobem, v případě kontroly ze strany úřadu by Vám mohly hrozit zbytečné sankce.
[1] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích)
[2] Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace.
[3] Směrnice ePrivacy odkazuje na zrušenou směrnici 95/46/ES, přičemž v souladu s čl. 94 odst. 2 GDPR se odkazy na tuto zrušenou směrnici považují za odkazy na GDPR.
[4] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 34.