Změna pravidel pro používání cookies / nejpozději k 1. 1. 2022 je třeba provést úpravu webových stránek

Předchozí Následující

30.11.2021 15:45

Změna pravidel pro používání cookies / nejpozději k 1. 1. 2022 je třeba provést úpravu webových stránek

Změna zákona č. 127/2005 Sb., o elektronických komunikacích, nabude účinnosti dne 1. ledna 2022. Do tohoto okamžiku je třeba provést níže shrnuté úpravy Vašich webových stránek.

  1. Co jsou cookies?

Zjednodušeně řečeno se jedná o malé datové soubory, které krom jiného zajišťují funkčnost webových stránek. Při návštěvě webové stránky se cookies umístí do zařízení, kterým se ke stránce přihlašujete. Cookies slouží k identifikaci návštěvníka webové stránky a (některé z nich) slouží ke sběru informací o pohybu návštěvníka na webové stránce.

V základu lze rozlišit tři druhy cookies:

  • Technické – technické cookies jsou nezbytné pro funkčnost webové stránky. Bez nich by stránka nefungovala dobře. Technické cookies například zajišťují, že si Vás webová stránka pamatuje při nákupu v internetovém obchodě. Umožňuje Vám vkládat jednotlivé zboží do nákupního košíku. Pokud by stránka nevyužívala cookies, byla by každá změna (např. výběr další položky a nové vložení do košíku) považována za návštěvu stránky nově příchozí osobou a předchozí zboží vložené do košíku by bylo zapomenuto. Technické cookies mají krátkou dobu uložení a při jejich používání nedochází ke zpracování osobních údajů;
  • Analytické – analytické cookies slouží k rozpoznávání návštěvníků webové stránky při analýze její návštěvnosti. Cílem je, zjednodušeně řečeno, rozpoznat návštěvníky, kteří se na webové stránky vrací a nezapočítávat je znovu. Analytické cookies nejsou nezbytné pro funkčnost stránky, doba jejich uložení je střední až dlouhodobá. Při jejich využívání není vyloučeno, že může dojít ke zpracování osobních údajů;
  • Marketingové – marketingové cookies mají za cíl identifikovat uživatele webové stránky a jeho chování napříč stránkami. Marketingové cookies jsou využívány k cílené reklamě a nejsou k fungování stránky nezbytné. Pro lepší představu – marketingové cookies jsou důvodem, proč Vás po prohlídce zájezdu na stránkách určité cestovní kanceláře bude při následném brouzdání internetem pronásledovat reklama na zájezdy této cestovní kanceláře, ať již jste si u ní zájezd zakoupili, či nikoli. Marketingové cookies bývají ukládány dlouhodobě a při jejich používání může docházet ke zpracování osobních údajů.

Blíže k problematice cookies viz také například https://www.aboutcookies.org/.

  1. V čem spočívá změna právní úpravy?

Právní úprava obsažená v zákoně o elektronických komunikacích, včetně podmínek pro používání cookies, je transpozicí směrnic EU (primárně viz směrnice EU 2009/136/ES).

Evropská legislativa dlouhodobě pro používání cookies předpokládá tzv. OPT-IN princip. Krátce řečeno, vyjma technických cookies, o nichž stačí informovat, je pro použití analytických a marketingových cookies nezbytný souhlas návštěvníka webové stránky.

Směrnice EU však byla do právního řádu České republiky nesprávně transponována a právní úprava používání cookies obsažená v zákoně o elektronických komunikacích byla vystavěna na opačném principu, tj. na principu OPT-OUT. To vedlo ke stavu, kdy použití analytických a marketingových cookies je/bylo možné bez předchozího souhlasu toliko po předchozím informování uživatele/návštěvníka stránky s tím, že s použitím cookies je možné později vyslovit nesouhlas (cookies vypnout).

S ohledem na uvedené jsou zdejší webové stránky jen výjimečně vystavěny na principu OPT-IN. V drtivé většině případů převažuje OPT-OUT princip; na webové stránce zpravidla pouze naskočí lišta, která informuje, že jsou používány cookies a návštěvník potvrzením prostřednictvím vyznačeného políčka tuto skutečnost bere na vědomí.

Nesprávná transpozice evropského práva nemůže být provozovateli webové stránky na újmu, tzn. že za využívání OPT-OUT principu nemůže být provozovatel webové stránky z hlediska zákona o elektronických komunikacích trestán.

To však nic nemění na faktu, že dochází-li v souvislosti s používáním (zejména) marketingových cookies ke zpracování osobních údajů návštěvníků za marketingovými účely, zejména pokud je součástí zpracování osobních údajů profilování a automatizovaného rozhodování, podkladem takového zpracování osobních údajů nemůže být oprávněný zájem správce (čl. 6 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů). Takové zpracování osobních údajů se může zakládat pouze a výlučně na souhlasu subjektu údajů. Souhlas musí mít veškeré parametry podle právní úpravy na ochranu osobních údajů. Krom jiného se musí jednat o jednoznačný, svobodný, informovaný, vědomý a aktivní projev vůle, jímž se vyslovuje svolení pro zpracování určitých osobních údajů konkrétním správcem na určenou dobu za konkrétním účelem. Takové parametry může mít kliknutí na ikonku „beru na vědomí“ jen stěží.

Jinak a krátce řečeno, bez výslovného souhlasu se zpracováním osobních údajů za marketingovými účely prostřednictvím cookies je takové zpracování osobních údajů v rozporu se zákonem. Fakt, že samotná instalace cookies nemusí být nelegální, na uvedeném nic nemění.

Doposavad uvedené naznačuje, v čem spočívá změna právní úpravy zákona o elektronických komunikacích účinná od 1. ledna 2022.

Novelou jmenovaného zákona se právní řád České republiky uvede do souladu s evropskou legislativou, když dojde ke změně pravidel pro použití (instalaci) cookies v tom smyslu, že mimo technických cookies, o nichž i nadále postačí pouze informovat (označení cookies, popis, doba uložení), bude použití všech dalších cookies podmíněno souhlasem uživatele; dojde ke změně principu z OPT-OUT na OPT-IN. Souhlas bude muset mít parametry podle právní úpravy na ochranu osobních údajů.

 

  1. Dobrá a špatná praxe a další vybrané problematické otázky

V návaznosti na dosavadní praktické zkušenosti s podobou informačních lišt a dalších částí webových stránek vztahujících se ke cookies a v kontextu shora přiblížené právní úpravy lze poukázat na následující příklady dobré a špatné praxe a lze dát následující doporučení:

a.) souhlas s používáním cookies – souhlas musí splňovat parametry právní úpravy na ochranu osobních údajů, což znamená:

    • textace souhlasu, která bude následně potvrzena uživatelem, musí být vyjádřena jednoduchými jazykovými prostředky;
    • je vhodné použít více vrstev, kdy úvodní vrstva pouze v základu popíše základní parametry a následující vrstvy fungující na principu prokliku upřesňují parametry souhlasu;
    • pokud stránka používá více typů cookies, lze jako výchozí na informační liště s nástrojem (tlačítkem) pro vyslovení souhlasu nabídnout generální souhlas se všemi typy cookies, které budou v základu v úvodním textu shrnuty (spolu s případným souhlasem se zpracováním osobních údajů) s tím, že je dále třeba nabídnout možnost vlastního nastavení (pokud bude mít uživatel zájem, měl by mít možnost povolit jen některé cookies, příp. jen některé účely zpracování osobních údajů);
    • projev vůle musí být aktivní, tzn. nelze předem zaškrtnout políčko označující souhlas, shození lišty s textem souhlasu nelze považovat za souhlas, nelze využít textaci „využíváním stránek souhlasíte s instalací cookies“;
    • souhlas se uděluje na určitou dobu. O době je třeba podat přesnou informaci, přičemž je třeba pamatovat na to, že u některých cookies dochází k obnovení doby uložení vždy v okamžiku návštěvy stránky;
    • je třeba nabízet možnost jednoduchým způsobem souhlas odvolat;
    • přístup k obsahu stránky nelze podmiňovat souhlasem s použitím cookies a se zpracováním osobních údajů;
    • při udělování souhlasu nelze směšovat/podmiňovat nesouvisející plnění;
    • cookies smí být instalována až po udělení souhlasu;

b.) informování o cookies, o zpracování osobních údajů a o právech subjektu údajů – na webové stránce je vhodné zřídit zvláštní záložku určenou k poskytování informací o cookies, včetně typů používaných cookies, jejich účelu a doby uložení, a dále k poskytování informací o zpracování osobních údajů a o právech subjektu údajů a v jejím rámci nabídnout komunikační kanály pro uplatnění práv subjektu údajů, pro odvolání souhlasu s cookies;

c.) při využívání cookies pro marketingové účely je třeba reflektovat, že pokud je přístupové zařízení užíváno více osobami a není-li možné tyto rozlišit, mohou být získané informace zkreslené a mají-li být použity jako osobní údaje, je třeba je zodpovědně vyhodnotit;

d.) nelze si vynucovat svolení k instalaci cookies prostřednictvím cookies stěny, tj. lišty, která svou velikostí zakryje většinu obrazovky a fakticky tak znemožní stránku užívat;

e.) jako na projev souhlasu se nelze odkazovat na nastavení webového prohlížeče uživatele.

Závěrem lze doplnit, že pokud jsou na webové stránce používány cookies třetích stran (zpravidla se tak děje prostřednictvím prostoru určenému k reklamním účelům), považují se z hlediska právní úpravy na ochranu osobních údajů provozovatel webové stránky a osoba zpracovávající osobní údaje prostřednictvím takových cookies za společné správce osobních údajů. Za nakládání s údaji tak nesou odpovědnost oba. Stejně tak lze mít za to, že provozovatel webové stránky odpovídá vůči uživateli i za informování o takových cookies a za získání souhlasu.

Doporučení, které lze v této souvislosti dát, zní „věnujte náležitou pozornost smluvní úpravě vztahů s osobou, která by měla využívat reklamní prostor na Vašich webových stránkách“.

Jsme si vědomi, že se jedná o poměrně abstraktní problematiku. Budete-li potřebovat, jsme připraveni Vám při nastavování cookies a při zpracování související dokumentace poskytnout podporu.

Aktualitu zpracoval:  doc. JUDr. Jakub Morávek, Ph. D.

Felix a spol. advokátní kancelář s.r.o.