O malých textových souborech, které se ukládají do koncových zařízení uživatelů a slouží pak k jejich identifikaci na webových stránkách, patrně slyšel již každý. Ano, jedná se o soubory cookies.
Cookies dnes používá téměř každá webová stránka, avšak zdaleka ne každá webová stránka je používá v souladu s právními požadavky.
Cookies pod drobnohledem ÚOOÚ
A právě na dodržování povinností při používání cookies se letos zaměřil Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“), který za porušení regulace cookies jen v prvních sedmi měsících roku 2023 udělil pokuty ve výši téměř 4,5 milionu korun. Zaměřil se na kontrolu souladu s novelizovanou úpravou v zákoně o elektronických komunikacích, který od 1. ledna 2022 pro využití většiny cookies vyžaduje souhlas, tzv. opt-in princip.
Z vyjádření předsedy ÚOOÚ Jiřího Kauckého vyplývá, že už skončila tzv. „doba hájení“, kdy ÚOOÚ pouze vytýkal, upozorňoval a edukoval. Nyní lze očekávat vyšší míru zájmu ÚOOÚ o správné používání cookies, další kontroly a zřejmě i další pokuty.
5 typických chyb a nedostatků při používání cookies
Podívejme se proto na 5 nejčastějších chyb, které se na při využívání cookies a podobných technologií vyskytují. Řekneme si také, jak tyto nedostatky odstranit. Pokud se některá z uvedených chyb v nastavení cookies objevuje i na vašich webových stránkách, tak raději zpozorněte ať další pokuta ÚOOÚ nesměřuje právě za vámi.
1) Zpracovávání cookies bez souhlasu
Na řadě webových stránek se cookies ukládají do koncových zařízení bez informování uživatele či jakékoliv jeho aktivity, zejména souhlasu. Tento přístup je sice jednoduchý pro správce webu, ale v rozporu § 89 zákona o elektronických komunikacích. Jak jsme si řekli, již od 1. ledna 2022 je zaveden režim opt-in, který podmiňuje použití netechnických cookies předchozím souhlasem uživatele. Provozovatel webové stránky tak nejprve musí identifikovat, které z cookies, jež chce používat, jsou netechnické (viz níže bod 2) a posléze získat souhlas uživatele s jejich použitím.
Objevují se však i příklady nerespektování volby uživatele, kdy uživatel sice nepovolí uložení cookies do svého zařízení, ale webová stránka přesto cookies do jeho zařízení nahraje. I v takovém případě samozřejmě dochází k porušení právní úpravy.
Souhlas s využitím cookies za účelem marketingu, profilování atd., musí splňovat náležitosti souhlasu dle GDPR. O tom více za chvíli, v bodě 3.
2) Špatná kategorizace cookies
V praxi se často objevuje špatné nebo dokonce žádné členění cookies do kategorií podle účelu jejich zpracování. Na řadě webů se tak stále můžeme setkat pouze s možností „přijmout všechny cookies“, a „odmítnout všechny cookies“ bez ohledu na to, jestli je souhlas uživatele vůbec potřebný.
Ideálním řešením je umožnit uživateli souhlasit se zpracováním cookies v závislosti na účelu jejich zpracování. Z tohoto důvodu lze jako best practice označit členění cookies do několika kategorií, které odpovídají jednotlivým účelům zpracování. Uživatel pak může vyjádřit souhlas s využitím cookies, které nejsou nutné pro fungování daného webu nebo pro poskytnutí jím vyžádané služby (např. přihlášení do e-mailu). Jedná se například o členění vytvořené Mezinárodní obchodní komorou v Paříži, nebo jednodušší a často používané rozlišování na:
i) Nezbytně nutné cookies
ii) Analytické cookies
iii) Reklamní cookies
Je možné se setkat také s jinými druhy členění cookies, nicméně toto členění je pro účely regulace zpravidla dostatečné. Kategorie nezbytně nutných cookies zahrnuje dvě skupiny cookies, které jsou v ZEK definovány jako „technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací“ a cookies „nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána uživatelem“.
První skupina zahrnuje tzv. technické cookies, které podmiňují samotnou realizaci služby a nesledují žádný jiný účel.
Druhá skupina pak zahrnuje cookies nezbytné pro službu, kterou si uživatel výslovně vyžádal, a tedy je legitimní zpracovat cookies, které tuto službu umožňují. Nelze však opomenout, že rozsah kategorie nezbytně nutných cookies je potřeba vykládat restriktivně. Příkladem nezbytně nutné cookie může být například cookie, která v sobě zahrnuje informaci o tom, že uživatel zakázal zpracování cookies, a tudíž nemusí být při dalším přístupu na stránku znovu dotazován, nebo cookies umožňující správné fungování funkce „nákupního košíku“ na e-shopu.
Analytické cookies pak zahrnují cookies, které informují o provozu na webových stránkách a o dílčích přizpůsobeních nastavení webové stránky uživateli. Příkladem může být měření návštěvnosti webových stránek, zjišťování polohy uživatele pro účely zobrazování relevantní předpovědi počasí nebo velikost písma zobrazovaného textu.
Poslední kategorií jsou reklamní cookies, které jsou používány pravděpodobně nejčastěji. Ačkoliv reklamní cookies mohou zpracovávat v podstatě stejná data jako analytické cookies, zásadní zůstává účel, za kterým jsou získaná data zpracovávána. V případě marketingových cookies jsou totiž získané informace využívány k profilování uživatelů a nabízení personalizované reklamy.
3) Nedostatečný souhlas
Používání cookies pro marketingové účely se točí zejména kolem udělování souhlasu. Není proto divu, že řada webových stránek vymyslela vlastní „kreativní“ způsob, jak souhlas alespoň formálně získat, a maximalizovat tak využívání dat získaných prostřednictvím cookies. Mezi takové praktiky patří například informování uživatele, že používáním webu vyjadřuje souhlas se zpracováním cookies, nebo předzaškrtnutý souhlas se zpracováním cookies pro všechny účely. Obě tyto varianty jsou ovšem v rozporu s požadavky na souhlas v čl. 4 GDPR, který souhlas definuje jako svobodný, konkrétní, informovaný a jednoznačný projev vůle uživatele.
Optimálně by tedy souhlas měl být udělen po uvedení alespoň základních informací a s možností dohledat si další relevantní informace (typicky v Cookie Policy či obecně Privacy Policy). Souhlas není možné udělit nevědomky nebo pasivně, ale jedině prostřednictvím aktivní činnosti uživatele (např. zaškrtnutí políčka).
Souhlas nesmí být pro uživatele jedinou možností, jak dosáhnout požadovaného obsahu. Nejednalo by se o svobodné vyjádření vůle uživatele.
V tomto kontextu se lze setkat například s nesprávným přístupem, kdy je souhlasem uživatele s cookies podmíněn přístup na web. Konkrétnost souhlasu pak lze docílit možností udělit souhlas pro jednotlivé účely zpracování zpravidla integrované do vhodně zvolených kategorií cookies (viz výše bod 2). Provozovatel webu pak udělenou volbu uživatele musí uložit tak, aby byl schopný souhlas uživatele doložit. Třeba při kontrole ÚOOÚ.
4) Znesnadnění možnosti odmítnout cookies oproti jejich přijetí
Oblíbeným nešvarem u cookies bannerů sloužících ke sbírání souhlasu je ztěžování možnosti souhlas neudělit, nebo jej později odebrat. Bannery tak například nabízejí pouze možnost „Přijmout všechny cookies“ nebo „Nastavit podrobněji“. Uživatel je tak stavěn do nerovné volby. Buď souhlas jednoduše udělí, nebo bude déle klikat a trávit svůj čas prohledáváním nastavení stránky, aby souhlas odmítl. Z tohoto důvodu i Evropský sbor pro ochranu osobních údajů jasně vyslovil požadavek, že udělení i odebrání souhlasu musí být stejně pracné. To znamená, že pokud je na banneru možnost „příjmout vše“, měla by být hned vedle také možnost „odmítnout vše“.
Barevné odlišení jednotlivých tlačítek pak je sice možné, ale nemělo by činit jednu z možností nečitelnou nebo uživatele mást. V praxi tak lze např. zelenou barvou zvýraznit možnost „udělit souhlas“, ale nemělo by být tlačítko udělit souhlas třikrát větší, než tlačítko souhlas neudělit. Jednotlivé bannery je však nezbytné posuzovat případ od případu.
5) Nemožnost jednou udělený souhlas odebrat
Velice častou chybou je také nemožnost jednou udělený souhlas odebrat nebo upravit volbu pro různé účely cookies. Aby byl souhlas svobodný, je nezbytné, aby jej uživatel mohl kdykoliv jednoduše odvolat. V praxi tak požadavek na odvolatelnost souhlasu řeší nejčastěji odkazem v patičce webové stránky, který uživateli znovu zobrazí původní banner, nebo přímo přenese na podrobnější nastavení cookies, kde uživatel může znovu zakliknout, které typy cookies povolí a které nikoliv.
Toto řešení, které je plně v souladu s regulací, je vhodné i z uživatelského hlediska. Uživatele na rozdíl od neustále vyskakujících cookies bannerů neobtěžuje, ale současně je kdykoliv k dispozici, pokud by uživatel možnost změny hledal. Alternativně lze volit také vhodně umístěnou grafickou ikonu, která bude možnost změny volby připomínat.