Novinky v cookies od 1.1.2022

- Ladislav Šmarda

Co jsou „cookies“?

Cookies jsou krátké textové soubory nacházející se v internetovém prohlížeči každého uživatele. Navštívené webové stránky ukládají informace o návštěvě, kde jsou přijímány a ukládány informace o uživateli (spotřebiteli) webové služby. Část souborů cookies je nutná pro návštěvy a pohyb v síti (pro správné technické zobrazení webové stránky nebo aplikace), některé soubory cookies zpříjemňují pohyb uživatelů v síti a nemalá část cookies je sbírána k vylepšení obchodní strategie a zacílení podnikatelů (správců a provozovatelů webů nebo aplikací).

Kde leží jádro problému?

Prostřednictvím cookies lze získávat informace a data o preferencích uživatelů (např. uživatel prohlíží a vyhledává obsah v českém jazyce – přednostně se webové stránky zobrazí v českém jazyce) nebo analytické o stylu a způsobu prohlížení (např., která témata uživatele zajímala = prohlížení nábytku na mobilu = zobrazování reklamy s nábytkem, i když původní stránku opustíte) a získaná data využít v podnikání.

Pomocí cookies lze měřit a nastavit marketingové nástroje, stejně tak i vyhodnotit účinnost stávajících. Pohyby na webové stránce a související chování podnikatelé využívají při tvorbě a hodnocení svých obchodních strategií a modelů. Například správce webu zjistí, že primárně lidé navštěvují jeho webovou stránku kvůli nákupu travních sekaček (získaný údaj). Rozhodne se proto, že zahradní sekačky na webu umístí do prvních kategorií zobrazení k navýšení svých prodejů, dále se rozhodne přidat nový sortiment zboží související s úpravou zahrad. Podnikatel po vyhodnocení údajů vypustí nabízený segment mobilních telefonů. Navíc se rozhodne změnit barevné ladění webu. Nově zacílí pouze na vybrané publikum (obchodní využití získaných dat).

Právo na soukromí a ochrana osobních údajů se rovněž týká online informací získaných provozovatelem webové stránky nebo aplikace skrze jednání a chováním uživatele (preferencím). Sběr dat o jejich vyhodnocení pro marketingové účely naráží na ochranu soukromí jednotlivce. Získaná data navíc mohou být dále bez kontroly subjektů „přeprodávána“, díky čemuž se nic netušící uživatel stává nevědomky sám nabízeným produktem. K navrácení kontroly do rukou uživatelů a řešení vzniklého rozpor v právech a povinnostech si dala za cíl vyřešit Evropská unie prostřednictvím směrnic (např. Evropského parlamentu a Rady 2009/136/ES ze dne, ve zkratce o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikacích). Jedním z výstupů je změna nastavení cookies popsaná na těchto řádcích.

Co se změní?

Od 1.1. 2022 doznává právní úprava tzv. cookies oproti dosavadnímu přístupu zásadních změn, které se týkají primárně marketingového užití získaných informací o uživatelích. Účelem změny je navrácení kontrolu sběru dat a osobních údajů do rukou uživatelů. Dochází k úplné změně výchozího principu sběru dat.

K dnešnímu dni je užívání cookies souborů v České republice provozováno na tzv. opt out principu uživatele. To znamená, že ke zpracování souborů cookies provozovatelem webové stránky dochází vždy, pokud uživatel tuto možnost sám nevyloučí. Uživatel se nyní musí aktivně domáhat vyloučení sběru osobních údajů. Přes sérii kliknutí se v lepším případě dostane do systému nastavení sběru dat o jeho aktivitách, kde si následně sám nastaví vyloučení (v prohlížeči nebo na konkrétní webové stránce).

Nový právní režim cookies je postaven na zcela opačném principu tzv. opt. in. Sběr a uchování informací o pohybu uživatelů lze provádět pouze s předchozím souhlasem uživatele. Nastavení webu tak bude nově na tuto změnu reagovat. Zjednodušeně lze dopad změny popsat tak, že marketingové nástroje a služby mohou nově na webu provádět monitorování pouze s výslovným souhlasem uživatele (aktivně zaškrtne), nikoliv automaticky bez jejich souhlasu (jen bere na vědomí).

Jako správce jste povinni uživatelům (návštěvníkům stránky) sdělit, jaké osobní údaje pomocí cookies získáváte, jaký je důvod a účel sběru dat. Důvody a účel sběru dat musí správce srozumitelně vymezit, tzn. dát subjektům dostatek informací k vyhodnocení, zda chtějí souhlas udělit.

Dopady změny a doporučení

Technické řešení nesmí umožnit sběr analytických a preferenčních cookies automaticky bez souhlasu uživatele. Podobně jako dnes dojde při vstupu na web k zobrazení panelu cookies s formulářem. Presumpce (předpoklad) svolení uživatele s využitím osobních údajů (pokračuje-li automaticky v prohlížení webové stránky, vyjádřil souhlas) je vyloučen. Uživatel si sám zvolí, zda s konkrétním sběrem dat souhlasí či nikoliv. Aktivní označení tlačítkem souhlasu se sběrem osobních údajů (cookies) je tedy s výjimkou technických cookies nově nutností. „Souhlasím se zpracování a používáním cookies“ není dostačující. Předpokládá se zavedení editovatelného cookies formuláře (panelu), kde si uživatel rozsah poskytnutých údajů stanoví sám. Bez uděleného souhlasu je provádění sběru cookies i nadále technicky možné, nicméně jde o protiprávní získání osobních údajů (tedy porušení zákona, i nařízení GDPR).

Udělený souhlas může uživatel kdykoliv odvolat, je proto v tomto směru ponechat uživatelsky snadné odvolání původního souhlasu (např. se zachováním viditelného odkazu, odvolání souhlasu prostřednictvím částečně viditelného původního formuláře). Data zpracovaná pro marketingové účely mohou být uchována jen v nezbytném rozsahu po nezbytně nutnou dobu. Pravidla zpracování cookies musí obsahovat informaci o tom, zda jsou výsledky předávány třetím stranám, jsou-li třetí strany využívány.

Panel volby nesmí narušit pohyb uživatele po webové stránce. I dnes se můžeme setkat s nemožností nerušeného prohlížení webové stránky bez souhlasu s užíváním cookies. Některé weby jdou dokonce tak daleko, že pohyb po stránce bez udělení souhlasu téměř znemožňují. Udělení souhlasu na podkladě dotěrné obtěžování (např. vyskakování na každé podstránce) nebo znepříjemnění (uživatelsky nepříjemné prohlížení webu) není dobrovolné. Tento postup je potenciálně v rozporu se zákonem, GDPR i směrnicí.

V podmínkách užívání cookies byste měli jako správce vymezit: 1) název/označení cookies (textové kódové označení), 2) popis způsobu užité cookies, 3) právní důvod a účel zpracování cookies, 4) dobu zpracování, 5) údaj o tom, zda je poskytnuta třetí osobě, popřípadě komu a z jakých podmínek.

Závěr

Zdánlivě nenápadná změna v zákoně o elektronických komunikací znamená úplné obrácení původního principu sběru cookies. Regulace v oblasti volného sběru a nakládání s osobními údaji postupně zpřísňuje. Správci musí na tyto změny patřičně reagovat a přesunout aktivní kontrolu cookies do rukou uživatelů. Jedná se o trend, který bude do budoucna pokračovat. Správnou a úplnou implementací povinností si správci mohou ušetřit čas i starosti s budoucí právní úpravou cookies.  

Úprava je částečně včleněna do zákona o elektronických komunikací, nicméně základ je roztříštěn do více právních předpisů (zákonů, směrnic, nařízení, GDPR) směrnicích. Obsahové znění práv a povinností v oblasti cookies musí být v evropském prostoru velmi podobně. Zvláště v případě, kdy web cílí na mezinárodní uživatele (postačí anglický jazyk). Benevolentní režim českého zákonodárce neznamená, že francouzský nebo německý uživatel nebude při vymáhání svých práv spoléhat na přísnější pravidla země svého původu. Vedle zákonného znění lze proto silně doporučit čerpat inspiraci z přísnější evropské úpravy (směrnic a nařízení).