Vzhled bannerů cookies se v poslední době na mnoha webových stránkách změnil. Dříve vás malé vyskakovací okno jednoduše informovalo o tom, že na webové stránce jsou nastaveny blíže nespecifikované "soubory cookie". V současnosti se často zobrazuje seznam jednotlivých souborů cookie a možnost volby prostřednictvím zaškrtávacích políček, které z nich jsou přijatelné a které nikoli. Proč tomu tak je - a co je nyní správně?
Tento článek osvětluje bannery se soubory cookie a vysvětluje, jak správně navrhnout oznámení o souborech cookie na svých webových stránkách. Než se však dostaneme k podrobnostem, je třeba pochopit, kdy a proč banner o souborech cookie vůbec potřebujete.
Proč vůbec potřebujete banner cookie?
Soubory cookie jsou informace, které se ukládají do koncového zařízení návštěvníka webových stránek (počítače, chytrého telefonu atd.). Na jedné straně jsou nezbytné pro správné zobrazení webové stránky ("technicky nezbytné soubory cookie"). Na druhé straně se používají i k jiným účelům, například k analýze chování návštěvníků webových stránek, pro reklamní účely nebo při integraci sociálních pluginů. (Poznámka: V následujícím textu se pod pojmem "cookies" rozumí také srovnatelné technologie, jako jsou počítací pixely apod.)
Podívejme se nejprve na současnou právní situaci. Od 25. května 2018, kdy vstoupilo v platnost nařízení (EU) 2016/679 (GDPR ), platí v tomto ohledu následující:
Pokud se soubory cookie neukládají do koncového zařízení návštěvníka webových stránek z důvodu ochrany oprávněných zájmů provozovatele webových stránek nebo třetí strany, je k tomu v souladu s čl. 6 odst. 1 GDPR nutný souhlas návštěvníka webových stránek.
Vzhledem k tomu, že oprávněné zájmy provozovatele webových stránek nebo třetích stran musí být porovnány se zájmy nebo základními právy a svobodami návštěvníka webových stránek, je v jednotlivých případech často nejasné, které zájmy převažují.
Oprávněným zájmem při provozu webových stránek je samozřejmě vždy to, aby se webové stránky správně zobrazovaly. Na soubory cookie potřebné k tomuto účelu se proto vždy vztahuje oprávněný zájem provozovatele webových stránek.
Složitější je to v případě, že se soubory cookie používají k analýze chování návštěvníků webových stránek nebo pro reklamní účely. Zde často nelze vyloučit, že by v případě sporu měly větší váhu zájmy návštěvníků webových stránek, a to ze strany orgánů dozoru nad ochranou osobních údajů a/nebo soudů.
Kromě technicky nezbytných souborů cookie by proto nastavení souborů cookie mělo být vždy založeno na souhlasu návštěvníka webových stránek. Tento souhlas se klasicky získává prostřednictvím zaškrtávacího políčka.
Nemělo by se zastírat, že tato právní situace by se mohla změnit, až vstoupí v platnost nařízení o soukromí a elektronických komunikacích. Jelikož je však nařízení o soukromí a elektronických komunikacích v současné době stále předmětem politických diskusí, zůstane prozatím v platnosti uplatňování GDPR - a tedy i preventivní získávání souhlasu prostřednictvím zaškrtávacího políčka - s ohledem na soubory cookie & spol. Podrobnosti si můžete přečíst v mém článku "Nařízení o soukromí a elektronických komunikacích: Co vásčeká?".
"*" povinný údaj
Jak byste měli navrhnout banner cookie?
Správně navrhnout banner cookie není tak obtížné. Je jen důležité mít na paměti několik drobností, které vysvětlím níže.
#1 Správný čas
Je důležité, aby se banner se soubory cookie zobrazil ihned po vstupu na webovou stránku a aby se zpočátku neukládaly žádné soubory cookie a aby nedocházelo k předávání údajů třetím stranám (např. prostřednictvím sociálního pluginu).
#2 Správné místo
Je třeba také dbát na to, aby nebyl zakryt žádný další důležitý obsah: Například banner se soubory cookie je často umístěn v zápatí - a zakrývá odkaz na Impressum a/nebo zásady ochrany osobních údajů.
#3 dobrovolné
Je také důležité, aby další návštěvy webových stránek nebyly závislé na tom, zda návštěvník webových stránek souhlasí s nastavením všech souborů cookie. I když je udělen souhlas pouze s nastavením technicky nezbytných souborů cookie, musí být stále možné webové stránky navštívit. Je samozřejmě jasné, že některé funkce webových stránek nemusí bez souhlasu správně fungovat.
#4 úplný seznam všech souborů cookie
V banneru o souborech cookie by měly být uvedeny jednotlivé soubory cookie nebo - pokud je jich příliš mnoho - alespoň jednotlivé souvislosti (technicky nezbytné soubory cookie, analytické soubory cookie, soubory cookie pro reklamní účely atd.); pokud jsou uvedeny pouze souvislosti, měly by být podrobněji vysvětleny kliknutím na ně v jiném okně a jednotlivé soubory cookie by měly být uvedeny tam.
#5 zaškrtávací políčka s přihlášením
Na webových stránkách má smysl získávat souhlas pomocí zaškrtávacích políček.
To znamená, že v banneru souborů cookie je pro každý soubor cookie - nebo kontext souboru cookie - samostatné zaškrtávací políčko.
Je důležité si uvědomit, že zaškrtnuté může být pouze políčko pro technicky nezbytné soubory cookie - všechna ostatní políčka musí být prázdná. Kliknutím na ostatní zaškrtávací políčka se nyní návštěvník webových stránek může sám rozhodnout, které soubory cookie nebo souvislosti přijme či nikoli.
Právní pozadí je následující:
Pokud je souhlas získáván pomocí zaškrtávacího políčka, existují v zásadě dvě možnosti: Opt-in nebo opt-out. Rozdíl spočívá v tom, že v případě opt-in je zaškrtávací políčko zpočátku prázdné a návštěvník webových stránek musí svůj souhlas aktivně udělit kliknutím na políčko nebo zaškrtnutím políčka. V případě opt-out je zaškrtávací políčko ve výchozím nastavení již zaškrtnuté - tj. souhlas již byl udělen - a návštěvník webových stránek musí aktivně odstranit zaškrtnutí kliknutím na políčko.
Mnoho provozovatelů webových stránek používá ve výchozím nastavení možnost opt-out. Pravděpodobně proto, že vědí, že většina jejich návštěvníků chce mít přístup na webové stránky rychle, a proto kliknou na tlačítko OK na banneru se soubory cookie - aniž by si přečetli text banneru nebo se zamysleli nad tím, k čemu dávají svůj souhlas.
Proč opt-out nestačí
I když je tento postup rozšířený, není právně správný. Souhlas vyžaduje aktivní jednání ze strany návštěvníka webových stránek. Proto je právně bezchybný pouze opt-in, tj. návštěvník webových stránek aktivně uděluje svůj souhlas - například s používáním analytického nástroje, jako je Google Analytics - zaškrtnutím políčka.
Lze tvrdit, že při odhlášení je skutečný souhlas udělen kliknutím na tlačítko OK na banneru se soubory cookie. To je však chůze po tenkém ledě. Podle 32. bodu odůvodnění GDPR platí pro souhlas následující(zvýraznění moje):
"Souhlas by měl být udělen jednoznačným potvrzujícím úkonem , který pro danýpřípad dobrovolně, informovaně a jednoznačně vyjadřuje, že subjekt údajů souhlasí se zpracováním osobních údajů, které se ho týkají, například formou písemného prohlášení, které může být učiněno i elektronicky, nebo ústního prohlášení .
To lze provést například zaškrtnutím políčka při návštěvě webové stránky, výběrem technického nastavení služeb informační společnosti nebo jiným prohlášením či chováním, kterým subjekt údajů jasně vyjadřuje svůj souhlas se zamýšleným zpracováním svých osobních údajů v daném kontextu.
Mlčení, již zaškrtnutá políčka nebo nečinnost subjektu údajů by proto neměly představovat souhlas. Souhlas by se měl vztahovat na všechny operace zpracování prováděné za stejným účelem nebo účely. Pokud zpracování slouží více účelům, měl by být souhlas udělen pro všechny tyto účely zpracování. Pokud je subjekt údajů požádán o udělení souhlasu elektronickými prostředky, musí být žádost podána jasně a stručně a bez zbytečného přerušení služby, pro kterou je souhlas udělován."
#6 úpravu zásad ochrany osobních údajů
Při navrhování banneru se soubory cookie nesmíte zapomenout přizpůsobit zásady ochrany osobních údajů. To znamená, že v zásadách ochrany osobních údajů musí být také vysvětleny podrobnosti o jednotlivých nastavených souborech cookie.
#7 sociálních sítí se zvláštními problémy Plugins
Zvláštní problém je s integrací sociálních pluginů, protože ty nejen nastavují soubory cookie, ale také automaticky odesílají osobní údaje návštěvníků webu do příslušné sociální sítě atd.
Podle nedávného rozhodnutí Soudního dvora EU ze dne 29. července 2019 mohou být osobní údaje návštěvníka webových stránek předány sociální síti apod. pouze po udělení příslušného souhlasu. Je proto důležité zajistit, aby se sociální plugin stal aktivním pouze v případě, že návštěvník webových stránek předtím udělil svůj souhlas zaškrtnutím příslušného políčka. (Tento rozsudek se stále vztahuje na "směrnici o ochraně osobních údajů", tj. předchůdce nařízení GDPR; výsledek se však vztahuje i na GDPR).
Závěr
Správný návrh banneru cookie, tj. v souladu se zákonem, není žádná raketová věda. A není to ani nevýhoda pro provozovatele webových stránek. Koneckonců i s návštěvníky webových stránek by se mělo zacházet férově. A k tomu patří i poskytování transparentních informací o tom, co se děje při vstupu na webové stránky. Jen tak se mohou návštěvníci webových stránek informovaně rozhodnout, zda a případně jaké údaje chtějí zveřejnit. Stejně jako se mnozí tvůrci a provozovatelé webových stránek zdráhají nechat se špehovat třetími stranami, měli by také návštěvníkům svých vlastních webových stránek dát možnost, aby se sami rozhodli, jaké údaje chtějí zveřejnit a jaké ne.
Nejlepší obrázek: Emily Wilson | Unsplash
Další obrázky: Rawpixel | pexels, Raidboxes
