Zákon hovoří o důvěrnosti

V zákonu o elektronických komunikacích a o změně některých souvisejících zákonů (zákonu o elektronických komunikacích) najdete povinnosti v paragrafu 89 nazvaném „Důvěrnost komunikací“:

Podnikatelé zajišťující veřejné komunikační sítě nebo poskytující veřejně dostupné služby elektronických komunikací jsou povinni zajistit technicky a organizačně důvěrnost zpráv a s nimi spojených provozních a lokalizačních údajů, které se přenášejí prostřednictvím jejich veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací. Zejména nepřipustí odposlech, ukládání zpráv nebo jiné druhy zachycení nebo sledování zpráv a s nimi spojených údajů osobami jinými, než jsou uživatelé, bez souhlasu dotčených uživatelů, pokud zákon nestanoví jinak. To nebrání technickému ukládání údajů, které je nezbytné pro přenos zpráv, aniž by byla dotčena zásada důvěrnosti. Zprávou se rozumí jakákoli informace, která se vyměňuje nebo přenáší mezi konečným počtem účastníků nebo uživatelů prostřednictvím veřejně dostupné služby elektronických komunikací, s výjimkou informace přenášené jako součást veřejného rozhlasového nebo televizního vysílání sítí elektronických komunikací, nelze-li ji přiřadit k určitelnému účastníkovi nebo uživateli, který tuto informaci přijímá. Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem. Podnikatel zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinen na žádost účastníka bezplatně a ve formě umožňující další elektronické zpracování dat poskytnout mu provozní a lokalizační údaje, které má k dispozici na základě tohoto zákona, pokud je nemohl účastník pro poruchu na jeho zařízení v důsledku kybernetického bezpečnostního incidentu zachytit nebo uložit. Údaje podnikatel předá, je-li to technicky možné, bezodkladně, nejpozději však do 3 dnů ode dne doručení žádosti nebo v případě probíhající komunikace ode dne jejího uskutečnění.

Souhlas musí být dobrovolný

Úřad pro ochranu osobních údajů upozorňuje, že souhlas s cookies by měl být především svobodný, konkrétní, informovaný a jednoznačný. Subjekt údajů musí mít jednoduchou možnost souhlas neudělit, aniž by to pro něho znamenalo újmu například v podobě nedostupnosti obsahu webových stránek. Také mu musí být poskytnuty dostatečné informace o tom, jaké údaje budou zpracovávány, kdo je bude zpracovávat, za jakým účelem, jak dlouho a jestli budou údaje předávány dalším subjektům či do třetích zemí. Udělení souhlasu by pro uživatele nemělo být matoucí ani obtěžující a uživatel sice má mít možnost vyjádřit svůj souhlas nebo nesouhlas s každou jednotlivou cookies nebo jednotlivým účelem nebo správcem, ale má mít i jednoduchou možnost vše najednou odmítnout.

Podle úřadu je tak pro lepší přehlednost vhodné informace poskytovat v několika vrstvách, což umožní subjektům údajů rozhodnout se, zda si přečtou stručné nebo podrobnější znění informací. Souhlas by měl být rovněž strukturovaný a udělený pro každý ze zamýšlených účelů. Nečinnost subjektu údajů neznamená jednoznačný souhlas. Prohlášení ve smyslu „setrváním na webových stránkách souhlasíte s ukládáním cookies“ proto nelze považovat za souhlas v souladu s obecným nařízením, zdůrazňují dále.

Pavel Unger upozorňuje, že souhlas nesmí být podmínkou pro návštěvu webu a lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování, doplňuje. Za souhlas se nedá považovat ani zavření cookie lišty, protože uživatel musí svůj souhlas jednoznačně vyjádřit. Je-li možnost lištu zavřít, aniž by uživatel vyjádřil, zda souhlas uděluje či nikoli, nelze její zavření a následné setrvání na internetových stránkách považovat za souhlas. Stejně tak v případě „prohlížení“ webových stránek bez jakékoli interakce s cookie lištou nelze cookies do prohlížeče uživatele uložit (kromě technických). Vždy je nutné nejprve získat souhlas a teprve následně mohou být cookies uloženy, vysvětluje ÚOOÚ a podotýká dále, že odvolání souhlasu musí být stejně snadné jako jeho udělení.

Výjimkou jsou technické cookies

Cookies se dělí do několika kategorií, kdy první jsou nutné, které jsou potřebné pro provoz webu. Ty jsou označovány také jako technické. Další jsou analytické (případně statistické) sloužící například k měření a sledování návštěvnosti a poslední skupinu tvoří marketingové cookies pomáhající cílit na zákazníky. Jak vysvětluje Úřad pro ochranu osobních údajů, při zpracování osobních údajů prostřednictvím cookies jde o širokou skupinu údajů, které správci hodlají shromažďovat za účelem analýz, statistik, reklam či třeba hodnocení poskytovaných služeb. Princip opt-in se netýká technických cookies, které jsou nezbytné pro přenos zpráv a poskytování služeb, včetně zajištění bezpečné komunikace, ubezpečují.

Na barvách (ne)záleží?

Jak informoval server Lupa.cz, rakouský právník a aktivista za ochranu soukromí Maxilian Schrems založil neziskovou organizaci None of your business, která vytvořila robotický nástroj na automatickou kontrolu cookies lišt. A nástroj vyhodnocuje jako špatné i takové věci, jako že ‚Povolit všechny cookies‘ je na liště uvedeno zelenou barvou, protože to není dobrovolně udělený souhlas a automaticky tlačíte lidem zrak na zelenou barvu, popisuje advokátka Petra Dolejšová. Že by tlačítko souhlasu nemělo být v křiklavých (zdůrazňovaných) barvách, zmiňuje také Pavel Ungr. Ačkoliv to není nikde přímo definováno, Úřad pro ochranu osobních údajů uvádí, že vzhled a barevnost tlačítek by měly být zvoleny tak, aby měl subjekt údajů možnost se svobodně rozhodnout, zda souhlas udělí či nikoli. Tlačítko „souhlasím“ by tak např. nemělo být výrazně větší či výrazně barevnější než tlačítko „odmítám“. Pokud by tlačítko odmítnutí bylo hůře viditelné nebo identifikovatelné, mohl by jej subjekt údajů přehlédnout a udělený souhlas by nebyl považován za svobodný, upozorňují.

Jaké hrozí sankce?

Na dodržování těchto nařízení dohlíží Úřad pro ochranu osobních údajů, který při kontrolách vyzve provozovatele k nápravě, ale také může udělit pokutu. Komunikační agentura CRS na své microsite zmiňuje výše uvedený nástroj None of your business s tím, že v pilotním kole naskenoval 1000 rakouských firem, 89 % poslal výzvu k úpravě, 422 jich nahlásil úřadům a další kola tohoto skenování jsou mířena na celou Evropskou unii. Podle Petry Dolejšové zde však vysoké pokuty nejspíš nehrozí. A navíc ÚOOÚ zřejmě nemá kapacity na to, aby včas zvládl řešit desítky tisíc automatizovaných stížností. Osobně si nemyslím, že by úřad nějak přitvrzoval. Praxe je zatím taková, že největší udělená pokuta byla 6 milionů korun, a to podle starého režimu, ne podle GDPR. Takže bych se toho neděsila, řekla pro server Lupa.cz.

Berte změny jako příležitost

UX konzultant Michal Voják provozovatelům webů radí, aby si na začátek řekli, jak moc je pro ně souhlas s používáním cookies důležitý. Pokud na tom nestojí podnikání (neřeší remarketing a podobně), doporučuje zvolit méně agresivní variantu spočívající ve spodní liště, která nepřekáží uživateli. Pokud naopak potřebují získat co nejvíce souhlasů, měli by zvolit spíše variantu, která více vybízí uživatele k nějaké akci. V obou případech je vhodné nasazené řešení měřit, testovat a vylepšovat, aby na vašem webu mělo co největší úspěšnost, radil dále na webináři. Pavel Unger upozorňuje, že cookies lišta bude většinou první věcí, co návštěvník vašeho webu uvidí. Myslete na to i z marketingového hlediska a věnujte pozornost nejen právnímu a funkčnímu řešení, ale zapojte do toho i UX a budování značky. Berte to (se skřípěním zubů, já vím!) jako příležitost se odlišit, uzavírá.