Úřad pro ochranu osobních údajů (ÚOOÚ) přišel s rozhřešením ohledně souborů cookie v souvislosti s nařízením GDPR a chystaným nařízením ePrivacy. Jak tedy k souborům cookie a cookie lištám na webu přistupovat?
POZOR: Tento článek upravuje a mění informace uvedené v článku Jak na GDPR (5): Cookies, Google Analytics, remarketing.
GDPR říká, že uživateli musíte dát možnost vybrat si, zda chce soubory cookie nechat ukládat, či nikoliv = metoda opt-in. Přitom je potřeba poskytnout stejně funkční zážitek z webu i bez ukládání souborů cookie.
Přitom je třeba rozlišovat typy souborů cookie, které na webu používáte. Na některé totiž můžete využít jiný právní titul než souhlas. Například pokud je cookie nutná pro provoz webu, ke standardnímu měření návštěvnosti apod. V takových případech použijete právní titul oprávněný zájem a o použití těchto souborů uživatele pouze informujete.
Mimo tyto funkční (základní) soubory cookie ale můžete používat třeba remarketing od Googlu, a tedy sledovací soubor cookie. A zde je z hlediska GDPR již nutný souhlas.
Názor expertů ÚOOÚ zní, že souhlas s použitím souborů cookie vyjadřuje uživatel prohlížeče jeho nastavením = tím, že je nemá zakázané.
Východisko k názoru zní:
„Ačkoliv cookies identifikují toliko koncové zařízení, používá-li ho více uživatelů, je nutno vycházet z toho, že jsou srozuměni s tím, jak je nastaveno, protože jinak by si ho nastavili jinak. Obdobně na pracovišti může nastavit koncové zařízení zaměstnavatel a zaměstnanec je s tím srozuměn, i když by si třeba přál nastavit ukládání cookies jinak.“
A argumentace zní:
„Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webové stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu.“
„Souhlas splňuje definiční znaky souhlasu podle článku 4 bodu 11 GDPR: Je svobodný, konkrétní, informovaný a jednoznačný. Souhlas je vykládán ve vztahu k účelu, prostředku a způsobu zpracování osobních údajů, nikoliv k produktu či webové aplikaci, tedy je nadbytečné jednou udělený paušální souhlas například pro cookies třetích stran dále konkretizovat pro jednotlivý vyhledávač nebo zpravodajský server.“
Ze stanoviska ÚOOÚ vyplývá, že není třeba žádat dodatečný souhlas s používáním souborů cookie. Zůstává tedy pouze informační povinnost.
V praxi to znamená, že není třeba nechat návštěvníka webu určit, jaké soubory cookie má povolit. Odpovědnost se nechává na něm, aby si případné soubory cookie v prohlížeči zablokoval.
POZOR: Toto mění informaci o cookie lištách, kterou jsem uvedl v článku Jak na GDPR (5): Cookies, Google Analytics, remarketing.
To jde ruku v ruce s chystaným nařízením ePrivacy (v platnost vstoupí pravděpodobně někdy kolem roku 2020), v němž se počítá s tím, že souhlas a mapování používaných souborů cookie si bude návštěvník webu řídit sám v prohlížeči.
ÚOOÚ dále sděluje:
„Užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit, protože obtěžují uživatele. “
Čili cookie lišta není třeba, protože je pro návštěvníky příliš obtěžující. Stále je však třeba návštěvníka webu srozumitelně informovat, jaké soubory cookie používáte.
POZOR: Tento názor nebyl úřadem na konec oficiálně schválen. Úřad se však vyjádřil v tom smyslu, že neexistenci cookie lišty postihovat nebude.
ÚOOÚ v dokumentu píše:
„Popisu zpracování osobních údajů, včetně cookies, je vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako Cookies.“
Popisu souborů cookie je tedy třeba věnovat samostatnou stránku mimo stránku Zásady ochrany osobních údajů. Z té je ale dobré odkazovat.
Co by mohla tato stránka obsahovat?
Ale ruku na srdce. Víte vůbec, jaké soubory cookie používá váš web? Víte, jak zjistit jejich názvy a k čemu vlastně slouží?
Navíc rozlišujeme dva typy souborů cookie podle doby platnosti:
Zjistit, jaké soubory cookie váš web používá, můžete například v prohlížeči Chrome takto:
V tabulce vidíte podle sloupce:
Podle názvu a případně hodnoty můžete určit, k čemu daná cookie slouží.
Například Google Analytics ukládá nejčastěji tyto soubory cookie k odlišení návštěvníků webu:
Účel dalších souborů cookie (zvláště těch systémových = nutných pro provoz webu) by vám měl prozradit tvůrce, nebo poskytovatel webového řešení. A pak budete muset pátrat.
TIP: Zkuste také online službu Cookie Checker.
Přistupte k seznamu souborů cookie s rozmyslem a tak, aby ho běžný návštěvník webu pochopil. Cílem je umožnit mu používání určitých souborů cookie zakázat, nebo je smazat.
Uveďte například tabulku, nebo popište slovy. Například:
Používáme soubory cookie Google Analytics (_ga, _gid a _gat) k měření chování návštěvníků webu s expirací 1 minuta, 24 hodin a 2 roky.
U dalších souborů cookie popište alespoň, komu (kterým aplikacím) patří a jaká je jejich expirace.
TIP: Podívejte se na příklad informační stránky o souborech cookie na webu MD webdesign.
Registrací dáváte souhlas se zpracováním vaší e-mailové adresy pro zasílání upozornění na nové články a termíny školení po dobu max. 5 let. Odhlásit se můžete kdykoliv jediným kliknutím v každém e-mailu.
Zpracovávám vaše osobní údaje. Jak údaje chráním »
Počet komentářů: 1
© Martin Domes | ochrana osobních údajů | cookies | obchodní podmínky
Vytvořil MD webdesign – tvoříme obchodně úspěšné weby
Registrujte se k odběru upozornění na nové články v blogu.
Registrací dáváte souhlas se zpracováním vaší e-mailové adresy pro zasílání upozornění po dobu maximálně 5 let. Odhlásit se můžete kdykoliv jediným kliknutím v každém e-mailu.
Díky, super článek, to jsem potřebovala.