Není souhlas s cookies třeba? A co cookie lišty?

Úřad pro ochranu osobních údajů (ÚOOÚ) přišel s rozhřešením ohledně souborů cookie v souvislosti s nařízením GDPR a chystaným nařízením ePrivacy. Jak tedy k souborům cookie a cookie lištám na webu přistupovat?

POZOR: Tento článek upravuje a mění informace uvedené v článku Jak na GDPR (5): Cookies, Google Analytics, remarketing.

Jak se na soubory cookie dívá GDPR

GDPR říká, že uživateli musíte dát možnost vybrat si, zda chce soubory cookie nechat ukládat, či nikoliv = metoda opt-in. Přitom je potřeba poskytnout stejně funkční zážitek z webu i bez ukládání souborů cookie.

Přitom je třeba rozlišovat typy souborů cookie, které na webu používáte. Na některé totiž můžete využít jiný právní titul než souhlas. Například pokud je cookie nutná pro provoz webu, ke standardnímu měření návštěvnosti apod. V takových případech použijete právní titul oprávněný zájem a o použití těchto souborů uživatele pouze informujete.

Mimo tyto funkční (základní) soubory cookie ale můžete používat třeba remarketing od Googlu, a tedy sledovací soubor cookie. A zde je z hlediska GDPR již nutný souhlas.

Jak se k tomu staví ÚOOÚ

Názor expertů ÚOOÚ zní, že souhlas s použitím souborů cookie vyjadřuje uživatel prohlížeče jeho nastavením = tím, že je nemá zakázané.

Východisko k názoru zní:

„Ačkoliv cookies identifikují toliko koncové zařízení, používá-li ho více uživatelů, je nutno vycházet z toho, že jsou srozuměni s tím, jak je nastaveno, protože jinak by si ho nastavili jinak. Obdobně na pracovišti může nastavit koncové zařízení zaměstnavatel a zaměstnanec je s tím srozuměn, i když by si třeba přál nastavit ukládání cookies jinak.“

A argumentace zní:

„Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webové stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu.“

„Souhlas splňuje definiční znaky souhlasu podle článku 4 bodu 11 GDPR: Je svobodný, konkrétní, informovaný a jednoznačný. Souhlas je vykládán ve vztahu k účelu, prostředku a způsobu zpracování osobních údajů, nikoliv k produktu či webové aplikaci, tedy je nadbytečné jednou udělený paušální souhlas například pro cookies třetích stran dále konkretizovat pro jednotlivý vyhledávač nebo zpravodajský server.“

TIP: Čtěte originální dokument od ÚOOÚ »

Musím používat cookie lištu s opt-in?

Ze stanoviska ÚOOÚ vyplývá, že není třeba žádat dodatečný souhlas s používáním souborů cookie. Zůstává tedy pouze informační povinnost.

V praxi to znamená, že není třeba nechat návštěvníka webu určit, jaké soubory cookie má povolit. Odpovědnost se nechává na něm, aby si případné soubory cookie v prohlížeči zablokoval.

POZOR: Toto mění informaci o cookie lištách, kterou jsem uvedl v článku Jak na GDPR (5): Cookies, Google Analytics, remarketing.

To jde ruku v ruce s chystaným nařízením ePrivacy (v platnost vstoupí pravděpodobně někdy kolem roku 2020), v němž se počítá s tím, že souhlas a mapování používaných souborů cookie si bude návštěvník webu řídit sám v prohlížeči.

ÚOOÚ dále sděluje:

„Užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit, protože obtěžují uživatele. “

Čili cookie lišta není třeba, protože je pro návštěvníky příliš obtěžující. Stále je však třeba návštěvníka webu srozumitelně informovat, jaké soubory cookie používáte.

Informační povinnost o souborech cookie

ÚOOÚ v dokumentu píše:

„Popisu zpracování osobních údajů, včetně cookies, je vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako Cookies.“

Popisu souborů cookie je tedy třeba věnovat samostatnou stránku mimo stránku Zásady ochrany osobních údajů. Z té je ale dobré odkazovat.

Co by mohla tato stránka obsahovat?

  • Identifikace cookie – o jakou cookie jde, například název.
  • Účel použití – například, že jde o funkci webu, měření návštěvnosti, nebo sledovací remarketingovou cookie.
  • Dobu expirace – jak dlouho bude cookie v počítači uložena = doba platnosti.
  • Kdo k jejím informací má přístup – pokud cookie předává informace například Facebooku, nebo Googlu.

Jak zjistit, jaké cookie web používá

Ale ruku na srdce. Víte vůbec, jaké soubory cookie používá váš web? Víte, jak zjistit jejich názvy a k čemu vlastně slouží?

Navíc rozlišujeme dva typy souborů cookie podle doby platnosti:

  • Cookie platná v rámci návštěvy webu: Ukládá se pouze po dobu návštěvy a následně se maže.
  • Cookie platná i po návštěvě webu: Její doba expirace je delší.

Zjistit, jaké soubory cookie váš web používá, můžete například v prohlížeči Chrome takto:

  1. Přepněte se do režimu anonymního prohlížení (klikněte vpravo nahoře na ikonu tří teček a pak na Nové anonymní okno).
  2. Načtěte váš web.
  3. Spusťte panel Developer Tools stisknutím klávesy F12.
  4. V menu klikněte na Applications a v levé nabídce pak na Cookies.
  5. Kliknutím rozbalte skupinu souborů cookie podle domény. Zde odlišíte vlastní soubory cookie = vaše doména a pak soubory cookie třetích stran = jiné domény.

V tabulce vidíte podle sloupce:

  • Name – název cookie
  • Value – hodnota cookie
  • Expires – kdy vyprší platnost

Podle názvu a případně hodnoty můžete určit, k čemu daná cookie slouží.

Například Google Analytics ukládá nejčastěji tyto soubory cookie k odlišení návštěvníků webu:

  • _ga s expirací 2 roky
  • _gid s expirací 24 hodin
  • _gat s expirací 1 minuta

Účel dalších souborů cookie (zvláště těch systémových = nutných pro provoz webu) by vám měl prozradit tvůrce, nebo poskytovatel webového řešení. A pak budete muset pátrat.

TIP: Zkuste také online službu Cookie Checker.

Závěrem

Přistupte k seznamu souborů cookie s rozmyslem a tak, aby ho běžný návštěvník webu pochopil. Cílem je umožnit mu používání určitých souborů cookie zakázat, nebo je smazat.

Uveďte například tabulku, nebo popište slovy. Například:

Používáme soubory cookie Google Analytics (_ga, _gid a _gat) k měření chování návštěvníků webu s expirací 1 minuta, 24 hodin a 2 roky.

U dalších souborů cookie popište alespoň, komu (kterým aplikacím) patří a jaká je jejich expirace.

TIP: Podívejte se na příklad informační stránky o souborech cookie na webu MD webdesign.

Upozornění na nové články do e-mailu?

Registrací dáváte souhlas se zpracováním vaší e-mailové adresy pro zasílání upozornění na nové články a termíny školení po dobu max. 5 let. Odhlásit se můžete kdykoliv jediným kliknutím v každém e-mailu.

Zpracovávám vaše osobní údaje. Jak údaje chráním »

Komentáře

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

© Martin Domes | ochrana osobních údajů | cookies
Google+ | Facebook

Vytvořil MD webdesign - tvoříme obchodně úspěšné weby

Top