Souhlas s používáním cookies v ČR aneb co takhle dát si cookies?
Proč by si měli provozovatelé e-shopů a jiných webových stránek „posvítit“ na cookies? Jaká je současná právní úprava „sušenkového šílenství“ (oficiálně však souhlas s používáním cookies)? Čekají tuto právní úpravu v blízké budoucnosti legislativní změny? A co to vlastně ony cookies jsou? Na tyto, a další otázky se pokusíme odpovědět v sérií článků věnovaných problematice cookies.
Jako každý recept, i ten na sušenky nejdřív vyjmenovává potřebné suroviny. Část první naší série článků proto nemůže začít jinak, než úvodem do problematiky a vymezením základních pojmů.
Proč by si provozovatelé e-shopů a jiných webových stránek měli „posvítit“ na cookies?
Již v článku Může Google požadovat umístění souhlasu s cookies na českých webech? jsme Vás informovali o tom, že společnost Google, v reakci na legislativu Evropské unie, mění povinnosti provozovatelů webů využívajících produkty Google (jako Google AdSense nebo Google Analytics a jiné), a to od 1. 10. 2015.
Novou povinností je získání předchozího výslovného souhlasu koncového uživatele webu (například zákazníka e-shopu) se zpracováním jeho osobních údajů v podobě cookies (tedy souhlas s používáním cookies). Dokud tento souhlas nezískáte, nemůžete cookies ukládat do počítačů uživatelů.
Pop-up okna vyžadující souhlas s používáním cookies
Možná jste při prohlížení webu zaznamenali enormní nárůst „pop-up“ oken, které od Vás žádají souhlas se zpracováním cookies. Tento trend je právě výsledkem změny pravidel společnosti Google.
Pokud jste provozovatel webu a využíváte výše zmíněné služby Google, musíte si od svých uživatelů vyžádat souhlas se zpracováváním cookies (např. prostřednictvím zmíněného „pop-up“ okna), který může vypadat například takto:
Všimněte si černého pruhu na horní části stránky.
Co říká Google o souhlasu s použitím cookies?
Jak si tedy Google představuje správné chování provozovatelů webu při správě cookies? Na svých stránkách se snaží poskytnout alespoň základní návod, jak na to.
Informace mají úřady pro ochranu osobních údajů
Je třeba zmínit, že první radou pro provozovatele webu, je vyhledat právní pomoc. Následně budete odkázáni na příslušné úřady na ochranu osobních údajů jednotlivých členských státu Evropské unie (v České republice se jedná o Úřad pro ochranu osobních údajů, dále jen „ÚOOU“).
Každá další rada začíná slovy:
„Bohužel vám nemůžeme říct, jak má žádost pro váš web nebo aplikaci vypadat, protože velmi záleží na tom, jak soubory cookie a další informace využíváte a s jakými službami třetích stran pracujete. Můžeme vám však poskytnout vodítko.“
Jaké tresty nám hrozí při porušení sušenkového zákona?
Aby nebylo nejistoty málo, Google nezmiňuje, jaké tresty bude za nedodržování pravidel ukládat. Omezuje se jen na to, že neukázněné provozovatele webů potrestá nebo s nimi ukončí spolupráci.
Správné nastavení politiky cookies na webu je důležité nejen pro provozovatele využívající produkty Google, ale pro všechny provozovatele internetových stránek.
Co říká český ÚOOÚ?
V České republice se problematikou cookies zabývá zejména ÚOOU. Spolu s ostatními regulátory osobních údajů v Evropské unii, v rámci skupiny WP 29 (Pracovní skupina pro ochranu dat podle článku 29 směrnice 95/46/ES), proběhlo v září roku 2014 testování padesáti vybraných adres internetových stránek českých provozovatelů.
ÚOOU se v tomto testu zaměřil na to, jak dlouho provozovatelé uchovávají a využívají informace uložené u uživatele a také na cookies třetích stran (tzv. third party cookies, viz dále). Za zmínku stojí zejména konstatování ÚOOU k výsledkům testu:
“Jak vyplývá z provedeného testu, plnění povinností ve vztahu k využívání tzv. cookies obecně není mezi českými provozovateli webových stránek na adekvátní úrovni. Standardem je spíše opak, kdy o cookies nejsou dostupné žádné informace, tím méně pak není vymáhán souhlas s jejich využíváním. Některé webové stránky obsahují alespoň informace o využívání cookies. Současný stav v České republice neodpovídá evropské ani české (nedostatečně transponované) právní úpravě, a práva uživatelů internetu tak jsou systematicky narušována. Úřad pro ochranu osobních údajů jako regulátor v oblasti ochrany osobních údajů se bude touto situací zabývat.”
Sankce od Googlu a dokonce od ÚOOÚ
Sankce tedy může přijít nejen od společnosti Google, ale také od ÚOOU.
Co to jsou to cookies?
ÚOOU definuje cookies, jako:
„Malé kousky informací, uchovávané v jednoduchých textových souborech, umístěných na vašem počítači z webové sítě. Cookies mohou být čteny webovými stránkami během vašich pozdějších návštěv. Informace uložená v cookie může mít vztah k vašemu chování při procházení webové stránky, nebo obsahovat jedinečné identifikační číslo, takže si vás webová stránka bude moci „pamatovat“ při vaší příští návštěvě“.
Jinak řečeno, cookies jsou malé textové soubory, které se ukládají do Vašeho počítače, zatímco surfujete na internetu. Když si například koupíte mobil v e-shopu, při Vaší další návštěvě Vás web automaticky přihlásí na účet, kteří jste si na e-shopu vytvořili, a nabídne Vám příslušenství k tomuto mobilu. Po přihlášení na sociální sítě se Vám budou také zobrazovat reklamy na příslušenství k tomuto mobilu.
Cookies jsou nezbytné k fungování webu a zvyšují uživatelský komfort, ale některé jejich typy o Vás mohou zaznamenávat informace, jako jsou osobní údaje, přihlašovací jména nebo mohou sledovat Vaše internetové chování.
Jaké existují druhy cookies?
Existuje několik druhů cookies. Ty nejzákladnější jsou nazývány „session cookies“. Tyto cookies zajišťují běžný chod internetové stránky a jsou nezbytné k jejímu fungování. Session cookies neukládají informace o uživatelích ani na jejich základě není možné uživatele identifikovat. Pro tyto cookies provozovatel webu nepotřebuje souhlas uživatelů.
Mezi další a sofistikovanější typy cookies patří first party cookies (vlastní cookies) a third party cookies (cookies třetích stran). To jsou ty „špatné“ a problematické cookies, ke kterým už provozovatel webu musí mít souhlas uživatelů (je ale rozdíl mezi evropskou a českou právní úpravou, a tedy mezi principem opt in a opt out, který bude podrobněji vysvětlen v příštím článku).
First party cookies
First party cookies jsou čitelné pouze pro internetovou stránku, kterou si prohlížíte. Lze to připodobnit k dětské hře, kdy jako telefon sloužily hrnky spojené šňůrou. Informace jsou vyměňovány pouze mezi dvěma kamarády s hrnkem na uších a nikdo jiný do jejich komunikace nemůže vstoupit. First party cookies jsou vyměňovány pouze mezi Vaším počítačem a webovou stránkou.
Third party cookies
Third party cookies, neboli cookies třetích stran (jedná se o někoho jiného, než je provozovatel webu), sbírají informace o Vašich aktivitách na webu a tyto informace posílají třetím subjektům, které pak třeba přizpůsobí obsah reklam zobrazujících se na boční liště webu, dle Vašeho předchozího chování.
Jinými slovy third party cookies je taková cookies, která je uložena ve Vašem PC webovou stránkou, kterou si právě neprohlížíte (tedy jinou než si prohlížíte). Sbírá o Vás data, aby je později mohla využít, např. právě pro lepší zacílení reklam.
Trvalé a relační cookies
Z pohledu délky uložení na Vašem pevném disku rozlišujeme trvalé a relační cookies (ty jsou odstraněny z počítače ihned po ukončení aplikace nebo prohlížeče).
Souhlas s používáním cookies je stále trochu otazníkem
Je souhlas s používáním cookies skutečně povinný? Jaká je právní úprava používání cookies? Proč je rozdíl mezi evropskou a českou legislativní úpravou? A existuje vůbec správné řešení? Jsou tedy odlišné požadavky na české úrovni a evropské úrovni? Na tyto otázky si odpovíme v části druhé série článků o zpracování a používání cookies.
POKRAČOVÁNÍ: Musí provozovatel českého webu získat souhlas s cookies? Část 2