Sušenkové šílenství aneb cookies lišta v roce 2022

Evropská směrnice o soukromí a elektronických komunikací stanovuje, že provozovatelé webových stránek musí získat od návštěvníků svých stránek souhlas ke zpracování cookies. Výjimku mají tzv. technické cookies, které jsou určené k tomu, aby stránky správně fungovaly. Jedná se o tzv. princip opt-in – dokud neudělím jako uživatel webové stránky výslovný souhlas, provozovatel ukládat cookies nemůže. V českém zákoně o elektronických komunikacích nebyl požadavek na souhlas zcela přesně formulován, a tak se postupovalo principem opt-out. To znamená, že pokud cookies jako uživatel stránky výslovně neodmítnu, provozovatel je může bez mého souhlasu ukládat a s daty pracovat. Od 1. 1. 2022 však došlo novelou zákona o elektronických komunikacích ke změně a už i dle českého zákona je nutné povinně dodržovat princip opt-in, tedy získat k ukládání cookies výslovný souhlas návštěvníka webové stránky.

Jak by měla cookies lišta se souhlasem vypadat? Český zákon ani evropská směrnice nám nedávají přesný návod, jak by cookies lišta, prostřednictvím které se souhlas uděluje, měla po vizuální stránce vypadat. Pokyny EDPB č. 05/2020[1], ve kterých jsou popsány požadavky na souhlas, a doporučení Úřadu pro ochranu osobních údajů (ÚOOÚ) nám dávají vodítka, jak postupovat a vše správně nastavit.

Souhlas musí být informovaný. Uživatelům webových stránek musí být poskytnuty informace o tom, kdo bude cookies zpracovávat, v jakém rozsahu, za jakým účelem, komu budou předávány, zda budou předávány do třetích zemí, po jakou dobu budou zpracovávány atd. Je tak potřeba zvážit, zejména s ohledem na množství cookies a účelu jejich užití, zda všechny informace uvést do cookies lišty, nebo vytvořit samostatný dokument (doporučujeme), na který bude v cookies liště odkazováno. V každém případě by informace měly být přehledné a srozumitelné pro běžného uživatele.

Souhlas musí jít jednoduše a kdykoliv odvolat. Základní pravidlo je takové, že odvolání souhlasu musí být stejně jednoduché jako jeho udělení. Ideální je tedy mít na webových stránkách tlačítko např. „Nastavení cookies“, díky kterému lze souhlas odvolat, případně své volby pro jednotlivé cookies upravit. Zcela jistě by uvedené pravidlo nebylo splněno, pokud by uživatel webové stránky musel provozovateli psát e-mail, ve kterém by souhlas odvolal, nebo ho musel kontaktovat telefonicky. Otázkou je, zda musí být na úvodní cookies liště tlačítko „Odmítnout vše“ nebo je možné toto tlačítko umístit až v nastavení. ÚOOÚ k tomuto uvádí, že „aby měl subjekt údajů možnost svobodné volby, mělo by být odmítnutí souhlasu stejně jednoduché jako jeho udělení. Ideálně by tedy tlačítko odmítnutí mělo být na stejné úrovni jako tlačítko souhlasu“.[2] I když mnozí (i velcí) provozovatelé webových stánkách na úvodní cookies liště tlačítko na odmítnutí souhlasu nemají, s ohledem na vyjádření ÚOOÚ lze jen doporučit ho zde umístit. Současně je potřeba mít na paměti, že pokud uživatel webové stránky souhlas neudělí, nesmí mu jeho volba narušit využívání webové stránky. V případě, že uživatel cookies lištu zavře, aniž by se vyjádřil, zda souhlas uděluje či nikoliv, nelze setrvání na stránce považovat za udělení souhlasu, neboť souhlas nebyl jednoznačně vyjádřen.

Zákaz předem zaškrtnutých souhlasů. Jak už bylo uvedeno výše, pokud chce provozovatel webových stránek ukládat jiné než technické cookies, potřebuje k tomu aktivní souhlas. Za aktivní souhlas nelze považovat stav, kdy budou tlačítka předem zaškrtnutá políčka. Takový souhlas by nebyl platný.[3]

Závěrem lze všem provozovatelům webových stránek doporučit, aby si v prvním kroku udělali soupis, jaké cookies a podobné technologie na svých webových stránkách užívají, k jakému účelu a zda je opravdu potřebují. Při tvorbě cookies lišty je vhodné se spojit s odborníkem, který text zkontroluje a posoudí s ohledem na aktuální praxi. Stav legislativy a výkladová stanoviska a doporučení příslušných orgánů je potřeba pravidelně kontrolovat a cookies lištu průběžně přizpůsobovat.