Co je potřeba dodržovat, pokud využívám cookies na svých webových stránkách?
V prvé řadě je třeba si uvědomit, že používání souborů cookie („cookies“), jejichž prostřednictvím provozovatel webových stránek sleduje či usměrňuje chování návštěvníka na webových stránkách, zpravidla představuje zpracování osobních údajů. Z tohoto důvodu je nezbytné jasně vymezit účel cookies z důvodu správného určení právního důvodu jejich zpracování. To je důležité především kvůli rozlišení, zda dochází ke zpracování osobních údajů prostřednictvím „technických cookies“, které jsou nezbytné pro vlastní provoz webových stránek, či zda jde o cookies určené k sledování návštěvnosti, analýze preferencí jejich návštěvníků, např. pro marketingové účely. apod., tedy tzv. „netechnické cookies“, které je možno ukládat do koncových zařízení (a následně k nim přistupovat)pouze na základě souhlasu uživatele tohoto zařízení, jak stanoví zákon o elektronických komunikacích (což bez dalšího nelze zaměňovat se souhlasem se zpracováním osobních údajů podle obecného nařízení ). Uvedením účelu, k němuž jednotlivé cookies slouží, tedy provozovatel stránek současně informuje návštěvníky stránek o tom, které cookies může používat i bez jejich souhlasu a které nikoliv. Informace o účelu je důležitá i z hlediska platnosti uděleného souhlasu, je totiž nezbytné, aby návštěvník stránek věděl, k čemu svůj souhlas uděluje.
Pokud webové stránky využívají pouze technické, a nikoliv netechnické cookies, není třeba na tyto stránky zavádět tzv. „cookie lištu“ (aplikace, která obsahuje informace o používaných cookies a umožňuje udělení či odmítnutí souhlasu), je však stále nutné splnit informační povinnost vůči subjektům osobních údajů (umístěním odkazu s dokumentem obsahujícím předepsané informace na viditelné místo webových stránek). Vzhledem k tomu, že zpracování cookies je zpravidla zpracováním osobních údajů, mají návštěvníci webových stránek, které využívají cookies (ať už technické či netechnické), právo na informace o zpracování osobních údajů, obdobně jako všechny subjekty údajů, jejichž osobní údaje jsou zpracovávány . Konkrétně jde o zřetelné vymezení správce osobních údajů získávaných prostřednictvím cookies, účel a právní důvod pro použití cookies, případné oprávněné zájmy, příjemce osobních údajů, úmysl předávat osobní údaje do třetí země nebo mezinárodní organizaci a kontaktní údaje pověřence pro ochranu osobních údajů. Dále je návštěvníkům webových stránek jakožto subjektům údajů třeba sdělit dobu uložení osobních údajů, informovat je o právech na přístup, opravu, výmaz, přenositelnost a vznesení námitky proti zpracování, o možnosti kdykoli odvolat souhlas a podat stížnost u dozorového úřadu. Též je třeba uvést, zda je poskytování osobních údajů zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda dochází k automatizovanému rozhodování, včetně profilování. Tuto informační povinnost je potřeba plnit přístupným a srozumitelným způsobem za použití jednoduchých jazykových prostředků. Požadavek přístupného a srozumitelného způsobu tedy nelze považovat za splněný, pokud se k informacím musí návštěvník dostávat složitě „proklikáváním“ přes řadu stránek, nebo pokud na webových stránkách v českém jazyce (tedy určených pro česky mluvící návštěvníky) není informace o zpracování osobních údajů prostřednictvím cookies uveřejněna rovněž v českém jazyce.
Pozornost je třeba věnovat i otázce doby, po kterou jednotlivé cookies fungují, tedy po jak dlouhou dobu budou plnit svoji roli. Rovněž o době tohoto zpracování osobních údajů musí být návštěvníci stránek informováni. Doba zpracování osobních údajů přitom musí být nastavena s ohledem na zásadu omezení uložení (cookies tedy nesmí být nastaveny na dobu delší, než jaká je nezbytná pro účely zpracování).
Lišta pro cookies, k nimž je nutný souhlas s uložením
V rámci tzv. „cookie lišty“ je třeba umístit tlačítko pro nesouhlas s netechnickými soubory cookies tak, aby byl případný souhlas udělován bez nátlaku a návštěvník stránek nebyl při své volbě ovlivňován (mělo by být možno souhlas stejně jednoduše neudělit jako udělit). Nastavení cookie lišty splňující tuto podmínku je umístění tlačítek pro udělení souhlasu a pro nesouhlas s netechnickými cookies do stejné vrstvy cookie lišty a jako příklad dobré praxe lze uvést umístění tlačítka pro nesouhlas s netechnickými cookies do první vrstvy cookie lišty (na roveň udělení souhlasu a ve srovnatelném vizuálním provedení).
Cookie lišta by měla mít vhodný design z hlediska čitelnosti a dostupnosti obsahu webových stránek (především dokumentů týkajících se informací povinně sdělovaných subjektům údajů a plnění jejich práv). Cookie lišta nesmí bránit v interakci s webovou stránkou ani v případě, kdy návštěvník stránek ještě nezvolil žádnou z možností ohledně souhlasu s cookies. Pokud je lišta umístěna ve střední části okna internetového prohlížeče, měla by tedy obsahovat prvek pro snadné uzavření lišty bez volby konkrétní odpovědi. Netechnické cookies se mohou aktivovat až po udělení souhlasu. Pokud subjekt údajů aktivně neudělil svůj souhlas s cookies (tedy pokud buď zvolil možnost „nesouhlasit“, nebo pokud zavřel lištu kliknutím na k tomu určené tlačítko, případně pokud „neudělal nic“ – tedy pokud na cookie lištu nijak nereagoval) je nezbytné ponechat netechnické cookies deaktivované.
Technické cookies mohou být bez souhlasu zpracovávány pouze pro účely nezbytné pro vlastní provoz stránek.
Tyto stanovené podmínky platí i pro další formy ukládání dat v technických zařízeních návštěvníků stránek (technologie podobné cookies jako objekty v místním úložišti, místně sdílené objekty aj.), včetně digitálních otisků prohlížečů (tzv. fingerprinting).
Musím mít za všech okolností cookies lištu?
Ne. Pokud užíváte pouze technická cookies, nemusíte mít cookies lištu. Jestliže však v rámci technických cookies dochází ke zpracování osobních údajů, musí být informační povinnost plněna jiným, vhodným způsobem, přístupným na webových stránkách, na kterých k takovému zpracování dochází.
Musím získat souhlas uživatele s ukládáním všech cookies?
Ne. Souhlas není vyžadován v případě technických cookies. Je však třeba si uvědomit, že i prostřednictvím technických cookies zpravidla dochází ke zpracování osobních údajů. Pokud jsou využity za účelem zajištění základního fungování webu, není třeba souhlas k uložení cookies. Zpracování těchto údajů k jinému účelu však musí probíhat v souladu s obecným nařízením (GDPR) .
Jaký je rozdíl mezi udělením souhlasu podle zákona o elektronických komunikacích a souhlasem podle obecného nařízení? Je třeba získávat dva samostatné souhlasy?
Zákon o elektronických komunikacích stanoví, že pro využití souborů cookies a podobných technologií je nutné předem získat prokazatelný souhlas uživatelů internetových stránek. Výjimku tvoří pouze tzv. technické cookies. Získaný souhlas tedy umožňuje využití netechnických cookies, neřeší však zpracování osobních údajů, ke kterému prostřednictvím cookies dochází. Souhlasem je pouze umožněno správci ukládání cookies do zařízení koncového uživatele. Pro zpracování osobních údajů prostřednictvím cookies třeba disponovat právním titulem podle obecného nařízení.
Souhlas podle obecného nařízení je jeden ze šesti právních titulů, na jejichž základě je možné uskutečnit zpracování osobních údajů. Každé zpracování osobních údajů (a tedy i prostřednictvím cookies) musí být založeno na jednom z těchto právních základů. Zpracování skrze cookies nemusí být nezbytně založeno na právním titulu souhlasu.
V případech, kdy je na internetových stránkách využito netechnických cookies určených
ke zpracování osobních údajů na základě právního titulu souhlasu, je možné získávat tyto souhlasy zároveň, pokud dostojí všem nárokům, které jsou na souhlas kladeny.
Jaké jsou podmínky udělení souhlasu podle obecného nařízení?
Uvedený souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Subjekt údajů musí mít jednoduchou možnost souhlas neudělit, aniž by to pro něho znamenalo újmu (např. nedostupnost obsahu webových stránek). Současně musí být subjektu údajů poskytnuty dostatečné informace o účelu zpracování, pro který jsou osobní údaje určeny (blíže k tomu v Pokynech WP29 k transparentnosti , str. 9 příklady dobré praxe), kdo je bude zpracovávat, jak dlouho a jestli budou údaje předávány dalším subjektům či do třetích zemí. Udělení…
