Tento informační text se týká změn přístupu ke cookies v České republice.
(a všech obdobných technologií, např. pixely, web beacons apod.).
Změna se týká souhlasu s využíváním cookies z principu OPT-OUT na princip OPT-IN.
Základní premisou změny je, že cookies mohou být užity a ukládány na zařízení uživatele webu jen na základě jeho výslovného souhlasu. Nadále nesmí být do zařízení uživatele uloženo nic, aniž by informovaně s takovým krokem souhlasil.
Výjimky jsou:
i) technický přenos dat, nebo
ii) nezbytnost pro řádné poskytnutí služby
Zároveň je vždy nutné myslet na to, že cookies mohou nést data, která jsou osobními údaji, případně být sama o sobě osobními údaji, kdy vše ještě musí být zároveň hodnoceno ve vztahu k GDPR. Níže v tabulkách jsou vidět rozdíly mezi současnou úpravou a úpravou účinnou od následujícího roku.
Dosavadní úprava
Zákon o elektronických komunikacích
GDPR
Technický přenos dat
Výjimka dle § 89 odst. 3 ZEK
Oprávněný zájem / plnění smlouvy
Poskytování služby
(objednávkový proces)
Výjimka dle § 89 odst. 3 ZEK
Oprávněný zájem / plnění smlouvy
Analytika
(nedochází-li ke sdílení dat)
Opt-out
Oprávněný zájem
Cílená reklama a další zpracování
Opt-out
Souhlas
Nová úprava
Zákon o elektronických komunikacích
GDPR
Technický přenos dat
Výjimka dle § 89 odst. 3 ZEK
Oprávněný zájem / plnění smlouvy
Poskytování služby
(objednávkový proces)
Výjimka dle § 89 odst. 3 ZEK
Oprávněný zájem / plnění smlouvy
Analytika
(nedochází-li ke sdílení dat)
Souhlas
Oprávněný zájem
Cílená reklama a další zpracování
Souhlas
Souhlas
Jak má souhlas vypadat?
Souhlas dle nové úpravy má mít stejné parametry jako souhlas dle GDPR, tedy musí být:
- Svobodný – souhlas nesmí být na nic vázán, respektive použití služby nesmí být podmíněno souhlasem, žádný cookie wall
- Konkrétní – souhlas se musí vztahovat ke konkrétnímu účelu a musí být určitý
- Informovaný – souhlas musí být učiněn na základě informací, které musí být uživateli předem poskytnuty
- Aktivní – souhlas musí být učiněn aktivním jednáním uživatele, žádná předzaškrtnutá políčka, page scrolling apod.
Souhlas a informace mohou být sbírány, resp. poskytnuty ve vrstvách v rámci cookie lišty nebo nějakého overlay. Nicméně, v první vrstvě musí být minimálně základní informace a identifikace společnosti, jako poskytovatele služby a shrnutí účelů, za kterými jsou cookies užívány a linky na přesné informace. V první vrstvě by měl být generální souhlas a tlačítko k úpravě nastavení. V rámci nastavení pak možnost si zvolit jednotlivé druhy cookies dle účelu s podrobnějším popisem, případně opět tlačítka „přijmout vše“ a „přijmout vybrané“.
Pro jednoduché weby se jeví jako nejschůdnější volba: povolit pouze nutné technické cookies + povolit vše s odkazem na popis funkcí cookies například společnosti Google, pokud je používáte.
Jaké cookies patří do které skupiny?
Zde je novela zákona celkem jednoznačná a s výjimkou cookies potřebných pro poskytnutí služby nebo technické zajištění přenosu dat již nerozlišuje další druhy.
Bez souhlasu je možné užít cookies, které slouží k zabezpečení poskytnutí služby a dále ty, které jsou nutné k jejímu poskytnutí. To je nutné posuzovat objektivně z pohledu uživatele, nikoliv z pohledu podnikatele. Jednoduše řečeno, z pohledu uživatele není třeba, aby měl podnikatel informace o tom, jakým způsobem jsem prohlížel web, na co jsem klikal, z jaké stránky jsem přišel atd.
Do bezsouhlasové skupiny tedy možno zařadit zejména:
- Cookies zajišťující bezpečnost, předcházení podvodům a eliminaci chyb
- Cookies zajišťující technické doručení obsahu (či reklamy)
- Cookies zajišťující propojování online aktivity uživatele s offline daty
- Cookies zajišťující identifikaci / propojení zařízení uživatele
- Cookies zajišťující zapamatování si stavu košíku
Souhlas bude dle striktního výkladu nutné mít k užití následujících cookies:
- Veškeré marketingové cookies
- Analytické cookies
- A/B testování
Průnik s GDPR
Jak vyplývá z tabulky, v případě, že jsou v rámci užití cookies zpracovány osobní údaje, je nutné dodržet i pravidla dle GDPR. Je třeba upozornit, že i v případě, že se bude jednat o účel, který v tabulce není podmíněn souhlasem, bude nutné obdržet pro zpracování dat v rámci tohoto účelu o výslovný souhlas, pokud bude v rámci zpracování docházet k přenosu dat do USA nebo Kanady (nebo jiné země, která negarantuje srovnatelná práva subjektů údajů).
Tyto změny nespadají pod přechodná ustanovení. Kontrolu jejich plnění provádí přímo Úřad na ochranu osobních údajů, nikoliv ČTÚ. Je tedy třeba změny sběru souhlasů s ukládáním cookies provést bez zbytečných odkladů.