Úřad pro ochranu osobních údajů

Souhlas se soubory cookies, udělený prostřednictvím tzv. cookie lišty

 

Co je potřeba dodržovat, pokud využívám cookies na svých webových stránkách?

 

V prvé řadě je třeba si uvědomit, že používání souborů cookie („cookies“), jejichž prostřednictvím provozovatel webových stránek sleduje či usměrňuje chování návštěvníka na webových stránkách, zpravidla představuje zpracování osobních údajů. Z tohoto důvodu je nezbytné jasně vymezit účel cookies z důvodu správného určení právního důvodu jejich zpracování. To je důležité především kvůli rozlišení, zda dochází ke zpracování osobních údajů prostřednictvím „technických cookies“, které jsou nezbytné pro vlastní provoz webových stránek, či zda jde o cookies určené k sledování návštěvnosti, analýze preferencí jejich návštěvníků, např. pro marketingové účely. apod., tedy tzv. „netechnické cookies“, které je možno ukládat do koncových zařízení (a následně k nim přistupovat)pouze na základě souhlasu uživatele tohoto zařízení, jak stanoví zákon o elektronických komunikacích (což bez dalšího nelze zaměňovat se souhlasem se zpracováním osobních údajů podle obecného nařízení ). Uvedením účelu, k němuž jednotlivé cookies slouží, tedy provozovatel stránek současně informuje návštěvníky stránek o tom, které cookies může používat i bez jejich souhlasu a které nikoliv.  Informace o účelu je důležitá i z hlediska platnosti uděleného souhlasu, je totiž nezbytné, aby návštěvník stránek věděl, k čemu svůj souhlas uděluje.

Pokud webové stránky využívají pouze technické, a nikoliv netechnické cookies, není třeba na tyto stránky zavádět tzv. „cookie lištu“ (aplikace, která obsahuje informace o používaných cookies a umožňuje udělení či odmítnutí souhlasu), je však stále nutné splnit informační povinnost vůči subjektům osobních údajů (umístěním odkazu s dokumentem obsahujícím předepsané informace na viditelné místo webových stránek). Vzhledem k tomu, že zpracování cookies je zpravidla zpracováním osobních údajů, mají návštěvníci webových stránek, které využívají cookies (ať už technické či netechnické), právo na informace o zpracování osobních údajů, obdobně jako všechny subjekty údajů, jejichž osobní údaje jsou zpracovávány . Konkrétně jde o zřetelné vymezení správce osobních údajů získávaných prostřednictvím cookies, účel a právní důvod pro použití cookies, případné oprávněné zájmy, příjemce osobních údajů, úmysl předávat osobní údaje do třetí země nebo mezinárodní organizaci a kontaktní údaje pověřence pro ochranu osobních údajů. Dále je návštěvníkům webových stránek jakožto subjektům údajů třeba sdělit dobu uložení osobních údajů, informovat je o právech na přístup, opravu, výmaz, přenositelnost a vznesení námitky proti zpracování, o možnosti kdykoli odvolat souhlas a podat stížnost u dozorového úřadu. Též je třeba uvést, zda je poskytování osobních údajů zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda dochází k automatizovanému rozhodování, včetně profilování. Tuto informační povinnost je potřeba plnit přístupným a srozumitelným způsobem za použití jednoduchých jazykových prostředků. Požadavek přístupného a srozumitelného způsobu tedy nelze považovat za splněný, pokud se k informacím musí návštěvník dostávat složitě „proklikáváním“ přes řadu stránek, nebo pokud na webových stránkách v českém jazyce (tedy určených pro česky mluvící návštěvníky) není informace o zpracování osobních údajů prostřednictvím cookies uveřejněna rovněž v českém jazyce.  

Pozornost je třeba věnovat i otázce doby, po kterou jednotlivé cookies fungují, tedy po jak dlouhou dobu budou plnit svoji roli. Rovněž o době tohoto zpracování osobních údajů musí být návštěvníci stránek informováni. Doba zpracování osobních údajů přitom musí být nastavena s ohledem na zásadu omezení uložení (cookies tedy nesmí být nastaveny na dobu delší, než jaká je nezbytná pro účely zpracování).

Lišta pro cookies, k nimž je nutný souhlas s uložením

V rámci tzv. „cookie lišty“ je třeba umístit tlačítko pro nesouhlas s netechnickými soubory cookies tak, aby byl případný souhlas udělován bez nátlaku a návštěvník stránek nebyl při své volbě ovlivňován (mělo by být možno souhlas stejně jednoduše neudělit jako udělit). Nastavení cookie lišty splňující tuto podmínku je umístění tlačítek pro udělení souhlasu a pro nesouhlas s netechnickými cookies do stejné vrstvy cookie lišty a jako příklad dobré praxe lze uvést umístění tlačítka pro nesouhlas s netechnickými cookies do první vrstvy cookie lišty (na roveň udělení souhlasu a ve srovnatelném vizuálním provedení).

Cookie lišta by měla mít vhodný design z hlediska čitelnosti a dostupnosti obsahu webových stránek (především dokumentů týkajících se informací povinně sdělovaných subjektům údajů a plnění jejich práv). Cookie lišta nesmí bránit v interakci s webovou stránkou ani v případě, kdy návštěvník stránek ještě nezvolil žádnou z možností ohledně souhlasu s cookies. Pokud je lišta umístěna ve střední části okna internetového prohlížeče, měla by tedy obsahovat prvek pro snadné uzavření lišty bez volby konkrétní odpovědi. Netechnické cookies se mohou aktivovat až po udělení souhlasu. Pokud subjekt údajů aktivně neudělil svůj souhlas s cookies (tedy pokud buď zvolil možnost „nesouhlasit“, nebo pokud zavřel lištu kliknutím na k tomu určené tlačítko, případně pokud „neudělal nic“ – tedy pokud na cookie lištu nijak nereagoval) je nezbytné ponechat netechnické cookies deaktivované.

Technické cookies mohou být bez souhlasu zpracovávány pouze pro účely nezbytné pro vlastní provoz stránek.

Tyto stanovené podmínky platí i pro další formy ukládání dat v technických zařízeních návštěvníků stránek (technologie podobné cookies jako objekty v místním úložišti, místně sdílené objekty aj.), včetně digitálních otisků prohlížečů (tzv. fingerprinting).

 

Musím mít za všech okolností cookies lištu?

 

Ne. Pokud užíváte pouze technická cookies, nemusíte mít cookies lištu. Jestliže však v rámci technických cookies dochází ke zpracování osobních údajů, musí být informační povinnost plněna jiným, vhodným způsobem, přístupným na webových stránkách, na kterých k takovému zpracování dochází.

Musím získat souhlas uživatele s ukládáním všech cookies?

Ne. Souhlas není vyžadován v případě technických cookies. Je však třeba si uvědomit, že i prostřednictvím technických cookies zpravidla dochází ke zpracování osobních údajů. Pokud jsou využity za účelem zajištění základního fungování webu, není třeba souhlas k uložení cookies. Zpracování těchto údajů k jinému účelu však musí probíhat v souladu s obecným nařízením (GDPR) .

 

Jaký je rozdíl mezi udělením souhlasu podle zákona o elektronických komunikacích a souhlasem podle obecného nařízení? Je třeba získávat dva samostatné souhlasy?

 

Zákon o elektronických komunikacích stanoví, že pro využití souborů cookies a podobných technologií je nutné předem získat prokazatelný souhlas uživatelů internetových stránek. Výjimku tvoří pouze tzv. technické cookies. Získaný souhlas tedy umožňuje využití netechnických cookies, neřeší však zpracování osobních údajů, ke kterému prostřednictvím cookies dochází. Souhlasem je pouze umožněno správci ukládání cookies do zařízení koncového uživatele. Pro zpracování osobních údajů prostřednictvím cookies třeba disponovat právním titulem podle obecného nařízení.

 

Souhlas podle obecného nařízení je jeden ze šesti právních titulů, na jejichž základě je možné uskutečnit zpracování osobních údajů. Každé zpracování osobních údajů (a tedy i prostřednictvím cookies) musí být založeno  na jednom z těchto právních základů. Zpracování skrze cookies nemusí být nezbytně založeno na právním titulu souhlasu.

 

V případech, kdy je na internetových stránkách využito netechnických cookies určených
ke zpracování osobních údajů na základě právního titulu souhlasu, je možné získávat tyto souhlasy zároveň, pokud dostojí všem nárokům, které jsou na souhlas kladeny. 

 

Jaké jsou podmínky udělení souhlasu podle obecného nařízení?

Uvedený souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Subjekt údajů musí mít jednoduchou možnost souhlas neudělit, aniž by to pro něho znamenalo újmu (např. nedostupnost obsahu webových stránek). Současně musí být subjektu údajů poskytnuty dostatečné informace o účelu zpracování, pro který jsou osobní údaje určeny (blíže k tomu v  Pokynech WP29 k transparentnosti , str. 9 příklady dobré praxe), kdo je bude zpracovávat, jak dlouho a jestli budou údaje předávány dalším subjektům či do třetích zemí. Udělení souhlasu by pro uživatele nemělo být matoucí ani obtěžující, tzn. uživatel sice může vyjádřit svůj souhlas či nesouhlas s každou jednotlivou cookie, či jednotlivým účelem nebo správcem, avšak má mít i jednoduchou možnost vše najednou odmítnout. Požadavky
na souhlas jsou blíže popsány v  Pokynech Evropského sboru pro ochranu osobních údajů (EDPB) č. 05/2020 . 

 

Je možné udělit souhlas prostřednictvím nastavení prohlížeče?

Ne. Správce osobních údajů totiž musí být schopen prokázat, že mu uživatel souhlas k danému zpracování (k jednotlivým účelům) udělil. V případě udělení souhlasu je proto třeba aktivní činnost uživatele (např. kliknutí na tlačítko souhlasu), předem nastavený souhlas v prohlížeči tuto podmínku nesplňuje. Uživatel musí mít možnost v prohlížeči udělit informovaný souhlas pro jednotlivé účely jednotlivým správcům.

 

Jakým způsobem informovat uživatele o cookies při získávání souhlasu?

Poskytované informace musí být srozumitelné pro běžného uživatele a přehledné. Struktura informací se bude lišit podle množství uložených cookies. Jinak bude vypadat v případě uložení jedné cookie, kde nebude docházet k předávání údajů dalším subjektům a jinak při ukládání desítek cookies, kde bude docházet ke zpracování údajů řadou dalších subjektů. V případě obsáhlejší informace je vhodné ji pro větší přehlednost poskytovat strukturovaně.

 

Musím umožnit uživateli udělený souhlas odvolat?

Ano. Souhlas se zpracováním osobních údajů může subjekt údajů kdykoli odvolat, přičemž odvolání souhlasu musí být stejně snadné jako jeho udělení. V případě udělení souhlasu prostřednictvím cookie lišty nelze akceptovat, aby odvolání souhlasu bylo možné např. pouze telefonicky. Ideálně by tedy na internetových stránkách měly být snadno dostupné tlačítko
či odkaz, pomocí kterých lze souhlas odvolat. 

 

Je možné zpracovávat osobní údaje prostřednictvím cookies na základě oprávněného zájmu?

Ano. Povinnost získat souhlas s použitím (ukládáním a čtením) netechnických cookies totiž provozovatelům webových stránek ukládá zákon o elektronických komunikacích. Toto je potřeba odlišit od následného zpracování osobních údajů (analýza, profilování atd.), které plně podléhá režimu obecného nařízení. Provozovatel webových stránek, který využívá cookies, tedy musí pro následné zpracování údajů stanovit právní titul, kterým v případě cookies může být souhlas subjektu údajů, oprávněný zájem nebo zpracování nezbytné pro splnění smlouvy. Příkladem oprávněného zájmu je zpracování osobních údajů pro účely analytiky první strany (prostřednictvím cookies předmětných webových stránek). Pokud však uživatel neudělí souhlas s ukládáním a čtením netechnických cookies, není provozovatel oprávněn tyto cookies použít a logicky tak nemůže docházet k následnému zpracování osobních údajů tohoto uživatele získaných prostřednictvím cookies.

 

Je možné, aby tlačítko „Přijmout vše“ mělo jinou barvu než „Odmítnout vše“? 

Vzhled a barevnost tlačítek by měly být zvoleny tak, aby měl subjekt údajů možnost se svobodně rozhodnout, zda souhlas udělí či nikoli. Tlačítko „souhlasím“ by tak např. nemělo být výrazně větší či výrazně barevnější než tlačítko „odmítám“. Pokud by tlačítko odmítnutí bylo hůře viditelné nebo identifikovatelné, mohl by jej subjekt údajů přehlédnout a udělený souhlas by nebyl považován za svobodný. Současně by měly být barvy tlačítek zvoleny tak, aby respektovaly obecně přijímaný význam těchto barev.

 

Je třeba, aby bylo tlačítko „Odmítnout vše“ vidět na první pohled? Je případně možné umístit jej až do Nastavení?

Aby měl subjekt údajů možnost svobodné volby, musí být odmítnutí souhlasu stejně jednoduché jako jeho udělení, čehož je dosaženo umístěním tlačítka pro udělení souhlasu a pro nesouhlas s netechnickými cookies do stejné vrstvy cookie lišty.

 

Je možné mít v Nastavení předem zaškrtnuté ANO u analytických a marketingových cookies? 

Předem zaškrtnutá políčka nelze považovat za souhlas v souladu s obecným nařízením, což vyplývá z recitálu 32. Ke stejnému závěru dospěl i Soudní dvůr EU ve svém rozhodnutí ve věci  Planet49 GmbH (C 673/17) .

 

Je potřeba informovat o všech jednotlivých cookies, které uživatel přijímá? Kde případně má být výpis umístěn?

Výpis jednotlivých cookies včetně jejich účelu lze v kontextu zásad a povinností plynoucích z obecného nařízení určitě doporučit. Umístění této informace je potřeba zvážit s ohledem na množství cookies, aby poskytované informace byly přehledné a zároveň snadno dostupné. Informace tedy může být přímo ve strukturované cookies liště, např. po rozkliknutí „více informací“ nebo zde může být odkaz na dokument obsahující informace o cookies. 

 

Mohu před udělením souhlasu s cookies bránit zákazníkovi v použití stránek? 

Ne. Z recitálu 32 obecného nařízení vyplývá, že má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, nesmí tato žádost narušit využívání služby.

V bodě 39  Pokynů EDPB č. 05/2020  je uvedeno, že aby byl souhlas poskytnut svobodně, nesmí být přístup ke službám a funkcím podmíněn souhlasem uživatele s uchováváním informací nebo získáním přístupu k již uloženým informacím v koncovém zařízení uživatele (tzv. cookie walls).

 

Pokud uživatel cookie lištu zavře, mohu to považovat za souhlas?

Ne. Uživatel musí svůj souhlas jednoznačně vyjádřit. Je-li možnost lištu zavřít, aniž by uživatel vyjádřil, zda souhlas uděluje či nikoli, nelze její zavření a následné setrvání na internetových stránkách považovat za souhlas. Stejně tak v případě „prohlížení“ webových stránek bez jakékoli interakce s cookie lištou nelze cookies do prohlížeče uživatele uložit (kromě technických). Vždy je nutné nejprve získat souhlas a teprve následně mohou být cookies uloženy.

 

Jak dlouho je možné uchovávat souhlas s ukládáním cookies a kdy lze opětovně žádat o udělení souhlasu v případě jeho předchozího odmítnutí?

Dobu, po kterou je platně udělen souhlas se zpracováním osobních údajů prostřednictvím cookies, i dobu pro opětovné zobrazení cookie lišty v případě odmítnutí udělit souhlas, musí stanovit správce s ohledem na účel, ke kterému jsou osobní údaje zpracovávány, a současně s ohledem na očekávání subjektů údajů. Opětovné zobrazování cookie lišty by nemělo narušovat činnosti uživatele při používání webové stránky, ať už souhlas udělil či odmítl udělit. 

Obecně lze za přiměřenou dobu, na kterou byl souhlas s využíváním cookies udělen, považovat 12 měsíců. V případě, že uživatel odmítl souhlas udělit, nemělo by být jeho udělení znovu vyžadováno alespoň 6 měsíců od posledního zobrazení cookie lišty. Tato doba může být kratší pokud:

• se významně změnila jedna nebo více okolností zpracování,
• provozovatel není schopen sledovat předchozí souhlas/nesouhlas (např. uživatel smazal cookies uložené ve svém zařízení).

Za významnou změnu zpracování lze považovat zcela nové nastavení cookie lišty a/nebo účelů zpracování, nebo takovou změnu, u které lze předpokládat, že uživatel, který odmítl udělit souhlas, by jej nově udělit mohl (např. výrazné omezení počtu subjektů – správců a zpracovatelů; nebo např. u analytických cookies dojde ke změně zpracovatele a osobní údaje již nebudou předávány mimo EU). Jelikož souhlas se zpracováním osobních údajů prostřednictvím cookies je udělován ke konkrétnímu účelu a určeným subjektům (správcům), nelze považovat za významnou změnu zpracování změnu jednotlivých cookies. V této souvislosti je třeba upozornit na to, že dojde-li k významné změně zpracování, která by měla vliv i na uživatele, kteří dříve souhlas se zpracováním osobních údajů udělili, bude nezbytné znovu požádat o udělení souhlasu s tímto novým zpracováním i tyto uživatele.