Analytika, remarketing. Bez nich si dnes podnikání umí představit snad málokdo.
O to větší frustraci přináší nestabilita právní praxe kolem cookies.
Psal se rok 2018.
25. května začalo být účinné nařízení GDPR. Spoustu nejasných pojmů a výkladů, kolem kterých bylo příliš „možná, snad a asi“ měla utříbit až praxe. Spolu s GDPR mělo jít do světa i tzv. ePrivacy nařízení – zaměřující se hlavně na digitální svět. Mimo jiné oblast cookies.
Návrh tohoto předpisu a jeho řešení cookies vycházelo z myšlenky, že cookies lišty, které měly vést k vybírání dobrovolných aktivních souhlasů, vlastně až tak nefungují. Pamatujete si snad, kdy jste zaškrtli cookies lištu vědomě, dobrovolně a ne proto, že vám na webu jednoduše překážela?
Návrh tedy počítal s tím, že se povinnost „spravovat“ cookies přenese na prohlížeče. Uživatelům by prohlížeč jednou za čas připomněl nastavení cookies a požádal je o jejich aktivní předvolbu. Podle ní by pak cookies na jednotlivých webech (ne)fungovaly.
ePrivacy ale ke dni účinnosti GDPR zůstalo ležet v EU celkem nehnutě.
A tak ve snaze vnést trochu světla, zveřejnil český Úřad pro ochranu osobních údajů pár dnů před účinností GDPR následující stanovisko:
Souhlas s použitím cookies lze dovodit z nastavení prohlížeče. V dokumentu na webu ale musíte řádně informovat jaké cookies, s jakou expirací a za jakým účelem využíváte a návštěvníky poučit, jak jejich trackování pomocí cookies vypnout. Cookies lišty Úřad nevyžadoval a na kontrolách se zaměřil hlavně na správně sestavený a nasazený dokument.
V roce 2020 se Evropská unie rozhodla aktualizovat některá stanoviska a doporučení. Mimo jiné se zaměřila na oblast cookies a opakovaně uvedla, že se stále nevybírají souhlasy tak, jak by měly – aktivně a dobrovolně.
Úřad v tichosti reagoval aktualizací na svém webu, kde uvedl, že „Vývojem legislativy v oblasti elektronických komunikací a ustanovením EDPB s jeho následnými stanovisky byl dokument (stanovisko) do velké míry překonán a v současnosti má spíše historickou hodnotu.“ Jinými slovy: naše stanovisko bylo popraveno.
V současné době, zřejmě aby nebylo pochyb, leží v Poslanecké sněmovně novela zákona o elektronických komunikacích. Ta (zatím) explicitně stanoví, že všechny cookies, které nejsou nezbytné pro fungování webu nebo poskytování služby (technické cookies), musí uživatel aktivně odsouhlasit.
Tento přístup Úřad zaujímá i při současných kontrolách, kdy argumentace jeho „dnes již historickým stanoviskem“ nestačí. Pro práci s cookies (pokud se nejedná o funkční cookies) je zapotřebí mít – v souladu s GDPR a evropskou praxí - dobrovolný a aktivní souhlas.
Co to znamená?
- cookies lišta nesmí zamezovat vstupu na web, tzn. musím mít možnost cookies odmítnout a přesto web užívat
- nesmí být agresivní, „otravná“ a překážet
- musí být napojená na dokument, ve kterém se dočtu podrobnosti
- měla by mi dát na výběr ohledně typu cookies
Bez správně uděleného souhlasu, který uděluji předem nejde cookies začít zpracovávat. Pokud jste větší nebo nadnárodní společnost, zbystřete a funkční cookies lištu nasaďte.
V Evropě i nadále leží návrh ePrivacy nařízení. Začátkem tohoto roku ho Rada EU předložila Evropskému parlamentu a není vyloučeno, že cookies lišty nakonec budou zrušeny. Pokud tedy zvažujete větší investice do vývoje správně fungující cookies lišty podle představ současné úpravy, myslete i na tuto proměnnou. Evropa nám k tomu vzkazuje: very sorry, makáme na tom!
Ohledně světla na konci tunelu bych ale (s ohledem na dosavadní vývoj) byla velmi zdrženlivá.
