Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání.
Souhlas s využíváním cookies může provozovatel webu i po účinnosti GDPR od uživatele získat prostřednictvím nastavení jeho prohlížeče. Ve svém doporučení pro provozovatele online služeb to uvádí Úřad pro ochranu osobních údajů (ÚOOÚ).
Používání „cookie lišt“ tak v Česku nadále nebude povinné (aspoň po přechodnou dobu, než vstoupí v platnost nové ePrivacy nařízení – od kterého se očekává zpřísnění regulace).
TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.
Nejsou cookies jako cookies
Pro ukládání tzv. technických cookies (nezbytných pro provoz webu) nebude ani po 25. květnu nutné souhlas získávat (situace tedy v tomto ohledu zůstane stejná jako dnes), upozorňuje úřad:
Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele (interpretační vodítka k určení takových cookies poskytuje WP194).
Pro cookies, které pod tuto definici nespadají a používají se například pro reklamní či marketingové účely, už ale provozovatel webu souhlas uživatele potřebuje. Podle ÚOOÚ ale uživatel souhlas může dát i jen prostým nastavením svého prohlížeče:
Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu.
Ačkoliv cookies identifikují toliko koncové zařízení, používá-li ho více uživatelů, je nutno vycházet z toho, že jsou srozuměni s tím, jak je nastaveno, protože jinak by si ho nastavili jinak. Obdobně na pracovišti může nastavit koncové zařízení zaměstnavatel a zaměstnanec je s tím srozuměn, i když by si třeba přál nastavit ukládání cookies jinak.
To ale neznamená, že by provozovatel neměl uživatele o ukládání cookies vůbec informovat. Právě naopak, uživatel se od něj podle ÚOOÚ musí vždy dozvědět, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje přímo zpřístupněny (platí to i pro ukládání technických cookies). Způsob, jakým má provozovatel uživatele informovat, úřad popisuje takto:
Užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit, protože obtěžují uživatele. Popisu zpracování osobních údajů, včetně cookies, je vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako Cookies. Prostředky informování by měly být vůči uživateli co nejvstřícnější, zejména by informace v souladu s WP259 měly být podány vrstevnatě (granulárně).
Kdy jsou cookies osobní údaje
Při zpracovávání cookies je každopádně potřeba odpovědět si na otázku, jestli při používání cookies dochází ke zpracování osobních údajů, nebo ne, vysvětluje právník Josef Aujezdský z advokátní kanceláře Mašek, Kočí, Aujezdský.
„Konkrétně, zdali cookie nese informace, které jsou schopny identifikovat konkrétní fyzickou osobu či jsou informace z cookie spojovány s informacemi o již identifikované fyzické osobě (kupříkladu když podnikatel sleduje chování uživatele na internetu a vysledované informace následně spojí s uživatelským účtem svého zákazníka). V tomto ohledu je tedy nutné přistupovat spíše skepticky k informacím, jež se často objevují v médiích, že každá činnost související s cookies je zpracováním osobních údajů (a naopak),“ dodává.
„Pokud při nakládání s cookies dochází ke zpracování osobních údajů, platí regulace GDPR v plném rozsahu, včetně požadavku na řádný právní základ takového zpracování (zřejmě souhlas) a splnění informační povinnosti dle čl. 13 GDPR (jejíž obsahové náležitosti jsou poměrně rozsáhlé),“ vysvětluje Aujezdský.
Pokud navíc provozovatel webu osobní údaje z cookies používá ve velkém rozsahu, pro „systematické a rozsáhlé vyhodnocování osobních aspektů“, musí zpracovat posouzení vlivu na ochranu osobních údajů (článek 35 GDPR). V ostatních případech není podle ÚOOÚ posouzení potřeba. A podle ÚOOÚ je tu ještě jedna povinnost:
Podle článku 17 GDPR cookies mazat v krátké lhůtě, tj. nejpozději do 13 měsíců, která je nyní již průmyslovým standardem; lhůty se počítají od posledního využití cookies.
„Pokud při nakládání s cookies nedochází ke zpracování osobních údajů, uplatní se pouze regulace v oblasti tzv. ePrivacy, jejíž nová podoba je v současné době teprve v přípravě. Stávající česká regulace v této oblasti neodpovídá zcela požadavkům Evropské směrnice (opt-in), takže pokud jsou cookie lišty českými obchodníky nyní používány, děje se tak primárně z důvodů soukromoprávních (s ohledem na požadavky společnosti Alphabet Inc., jež provozuje službu Google),“ uzavírá Aujezdský.
Další otázky a odpovědi ke GDPR:
- Co všechno se dá za osobní údaj pokládat?
- Kdy firma potřebuje pověřence pro ochranu osobních údajů?
- Co musíte splnit, když sbíráte e-maily pro posílání newsletteru?
- Jak je to s logováním IP adres na serveru?
- Co všechno musí splnit provozovatel menšího e-shopu?
- Existují minimální požadavky na zabezpečení hesel?
- Co regulace znamená pro provozovatele a klienty cloudových aplikací?
ČLÁNKY DO MAILU