Názory k článku GDPR last minute: A co cookies? Musí mít weby povinně lištu se souhlasem?

Motáte dohromady hrušky a jablka.

To, že nějaký web ukládá cookies, neznamená, že takto zpracovává osobní data. Například, když se do cookies uloží, že chci tmavé pozadí webu. Teprve až když se za pomoci cookies vytváří něco, co lze považovat za osobní data, tak je nutný souhlas, což se v článku píše.

Přesně takhle to chci, protože pak v mém prohlížeči můžu mít pravidlo, které nastavím jen jednou. Nemusím pak na každé stránce odesílat souhlas s cookies. Jediné místo, kde je možné to hromadně nastavit je ten prohlížeč.

Hurááááá, konečně někdo s mozkem... Nevěřím svým očím.

V jaké podobě informační cookies lišta musí být? Má tam být pouze tlačítko "beru na vědomí" bez daších možností, nebo by na ní mělo být i tlačítko "nesouhlasím", které by funkce pro sběr údajů pro reklamní účely zablokovalo?

Má provozovatel právo odepřít přístup na svůj web uživateli, který nevysloví souhlas či jednoduše "nevezme na vědomí" cookies pro sběr osobních údajů pro marketingové účely? A když "nevezme na vědomí", stále se mohou data sbírat a zpracovávat?

Nevím kde jste přišel na to, že ÚOOÚ přestává 25.května existovat. ÚOOÚ je zřízeno zákonem č.101/2000 Sb., který bude samozřejmě platit i po 25.květnu. Zrušen bude až novým zákonem o zpracování osobních údajů, který právě projednávají poslanci. Jediný efekt je ten, že většina paragrafů, které se v zákoně č.101/2000 Sb. věnují zpracování osobních údajů se neuplatní, protože evropská legislativa má přednost.

Presne tak, cookies môžem predsa globálne zakázať a povolím len domény, kde to chcem a kde to má zmysel. Ak web potrebuje použiť cookie, má si zdetekovať schopnosť zariadenia cookies prijať a uložiť a až v prípade nemožnosti použitia má vyhodiť hlášku v zmysle - ak chcete od nášho webu funkciu XY, povoľte ukladanie (trvalé, pre session) cookies tejto doméne, pre váš prehliadač to spravíte takto… (návod).

Súhlas s použitím cookies cez lištu sa aj tak uloží zas len to tej blbej cookie a ak mám pravidlá nastavené na povolenie cookies pre sedenie (myslím, že v prehliadačoch je to default), hláška o povolení ma bude otravovať znovu a znovu a znovu. Otravné, nesystémové a choré.

1. Pro cookies, které jsou nutné pro zajištění provozu webových stránek není nutno získat souhlas uživatele.
2. Pro cookies, které se používají pro reklamní či marketingové účely, už ale provozovatel webu souhlas uživatele potřebuje.

A teď to přijde:

Podle ÚOOÚ ale uživatel souhlas může dát i jen prostým nastavením svého prohlížeče: "Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu."

Větší blábol jsem dlouho nečetl a nechce se mi věřit, že by to ÚOOÚ takto vydal. Běžný uživatel ve většině netuší, že jde v prohlížeči kolem cookies něco nastavovat. A hlavně, pokud si uživatel nastavuje (nebo vědomě ponechává defaultně) nastavení cookies v prohlížeči, tak to dělá s tím, že ta cookies potřebuje pro běžný korektní běh webových aplikací. Nemá možnost si paušálně oddělit použití cookies pro korektní běh webu a pro sběr osobních údajů. Proto technické nastavení prohlížeče nemůže být absolutně považováno za udělení souhlasu ke zpracování osobních údajů pro marketingové a reklamní účely.

a co session id v url?
a co localstorage v prohlizecich?

to je samozrejme ta nejlepsi varianta

predrecnik si hraje s myslenkovym experimentem, co kdyby se to neudelalo

https://www.youtube.com/watch?v=j4UpBVN-qE8&feature=youtu.be&t=10s

Cookies mám v prohlížeči kompletně zakázané, vzácné výjimky povoluji jen tam, kde jsou z nějakého důvodu nutné s tím, že po ukončení běhu prohlížeče se smažou.

Ale ono to jde! A sice tak, že cookies paušálně zakážete a pro konkrétní weby nastavíte výjimku. A můžete také nastavit to, že uložené cookies se po ukončení běhu prohlížeče ihned smažou.

Takze to shrnme navstevnik je ten kdo pouziva prohlizec! ktery pracuje s cookies!!! No neni jednodusi pouzit prohlizec ktery cookies nezpracovava neodesila atd.? Proste to je jako kdybych chodil s vlastni kamerou ktera mne nataci a nekam odesila a od kazdeho kdo mnou vysilany signal muze prijmout pozadoval potvrzeni ze ma muj souhlas... neni jednodussi takovou kameru nepouzivat? cela vec s cookies je jedna velka fraska, proste kdo nechce byt sledovan at si nastavi prohlizec tak aby nebyl a ne odklikavat na kazde strance zvlast souhlasy... d€mentni toto

LOL :D cookies pro technický provoz webu souhlas nevyžaduje ;-) Cookies s nastavením "nesledovat pro reklamu" se může uložit i bez souhlasu. A nebo, stačí pro momentální relaci, že se nebude do prohlížeče ta cookies cpát a příště se zeptá znova.

>> V cookie samozrejme muze byt ulozen napriklad obsah kosiku => opet se vi kdo, a co si dal do kosiku. Byt by obsah kosiku sam o sobe nemusel byt nijak zajimavy, tak ve spolecnosti IP adresy uz jde o zatracene zajimavy udaj. <<

Se ví? KTO to vie? Ak by to tak aj bolo, že v cookies je celý nákup, vie to len zákazník. Web nie. Teoreticky to takto byť môže, ale prakticky to tak nebýva. V cookies nie je totiž uložený obsah košíku, dokonca ani žiadny užitočný obsah, ale kryptografický odltačok čísla (identifikátor) toho košíku alebo session. Ten údaj pre nikoho iného ako zákazníka a server nemá žiadny význam a ani sa bežne k menu nikto iný nemá ako dostať. Podľa cookie teda nikto okrem webu obsah košíku nevidí. IP adresa z ktorej prichádza na server požiadavka s tým absolútne nesúvisí a z hladiska aplikácie je nepodstatná. Jediný podstatný údaj je ten identifikátor v cookie.

Navyše prevádzkovateľ predsa v konečnom dôsledku musí vedieť a vie, aké položky nákupu sú priradené k osobným udajom, adrese. Nejaká diskusia o tom, čo je v uložené v cookie a z akej IP, je absolútne nezmyselná.

Prípadná farbosleposť - môže byť uložená v samostatnej cookie, nie cez session na serveri. Tak, aby prevádzkovateľ túto informáciu nemal v profile zákazníka. Nepotrebuje to vedieť. IP adresa s tým údajom spojiteľná nieje, pokiaľ túto informáciu aplikácia vyložene a zámerne nespracúva. Nepoznám systém, ktorý by si viedol evidenciu, komu akú cookie uložil, to je nezmysel aby to niekto zámerne robil. navyše, to že si prepnem farby webu neznamená, že som farboslepý alebo mám problém so zrakom. To, že má človek v cookie niečo uložené, nikto nevie, až do momentu, kým sa tým človek sám resp. jeho prehliadač nepreukáže serveru. A aj v momente keď sa tým preukáže, web typicky nerieši KTO to je, akú má IP, ale len to, aké farby má poslať v tejto jednej konkrétnej HTTP požiadavke a po vybavení požiadavky ten to už nikoho nezaujíma.

tady se to furt motá jak vítr v bedně... myslíte že vás nějaké lišty ochrání? vypněte si cookies nebo si je izolujte. ale úředníci chtěli poručit cookies

Pokud odmitnete poskytnout sluzbu na zaklade nesouhlasu se zpracovanim osobnich udaju, porusujete GDPR uplne stejne, jako kdyz ta data zpracovavate bez souhlasu.

Nemuzete tam mit zadne pravidlo a chtit si muzete co chcete, protoze GDPR vyzaduje informovany souhlas => dotycny vam nejdrive musi prokazatelne sdelit, naco ta data chce.

Naopak GPDR naprosto jasne a bydefault predpoklada, ze zadna data nikdo zpracovavat nebude (coz je zcela spravne) a pokud nejaka chce, je to jeho problem, jak si souhlas zajisti. JInach receno, vychozi hodoutou GPRD je nesouhlas, a pripadny souhlas musi dokazovat prave ten, kdo data ma. A toto nelze zmenit ani zadnou vyjimkou, i kdyby se pani poslanci a UOOU na hlavu staveli.

A samozrejme plati, ze pokud potrebujete session cokie, tak na nej nepotrebujete souhlas, pokud mate nastavenu nejakou rozumnou (v tomto pripade rejneme v hodinach) expiraci (coz je zahodno i z bezpecnostnich duvodu). Pokud si na eshopu do cookie ulozite obsah kosiku (mineno pro neprihlasene, prihlasenemu to muzete ulozit do databaze u sebe, stejne musite mit souhlas), je rekneme akceptovatelna expirace par dnu. Ale rozhodne neobhajite identifikacni cookie s expiraci v mesicich ... naprosto bez sance.

BTW: Nevim nic o tom, ze by v nastaveni prohlizece slo nekde rici, ze cookie X ano, ale Y ne.

V obchodě taky vidím co jiní mají v košících, a mnoho lidí se tím i řídí.

Ona vas ale muze pokutovat lamparna z Nemecka nebo odkudkoli z unie. Staci kdyz vas web navstivi jejich obcan a postezuje si. To si take mnozi jeste stale neuvedomili.

Se ví? KTO to vie?

Když se to prsim tě říká, se to prsim tě ví...

Kde lze nastavit, ze session cookie ano, ale cokkie s barvou oci ne? A opet, je to uplne jedno, protoze to neni informovany a dolozitelny souhlas.

Google lištu nevymyslel, len sa (pro forma) prispôsobil EK. Mimochodom, EK má "oficiálne" technické riešenie lišty http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_4

Dávnejšie som to implementoval známemu, ktorý to chcel nasledovne: každý HTTP request ešte pred samotným HTML renderingom webu spraví kontrolu na existenciu povolenia v cookie:

• ak neexistuje uložené povolenie v cookie, zobrazí sa info lišta, reklamný modul sa vôbec nespustí
  očakáva sa odoslanie formulára z lišty s povolením na uloženie cookie a v prípade, že formulár bol odoslaný, uloží sa cookie so súhlasom.
• ak existuje uložené povolenie v cookie:
  • spustí sa modul reklamného systému,
    (umožní tretej strane ukladanie coookies - generujú sa ďalšie http requesty na server reklamného systému), server pošle klientovi nejaký ten reklamný obsah
  • zobrazí sa lišta s možnosťou udelené povolenie odobrať, tlačítkom podobným ako pri udelení súhlasu

  Celej tejto šaškárni by mala predchádzať kontrola, či zariadenie je schopné cookie uložiť a ošetriť prípad kedy nie je. Ak by totiž klient mal podporu cookies v prehlidači vypnutú, je nezmysel snažiť sa mu zobraziť formulár so žiadosťou o súhlas, pretože by nefungoval.

Nebylo by tedy ten internet lepší zakázat?

To jako ze kdyz nekde davaji slevu za poskytnuti souhlasu GDPR tak na selvu mas narok ikdyz jim souhlas nedas? :D tak to potom pozdravuj v lampárně až si půjdeš stěžovat....

To asi nepude, dotyčný usoudil, že lampárna přestává existovat.

Pozdravujte exekutora az vam zabavi par milionu z uctu ... ja se pak budu velmi hlasite smat. Pokud jste gramotny, je to tam napsano doslova a dopismene.

Nejak nedokazu pochopit, ze tu do diskuse prispivaji lide, a je jich zjevne vetsina, kteri nejsou schopni si ten mnou odkazany zakon ani precist. Narozdil od nOZ to ma sotva stovku clanku.

Takze pro zacatek ...

Pro účely tohoto nařízení se rozumí:
„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě

Coz je mnohem sirsi definice, nez jak ji dosud vykladal a neustale vyklada UOOZ. Tudiz presne jak sem zminil vyse, i barva pozadi je takovym udajem.

„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji
Takze ulozeni cookie samozrejme take. Samozrejme je to i napriklad historie nakupu a veskere dalsi udaje - presne do te doby, dokud tyto udaje lze svazat s nejakou konkretni osobou.

A vazne se tesim na to, jak bude nekdo resit ukladani cookie, byt v rezimu "ze zakona" v pripade vzneseni namitky. Velice se tesim na to, jak zajisti, ze se cookie tomu zcela konkretnimu cloveku az do vyreseni nebudou zpracovavat.

Zpracování je zákonné, pouze pokud ...
ubjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
Opravdu by mne zajimalo, jak nekdo udeluje souhlas pro zpracovani ke KONKRETNIM ucelum tim, ze si neprenastavi defaultni nastaveni browseru a neznemozni ukladani cookies uplne. A jeste vice, jak takovy souhlas nekdo doklada.

Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.

Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.
Tady mate tu vasi moznost neco podminovat souhlasem ...

Problem (nejen) cookie je predevsim v tom, ze se pomoci nich (a IP) predavaji ve velkem data tretim stranam - napriklad tomu googlu, coz GDPR zapovida bez informovaneho souhlasu. Jenze ta data se googlu predaji v pripade scriptu pocitadla na 90% webu okamzite kdyz web navstivite. Cookie slouzi jen jako dodatecna identifikace. A to je jedna z veci, ktera bude od 25. nelegalni, pokud tomu dotycny provozovatel webu nema douhlas.

Ale netyce se to pochopitelne jen googlu, tyce se to vsech soucasti webu - pokud mate vlozen script z githubu, je to nelegalni uplne stejne. Dotycny navstevnik totiz projevil vuli navstivit vas web => ziskate jeho IP (to je technikalie = nepotrebujete na to souhlas a nesmite to nijak jinak pouzit), nemate ovsem souhlas na jakakoli data, natoz jejich predavani tretim osobam.

Hypoteticky by se takovy pristup dal obhajit pokud:
1) neexistuje jine technicke reseni (existuje, muzete mit vse lokalne)
2) mate s dotycnym subjektem uzavrenu smlouvu a on se pro vas stane zpracovatelem dat (musel by byt blazen)
3) jste ochoten nesti vsechna rizika s tim souvisejici, protoze zodpovednost za takova data nesete ze 100% prave vy

Apropos, pomerne by mne zajimalo, jakpak se s GDPR vyrovna iinfo, ktere dlouhodbe porusuje i tu nasi 101/2000 zverejnovanim osobnich udaju.

nebo by na ní mělo být i tlačítko "nesouhlasím", které by funkce pro sběr údajů pro reklamní účely zablokovalo?

Hele, hádej jako kam se ten tvůj nesouhlas uloží... Jo aha, do cookies. No, to je tak, když soudruh eurodement v Bruseli myslí, až vymyslí.

Má provozovatel právo odepřít přístup na svůj web uživateli

Ne, pude se nejdřív dovolit k Jájovi a Pájovi.

Soucasti GDPR je, ze rusi pripadne lokalni upravy ochrany osobnich udaju => v nasem pripade prave onu 101/2000. Jednoduse proto, ze ona 101 je s GDPR v rozporu. A protoze i veskere pravomoce UOOU vychazeji prave ze zminene 101, tak za 2 dny nebude mit UOOU pravomoce zadne.

Vazeny, ten web vidi vasi IP, coz je osobni udaj i samo o sobe, a k teto IP vidi informaci ulozenou v cookie, ze jste si napriklad nastavil tmave pozadi. Coz jednak identifikuje osobu, a zadruhe o ni sdeluje nejakou informaci - muzete mit napriklad nastaveno barevne schema pro barvoslepe... a uz se vi ze dotycny, identifikovany danou IP je nejspise barvoslepy. Ze souboru dalsich udaju urcit kde pracujete, co delate atd atd.

V cookie samozrejme muze byt ulozen napriklad obsah kosiku => opet se vi kdo, a co si dal do kosiku. Byt by obsah kosiku sam o sobe nemusel byt nijak zajimavy, tak ve spolecnosti IP adresy uz jde o zatracene zajimavy udaj.

Uvedomte si laskave, ze vubec nejde o nejake jednotlive udaje ulozene v jednotlivych cookies, ale o soubor udaju at uz jsou ziskavany jakkoli. A dokonce konkretni osobu nemusite byt schopen ani identifikovat vy osobne, staci, kdyz to jakymkoli zpusobem lze.

Mimochodem, osobni udaj vam muze kdokoli vlozit do libovolneho pole, treba i do tohoto diskusniho prispevku. Coz vam sice do jiste miry snizuje odpovednost v tom smyslu, ze asi obhajite vyskyt takovych udaju nebot neni ve vasil silach kontrolovat kazdy jeden prispevek, ale nijak vas to nezbavuje povinnosti v pripade upozorneni takove udaje zlikvidovat.

Opet nehorazne blaboleni. GDPR souhlas musi byt prokazatelny a informovany, a v zadnem pripade nemuze byt bydefault stavem. Tzn nejaka konfigurace prohlizece ktera bydefault ukladani cookie umoznuje rozhodne v zadnem pripade neni souhlas v souladu s GDPR.

Jeste vetsi blabol je ta nehoraznost o 13 mesicich ... vazeni, zvlada autor alespon dat odkaz na skutecna fakta? Zjevne nikoli ... http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016R0679

Kdepak je v clanku 17 neco o 13 mesicich? Pokiud dobre vidim, je tam napsano ze data musi byt odstranena bez zbytecneho odkladu, coz se prevazne vyklada jako maximalne do 30 dnu. A i to bude muset potazmo prislusny subjekt umet radne zduvodnit. nadto se to tyce dat, ke kterym dotycny subjet nejaky souhlas (prokazatelny a informovany) mel, ale nikoli dat, ke kterym nikdy zadny souhlas nemel, takova musi odstranovat mnohem rychleji.

Taktez by mne opravdu zajimalo, jak bydefault ukladani cookie splni pozadavky zminenho clanku 13, ktery doslova a dopismene vyzaduje NEJDRIVE informovat dotycneho, jak takove udaje budou pouzivany, a kde pirpadne muze souhlas zrusit.

A dalsi blabol o tom zda cookie jsou nebo nejsou osobnimi udaji zcela pomiji jednoduchy fakt, ze dotycny ma krome toho k dispozici samozrejme IP adresu, takze ac by pripadne cookie samo o sobe osobnim udajem byt nemuselo, tak jelikoz IP osobnim udajem je v kazdem pripade, a cookie pouze rozsiruje soubor udaju, je treba snim jako s osobnim udajem nakladat.

Apropos, to vite ze UOOU prestava 25. existovat? Zrizuje jej totiz zakon 101/2000, ktery prave 25. prestava platit. GDPR sice predpoklada, ze jednotlive staty urci vlastni upravou urad, ktery bude prave GDPR kontrolovat, ale takova uprava tu bude nejdriive za rok. Tzn pripadne spory kolem GDPR budou resit nejspise primo organy EU.

Cookies listy “jsou povinne” jelikoz to chce pan google ne nejaky zakon. A pan google s ohledem na svuj podil ve vyhledavani je dsleko vetsi argument nez nejaky paragraf. Holt pokud nechce kit clovek ban.
Eprivacy taky zadne povinne listy nezavadi. Je to ale jedna z cest jak souhlas ziskat. Ne jedina.

A to už je nějaký hon na čarodějnice. Nechcete-li být viděn, nechoďte po ulici.