Cookie lišta: Přehled změn a nejasností od 1. 1. 2022

Adam Šilhan   25. 11. 2021

Od 1. 1. 2022 platí nová pravidla pro sběr uživatelských dat. Probrali jsme to s právníky a přinášíme přehledný seznam všech změn i sporných oblastí.

Naposledy aktualizováno na základě doporučení Úřadu na ochranu osobních údajů ke cookie problematice z 6. 3. 2023.

Mění se požadavky na nakládání (nejen) s cookies kvůli novelizaci Zákona o elektronických komunikacích (ZEK). Na internetech se o tématu píše tolik, že jste mu nejspíš neunikli, a tak vynechám úplné základy typu co jsou to vůbec cookies. Zaměřím se na to, co pro vás změna reálně znamená, jak by měla cookie lišta vypadat a co vlastně dál dělat. Pokud vás téma úplně minulo, doporučuji začít s tímto článkem.

Na úvod disclaimer. Jsem sice vystudovaný, ale v podstatě již od školy nepraktikující právník. Článek jsem proto dál konzultoval jak po právní, tak technické stránce. Přesto… než se pustíte do nasazování na váš web, vše proberte s právníkem. Pokud s nějakou částí mého výkladu nesouhlasíte, budu rád za komentář nebo přímou zprávu (třeba na LinkedInu).

Novela zatím nenabyla účinnosti, vycházím tak primárně z předpisů a judikatury EU, se kterou by měla být v souladu i praxe u nás. Na spoustu věcí ale není jednotný právní názor, proto se v těchto případech snažím ukázat více pohledů a jejich případné důsledky.

UPDATE 19. 3. 2023: po poslední aktualizaci doporučení ÚOOÚ je ta nejednota daleko menší, ale stejně na českých internetech najdete spoustu stránek, které je naprosto nereflektují.

Představení aktérů

Úřad na ochranu osobních údajů (ÚOOÚ)
Lokální „data protection authority” (DPA). V teorii poskytuje odborné poradenství ohledně otázek souvisejících s ochranou údajů, vyřizuje podané stížnosti a ukládá pokuty.

Evropský sbor pro ochranu osobních údajů (EDPB)
Skládá se ze zástupců všech DPA a přispívá k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii. Vydává pokyny k vyjasnění sporných bodů.

Pracovní skupina 29 (WP29)
Předchůdce EDPB.

My privacy is none of your business (noyb)
Rakouská nezisková organizace, která prosazuje ochranu osobních údajů napříč celou EU. Úspěšná byla například se svou stížností na Google za „forced consent” v rámci Androidu, v poslední době je velmi aktivní už nejen u největších, ale i středních / větších hráčů v rámci EU.

V čem je shoda

Nejdůležitější změnou je, že od 1. 1. přestává platit současná praxe: „Sbíráme data, remarketujeme návštěvníky a na webu jim o tom říkáme malou lištičkou nebo na schované stránce o nakládání s osobními údaji. Když se to uživatelům nelíbí, tak si to můžou ‚odkliknout‘ a my s tím přestaneme (opt‑out).“ Nově se přechází se na tzv. aktivní souhlas (opt‑in). Znamená to, že dokud návštěvník jednoznačně, svobodně a informovaně nedá souhlas ke konkrétnímu zpracování údajů / uložení cookies, nemůžeme s nimi pracovat.

V rámci EU se o žádnou změnu nejedná. Závazný výklad je to už od roku 2009, kdy se novelizovala původní směrnice ePrivacy. Rozhodnutí Planet49 (na všechny relevantní judikáty a stanoviska odkazuji v závěru článku) ho poté potvrdilo, stejně tak s ním pracují stanoviska WP29 a pokyny EDPB.

V České republice se tato evropská směrnice neimplementovala správně, a vznikl tak rozpor mezi směrnicí s přísnějším režimem a zákonem s mírnějším režimem, kterému oproti opt‑inu dostačoval opt‑out. I kvůli němu nemohl ÚOOÚ nedostatečný sběr souhlasů pokutovat. Tento rozpor nyní konečně řeší novelizace ZEKu a otázka cookies se dostává do souladu s evropským právem.

Dříve se pracovalo s výkladem, že návštěvníkovi stačí ukázat, jaká data o něm chci sbírat, jak s nimi budu pracovat, kdo se k nim dostane a jak dlouho je budu mít uložené. Pokud potom návštěvník dál projížděl stránkou, bralo se, že automaticky souhlasí. To však nově nestačí a opravdu potřebujeme výslovný souhlas. Pokud jej uživatel neposkytne, s neanonymizovanými daty nemůžeme nijak pracovat. Z pohledu dalšího využití tedy nezáleží, jestli návštěvník zpracování odmítne nebo se jen nevyjádří, dopad je pro nás stejný.

Jedinou výjimkou jsou esenciální cookies (nezbytně nutné cookies pro fungování stránky), které jdou ukládat i bez souhlasu. Občas se vyskytnou rozepře, co to vlastně esenciální cookies jsou. Za nepřekonané se považuje stanovisko WP29, které je velmi striktní, uvádí konkrétní typy esenciálních cookies a požaduje, aby neměly delší životnost než je délka návštěvy, maximálně o pár hodin více.

Podoba cookie lišty

Zákon (stejně jako nařízení EU ani pokyny Evropského sboru pro ochranu osobních údajů) nedává přesný návod, jak má zajištění souhlasu (cookie lišta) vypadat po vizuální stránce. Projdeme tedy jednotlivé sporné i nesporné body, o kterých se nyní mluví.

Zákaz využití předem zaškrtnutých políček souhlasu

Zákaz předem zaškrtnutých políček souhlasu je jeden z jasných požadavků, který je explicitně zmiňován v rozhodnutí Planet49 a následně i v pokynech EDPB. Nemůžeme tedy například ukazovat cookie lištu s odmítnutými marketingovými cookies, ale předvybranými analytickými cookies. Zaznamenal jsem, že na tento bod jsou rozdílné právní názory, ale abych řekl pravdu, nemám nejmenší tušení, na čem se zakládají.

ÚOOÚ jej ve svých pokynech již explicitní („Předem zaškrtnutá políčka nelze považovat za souhlas v souladu s obecným nařízením.“).

V současné době se nejčastěji používá design dvouvrstvé lišty (viz dále), proto mi to i z praktického hlediska přijde jako zbytečná debata. 95 % návštěvníků se do druhé vrstvy vůbec nepodívá, zbytečně bych si tak zaškrtáváním nekomplikoval život. I v ideálním světě bude dopad na souhlasy minimální.

Velikost cookie lišty a zákaz „cookie walls”

Cookie lišty se dřív designovaly co nejmenší. Nechtěli jsme lidem „zbytečně” dávat možnost odvolat souhlas, a když si lišty nevšimnou, jedině dobře. U opt‑inu je ale situace naprosto odlišná. Už nám nestačí, když je návštěvníkovi jedno, že s cookies pracujeme – potřebujeme, aby aktivně souhlasil. Pokud si lišty nevšimne a nevyjádří se, dopad je stejný, jako by nám práci s cookies zakázal.

Jak velká tedy lišta může být? Jak dlouho se může zobrazovat poté, co s ní návštěvník neinteraguje? Jak moc může obecně zasahovat do uživatelské zkušenosti? Výklady se dost liší. Pokyny EDPB počítají s tím, že aby si návštěvník žádosti vůbec všiml, může do určité míry i přerušit využívání služby a „narušit jeho flow”.

Autor fotky: Clem Onojeghuo

Na druhou stranu… příliš agresivní lišta pravděpodobně zvýší míru okamžitého opuštění webu i mrzutost zákazníků. Je tedy na zvážení, jak moc chceme zvýšit procento sbíraných dat k remarketingu na úkor zhoršení uživatelské zkušenosti.

Zákonodárce je každopádně explicitní v tom, že je zakázáno omezovat ty, kteří cookies nepovolí. Nemůžeme jim tedy například zamezit vstup na web. Analogicky je možné i z dalších ustanovení dovodit, že pokud má návštěvník pocit, že tomu tak je a že se na stránku bez povolení nedostane, je to též nezákonné (nehledě na reálný stav).

Hloubka lišty

V rámci získání souhlasu musíme návštěvníka celkem široce informovat o tom, jak s jeho daty nakládáme. Prostoru je málo, naštěstí všechno nemusíme popsat hned v první vrstvě. Pokyny EDPB přímo počítají s tím, že tyto informace budou odstupňované, jednotlivé způsoby nakládání s daty / cookies tak klidně zobrazte až ve druhé vrstvě.

Tlačítka, velikost, barva

Podoba tlačítka je poměrně sporným bodem. Jak jsem psal, žádný grafický vzor ani závazný návod neexistují.

Pokyny EDPB u jednoznačnosti souhlasu uvádějí, že návštěvníkovi musí být na první pohled jasné, že svou akcí dává s něčím souhlas. Volte proto tlačítko „Souhlasím” či obdobnou formulaci, ze které je to naprosto zřejmé. Pokud by uživatel celou situaci pouze „bral na vědomí“ a klikal na tlačítko „Rozumím,“ budete mít možná problém.

Dalším bodem je tlačítko k odmítnutí sběru dat. Platí tu ustanovení, že odvolat souhlas musí být stejně jednoduché jako jej dát. Z toho se odvozuje, že to platí i pro odmítnutí. ÚOOÚ k tomu již bez jakýchkoliv pochyb uvádí: „Aby měl subjekt údajů možnost svobodné volby, musí být odmítnutí souhlasu stejně jednoduché jako jeho udělení, čehož je dosaženo umístěním tlačítka pro udělení souhlasu a pro nesouhlas s netechnickými cookies do stejné vrstvy cookie lišty.

Na evropské úrovni se odkazuje na rozhodnutí Soudního dvora v případě Orange Romania, které zneplatnilo souhlas se zpracováním osobních údajů v situaci, kdy se k němu musel navíc vyplnit formulář. Odmítnutí tak nebylo stejně jednoduché. Tento případ se týkal fyzického formuláře a je otázka, zda jej orgány ochrany osobních údajů budou stejným způsobem aplikovat i na on‑line prostředí.

Tímto směrem jde francouzský úřad na ochranu osobních údajům, který ve svých výkladových pokynech ke sběru cookies explicitně uvádí, že pokud používáme tlačítko „přijmout vše”, musí mít návštěvník možnost stejně jednoduše kliknout na „odmítnout vše.”

Z těchto požadavků někteří odvozují, že tlačítka musí mít stejnou velikost, bravu i font. Tento výklad zastává noyb, ÚOOÚ k tomu dodává „Vzhled a barevnost tlačítek by měly být zvoleny tak, aby měl subjekt údajů možnost se svobodně rozhodnout, zda souhlas udělí či nikoli. Tlačítko „souhlasím“ by tak např. nemělo být výrazně větší či výrazně barevnější než tlačítko „odmítám“. Pokud by tlačítko odmítnutí bylo hůře viditelné nebo identifikovatelné, mohl by jej subjekt údajů přehlédnout a udělený souhlas by nebyl považován za svobodný. Současně by měly být barvy tlačítek zvoleny tak, aby respektovaly obecně přijímaný význam těchto barev.“

Křížek u cookie lišty / jiná jednoduchá možnost zavření

Dále se řeší, zda má jít cookie lišta jednoduše zavřít. Osobně si myslím, že návštěvník nemá chráněné právo na to se nerozhodnout. Pokud bude z designu a textace jasné, že pro zmizení lišty nemusí klikat na souhlas, křížky a další možnosti zavření nepovažuji jako nutné.

Granularita uváděných cookies

Návštěvník může celou lištu odsouhlasit jedním tlačítkem „souhlasím se všemi cookies,” zároveň však musí mít možnost rozhodnout, že (ne)souhlasí s něčím konkrétním. Jako naprosté minimum se bere rozdělení podle účelu (sběr dar, využití pro marketing).

Příklad druhé vrstvy cookie lišty s rozdělením na statistické, preferenční a marketingové.

Diskuse se vedou o tom, zda musí mít možnost rozhodovat o každém tagu / cookie zvlášť (tedy že např. souhlasí se sběrem pro Facebook Ads, ale už ne pro Google Ads).

ÚOOÚ k tomu uvádí: „Výpis jednotlivých cookies včetně jejich účelu lze v kontextu zásad a povinností plynoucích z obecného nařízení určitě doporučit. Umístění této informace je potřeba zvážit s ohledem na množství cookies, aby poskytované informace byly přehledné a zároveň snadno dostupné. Informace tedy může být přímo ve strukturované cookies liště, např. po rozkliknutí „více informací“ nebo zde může být odkaz na dokument obsahující informace o cookies.

Jednoduchost odvolání souhlasu

Jedna ze základních zásad v rámci GDPR je, že odvolat souhlas musí být stejně jednoduché jako jej dát. noyb z toho odvozuje, že je nutné, aby se návštěvníkům stále zobrazovala malá lišta s možností zpracování údajů kdykoliv odmítnout.

Mám za to, že podle převažujícího právního názoru stačí, když je v rámci cookie stránky (na kterou je jasně viditelný odkaz v patičce či hlavičce) možnost povypínat jednotlivá cookie / účely sběru dat. Mělo by to jít udělat i hromadně jedním tlačítkem, které nebude složitě schované.

Kdy lištu zobrazovat

Lišta na návštěvníky nemusí vyskočit hned první stránce. Klidně ji zobrazte až po nějaké době, kdy „si s návštěvníkem vytvoříte vztah a získáte jeho důvěru”. Osobně nemám o hloubce vztahu a zvýšení míry souhlasu přehnaná očekávání, ale možná díky tomu nebudeme zbytečně zvyšovat míru okamžitého opuštění. Lidé prostě vyskakující lišty nemají rádi.

Pokud se rozhodnete lištu „zpozdit,“ dejte pozor na to, že před souhlasem prostě data sbírat nemůžeme. Pokyny EDPB jsou v tom poměrně explicitní. Přístup „Sbírám data, ale nepracuji s nimi do doby, než od návštěvníka získám souhlas. Poté si s nimi dělám, co chci.“ minimálně v evropském kontextu neobstojí.

Je tu však opět spousta drobných nuancí. Podle mě například můžeme pracovat s informací, z jakého zdroje k nám návštěvník přišel, protože se to teoreticky týká celé návštěvy webu. Pokud si ale před udělením souhlasu prohlížel tričko X, remarketovat ho nemůžeme. Dotýkáme se zde otázky, zda je tato informace osobní údaj – pokud si ji spojíme např. s objednávkou, tak ano.

Jak dlouho si pamatovat souhlas / nesouhlas

Nejen v Čechách se často využívá oblíbená taktika „otravuji návštěvníka lištou tak dlouho, dokud mi souhlas nedá“.

Ta ale není úpně v souladu s tím, jak je cookie lišta zamýšlena.

S nucením návštěvníka přijmout cookies tímto způsobem se neztotožňuje ani ÚOOÚ. Stránka by si měla pamatovat souhlas i nesouhlas delší dobu, i když úřady na ochranu osobních údajů nejsou tak přísné, aby si souhlas i nesouhlas musely stránky pamatovat stejně dlouho.

Dle ÚOOÚ je to pak: „Obecně lze za přiměřenou dobu, na kterou byl souhlas s využíváním cookies udělen, považovat 12 měsíců. V případě, že uživatel odmítl souhlas udělit, nemělo by být jeho udělení znovu vyžadováno alespoň 6 měsíců od posledního zobrazení cookie lišty. Tato doba může být kratší pokud:

  • se významně změnila jedna nebo více okolností zpracování,
  • provozovatel není schopen sledovat předchozí souhlas/nesouhlas (např. uživatel smazal cookies uložené ve svém zařízení).“

Neschopnost sledovat předchozí souhlas / nesouhlas pak podle mě není technická neschopnost nástroje, jelikož všechny komerčně dostupné toto umí. Proto omluva, že zrovna to naše vlastní vyvinuté řešení to neumí, by spíš neprošla.

Co si z toho odnést

V tom, jak se má cookie lišta chovat a jak má vypadat není naprostá shoda, minimálně nás však novelizace ZEKu vrací do stavu, kde je celá EU od roku 2011. Nepřijde mi tedy rozumné evropskou judikaturu a stanoviska na úrovni EU ignorovat.

Do velké míry je pak na osobním uvážení (a radách právníka), zda budete spíš ctít smysl ochrany osobních údajů, nebo maximalizovat sesbíraná data pro další oslovování a kde si nakreslíte pomyslnou čáru, co vám ještě přijde ok a co už ne.

Tak jako tak doporučuji k 1. 1. v nějaké variantě cookie lištu a celý „cookie consent management” nasadit a průběžně testovat, jaký dopad bude mít na úspěšnost souhlasů změna designu, textace, velikosti tlačítek apod.

Pokud se rozhodnete využít různé „dark patterns”, které návštěvníka šťouchají k bezmyšlenkovitému odklikávání souhlasů, vývoj celé situace raději pozorně sledujte. Zatím u nás nejsou explicitně zakázané a ÚOOÚ za ně nerozdal pokuty, ale už je nebrzdí nesoulad českého a unijního práva. Na odlišný postup bych proto příliš nesázel.

UPDATE 19. 3. 2023: ÚOOÚ už docela jasně řekl, co už je podle něj nepřístupné a ten prostor pro vlastní interpretaci se markentně zúžil. Proto jakékoliv odchylky už čistě na vlastní nebezpečí.

Jak dál postupovat

Ujasněte si, co od cookie lišty vlastně chcete, jak by se měla chovat a jak vypadat. Co dál?

  1. udělejte soupis všech cookies, tagů a pixelů, které se na vašem webu spouští,
  2. kategorizujte je,
  3. vyberte Platformu na sběr souhlasů (CMP), která bude řídit spouštění jednotlivých cookies, tagů a pixelů přes GTM, či jiný tag management,
  4. schvalte si s právníkem podobu lišty, její chování a texty,
  5. nasaďte ji a ověřte, že opravdu neukládá cookies, když nemá a naopak,
  6. udržujte si aktuální přehled (sledujte přidávání nových nástrojů a jejich navázání na CMP) a kontrolujte doporučení / rozhodnutí ÚOOÚ,
  7. dál testujte.

V příštím článku si ukážeme, co vše nová opatření ovlivní na úrovni dat a jak s tím můžeme pracovat. Pokud k tomu máte jakýkoliv dotaz, napište mi jej prosím do komentářů, nebo klidně napřímo na LI.

Odkazy

Judikáty:

Pokyny a stanoviska:

noyb