Ať se nám to líbí, nebo ne, cookies jsou pro ÚOOÚ stále tématem číslo jedna. Ukázala to i výroční zpráva za rok 2023. Úřad v ní upozorňuje na více i méně známé prohřešky, kterých se správci nejčastěji dopouštějí. Jak se jich vyvarovat?
V minulém čísle jsme se ohlédli za rokem 2023 prostřednictvím výroční zprávy ÚOOÚ. Tentokrát se detailněji podíváme na některé poznatky, které tato zpráva přináší. Jak bylo zmíněno, ÚOOÚ se velmi intenzivně věnuje problematice cookies, dokonce ji označil přímo za výzvu roku 2023. Pojďme si tedy rozebrat, co v rámci správního trestání ÚOOÚ odhalil a jaká je podle něj dobrá praxe.
Proč právě cookies?
Proč vlastně ÚOOÚ věnuje takovou pozornost cookies? Dle jeho slov jej k tomu vede několik důvodů, z nichž hlavní spočívá ve zvýšené ochraně subjektů údajů, které si mnohdy nejsou vědomy toho, že prostřednictvím cookies souborů dochází ke zpracování osobních údajů. Dle ÚOOÚ většině lidí schází technické povědomí, a jsou tak více zranitelní vůči takovému zpracování osobních údajů, které mnohdy běží na pozadí a u nějž není zcela zřejmé, k čemu budou předmětná data využita a kdo k nim má přístup.
Druhým, možná trochu skrytým důvodem je skutečnost, že ÚOOÚ se této problematice intenzivně věnoval již před 1. 1. 2022, kdy začala platit novela zákona o elektronické komunikaci (která po letech narovnala chybu týkající se opt-in), přičemž právě v období roku 2022 se snažil edukovat, konzultovat, informovat, ale také domlouvat a kárat. Jenže ÚOOÚ už pravděpodobně došla trpělivost s českou podnikatelskou veřejností. Dle jeho slov „množství správců k nápravě přistoupilo nedostatečně, ve výjimečných případech dokonce vůbec, úřad tedy v roce 2023 přistoupil k vydávání rozhodnutí o pokutě, a to většinou v kombinaci s ukládáním konkrétních opatření k odstranění nedostatků, aby bylo dosaženo souladného stavu s obecným nařízením“.
ÚOOÚ ve své výroční zprávě za rok 2023 slibuje, že cookies bude kontrolovat i nadále. Pojďme se tedy podívat na nejčastější pochybení, jež ÚOOÚ identifikoval.
ÚOOÚ došla trpělivost se správci kteří stále nemají cookies v pořádku
Nahrávání cookies souborů bez souhlasu
Nejčastějším porušením zákona bylo dle ÚOOÚ předčasné ukládání cookies, aniž by k tomu dal uživatel souhlas. Pokud tedy ukládáte cookies ještě předtím, než vám k tomu uživatel dá souhlas, shledal by ÚOOÚ porušení zásady zákonnosti dle čl. 5 odst. 1 písm. a) GDPR. A právě toto porušení stálo za uložením dvou pravomocných pokut ve výši 898 tisíc korun a 602 tisíc korun. V těchto případech správci dostatečně nezajistili, aby bez souhlasu uživatele nebyly soubory cookies (kromě „technických a nezbytných“ cookies) ukládány ani čteny.
Nedostatky souhlasu
Zásadní nedostatky v rámci procesu získávání souhlasu tvořily druhou skupinu nejčastějších prohřešků proti předmětné legislativě. Každý souhlas totiž musí být svobodný, konkrétní, informovaný a jednoznačný. Pokud takový není, dle ÚOOÚ se nejedná o platný právní titul a takové užití cookies je v rozporu se zákonem. ÚOOÚ k tomu uvedl, že se setkal například se situací, kdy souhlas neobsahoval „žádné informace o tom, že po jeho udělení dojde i k nahrání cookies souborů třetích stran, pouze obsahoval informace o cookies souborech správce (tedy cookies souborech první strany). Tento souhlas musel být vyhodnocen jako neinformovaný a bylo shledáno porušení čl. 6 odst. 1 obecného nařízení, neboť správci nesvědčil ani žádný jiný titul pro takové zpracování osobních údajů“.
Nedostatečné plnění informační povinnosti
Poskytnutí všech informací je klíčem k zákonnému postupu, přesto právě nedostatečné plnění informační povinnosti tvořilo třetí skupinu nejčastějších prohřešků vůči legislativě. Správci totiž opomíjejí skutečnost, že ÚOOÚ od počátku přikládá povinnostem v čl. 12 a 13 GDPR, dle jeho slov, mimořádný význam. Podle ÚOOÚ „je nutné uvést, že v zásadě poskytnutí všech informací uvedených v čl. 13 je nutno hodnotit jako povinné“.
Kdo by si tedy chtěl vystačit s uvedením informací dle čl. 13 odst. 1 GPDR s tím, že informace v odst. 2 jsou dobrovolné, před ÚOOÚ by asi neobstál. Poměrně zajímavý přístup ÚOOÚ zvolil vůči technickým cookies:„Ostatně i technické cookies soubory zpracovávají osobní údaje a § 89 odst. 3 zákona o elektronických komunikacích zakotvuje výjimku stran technických cookies souborů toliko stran souhlasu s jejich nahráním.“
Co tedy nesmí chybět na vašem webu v zásadách zpracování, v nichž o cookies informujete? ÚOOÚ například trestal za to, když správce o některých jednotlivých cookies neinformoval vůbec, informace nebyly úplné ve smyslu obsahu čl. 13 GDPR nebo nebyly v českém jazyce (což je dle ÚOOÚ v rozporu s čl. 12 odst. 1 GDPR).
Poněkud ambivalentní postup zaujímá ÚOOÚ vůči uvádění informací k jednotlivým cookies. Není podle něj v rozporu s legislativou, pokud informace například o účelu nejsou poskytovány pro jednotlivé cookies, ale pro shluk účelů (typicky rozdělení cookies souborů na statistické či analytické), nicméně „za této situace však musí být informace dostatečně konkrétní, aby byla aplikovatelná na každou cookie, a vždy je nutno trvat na tom, aby správce poskytl seznam všech cookies, jež jsou do koncových zřízení nahrávány“.
Chyba je také spoléhat jen na tzv. cookies consent manager. Ten si totiž někdy neporadí s klasifikací některých cookies a automaticky je zařadí do kategorie (účelu) „neklasifikované“ či „nevyřízeno“. Právě tím se ÚOOÚ v jednom z případů zabýval: „Některé typy cookies lišt (většinou dočasně) nedovedou zařadit určité cookies soubory, které pak jsou zařazovány ručně správcem či až v následující aktualizaci lišty. Je tak vytvořena zvláštní kategorie cookies souborů (zvaná neklasifikované či nezařazené), které obvykle neobsahují žádný popisek (nebo je z něj zřejmé, že jsou teprve ve stádiu klasifikace) a také je většinou nelze samostatně povolit či odmítnout. Tyto cookies soubory tak postrádají ve svém důsledku jakoukoliv informaci o účelu, což je v rozporu s čl. 13 odst. 1 písm. c) obecného nařízení.“
Nemožnost odvolat souhlas
Jedním ze zásadních problémů novely z roku 2022, která „zavedla“ souhlas jako jediný možný právní titul při užívání cookies, byla skutečnost, že mnoho správců nechtělo investovat do většího rozvoje svých nástrojů cookies consent manager, což se projevilo zejména v případě možnosti odvolání souhlasu.
Stále totiž platí, že každý souhlas by mělo být možné odvolat, a to stejně jednoduše, jako je jednoduché jej poskytnout (viz čl. 7 odst. 3 GDPR). ÚOOÚ k tomu uvádí následující: „Praxe ukázala případy, kdy nebylo možné takovým způsobem souhlas odvolat, neboť nebylo dostatečně snadné nalézt na internetové stránce správce nastavení cookies souborů poté, co již uživatel prostřednictvím cookie lišty souhlasil se zpracováním osobních údajů. Jako příklad best practice lze v této souvislosti uvést možnost vyvolání vhodné nabídky prostřednictvím odkazu na patičce webu.“
Pokud tedy vaše lišta neumožňuje minimalizaci a obnovení pro odvolání souhlasu či tato možnost není jiným způsobem implementovaná, narážíte na možnou nezákonnost získaného souhlasu.
Umístění tlačítek pro souhlas a nesouhlas
Tento bod snad už ani není potřeba blíže rozebírat. Na skutečnost, že praxe získávání souhlasu, kdy neudělení souhlasu není stejně snadné jako jeho udělení, je dle ÚOOÚ nezákonná, byli totiž všichni správci dlouhodobě upozorňováni. Opačná možnost dle ÚOOÚ „neoprávněně ztěžuje subjektu údajů možnost odmítnout netechnické cookies soubory, a to tím, že v první vrstvě cookie lišty se zobrazuje pouze tlačítko umožňující udělení souhlasu se zpracováním osobních údajů prostřednictvím netechnických souborů cookies […], aniž by se současně zobrazila možnost netechnické cookies soubory stejně jednoduchým způsobem (tedy jedním krokem) neakceptovat. Zjevná nerovnost možností udělit a odmítnout udělit souhlas se zpracováním osobních údajů, konkrétně situace, kdy je účastníkem řízení jako správcem předkládán souhlas se zpracováním osobních údajů jako primární a v první vrstvě jediná viditelná možnost, a odmítnutí udělení takového souhlasu je v zásadě skryto do vrstvy druhé (přičemž subjekt údajů si ani nemusí být vědom, že v další vrstvě bude mít možnost odmítnout udělit souhlas, neboĺ první vrstva toto nijak neindikuje), porušuje podmínku souhlasu ve smyslu čl. 4 bodu 11 nařízení (EU) 2016/679, tedy podmínku, aby souhlas byl svobodný. Pro tento nedostatek nelze takto udělený souhlas se zpracováním osobních údajů považovat za platný. Na podporu uvedeného závěru lze analogicky použít čl. 7 odst. 3 nařízení (EU) 2016/679, podle kterého odvolat souhlas musí být stejně snadné, jako jej poskytnout, který je nutno obdobně aplikovat i na okamžik, kdy je souhlas udělován. Tedy i nastavení cookie lišty musí být provedeno tak, aby udělení a odmítnutí udělení tohoto souhlasu bylo stejně snadné, což v situaci, kdy je souhlas vyjadřován výběrem příslušné varianty v rámci cookie lišty, vyžaduje zobrazení obou těchto volitelných variant současně, tedy v téže úrovni cookie lišty“.
Doporučení ÚOOÚ
Co se týče doporučení ÚOOÚ v rámci dobré praxe, s radostí můžeme říct, že ÚOOÚ ve své výroční zprávě uvádí tytéž rady, které jste mohli číst na stránkách našeho Zpravodaje ještě před tím, než ÚOOÚ začal rozdávat pokuty. Pokud jste se tedy drželi našich doporučení, směle v tom můžete pokračovat dále.
ÚOOÚ totiž stejně jako my varuje před tzv. ready-made cookies lištami, které v defaultním nastavení nemusejí splňovat všechny požadavky, a upozorňuje, že se nelze schovávat za prohlášení provozovatele nástroje cookies consent manager, že tomu tak je. ÚOOÚ k tomu uvádí, že si je vědom případů, „kdy tyto třetí společnosti dodávají texty týkající se zpracování osobních údajů prostřednictvím internetové stránky, avšak tyto texty jsou obecné, v zásadě nereflektující úpravy provedené např. na žádost provozovatele internetového obchodu, nehledě na (zpravidla nikoliv vysokou) kvalitu takovýchto textů z pohledu požadavků obecného nařízení“.
Jako další doporučení ÚOOÚ uvádí, že v některých případech je nutné uzavírat zpracovatelskou smlouvu – k tomu je třeba doplnit, že existují případy, kdy je dokonce nutné uzavřít dohodu společných správců (za nesplnění této povinnosti Úřad například pokutoval provozovatele reklamních systémů CNIL), ale také informovat o cookies třetích stran.
Co se týče jazykových mutací, ÚOOÚ připomíná, že pokud web cílí i na lidi (klientelu) ze zahraničí, je nutné informaci přeložit do příslušného jazyka. Jako poslední doporučení ÚOOÚ uvádí, že i technické cookies soubory (dle jeho názoru) obsahují jedinečné identifikátory a je nutné na ně pamatovat v rámci informační povinnosti.
Cookies s námi ještě zůstanou
Téma cookie lišt bude pravděpodobně rezonovat do té doby, dokud drtivá většina správců nezačne pravidla implementovat správně – což se dle ÚOOÚ stále neděje. Faktem je, že důvodem nedostatečné implementace pravidel nebývá většinou opomenutí, ale zkrátka a dobře skutečnost, že pokud by správce implementoval všechna opatření tak, jak si dozorový úřad a zákon představuje, přijde o většinu dat, která jsou pro něj cenná vzhledem k jejich informační hodnotě. Nicméně i subjekty údajů mají zkrátka práva, která musejí být chráněna a dodržována. Každý správce by se tedy měl pokusit implementovat maximum všech povinností tak, aby byl účel zákona naplněn.
Věřme, že příští rok ve výroční zprávě budeme číst jen samé pochvaly od ÚOOÚ a cookies již přestanou být díky vzornosti všech správců tak skloňovaným tématem. Můžeme jen doufat, že se pak Úřad nezaměří na oblast kamerových systémů.
Comments