top of page

Jaké prohřešky děláte v cookies?

Obrázek autora: Josef BátrlaJosef Bátrla

Organizace NOYB vyvinula automatizovaný systém, který kontroluje nastavení cookies lišt napříč internetem. Jaké prohřešky odhalila? Výslednými stížnostmi se zabývala i speciální pracovní skupina v čele s EDPB. Obstála by vaše lišta před evropskými dozorovými orgány?

Co vás napadne, když se řekne Max Schrems? O tomto pánovi jsme už několikrát na stránkách Zpravodaje psali. Max Schrems může za to, že aktuálně neexistuje žádné rozhodnutí o odpovídající ochraně pro předávání osobních údajů do USA. Na základě jeho tažení proti Facebooku totiž SDEU zrušil jak Safe Harbour, tak i Privacy Shield. V souvislosti s cookies však toto jméno rezonuje ještě o něco více. Organizace NOYB (My Privacy is None of Your Business), kterou Schrems založil, stojí za poměrně zásadním počtem stížností, jež dokonce donutily některé dozorové orgány zasednout k jednomu stolu spolu s EDPB a založit pracovní skupinu („task force“), která měla za úkol se tímto tématem zabývat.


Co bylo záměrem NOYB?

NOYB patří mezi organizace, jejichž cílem je ochrana osobních údajů, respektive upozorňování na její porušování. NOYB vyvinula automatizovaný systém, který skenoval vybrané internetové stránky a kategorizoval zjištěné nedostatky. Následně měli právníci NOYB jednotlivé reporty projít a vytvořit oficiální stížnost na porušení ochrany osobních údajů. Předmětný systém měl původně umožnit vytvoření až 10 tisíc stížností, nakonec jich ale stačilo zhruba 700 v celé EU na to, aby některé dozorové orgány spolu s EDPB (celkem 22) vytvořily pracovní skupinu pro cookies, jejímž úkolem bylo zhodnocení legislativy, která se týká cookies, napříč členskými státy EU.


Pracovní skupina

Během května 2021 až srpna 2022 obdrželo celkem 18 dozorových orgánů napříč EU okolo 700 stížností. Problematika cookies se sice netýká nutně GDPR, ale především směrnice ePrivacy (neuplatňuje se tedy nutně postup v rámci „one stop shop“), počet stížností byl však natolik alarmující, že se dotčené orgány rozhodly vytvořit pracovní skupinu, aby mohly společně analyzovat problémy, na které jednotlivé stížnosti upozorňují –⁠ respektive EPDB považovalo za vhodné udržovat určitou koordinaci na evropské úrovni.


Výsledkem této pracovní skupiny bylo 17. 1. 2023 přijetí reportu, jenž blíže hodnotí zásadní nedostatky, které byly předmětem stížností. Pojďme se podívat na jednotlivé závěry.


Co odhalil report?

Samotný obsah reportu je dost zajímavý, neboť ukazuje určitou nejednotnost mezi dozorovými orgány. Každý orgán má práh toho, co je ještě v pořádku a co už ne, nastavený jinde. Samotný report bychom neměli brát jako závazné stanovisko, neboť v úvodu explicitně uvádí, že k tomu sloužit nemá. Předmětné orgány naopak upozorňují, že report by neměl předjímat analýzu, kterou budou muset provést všechny dozorové orgány ve vztahu k daným stížnostem. V samotném reportu se pracovní skupina zaměřila na několik oblastí, které byly u všech stížností shodné.

Tlačítko pro odmítnutí souhlasu musí být dobře viditelné

Tlačítko odmítnutí souhlasu v 1. vrstvě

Český Úřad pro ochranu osobních údajů (po vzoru například CNIL) má poměrně jasno v tom, že pokud cookies lišta neobsahuje možnost jednoduše odmítnout udělení souhlasu (například tlačítkem „odmítnout“ či křížkem), jedná se o porušení příslušné legislativy. Tento právní názor zastává většina dozorových orgánů – překvapivě však ne všechny. V rámci pracovní skupiny se totiž našla blíže neurčená menšina, která to nepovažuje za porušení ustanovení čl. 5 odst. 3 směrnice ePrivacy, neboť toto ustanovení explicitně nezmiňuje povinnost „umožnit odmítnutí“ poskytnutí souhlasu s ukládáním cookies v první vrstvě tak, jak na to nahlížela většina.


Předzaškrtnuté tlačítko

Pracovní skupina dále zhodnotila, že některé nástroje umožňují zvolit uživatelům několik možností – typicky co účel, to checkbox – a to pomocí předzaškrtnutých políček. Zde vznikla poměrně jasná shoda na tom, že se nejedná o souhlas, který by odpovídal zákonným požadavkům.


Klamavý odkaz

Jednou z dalších nekalých praktik je funkce cookies lišty nazvaná „Link Desing“, která pro účely odmítnutí uložení cookies neobsahuje samostatné tlačítko, ale odkaz. Pracovní skupina takový postup považuje za nevhodný, přičemž výslovně kritizuje to, že uživatel neví, k čemu lišta a jednotlivá tlačítka slouží a jak má provést jednotlivé akce spojené s projevem vůle ohledně souhlasu či nesouhlasu s cookies. S tím souvisí i praktiky jako „cookies wall“ či zobrazování lišty v podobě, na základě níž může uživatel nabýt dojmu, že pro užívání stránek je potřeba dané cookies uložit.

PRACOVNÍ SKUPINA UVEDLA NÁSLEDUJÍCÍ PŘÍKLADY NEVHODNÝCH PRAKTIK:


– Jedinou alternativou k tlačítku „souhlas“ je odkaz pod slovy „odmítnout“ nebo „pokračovat bez cookies“, který je schován uprostřed textu bez jakéhokoliv barevného odlišení, takže ve skutečnosti nenabízí viditelnou možnost cookies odmítnout.


– Jedinou alternativou a možností odmítnout je prvek, který je umístěn mimo samotnou cookies lištu, opět za zhoršených vizuálních podmínek.  


Klamavé barvy a kontrast

Pokud jsou pro jednotlivá tlačítka využívány takové barvy (či kontrast), které motivují uživatele souhlas spíše udělit než neudělit, jde o porušení legislativy týkající se sběru souhlasu. Vždy bude sice záležet na konkrétní situaci, nicméně členové pracovní skupiny se na tomto shodli prakticky bez výjimky. Jako jeden z příkladů report uvádí takový design, kdy tlačítko kvůli barvě splývá s cookies lištou a obsahuje text takové velikosti, že je snadno přehlédnutelný.


Pracovní skupina se však shodla na tom, že nelze úplně jednoduše dopředu uvést, které barvy jsou nebo nejsou v pořádku, a vždy bude záležet na konkrétní situaci.


Oprávněný zájem a seznam účelů

Dalším bodem, jejž pracovní skupina kritizovala, je cookies lišta, která obsahuje informaci a upozornění na možnost souhlasu s ukládáním a čtením samotných cookies, ale neobsahuje na stejné úrovni možnost odmítnutí – což může průměrného uživatele vést k tomu, že nebude odmítat uložení cookies a potažmo ani zpracování osobních údajů, které na takové uložení/čtení navazuje. Dle pracovní skupiny s tímto souvisí i druhá úroveň lišty, která je obvykle přístupná po kliknutí na tlačítko „nastavení“. Zde v některých případech uživatelé naleznou nejen bližší nastavení souhlasů, ale také políčko „oprávněný zájem“, které je většinou předzaškrtnuté. Uživatel, který navštíví stránky a vyskočí na něj cookies lišta, může být velmi jednoduše zmatený. Po kliknutí na tlačítko „nastavení“ (aby mohl vybrat, s jakými cookies chce souhlas udělit) nalezne předzaškrtnuté tlačítko. Stačí pouze neudělit souhlas, nebo musí uživatel i „odzaškrtnout“ tlačítko s oprávněným zájmem? Přesně na to pracovní skupina naráží v rámci svého reportu, neboť taková praktika mate uživatele ohledně toho, jak se mohou vyhnout sledování v rámci zejména personalizovaných reklam.


Uživatel, který nechce dostávat personalizované reklamy, v takovém případě neví, jestli se tak stane v okamžiku, kdy neudělí souhlas, nebo až když fakticky podá „námitku“ proti oprávněnému zájmu, který je aktivní bez ohledu na to, zda uživatel dal, nebo nedal souhlas. Tuto praktiku považuje pracovní skupina za nezákonnou a shodla se na tom, že ukládání a čtení cookies musí být v souladu s ePrivacy a jakékoliv další navazující zpracování v souladu s GDPR. Stejně tak se shodla na tom, že oprávněný zájem nemůže sloužit jako právní titul pro ukládání a čtení cookies.


Chybná kategorizace cookies

Stejně tak se pracovní skupina zabývala problémem, který spočívá v chybné kategorizaci cookies. Zejména jde o situaci, kdy jsou za nezbytné považovány cookies, které však nezbytně nutné fakticky nejsou. Pracovní skupina se shodla na tom, že klasifikace cookies z pohledu jejich nezbytnosti není úplně jednoduchá disciplína, neboť některé vlastnosti cookies se v čase mění. To však nemění nic na skutečnosti, že provozovatel stránek je za nasazené cookies odpovědný a má být v souvislosti s tím schopen prokázat, že je konkrétní soubor cookie nezbytně nutný.


Nemožnost odvolání souhlasu

Po odkliknutí cookies lišta zmizí a není možné odvolat souhlas – tak by se dal charakterizovat poslední z prohřešků, který pracovní skupina zhodnotila jako nezákonný. Pracovní skupina netrvá nutně na tom, že se cookies lišta musí vždy minimalizovat – uživateli může být nabídnuta možnost změnit svoje předvolby i pod odkazem, který je umístěn na očekávatelném místě (zejména v zásadách zpracování či v zápatí webu).


Dobrá a špatná zpráva

Dobrou zprávou je, že pokud v ČR cookies lištu nastavíme v souladu s pokyny ÚOOÚ, s velkou pravděpodobností obstojí i před jinými dozorovými úřady (což se hodí, protože v oblasti cookies neplatí dle pracovní skupiny princip „one stop shop“). Špatnou zprávou zůstává, že požadavky jsou poměrně tvrdé, a při správném nastavení cookies lišty tak přicházíme o nezanedbatelné procento souhlasů, což nás může bolet zejména u statistik.


Comments


bottom of page