• Josef Bátrla

Jak má podle ÚOOÚ vypadat cookies lišta?

Už jste nastavili cookies lištu na svých webových stránkách podle nových pravidel? ÚOOÚ vydal na poslední chvíli odpovědi na nejčastější otázky. Jak si nové stanovisko správně vyložit? A jaké kontroly cookies můžeme od Úřadu do budoucna očekávat?


Závěr roku 2021 byl ve firmách jako vždy hektický. Bylo potřeba uzavřít dosavadní projekty, připravit reporty a validovat plány na rok 2022. V oblasti ochrany osobních údajů se plánovaly revize zpracovatelských smluv, kontroly záznamů o činnostech zpracování a roční přehodnocení posouzení vlivu na ochranu osobních údajů – tedy všechny úkoly, které bychom měli provádět každý rok, abychom byli v souladu s GDPR. To však nebylo vše. V minulém roce byla přijata právní úprava, která přinesla změny v telemarketingu i v rámci cookies.

Ačkoliv o této změně všichni věděli dlouho dopředu, stále existovaly otázky týkající se sběru souhlasu. Nejasnosti (alespoň částečně) rozptýlil ÚOOÚ, který 22. prosince 2021 na svých stránkách v sekci často kladených otázek zveřejnil odpovědi týkající se právě souhlasu uděleného prostřednictvím takzvané cookies lišty. Stanovisko ÚOOÚ je velmi vítané, nicméně při jeho čtení může čtenář dojít k nezamýšleným závěrům. Proto se na některé odpovědi ÚOOÚ podíváme a zasadíme si je do kontextu.

Nový přístup ÚOOÚ

Možná si vzpomínáte na několikrát rozebíraný návrh doporučení ke cookies z roku 2018, který se do dějin stanovisek ÚOOÚ zapsal jako ne příliš zdařilý. ÚOOÚ v poslední době nicméně volí v případě edukační činnosti trochu jiný přístup. Místo několikastránkových dokumentů Úřad i v tomto případě zvolil cestu (konkrétně dvanácti) otázek a odpovědí. Čtenář se tak odpovědi na své otázky dozví poměrně jednoduše a rychle. Jak jsme však naznačovali v úvodu, některé odpovědi se částečně vyhýbají jádru věci, popřípadě jim chybí jistota a přímost (ÚOOÚ někdy v rámci odpovědí používá slova jako „ideálně“ a podobně, což příliš nedodává na přesvědčivosti). Některé odpovědi pak na první pohled otevírají prostor pro jejich relativizaci. V okamžiku, kdy ÚOOÚ napíše „doporučujeme“, už slyšíme hlasy „je to pouze doporučení, nikoliv závazná norma“. Proti takové argumentaci byste však už měli být imunní, pokud si umíte dávat věci do souvislostí. Pojďme se tedy podívat na to nejzásadnější ze stanoviska ÚOOÚ, ale také na to, co by nemuselo být pochopeno správně.

Jak je to s cookies lištou

Velmi stručně a výstižně se podíváme na to, jak by měla vypadat lišta podle ÚOOÚ. Nejvíce otázek zřejmě vyvolává souhlas – potřebujeme cookies lištu, nebo stačí jako souhlas to, že uživatel používá stránky a nezablokoval si cookies v prohlížeči? Asi nikoho nepřekvapí odpověď, kterou ÚOOÚ uvádí – ano, je nutné získat aktivní souhlas uživatele, přičemž nastavení prohlížeče a užívání stránek jako souhlas opravdu nestačí. Mohli bychom se sice dále bavit o tom, zda souhlas sbírat cookies lištou, či jiným způsobem, nicméně cookies lišta je stále nejjednodušším nástrojem, kterým můžeme dosáhnout zamýšleného cíle.

Nastavení prohlížeče jako souhlas s ukládáním cookies nestačí

Pokud tedy uživatel přijde na stránky a vyskočí na něj cookies lišta, co by na ní mělo být a jak by měla vypadat? Dle ÚOOÚ je to docela jednoduché – v první řadě by subjektu údajů měly být poskytnuty informace, a to v souladu s čl. 13 GDPR (to už víme minimálně z předchozích kontrol ÚOOÚ, z další odpovědi Úřadu to však až tak jasné není, k tomu viz dále). Kolik by měla mít cookies lišta tlačítek? Ačkoliv na mnoha webech najdeme pouze dvě – „přijmout vše“ a následně „nastavení“ (či „předvolby cookies“ nebo „upravit“), není to zcela správně. Sám francouzský dozorový úřad CNIL uvádí, že aby byl souhlas udělen v souladu s GDPR, musí mít uživatel úplně stejnou příležitost souhlas udělit jako odmítnout. Pokud mu tuto možnost nedáme, je to problém. CNIL nezůstal v tomto případě jen u slov a udělil za to pokutu 60 milionů eur společnosti Facebook (dnes již Meta) a 150 milionů eur společnosti Google (tedy společnosti, která poskytuje služby jako Google Analytics a podobně) – více k tomu zde.

ÚOOÚ k této problematice přistupuje stejně. Na otázku, zda je nutné mít možnost odmítnout všechny cookies hned v první vrstvě lišty, nebo až po kliknutí na „nastavení“, ÚOOÚ odpověděl takto: „Aby měl subjekt údajů možnost svobodné volby, mělo by být odmítnutí souhlasu stejně jednoduché jako jeho udělení. Ideálně by tedy tlačítko odmítnutí mělo být na stejné úrovni jako tlačítko souhlasu.“ Můžeme diskutovat o tom, proč ÚOOÚ v rámci své odpovědi použil slovo „ideálně“ a zda tímto svůj závěr relativizuje, pravdou ale je, že bychom jen velmi těžko hledali důvod, proč tam dané tlačítko být nemusí. Proto se raději na slovo ideálně moc neupínejme.

Cookies lišta musí obsahovat tlačítko s možností odmítnout vše

Teď už víme, že v ideálním světě bychom měli při příchodu na stránky narazit na cookies lištu, která mimo jiné obsahuje tři tlačítka – přijmout vše, odmítnout vše a možnost upravit nastavení jednotlivých účelů. Tím to však nekončí. Dle ÚOOÚ by si provozovatel stránek měl dát pozor i na barvu a velikost tlačítek. ÚOOÚ zde naráží na takzvané „dark patterns“, tedy praktiky, které manipulují uživatele, aby udělali akci, kterou by za jiných okolností dělat nechtěli.

ÚOOÚ k tomu uvádí následující: „Vzhled a barevnost tlačítek by měly být zvoleny tak, aby měl subjekt údajů možnost se svobodně rozhodnout, zda souhlas udělí, či nikoli. Tlačítko ‚souhlasím‘ by tak například nemělo být výrazně větší či výrazně barevnější než tlačítko ‚odmítám‘.“ ÚOOÚ k tomu nadto ještě dodává: „Pokud by tlačítko odmítnutí bylo hůře viditelné nebo identifikovatelné, mohl by jej subjekt údajů přehlédnout, a udělený souhlas by nebyl považován za svobodný.“

Pokud má na vaší cookies liště tlačítko „přijmout vše“ zelenou barvu, může to být potenciálně problém, neboť subjekt údajů může mít důvodně za to, že zelená možnost je vždy ta správná možnost.Poslední věc, ve které se poměrně často chybuje, je neuvedení informací o konkrétních cookies, minimálně v rozsahu délky uchování (užívání) a příjemců zpracování. Na tuto problematiku narážel i konkrétní tazatel, který položil otázku, zda je potřeba informovat o všech jednotlivých cookies, které uživatel přijímá, a kde by tento výpis měl být umístěn. Odpověď ÚOOÚ je v tomto případě o něco méně čitelná než v předchozích případech. Po prvním přečtení by totiž člověk mohl nabýt dojmu, že v zásadě to nutné není: „Výpis jednotlivých cookies včetně jejich účelu lze určitě doporučit. Umístění této informace je potřeba zvážit s ohledem na množství cookies, aby poskytované informace byly přehledné a zároveň snadno dostupné. Informace tedy může být přímo ve strukturované cookies liště, například po rozkliknutí ‚více informací‘, nebo zde může být odkaz na dokument obsahující informace o cookies.“

Uvedenou odpověď bychom měli číst spíše tak, že v případě, že je cookies mnoho a v rámci cookies lišty (byť v rámci její druhé vrstvy) by to působilo nepřehledně, měli bychom informaci poskytnout v dodatečném dokumentu po kliknutí na odkaz. Rozhodně to neznamená, že informovat o konkrétních cookies je něco navíc, co můžeme, ale nemusíme dělat. Takový závěr by byl v rozporu s požadavkem na poskytnutí informací – právě například o délce uchování jednotlivých cookies a příjemcích.

Informační povinnost se vztahuje i na dobu uchování jednotlivých cookies Ostatně v prvním pololetí roku 2021 ÚOOÚ ukončil kontrolu provozovatele e-shopu (UOOU-03120/19), ve které uvedl následující: „Dále kontrolující zjišĺoval, zda je řádně plněna informační povinnost i ve vztahu k využívání souborů cookies na internetových stránkách kontrolované osoby. Dospěl ke zjištění, že v souvislosti s používáním cookies kontrolovaná osoba porušila čl. 13 odst. 1 písm. e) obecného nařízení. Nesdělila totiž případné další příjemce osobních údajů (cookies), jakož i čl. 13 odst. 2 písm. a) obecného nařízení, nebo neuvedla, po jakou dobu jsou jednotlivé osobní údaje (cookies) uloženy.“ Je zcela zřejmé, že uvedení dob uložení jednotlivých cookies bez toho, abychom jednotlivé cookies vlastně uvedli, je zkrátka nemožné.

Lepší pozdě než nikdy

ÚOOÚ ve svém příspěvku věnoval prostor i dalším oblastem, které jsou však pro naše čtenáře notoricky známé (předzaškrtnuté souhlasy, cookies walls a podobně). S přihlédnutím k tomu, že předmětné informace vyplývají z mnoha judikátů či stanovisek, není potřeba je zde znovu opakovat.

Je dobře, že se ÚOOÚ pokusil poskytnout svůj pohled na plnění zákonné povinnosti při využívání cookies. Škoda, že toto stanovisko přišlo relativně pozdě. Ještě větší škoda je, že v některých odpovědích použil formulace, které otevírají neznalému čtenáři prostor pro relativizaci jednotlivých povinností. Po přečtení tohoto článku při výkladu stanoviska ÚOOÚ určitě nezapochybujete, otázkou je, co ostatní.