• Josef Bátrla

Nejčastější nedostatky cookies očima ÚOOÚ

Od účinnosti novely zákona o elektronických komunikacích uplynul už víc než půlrok a ÚOOÚ začíná důkladně vymáhat přísnější pravidla ukládání cookies. Jaké nedostatky se v praxi nejčastěji objevují?



Někteří provozovatelé internetových stránek stále neimplementovali správně nová pravidla, která se týkají cookies. Od Nového roku totiž platí zpřísněný režim, dle kterého je nutno pro uložení a používání cookies (a obdobných technologií) vyžadovat souhlas, což ne všichni provozovatelé stránek reflektují. Alespoň tak lze číst tiskovou zprávu, kterou těsně před prázdninami vydal Úřad pro ochranu osobních údajů (ÚOOÚ). V té úředníci pojmenovali devět nejčastějších prohřešků, na které v souvislosti s používáním cookies narazili při kontrolách v rámci prvního pololetí tohoto roku.


Povinností spojených s používáním cookies je samozřejmě více, ale pokud čtete pravidelně tento Zpravodaj, neměly by pro vás být překvapením. Ostatně, tomuto tématu jsme se věnovali ještě za předchozí právní úpravy a naše čtenáře jsme na nová pravidla připravovali. Těm, kteří si daná doporučení nevzali k srdci, však ÚOOÚ vyslal před začátkem prázdnin poměrně jasnou zprávu dejte si na způsob používání cookies pozor.


Konec mírného přístupu

Sám ÚOOÚ k předmětným nedostatkům uvedl, že se jich dopouští jak malé, tak i velké společnosti. Předseda ÚOOÚ Jiří Kaucký k tomu uvedl následující: „V prvním pololetí jsme dali provozovatelům prostor, aby se nové legislativě přizpůsobili. Nyní ovšem na základě vlastní iniciativy monitorujeme dodržování a oslovujeme správce, kteří porušují právní předpisy v této oblasti, aby zjednali nápravu. Pokud k ní nedojde, přistoupíme k sankcím, a to především finančního charakteru.“


Problematických bodů, které můžeme pokazit, je mnohem více. Využijme tedy pokud možno prázdnin a dejme si cookies do pořádku. Je totiž možné, že je to naše poslední šance před tím, než ÚOOÚ upustí od shovívavého přístupu.


Kontrolní činnost

Jak jsme ukázali, ÚOOÚ se nikterak netajil tím, že druhou část prvního pololetí roku 2022 zasvětí kontrole cookies. Koneckonců kontrolu používání cookies zařadil i do kontrolního plánu. Této oblasti se ÚOOÚ věnoval již v předchozích letech, během nichž jsme vás o závěrech těchto kontrol pravidelně informovali. Faktem však zůstává, že s příchodem novely zákona o elektronických komunikacích doznalo mnoho věcí zásadních změn.


Kdo si myslel, že ÚOOÚ bude při kontrolách zajímat pouze to, zda provozovatel stránek vyžaduje souhlas uživatele, se mýlil. ÚOOÚ se totiž do mnohem větší míry soustředí na detaily a zajímá jej i to, jakým způsobem se souhlas získává, zda má návštěvník možnost udělení souhlasu odmítnout a jakým způsobem se k němu dostávají související informace. Co se týče 1. pololetí tohoto roku, ÚOOÚ sdělil, že kontroly proběhly nejen na základě kontrolního plánu, ale také na základě stížností a podnětů.


Pojďme se tedy podívat na jednotlivé nejčastější prohřešky, před kterými ÚOOÚ varuje. Pro účely tohoto článku jsme některé body (špatná kategorizace, klasifikace a účel cookies) sloučili, neboť spolu velmi úzce souvisejí.


1. Používání technických cookies bez souhlasu

Prvním nedostatkem je podle ÚOOÚ časté užívání cookies bez souhlasu návštěvníka. Dle zákona o elektronických komunikacích není potřeba získávat souhlas u takzvaných technických (případně nezbytných) cookies. Ne všechny cookies, u kterých se rozhodneme, že jsou pro naše stránky důležité, však spadají do této kategorie. Spolu se špatnou kategorizací a klasifikací cookies se tak velmi často setkáváme zejména s případem, kdy jsou bez souhlasu ukládána a čtena statistická cookies.


2. Neúměrně dlouhá doba platnosti cookies vzhledem k jejich účelu

Principiálně platí to, co známe již z GDPR – sbíráme-li nějaká data, měli bychom je uchovávat pouze po dobu, po kterou je to skutečně a objektivně nezbytné. Totéž pak platí i ve vztahu ke cookies. Poměrně často se totiž potkáváme s tím, že některá cookies jsou ukládána například na neomezenou dobu, popřípadě dobou uložení překračují svůj účel. Je tedy dobré zkontrolovat, jaké doby uložení máte v rámci svých cookies nastaveny.


3. Nedostatečná první vrstva

Jako třetí zjištění uvádí ÚOOÚ nepřítomnost volby pro vyjádření nesouhlasu s využitím netechnických cookies v 1. vrstvě cookies lišty. Stále se potkáváme s cookies lištami, které sice aktivně vyžadují souhlas a bez něj cookies neuloží ani nepoužijí, nicméně pokud svůj souhlas dát nechceme, musíme se prokliknout do 2. vrstvy. Tento postup je však v rozporu s legislativou, na což jsme upozorňovali již před nabytím účinnosti předmětné novely. Sám ÚOOÚ na tuto skutečnost poukazoval na svých stránkách, přesto se jedná o stále velmi častou praxi. Důvod je jednoduchý. Aby se návštěvník webu zbavil cookies lišty, je pro něj jednoduší souhlas udělit než se proklikávat přes cookies lištu někam dál. Takový souhlas však nesplňuje podmínky GDPR, a tudíž ani zákona o elektronických komunikacích, a lze jej tak považovat za nezákonně získaný.


4. Cookies lišta znesnadňuje či znemožňuje čtení webové stránky

O tom, že takzvané „cookie walls“ jsou zakázané, víme již velmi dlouho. Postup správce, který bez odkliknutí souhlasu neumožní pokračovat ve čtení stránek, je kritizován i Soudním dvorem Evropské unie, který na tento nešvar dlouhodobě upozorňuje ve své rozhodovací praxi. Se stejným názorem se setkáme napříč prakticky všemi dozorovými orgány EU. Mnohdy však k znesnadnění četby stránek dochází téměř omylem. Ačkoliv v desktopové verzi může cookies lišta působit nerušivě, v případě návštěvy internetových stránek na mobilním zařízení nemusí být cookies lišta úplně responzivní a může zabrat významnou část obrazovky. Návštěvník stránek pak nemá možnost přečíst prakticky nic kromě dlouhého textu 1. vrstvy cookies lišty. Pokud 1. vrstva neobsahuje možnost, jak cookies lištu zavřít, jedná se o velmi zásadní problém. Doporučujeme tedy, abyste nasazenou lištu otestovali i na jiných zařízeních a zkontrolovali, že je dostatečně čitelná, ale zároveň nepůsobí rušivě.


5. Absence informací o konkrétních použitých cookies

Ačkoliv lze možná z často kladených otázek ÚOOÚ vyčíst trochu benevolentnější výklad, pravdou je, že jakožto správci máme povinnost informovat uživatele o konkrétních cookies (minimálně o době jejich uložení a o jejich příjemcích). Velmi často se však můžeme setkat s cookies lištami, které sice mají (velmi zjednodušeně řečeno) všechna vyžadovaná tlačítka, nicméně návštěvník nemá šanci se seznámit s bližšími informacemi o jednotlivých cookies. To však může být z pohledu ÚOOÚ problém, a de facto tak dochází k porušení čl. 13 GDPR, který stanovuje informační povinnost.


6. Informace o cookies v cizím jazyce

Na trhu existuje mnoho nástrojů, které nabízejí takzvaný „cookie consent manager“, tedy řešení, které nám umožňuje správně získávat souhlas. Ačkoliv mnoho z nich není v základu v souladu s GDPR, potažmo se zákonem o elektronických komunikacích, vyšší verze za příplatek tuto compliance nabízí. I přes to nelze vše vyřešit jen vložením lišty bez kontroly, zda obsahuje veškeré náležitosti. Velmi často tak na webech najdeme dobré řešení a souladný způsob sběru cookies, nicméně veškeré informace jsou uvedeny v angličtině. To je ale ve většině případů v rozporu s čl. 12 GDPR, který stanovuje požadavky na způsob poskytnutí informací.


7. Rozdíl ve viditelnosti tlačítek pro souhlas a nesouhlas

Jedním z takzvaných „dark patterns“ je i postup, kdy se snažíme motivovat návštěvníka k tomu, aby nám souhlas udělil, ačkoliv to primárně nechce. Kromě případů, kdy čtenáři webových stránek neumožníme minimalizovat cookies lištu, pokud souhlas neudělí, je jednou ze zakázaných praktik i postup, kdy tlačítko pro neudělení souhlasu zjednodušeně řečeno zneviditelníme. Toho můžeme dosáhnout tak, že naopak zvýrazníme tlačítko pro souhlas, vedle nějž další tlačítko jednoduše zapadne. Návštěvník, který je motivován co nejrychleji schovat cookies lištu, tak spíše klikne například na zelené tlačítko „Souhlasím“ než o dost menší tlačítko „Nesouhlasím“, které má neutrální barvu, a je tak velmi snadno přehlédnutelné.


Článek byl publikován v Elektronickém zpravodaji pro pověřence.