Poskytujeme komplexní služby v oblasti tvorby, rozvoje, správy a provozu webových aplikací. Aktivně se zabýváme internetovým marketingem s cílem zvýšit úspěšnost webů.

Info

info@vizus.cz +420 270 005 275 Mapa Servis

Úvod | Spolupráce | Know-How | Bez cookie lišty to od ledna nepůjde

Bez cookie souhlasu to od ledna nepůjde

1. listopad 2021 Know-How

Od ledna 22 začnou platit nová pravidla pro cookies na webech.

Novela zákona 127/2005, tedy Zákona o elektronické komunikaci (ZEK), přináší od 1. ledna 2022 povinnost provozovatele webu získat od uživatelů webu souhlas s ukládáním cookies do prohlížeče. A cookies používá většina webů.

Pokud vás nezajímá technické a právní pozadí, můžete rovnou přejít na řešení VIZUS.

Technická podstata

Cookies je technologie, která umožňuje webům uložit do prohlížeče uživatele malé množství dat a prohlížeč tato data posílá zpět webu, při kliknutí na odkaz nebo načítání obrázku. Cookies tedy pochází z navštíveného webu, nebo jeho obrázků, fontů a skriptů, a jsou obousměrně přenášeny mezi webem a prohlížečem, tam a zpět. Nejčastější využití cookies je pro uložení identifikátorů nebo preferencí uživatele na daném webu. Pokud se uživatel přihlásí, do cookies se v jeho prohlížeči uloží identifikátor, např. "relace=123", když si uživatel přepne jazyk na angličtinu, uloží se zvolený jazyk, např. "jazyk=EN". Bez cookies by dnešní weby, a služby na webu postavené, nemohly dobře fungovat. A jako každou technologii, lze i cookies zneužít. Např. ke sledování pohybu uživatele mezi jednotlivými weby, což lze pak využít, či zneužít, pro odhad jeho preferencí a účinnějšímu cílení reklamy.

Typy cookies

Cookies se využívají pro různé účely:

  1. Technické – to jsou např. identifikátory relace, tedy cookies, bez kterých web vůbec nefunguje.
  2. Preferenční – např. zvolený jazyk nebo zvolená měna v e-shopu. Web bez nich sice funguje, ale omezeně.
  3. Statistické – např. pro sledování návštěvnosti a pohybu uživatele po webu.
  4. Marketingové – např. pro sledování preferencí uživatele, cílení reklamy nebo remarketing.

Právní podstata

Novela ZEK ukládá provozovateli webu povinnost získat prokazatelný souhlas s uložením cookies do prohlížeče, vyjma cookies, které jsou nezbytné pro technický provoz webu. Pro provozovatele webu je nejdůležitější § 89, odstavec 3, kde se píše:

Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

Přeloženo: provozovatel, jehož web využívá jiné než technické cookies, musí nejprve získat prokazatelný souhlas uživatele.

Kontrola této povinnosti spadá pod Úřad pro ochranu osobních údajů. Tento úřad již v souvislosti s Nařízením GDPR udělil 55 pokut v celkové výši necelých 2,9 mil. Kč.

Stará podoba souhlasu

Dle dřívějšího doporučení ÚOOÚ z května 2018 není v Česku pro informování o použití cookies vhodné používat cookies lištu (obtěžuje uživatele):

„Užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit,  protože obtěžují uživatele. Popisu zpracování osobních údajů, včetně cookies, je vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako Cookies.“

A dle stejného doporučení, v případě, že zpracování cookies podléhá souhlasu, lze tento souhlas udělit prohlížečem, tedy opět není potřeba cookies lišta:

„Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu.“

Stránky www.uoou.cz jsou upraveny dle tohoto doporučení, tedy bez cookies lišty, pouze se stránkou informující o cookies. Z pozdějších kontrol však vyplývá, že názor ÚOOÚ se posunul. Při kontrole obchodní společnosti již uvádí informaci:

„Pří získávání cookies je třeba vedle povinností dle zákona č. 127/2005 Sb. dodržet také požadavky pro zpracování osobních údajů podle nařízení (EU) 2016/679, zejména předem a včas (před zahájením zpracování) poskytnout subjektům údajů informaci o zamýšleném zpracování těchto údajů.“

Informovat před zahájením zpracováním však znamená použít cookies lištu, minimálně informační.

Zdroje odkazované ÚOOÚ týkající se stavu platného do konce roku 2021

  1. Souhlasy se sběrem cookies odklikávají Češi na webu zbytečně
  2. České weby nepotřebují cookies souhlasy

Nová podoba souhlasu

Novela ZEK od ledna 22 stanovuje jasnou povinnost pro získání souhlasu se zpracování cookies, které nejsou nezbytné pro technický provoz webu, tedy cookies lištu se souhlasem. Tento souhlas má několik pravidel, vycházejících z Nařízení GDPR, odůvodnění 32 a Článek 7:

  1. Souhlas nelze vynucovat, např. zabráněním přístupu k webu nebo podstatným omezením funkcí.
  2. Souhlas nelze upřednostňovat, např. zvýrazněním tlačítka „Souhlasím se vším“.
  3. Rozsah souhlasu nelze předvyplnit, např. zaškrtnutím souhlasu s marketingovými cookies.
  4. Souhlas musí být evidován a na vyžádání úřadů doložen (prokázán).
  5. Souhlas musí být odvolatelný, a to stejně snadno, jako byl udělen.
  6. Souhlas musí být informovaný, tedy doprovázen informacemi o zpracování cookies dle požadavků Nařízení GDPR, Článek 13.

Novela ZEK byla prezidentem podepsána 27. 9. 2021, na implementaci tedy zbývají jen 3 měsíce. Tato podoba souhlasů bude nutná do doby, než EU schválí Nařízení ePrivacy, které by mělo souhlas přenést z cookies lišty webu přímo do prohlížeče.

ÚOOÚ, k datu psaní tohoto článku, nevydal žádné vyjádření, jak nová pravidla od ledna 22 uplatňovat, a stále platí jeho staré doporučení z roku 2018.

Nutné úpravy webu od ledna 2022

Každý web, nejpozději do 1. ledna 2022, je nutné vybavit cookies lištou se souhlasem. Nestačí tedy jen informovat o zpracování cookies a odkliknout „Rozumím“ nebo „OK“.

Na internetu existuje mnoho nástrojů (ConsentManager, OneTrust, CookieBot), které toto dokážou zajistit, relativně snadno (pro IT).  Zaplatíte si službu, která vám cookies pravidelně zanalyzuje, katalogizuje, zajistí zobrazení cookies lišty, sbírání souhlasů, i případné jejich odvolání, zajistí základní informace o cookies. Tyto služby jsou placené a neposkytují právní ochranu, ta zůstává na provozovateli webu. Ceny se pohybují od 9 do 50 € za jednu doménu měsíčně, podle velikosti webu a jeho návštěvnosti. Někteří poskytují i verzi zdarma, která je však velmi omezená počtem stránek webu, počtem zobrazení stránek uživateli (pageviews) a některé ve free programech ani nesbírají souhlasy, což je zákonná povinnost, nebo je po velmi krátké době mažou.

Řešení VIZUS

Ve spolupráci s firmou consentmanager GmbH připravujeme pro naše zákazníky kompletní řešení, které zahrnuje automatické vložení cookie lišty do všech webů, bez nutnosti weby upravovat. Služba bude mít vlastní smluvní podmínky a bude účtována měsíčně cenou 100 Kč za doménu. Během listopadu připravíme registrační formulář a rozešleme konkrétní nabídku zákazníkům, podle webů, které u nás hostují. V prosinci 21 pak očekáváme postupné nasazování cookie lišt na weby tak, aby vše mohlo fungovat od ledna 22, v souladu s novou legislativou.

Poptávka

Nevíte si s cookies rady? Vyplňte formulář a popište nám, s čím Vám můžeme pomoci. Poradíme, pomůžeme, vyřešíme.

Jak cookies lišta funguje technicky

Sledování a blokování cookies, jejich katalogizace, zaznamenávání souhlasů (a nesouhlasů), jejich odvolávání, to celé je technicky a logisticky náročné. Nejprve je potřeba projít každou stránku webu, analyzovat každý obrázek, každý font, vložený script nebo kód (Google Analytics, YouTube video), tedy vše, co může obsahovat cookies. A tyto analýzy je třeba provádět pravidelně, jelikož se obsah webu mění a vložené zdroje také. Získaný seznam cookies se následně katalogizuje, tedy určuje se původce (firma), doba zneplatnění, účel použití, druh (technické, marketingové), tedy vše dle Nařízení GDPR. Vložená cookies lišta, při zobrazení každé stránky webu uživatelem, pak pracuje následovně:

  1. Analyzuje obsah stránky na přítomnost možných zdrojů cookies (obrázky, fonty, skripty).
  2. Zablokuje zdroje (netechnických) cookies, které jsou neznámé nebo jim již dříve uživatel neudělil souhlas.
  3. Pokud je to potřeba, zobrazí informace (cookie lištu) o používaných cookies a jejich zpracování.
  4. Uživatel se rozhodne, které kategorie cookies povolí, tedy udělí souhlas, a které zakáže, tedy neudělí souhlas.
  5. Rozhodnutí uživatele se odešle správci cookies lišty, který jej zaznamená, aby jej později mohl doložit dozorovému úřadu nebo aby jej později uživatel mohl změnit. A toto rozhodnutí je navázáno na prohlížeč uživatele (paradoxně) přes cookie. Pokud tedy uživatel použije jiný prohlížeč, nebo jiné zařízení, musí rozhodnout znovu.
  6. Teprve nyní cookies lišta odblokuje zdroje ve stránce, které odpovídají preferencím nastavení uživatele.

Další zdroje informací