Mnoho z Vás jistě alespoň zaslechlo, že od 1.1.2022 začne platit novela zákona o elektronických komunikacích. Mezi největší změny v ní obsažené patří úprava požadavků na sběr cookies. Co to znamená pro weby a e-shopy a jaké kroky je třeba podniknout k tomu, aby vše bylo v pořádku?
Co cookies jsou a proč jsou důležité?
Začít bychom měli tím, co to vlastně cookies jsou. Jedná se o soubory dat, které weby ukládají v počítačích svých návštěvníků a na jejich základě je možné tyto uživatele identifikovat a zapamatovat si jejich předvolby. Pracují trochu ve prospěch obou stran: uživatelů, kterým tak usnadňují a zpříjemňují fungování na webu, tak provozovatelů, kteří díky nim mohou např. lépe cílit a personalizovat reklamu v rámci reklamních systémů.
Jaké změny nás čekají?
Celá problematika je velice složitá a ani právníci si nejsou stoprocentně jistí přesným výkladem. Do podrobných a často spekulativních rozborů se pouštět nechceme. Proto jsme si pro Vás raději připravili alespoň praktický seznam, který Vám umožní si zkontrolovat, zda Vaše cookies řešení splňuje to, co změny v legislativě vyžadují. Je však potřeba zmínit, že i zde platí na věc různé názory a až praxe ukáže, co bude Úřad pro ochranu osobních údajů skutečně vymáhat. Bohužel zde platí jakási “přímá úměra”: čím přísnější výklad zákona dodržíte, o to větší množství dat od uživatelů přijdete. Teď už ale k tomu, co vás čeká a nemine – nebo třeba k tomu, co už by na vašem webu dávno mělo být. Zároveň se podělíme o tipy, jak postupovat.
1/ Udělejte si soupis a kategorizaci všech cookies podle účelu
- vytvořte si kategorie, které jsou pro vás relevantní, například:
- nezbytné – ty, které jsou potřebné pro správnou funkčnost webu
- marketingové – související s reklamními systémy jako např. Google Ads
- personalizační – umožňují např. přizpůsobit prvky webu na základě chování uživatele
- statické – sběr informací o používání webu např. v rámci Google Analytics
2/ Zajistěte, že se uživatelé mohou prokliknout z cookies lišty na stránku s výpisem, který by měl obsahovat:
- název cookie
- poskytovatele cookies – ať už je jím sám provozovatel webu nebo např. Google
- kategorii
- životnost cookie
- účel jejich sběru (např. “Společnost Google používá tuto cookie pro personalizaci reklamních sdělení”)
3/ Zajistěte, že stránka s přehledem cookies obsahuje také obecné informace o tom, jaká práva uživatele webu s ohledem na cookies mají a jak je možné udělený souhlas odvolat
4/ Zajistěte, že máte rozdělené cookies, ke kterým není třeba souhlas uživatelů, a ty, pro které souhlas mít musíte
- jediné cookies, ke kterým žádný souhlas nepotřebujete, jsou ty nezbytné pro chod webu, ty můžete spustit kdykoli bez vyžádání souhlasu uživatelů
- ostatní kategorie cookies vyžadují opt-in souhlas, tedy aktivní souhlas, který je nutné potvrdit vědomě (ignorování cookies lišty není považováno za souhlas), informovaně (uživatel musí mít dostatek informací, aby věděl s čím souhlasí) a bez nátlaku (zákaz nepřetržitého vyskakování rušivé cookies lišty, dokud uživatel nedá souhlas)
- cookies mohou být ukládány až poté, co uživatel souhlas udělí
5/ Přístup na web nesmí být podmíněn přijetím cookies
6/ Dejte uživatelům na výběr, pro které kategorie cookies udělují souhlas
- to zahrnuje i to, s čím nesouhlasí – uživatelé by měli mít na výběr například z možnosti, že souhlasí s využitím personalizačních cookies, ale nesouhlasí s využitím marketingových cookies
- pokud dáváte uživateli možnost “Přijmout všechny cookies”, musíte mu dát také možnost “Odmítnout všechny cookies”
- dbejte na to, aby možnosti přijetí a odmítnutí cookies byly rovnocenné – neměl by tedy být rozdíl v barvách, velikosti nebo umístění těchto tlačítek – ideálně je umístěte vedle sebe
7/ Souhlas s využitím jednotlivých kategorií cookies by neměl být předzaškrtnutý
- pokud chce uživatel využívat jen některé cookies, musí každou z kategorií sám zaškrtnout
8/ U lišty s cookies byl měla být možnost uzavření, aniž by uživatel cookies přijal
- nezapomínejte tedy na “křížek”, který umožní lištu jednoduše zavřít
Při nastavování fungování vašeho webu však nesmíte zapomenout ani na dříve platné legislativní úpravy, především pak na zákon o elektronických komunikacích a na požadavky zavedené v souvislosti s GDPR.
Pokud na Vás z těchto nových nařízení padají chmury, nezoufejte. Praxe může být nakonec od současného výkladu rozdílná a s celou situací může v budoucnu ještě zahýbat regulace ePrivacy, která je v kuloárech Evropského parlamentu a Rady Evropské unie připravována už řadu let. Ale to je téma, které by vydalo na samostatný článek.