Jak právně správně na Cookie lištu

Začalo to před 5 lety. Cookie lišty se po oznámení Google o prázdninách 2015 začaly rojit na českém internetu, přesto však panovaly nejasnosti, kdy má na webu být a jak má vypadat. Pojďme si to ujasnit. Téma tehdy otevřel Zbyněk Hyrák na svém Facebook profilu:

Pojďme si tedy shrnout situaci z pohledu Google:

Jak správně na Cookie lištu z pohledu Google

1. Řiďte se nápovědou Google.
2. Pokud váš web nepoužívá Doubleclick, remarketing, přehledy zobrazení v obsahové síti, demografické přehledy a v Google Analytics jste si nastavili sbírání neanonymních údajů (PII) – pak je to OK a nic řešit nemusíte.
3. Pokud je to jinak – Google vyžaduje aktivní souhlas od uživatelů. Co Google považuje za aktivní souhlas, je vidět dle webu Google věnující se cookie liště Cookie Choice. Tam je vidět, že aktivní souhlas je něco, na co musí uživatel aktivně kliknout. Pokud neklikne, není souhlas udělen. Což z právního pohledu potvrdil na SEOlogeru v září 2015 i Jiří Prouza z advokátní poradny CHSH.

Jinými slovy, pokud cookie lišta nevyžaduje aktivní kliknutí, je to řešení, které se Google nemusí líbit, což potvrdil i David Špinar z českého Google.

Jak nezobrazovat obsah Cookie lišty vyhledávačům

Často se stává, že obsah Cookie lišty se dostane do screenshotu na Seznamu nebo do výsledků vyhledávání.

Jak to vyřešit? Docela jednouše. Máme několik možností:

1. Nahrávejte cookies lištu v iframu a URL stránky v iframu zakažte k indexaci.
2. Vypisujte cookie lištu technologií, se kterou mají vyhledávače problém – hardcore JavaScript, Flash atp.

To vše jsme si říkali před pěti lety, mezitím proběhlo GDPR, benevolence ze strany českého UOOU a jaký je stav nyní? Tedy v dubnu 2021? To nám prozradí odbornice na slovo vzaté, Petra Dolejšová:

Tak jde čas aneb česká cookies sága v roce 2021

Analytika, remarketing. Bez nich si dnes podnikání umí představit snad málokdo.

O to větší frustraci přináší nestabilita právní praxe kolem cookies.

Psal se rok 2018.

25. května začalo být účinné nařízení GDPR. Spoustu nejasných pojmů a výkladů, kolem kterých bylo příliš „možná, snad a asi“ měla utříbit až praxe. Spolu s GDPR mělo jít do světa i tzv. ePrivacy nařízení – zaměřující se hlavně na digitální svět. Mimo jiné oblast cookies.

Návrh tohoto předpisu a jeho řešení cookies vycházelo z myšlenky, že cookies lišty, které měly vést k vybírání dobrovolných aktivních souhlasů, vlastně až tak nefungují. Pamatujete si snad, kdy jste zaškrtli cookies lištu vědomě, dobrovolně a ne proto, že vám na webu jednoduše překážela?

Návrh tedy počítal s tím, že se povinnost „spravovat“ cookies přenese na prohlížeče. Uživatelům by prohlížeč jednou za čas připomněl nastavení cookies a požádal je o jejich aktivní předvolbu. Podle ní by pak cookies na jednotlivých webech (ne)fungovaly.

ePrivacy ale ke dni účinnosti GDPR zůstalo ležet v EU celkem nehnutě.

A tak ve snaze vnést trochu světla, zveřejnil český Úřad pro ochranu osobních údajů pár dnů před účinností GDPR následující stanovisko:

Souhlas s použitím cookies lze dovodit z nastavení prohlížeče. V dokumentu na webu ale musíte řádně informovat jaké cookies, s jakou expirací a za jakým účelem využíváte a návštěvníky poučit, jak jejich trackování pomocí cookies vypnout. Cookies lišty Úřad nevyžadoval a na kontrolách se zaměřil hlavně na správně sestavený a nasazený dokument.

Úřad pro ochranu osobních údajů

V roce 2020 se Evropská unie rozhodla aktualizovat některá stanoviska a doporučení. Mimo jiné se zaměřila na oblast cookies a opakovaně uvedla, že se stále nevybírají souhlasy tak, jak by měly – aktivně a dobrovolně.

Úřad v tichosti reagoval aktualizací na svém webu, kde uvedl, že „Vývojem legislativy v oblasti elektronických komunikací a ustanovením EDPB s jeho následnými stanovisky byl dokument (stanovisko) do velké míry překonán a v současnosti má spíše historickou hodnotu.“ Jinými slovy: naše stanovisko bylo popraveno.

V současné době, zřejmě aby nebylo pochyb, leží v Poslanecké sněmovně novela zákona o elektronických komunikacích. Ta (zatím) explicitně stanoví, že všechny cookies, které nejsou nezbytné pro fungování webu nebo poskytování služby (technické cookies), musí uživatel aktivně odsouhlasit.

Tento přístup Úřad zaujímá i při současných kontrolách, kdy argumentace jeho „dnes již historickým stanoviskem“ nestačí. Pro práci s cookies (pokud se nejedná o funkční cookies) je zapotřebí mít – v souladu s GDPR a evropskou praxí – dobrovolný a aktivní souhlas.

Co to znamená?

• Cookies lišta nesmí zamezovat vstupu na web, tzn. musím mít možnost cookies odmítnout a přesto web užívat,
• nesmí být agresivní, „otravná“ a překážet,
• musí být napojená na dokument, ve kterém se dočtu podrobnosti,
• měla by mi dát na výběr ohledně typu cookies.

Bez správně uděleného souhlasu, který uděluji předem nejde cookies začít zpracovávat. Pokud jste větší nebo nadnárodní společnost, zbystřete a funkční cookies lištu nasaďte.

V Evropě i nadále leží návrh ePrivacy nařízení. Začátkem tohoto roku ho Rada EU předložila Evropskému parlamentu a není vyloučeno, že cookies lišty nakonec budou zrušeny. Pokud tedy zvažujete větší investice do vývoje správně fungující cookies lišty podle představ současné úpravy, myslete i na tuto proměnnou. Evropa nám k tomu vzkazuje: very sorry, makáme na tom!

Ohledně světla na konci tunelu bych ale (s ohledem na dosavadní vývoj) byla velmi zdrženlivá.

Víte jak na změny v roce 2022? Máme pro vás odpověď:

Jak na cookie lištu v roce 2022 – sága pokračuje (Petra Dolejšová)

Petra Dolejšová, pět let provozovala advokátní kancelář eLegal.cz a poté úspěšně přešla na volnou nohu, kde pokračuje v popularizaci a změny přístupu k právu pod heslem: “Hlavně lidsky”.