Články
Ústavní, správní a trestní právo
Sdílet

Úřad pro ochranu osobních údajů k ukládání cookies

Esquire
28. 1. 2022
3 minuty čtení

V průběhu roku 2021 jsme věnovali několik právních oběžníků problematice ukládání cookies, a to v návaznosti na přizpůsobení české právní úpravy požadavkům práva EU. Připomeňme, že novelou zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (dále jen „zákon o elektrických komunikacích“), se k 01/01/2022 změnil režim udílení souhlasu s používáním cookies z opt-out na opt-in. Jinými slovy uživatel musí výslovně souhlasit s ukládáním jiných než technických cookies. Tato legislativní změna motivovala Úřad pro ochranu osobních údajů, aby před koncem roku zveřejnil FAQ, v rámci kterých rozebírá nejčastější situace spojené s implementací tzv. cookie lišty. Níže shrnujeme některé naše postřehy k tomuto dokumentu.

Za prvé je možné zmínit, že Úřad pro ochranu osobních údajů bohužel označuje (dle našeho názoru nesprávně) každé ukládání cookies jako zpracování osobních údajů. Taktéž úřad zaujal přísnější výklad v tom smyslu, že požaduje, aby i souhlas s ukládáním cookies splňoval stejné náležitosti, které jsou vyžadovány pro udělení souhlasu GDPR. Ze zveřejněných informací tak lze usuzovat, že prakticky každá webová stránka, při jejímž provozu dochází k ukládání cookies, vyžaduje nějakou formu vyskakovací lišty (informační povinnost podle GDPR je totiž nutné plnit i v případě zpracování osobních údajů na základě oprávněného zájmu). Nicméně nejsme si zcela jisti, zdali Úřad pro ochranu osobních údajů měl skutečně takovýto záměr.

Z praktičtějších doporučení, jež se v rámci odpovědí objevují, pak vybíráme následující. Předem zaškrtnutá políčka v rámci cookies lišty (předvyplněný souhlas) nelze považovat za souhlas udělený v souladu s GDPR. Podobně je tomu i s možností lištu zavřít, aniž by uživatel souhlas výslovně udělil či odmítl. Pouhé zavření lišty nelze považovat za souhlas. Úřad připomíná, že již z recitálů GDPR vyplývá, že neudělení souhlasu nemůže být důvodem pro odmítnutí přístupu uživateli k obsahu internetové stránky. Z tohoto však dle našeho názoru fakticky vyplývá, že obchodník by měl provozovat i takovou verzi webové stránky, která nevyužívá žádná analytická či trackovací cookies.

Podle názoru Úřadu pro ochranu osobních údajů musí mít uživatel taktéž možnost kdykoliv svůj udělený souhlas odvolat. Odvolání souhlasu potom musí být stejně snadné jako jeho udělení. Na internetových stránkách by tak měl být snadno dostupný odkaz, pomocí kterého lze udělený souhlas odvolat. V ideálním případě by tak tlačítko, kterým uživatel odmítne udělit souhlas, mělo být stejně snadno dostupné jako tlačítko pro udělení souhlasu.

V podobné rovině potom úřad upozorňuje, že by neměl být rozdíl mezi grafickým zpracováním tlačítek, pomocí nichž uživatel uděluje nebo odmítá souhlas. Kupříkladu by tak tlačítka neměla mít jiné grafické zpracování. Pokud je tak tlačítko vedoucí k odmítnutí udělení souhlasu méně barevně výrazné (hůře viditelné), nemusí být udělení souhlasu dle názoru úřadu uživatelem považováno za svobodné a tedy v souladu s GDPR.

 

Jiří Moravec

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 12/2021 určený členům tohoto spolku.

Vstupte

K dalšímu čtení

Ústavní, správní a trestní právo

Oznamovací povinnost provozovatelů digitálních platforem sdílené ekonomiky

22. 9. 2024

>
Ústavní, správní a trestní právo

Nová regulace zprostředkovatelských platforem

28. 6. 2024

>