Tak nám Úřad pro Ochranu Osobních Údajů připravil návrh dokumentu pro zpracování cookies s přihlédnutím ke GDPR a plánované ePrivacy. No a nevypadá to vůbec špatně.
Souhlas prostřednictvím nastavení prohlížeče
(7) Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu. Souhlas však nemůže zhojit jiné nedostatky, resp. nezákonnosti zpracování osobních údajů.
(8) Souhlas splňuje definiční znaky souhlasu podle článku 4 bodu 11 GDPR: Je svobodný, konkrétní, informovaný a jednoznačný. Souhlas je vykládán ve vztahu k účelu, prostředku a způsobu zpracování osobních údajů, nikoliv k produktu či webovské aplikaci, tedy je nadbytečné jednou udělený paušální souhlas například pro cookies třetích stran dále konkretisovat pro jednotlivý vyhledávač nebo zpravodajský server.
V krátkosti to znamená, že pokud používáte na svých stránkách cookies, tak od 25. května nepotřebujete souhlas uživatele, protože ten o tom sám rozhoduje nastavením svého internetového prohlížeče. Ovšem to vás nezbavuje dalších povinností, které vyplývají z GDPR.
(9) Správce i v takovém případě plní informační povinnost, tj. poskytne informaci o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje přímo zpřístupněny. Užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit, protože obtěžují uživatele. Popisu zpracování osobních údajů, včetně cookies, je vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako Cookies. Prostředky informování by měly být vůči uživateli co nejvstřícnější, zejména by informace v souladu s WP259 měly být podány vrstevnatě (granulárně).
ÚOOÚ doporučuje vytvořit informační stránka nazvanou “Cookies”, kde budou vhodnou – čitelnou formou všechny informace k nim. Tedy co vlastně sbíráte za data, k čemu je používáte, komu je předáváte, kdo jsou další správci a zpracovatelé a poučení o právech uživatele (právo na informace, opravdu, smazání atd.)
Je třeba také brát v potaz, že se to netýká cookiest, které slouží k provozu stránek. Například zdali je uživatel přihlášený anebo co má v košíku.
Naopak pokud přes cookies hromadně sbíráte velmi citlivá data anebo uživatele sledujete (zasahujete mu do soukromí), tak pak výslovný souhlas potřebovat budete. Tohle se týká například sociálních sítí jako Facebook, které přes like tlačítka uživatele sledují.
Zřejmě to však bude platit i o reklamních sítích, zvláště cílení podle zájmu a remarketing. Ale přiznám se, že si tím přesně jistý nejsem, protože pokud si uživatel už cookie přinese odjinud a na základně ní se mu zobrazí cílená reklama, tak to je záležitost jeho prohlížeče. Stránka s tím nemá nic společného. Horší by bylo pokud by jej skript třetí strany sledoval co u vás dělá a na základě toho o něm zjišťoval data. Pochybuji ale že si třeba Googel AdSense čte data z osobních formulářů na stránce.
Cookies musíte smazat do 13 měsíců od jejich posledního využití.
Závěr
Jedná se o návrh dokumentu, který by měl platit od pátku – tedy od spuštění GDPR. V podstatě to bude znamenat konec koláčkových lišt, které stejně všichni ignorovali.
A co se změní?
- Tlačítka sociálních sítí (skripty) musí ze stránek pryč. Nahraďte je odkazy pro sdílení.
- Google Analytics pokud se nepletu nebude problém (není nutná anonymizace). Data předáváte Google ale ten je nevyužívá, pouze zpracovává.
- Na speciální stránku “Ochrana osobních údajů”, “Nakládání s osobními údaji” anebo obdobnou je třeba přidat sekci Cookies. Projet si jaké cookies vaše stránka ukládá u návštěvníka a ty tam zahrnout – včetně informací které z nich získáváte. Doporučuji zahrnout i technické cookies.
Co se nemění
- Reklamní sítě s cílením na chování zákazníka, ale jak jsem psal výše nejsem si tím zcela jistý.
Tak co vy na to?
Budeš tedy dávat pryč lištu o COOKIES? Zatím, co jsem si všimnul, tak ji mnozí naopak rozšířili o GDPR. :-D
nechcem rozporovat to co da von samotny urad – samemu by mi to vyhovovalo – o to menej prace s prisposobovanim webov GDPR, ale moc sa mi to nezda.
na jednej strane GDPR definuje ze napriklad suhlas so spracovanim osobnych udajov ak sa dava cez checkbox a ten ma prednastaveny defaultne stav na “ano” (cize je zaskrtnuty a nevyzaduje sa jeho zakliknutie userom) nemozno povazovat za platny lebo nebol dany slobodne, na druhej pri nejakom defaultnom nastaveni browsra o ktorom drviva vacsina BFU nema ani tusenia (co su cookies vie trufam si povedat len mensia cast populacie) bude tvrdit dost odvazne ze to je suhlas udeleny slobodne a navyse aj informovane? nehovoriac o tom ze pise ze je aj “konkretny” a zaroven v dalsom odstavci pise o tom ze je ten suhlas pausalny. toto mi pride dost silno neobhajitelne a cudujem sa kto to mohol dat von.
Naprostý souhlas, ale úřad asi chtěl vyjít vstříc provozovatelům webů, aby se z toho nepo…