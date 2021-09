Poslanecká sněmovna v polovině září schválila novelu zákona o elektronických komunikacích, která upravuje využívání cookies. Zatímco ještě donedávna byla praxe Úřadu pro ochranu osobních údajů (ÚOOÚ) taková, že úřad lišty se souhlasy se zpracováním osobních údajů nevyžadoval, benevolentní přístup se začíná postupně měnit. A poté, co novela vstoupí v platnost, budou pravidla ještě přísnější.

„Podle GDPR je to remarketing, a je tedy potřeba souhlas. Firmy musejí tyto souhlasy sbírat. Ale staré vedení ÚOOÚ řeklo, chystáme novelu nařízení, navíc cookies jsou otravná záležitost, takže budeme souhlasy dovozovat nějakým způsobem na straně prohlížeče. A podle úřadu tak bylo v pořádku, když se cookies lišty nepoužívaly a stačilo poučit koncové uživatele, že pracujete s cookies. Takto to fungovalo dva roky. Letos v lednu se ale vedení úřadu změnilo a najednou začalo v tichosti dělat audity u klientů, kteří to měli podle předchozího stanoviska, tedy bez lišt. Úřad to najednou začal vytýkat jako chybu,“ řekla na konferenci Mobile Internet Forum 2021 právnička Petra Dolejšová.

ÚOOÚ podle ní absenci lišt začal vytýkat jako chybu a změnil tak stanovisko dřívějšího vedení. „Úřad vše v tichosti změnil a začal říkat ‚nasazujte ty cookies lišty‘. A pak prošla novela zákona o telekomunikačních službách, která počítá s revolučním převratem, a to nejen že potřebujete cookies lištu, ale budete přes cookies lištu potřebovat souhlas i s analytikou, s preferenčními cookies, vlastně se všemi cookies, které nejsou bezpodmínečně nutné pro technický provoz stránky či aplikace. Pokud souhlas nebudete mít, nesmíte začít zpracovávat cookies. Taková je nová legislativa, která bude účinná od 1. 1. 2022,“ dodává Dolejšová s tím, že změna bude představovat problém hlavně z hlediska analytiky.

„Robotický práskač“

Do současného stavu zpracování osobních údajů prostřednictvím cookies podle Dolejšové může zasáhnout i rakouský právník a aktivista za ochranu soukromí Maximilian Schrems, který se například zasadil o to, aby firmy Google, WhatsApp nebo Facebook dostaly miliardové pokuty, nebo pomohl zrušit americko-evropskou dohodu o ochraně osobních údajů. Loni Schrems založil neziskovou organizaci None of your business, která vytvořila robotická nástroj na automatickou kontrolu cookies lišt.

„Tento neziskový spolek má za cíl popotahovat všechny, kteří neumí správně zpracovávat osobní údaje, a udělal automatizovaný nástroj, který projíždí weby, automatizovaně čte, jaké tam máte přiznané i nepřiznané cookies, zda jste je zatřídili do funkčních, analytických, preferenčních či remarketingových, a automatizovaně prohlíží, jakým způsobem máte nastavenou lištu. Nástroj to poté vyhodnocuje a automatizovaně posílá výzvu provozovateli, že má cookies špatně nastavené a ať to do třiceti dní napraví. A pokud to provozovatel neudělá, za třicet dní se automatizovaně generuje oznámení opřené o konkrétní paragrafy GDPR o porušení zpracování osobních údajů úřadu. Vše automatizovaně,“ řekla na konferenci Dolejšová.

Nasaďte lišty a počkejte na praxi úřadu, radí právnička

Nástroj podle Dolejšové vyhodnotí jako chybu například to, že v liště je ve výchozím stavu zaškrtnutý souhlas s marketingovým využitím cookies. Od Nového roku by neměly být defaultně zaškrtnuté ani statistické a preferenční cookies.

„A nástroj vyhodnocuje jako špatné i takové věci, jako že ‚Povolit všechny cookies‘ je na liště uvedeno zelenou barvou, protože to není dobrovolně udělený souhlas a automaticky tlačíte lidem zrak na zelenou barvu. Další věc je, že na liště sice může být Povolit všechny cookies, ale nesmí tam chybět Odmítnou všechny cookies. A Max Schrems říká, že pokud uděluji souhlas a lišta zmizí, tak zároveň by někde na webové stránce mělo zůstat, že chci souhlas odvolat. To znamená, že když zaškrtnu Povolit všechny cookies a lišta jde pryč, na webu má zůstat možnost rozmyslel jsem si to, teď všechny cookies smažte.“

„Nástroj Maxe Schremse otestoval zatím deset tisíc webů a z toho našel chybovost u 89 % z nich. Z toho jen 42 % chyby opravdu opravilo a na zbytek se generovala udání. Na straně úřadu to znamená, že úřad se tím začne zabývat a musí s ním něco dělat. Když vám úřad napíše, že na vás přišla stížnost, spravte si to, ideální je úřadu nějak odpovědět, protože potřebuje ke spisu ‚něco dát‘, aby mohl případ uzavřít,“ vysvětluje Dolejšová.

Situací by mohlo podle právničky zamíchat i dlouho připravované nařízení ePrivacy, které už řadu let leží v europarlamentu a stále čeká na schválení. „Podle tohoto nařízení cookies lišty nebyly vůbec dobrý nápad, takže chce povinnost práce s cookies přehodit na prohlížeče. To znamená, že si v prohlížeči nastavím, co chci a co nechci, a podle toho budou weby responzivní. Nicméně tento návrh už leží v Evropě několik let. Kdy bude účinný, nikdo neví.“

Vysoké pokuty podle Dolejšové nejspíš nehrozí, a navíc ÚOOÚ zřejmě nemá kapacity na to, aby včas zvládl řešit desítky tisíc automatizovaných stížností. „Osobně si nemyslím, že by úřad nějak přitvrzoval. Praxe je zatím taková, že největší udělená pokuta byla 6 milionů korun, a to podle starého režimu, ne podle GDPR. Takže bych se toho neděsila. ÚOOÚ dostává kolem sedmi nebo osmi tisíc podnětů za rok a nemyslím si, že při kapacitě do deseti lidí by stihl něco takového uzavřít. Určitě bych ale nasadila cookies lištu a na 1. 1. 2022 ji připravila tak, aby cookies lišty nebyly předzaškrtnuté kromě technických cookies. A dál bych vyčkávala na praxi Úřadu pro ochranu osobních údajů, protože to, že v zahraničí je nějaký trend, ještě neznamená, že to v České republice bude stejně.“