Evropou obchází strašidlo cookies, psal před čtyřmi lety Jiří Peterka o evropské novince v ochraně osobních údajů na internetu. V zemích, které novelizaci příslušné směrnice implementovaly, se na webech povinně objevily lišty s upozorněním, že stránky používají cookies.
Se zpožděním několika let přichází toto „strašidlo“ i do České republiky – alespoň částečně. Za povinností obstarat si svolení uživatelů ovšem nestojí změna zákonů, a není ani povinná pro všechny provozovatele – jen pro ty, kteří na svých stránkách využívají reklamní platformy Googlu.
Před několika dny totiž dostali od Googlu upozornění, že musí své weby změnit:
Vážení majitelé stránek, chtěli bychom vás informovat o nových zásadách pro získání souhlasu koncových uživatelů v EU, které vychází z pokynů regulačních orgánů a doporučených postupů. Tyto zásady jasně stanovují vaši povinnost získat souhlas koncového uživatele při používání služeb jako Google AdSense, DoubleClick for Publishers a DoubleClick Ad Exchange.
Podle nových Zásad pro souhlas uživatele z EU jako provozovatel webu využívajícího jeho reklamní sítě:
Musíte vynaložit obchodně přiměřené úsilí k tomu, abyste srozumitelně popsali a získali souhlas se způsobem jakéhokoli shromažďování, sdílení a využití údajů, ke kterým dochází v důsledku používání služeb Google na libovolném webu, v aplikaci, e-mailové zprávě nebo jiné službě.
Změna se týká také ukládání cookies:
Musíte vynaložit obchodně přiměřené úsilí k zajištění toho, aby byl koncový uživatel jasně a úplně informován a souhlasil s ukládáním a používáním souborů cookie nebo jiných informací v jeho zařízení, v němž k těmto činnostem dochází v souvislosti se službou, jíž se tyto zásady týkají.
Pokud tedy máte na webu AdSense nebo další zmíněné služby Googlu, musíte od svých uživatelů začít vyžadovat souhlas se zpracováním cookies a dalších údajů. A to ještě dříve, než cookies uložíte do jejich počítačů. V praxi to většinou znamená zobrazování lišty s upozorněním a s tlačítkem, jehož odklepnutím dá uživatel najevo, že s ukládáním cookies (či dalších údajů) souhlasí.
Jak na to
Jak má takový souhlas vypadat? „Bohužel vám nemůžeme říct, jak má žádost pro váš web nebo aplikaci vypadat, protože velmi záleží na tom, jak soubory cookie a další informace využíváte a s jakými službami třetích stran pracujete,“ říká Google na webu cookiechoices.org, kde vydavatelům nabízí základní nápovědu.
Jsou tu uvedeny i příklady textů, které by se mohly na webech zobrazovat. Google ale upozorňuje, že si je provozovatelé musí upravit tak, aby odpovídaly jejich způsobu používání cookies.
Mimochodem, jak momentálně získávání souhlasu řeší sám Google? Například takto:
Nebo takto:
Některé zahraniční weby také dávají uživateli na výběr, která cookies povolit chce a která ne – na to už je potřeba sofistikovanějšího řešení. Na internetu jich najdete celou řadu – od těch opensourcových až k placeným.
Sám Google doporučuje například Cookie Consent od SilkTide, Cookie Control od CIVIC, The Cookie Collective od Governor Technology, Cookiebot od Cybotu či Cookie Consent Kit přímo od Evropské komise.
Google dává na zavedení novinky lhůtu do 30. září 2015. Co se stane, pokud provozovatel webu neposlechne, sice nikde nepíše, ale zřejmě by to mohlo vést až k ukončení spolupráce s dotyčným vydavatelem.
Týká se to i Google Analytics?
Reklamní systémy jsou jedna věc, s cookies ale pracují i další služby Googlu – například populární služba na měření návštěvnosti Google Analytics. Týká se povinnost i provozovatelů, kteří ji využívají?
Z logiky věci by se zdálo, že ano, i když to Google nikde neříká přímo. Vyplývá to ovšem i z jedné formulace na webu cookiechoices.org („Pokud využíváte služby jako Google AdSense nebo Google Analytics, případně podobné služby od jiných společností, mohla by být vhodná pro váš web tato zpráva.“)
Přímou odpověď se nám z Googlu získat nepodařilo, kromě sdělení, že Zásady EU ohledně souhlasu uživatele musejí splňovat všichni majitelé stránek, na které chodí návštěvníci z EU. Neoficiálně se ovšem v Česku šíří informace, že pokud používáte Google Analytics pouze k měření návštěvnosti, souhlas uživatelů získávat nemusíte. Zkoušíme k tomu zjišťovat další podrobnosti.
Zcela jasná je ovšem situace, pokud v Google Analytics využíváte tzv. inzertní funkce (remarketing, přehledy zobrazení v Obsahové síti Google, přehledy demografických údajů a zájmů v Google Analytics a další). V takovém případě se nová povinnost získávat souhlas se zpracováním údajů týká i vás.
Tyto služby totiž nevyužívají jen měřící cookies Google Analytics, ale také inzertní cookies a další identifikátory.
Google přísnější než zákon
Paradoxní na celé situaci je, že je Google přísnější než platné české zákony. Česko totiž v úvodu zmiňovanou evropskou směrnici implementovalo do zákona 127/2005 Sb., o elektronických komunikacích, takovým způsobem, že ji vlastně ignorovalo.
V ČR tedy stále platí, že provozovatelé nemusí mít přímý souhlas uživatelů s ukládáním cookies. A to ani u tzv. session cookies, které jsou nezbytné k fungování webu nebo služby přímo vyžádané uživatelem, ani u tzv. cookies třetích stran – tedy hlavně cookies různých reklamních systémů.
U těch nicméně provozovatelé mají i podle českého zákona povinnost „předem prokazatelně informovat o rozsahu a účelu jejich zpracování“ (což se obvykle řeší podmínkami používání webu) a musí uživatelům nabídnout „možnost takové zpracování odmítnout.“ (§ 89, odstavec 3). Platí tedy tzv. opt-out přístup – ukládání cookies je povoleno až do chvíle, kdy uživatel aktivně provozovateli sdělí, že s ním nesouhlasí.
Úřadu pro ochranu osobních údajů se česká ne-implementace moc nelíbí. „Současný stav v České republice neodpovídá evropské ani české (nedostatečně transponované) právní úpravě, a práva uživatelů internetu tak jsou systematicky narušována. Úřad pro ochranu osobních údajů jako regulátor v oblasti ochrany osobních údajů se bude touto situací zabývat,“ popisuje v informačním bulletinu plánovaný postup ÚOOÚ ředitel odboru analýzy a zpracování informací ve veřejném sektoru František Nonnemann.
Prvním krokem podle něj má být veřejná debata o nezbytnosti, smysluplnosti a přiměřenosti používání cookies a podobných technických nástrojů.
