Právo 

ÚOOÚ aktualizoval svá doporučení k používání cookies

Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil 6. března 2023 na svých webových stránkách aktualizovanou verzi doporučení pro používání cookies. Tyto zpřesněné pokyny poskytují provozovatelům webových stránek i jejím návštěvníkům praktické informace o základních pravidlech pro používání cookie souborů a nastavení cookie lišt.

U nezbytných cookies nepotřebujete cookie lištu

Nezbytné neboli tzv. „technické“ cookies jsou ty, které jsou nezbytné pro vlastní provoz webových stránek. ÚOOU ve svých doporučeních nově uvádí, že pokud webové stránky využívají pouze technické, a nikoliv netechnické cookies, není nutné na tyto webové stránky zavádět tzv. cookie lištu. Dochází-li však při zpracování cookies rovněž ke zpracování osobních údajů, je stále nutné plnit informační povinnost vůči subjektům osobních údajů. Tu lze plnit typicky umístěním odkazu s dokumentem obsahujícím předepsané informace na viditelné místo webových stránek (např. v jejich zápatí).

ÚOOÚ zdůrazňuje, že tato informační povinnost musí být splněna přístupným a srozumitelným způsobem za použití jednoduchých jazykových prostředků. Požadavek přístupného a srozumitelného způsobu nebude považován za splněný např. tehdy, pokud se bude návštěvník muset k informacím složitě „proklikat“ přes řadu stránek nebo pokud na webových stránkách určených pro česky mluvící návštěvníky bude chybět informace o zpracování osobních údajů prostřednictvím cookies v českém jazyce. V této souvislosti lze provozovatelům webových stránek velmi doporučit, aby se vyhnuli i dalším tzv. „dark patterns“.

Návštěvníci musí mít možnost svůj souhlas kdykoli odvolat

Souhlas se zpracováním osobních údajů prostřednictvím netechnických cookies musí mít návštěvník možnost kdykoli odvolat, přičemž odvolání souhlasu musí být stejně snadné jako jeho udělení. Je-li tedy souhlas udělen prostřednictvím cookie lišty, nelze podle ÚOOÚ akceptovat, aby bylo možné souhlas odvolat např. pouze telefonicky. V tomto ohledu ÚOOÚ doporučuje provozovatelům webových stránek implementovat snadno dostupné tlačítko či odkaz, pomocí kterých může návštěvník souhlas odvolat (nebo změnit svou volbu).

Získávání souhlasu a přiměřená doba pro jeho uchovávání

Doba, po kterou má být udělen souhlas se zpracováním osobních údajů prostřednictvím cookies, i doba pro opětovné zobrazení cookie lišty v případě odmítnutí udělení souhlasu musí být stanovena jednak s ohledem na účel, ke kterému jsou osobní údaje zpracovávány, a jednak s ohledem na očekávání návštěvníků.

V tomto ohledu je pak podle ÚOOÚ možné za přiměřenou dobu, na kterou byl souhlas s využíváním cookies udělen, považovat 12 měsíců. Naopak v případě, že bylo udělení souhlasu odmítnuto, ÚOOU provozovatele webových stránek upozorňuje, že udělení souhlasu by mělo být znovu vyžadováno nejdříve 6 měsíců od posledního zobrazení cookie lišty daným návštěvníkem.

Tuto dobu je ale možné zkrátit v případě, že:

  • se významně změnila jedna nebo více okolností zpracování (např. významně se změnily účely zpracování), nebo
  • provozovatel webových stránek není schopen sledovat předchozí souhlas/nesouhlas (např. návštěvník smazal cookies uložené ve svém zařízení).

Pokud nicméně dojde k významné změně zpracování, která bude mít vliv rovněž i na ty návštěvníky, kteří dříve souhlas udělili, musí provozovatel webových stránek znovu požádat o udělení souhlasu s tímto novým zpracováním i tyto návštěvníky.

Je nepochybné, že řada nových doporučení ÚOOÚ reflektuje nedostatky, které úřad zjistil v rámci své kontrolní činnosti v roce 2022, kdy se zaměřil právě na zpracování osobních údajů prostřednictvím cookies. Lze však očekávat, že ověřování souladu zpracování osobních údajů prostřednictvím cookies s příslušnou legislativou zůstane v kontrolním hledáčku ÚOOÚ i do budoucna. Vzhledem k rychle narůstající složitosti této právní problematiky doporučujeme provozovatelům webových stránek využít služeb odborníků, např. z naší advokátní kanceláře Deloitte Legal, kteří se této právní oblasti dlouhodobě věnují a kteří vám poskytnout potřebnou právní asistenci.

Článek vyšel dne 25. dubna 2023 na webu Info.cz. (redakčně upraveno)
Ochrana osobních údajů (GDPR) dReport zpravodaj

Nadcházející akce

Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.

    Zobrazit vícearrow-right