logo Úřad pro ochranu osobních údajů

Cookies a jejich košer použití v éře GDPR

Jednou z důležitých otázek ochrany soukromí je používání cookies - malých souborů, které mimo jiné umožňují identifikaci prostředků používaných k rozlišení koncových zařízení uživatelů na internetu. ÚOOÚ předkládá k veřejné diskusi doporučení, jak ke cookies přistupovat v konextu GDPR.

Doporučení úřadu je vydáno s přihlédnutím k častým dotazům ze strany veřejnosti, po projednání s ministerstvem průmyslu a obchodu, Sdružením pro internetový rozvoj a s přihlédnutím k článku 57 odst. 1 obecného nařízení o ochraně osobních údajů. Do dokumentu byly zapracovány připomínky z veřejné diskuse k návrhu doporučení.

Doporučení platí od 25. 5. 2018 do účinnosti nového nařízení o ePrivacy nebo do vydání stanoviska EDPB. Pro detaily o stavu vyjednávání budoucí právní úpravy ePrivacy je třeba kontaktovat příslušný ústřední správní úřad, ministerstvo průmyslu a obchodu.

ÚOOÚ ocení připomínky či komentáře, které můžete do 30. 6. 2018 zasílat na posta@uoou.cz.

Ačkoliv cookies identifikují toliko koncové zařízení, používá-li ho více uživatelů, je nutno vycházet z toho, že jsou srozuměni s tím, jak je nastaveno, protože jinak by si ho nastavili jinak. Obdobně na pracovišti může nastavit koncové zařízení zaměstnavatel a zaměstnanec je s tím srozuměn, i když by si třeba přál nastavit ukládání cookies jinak.

Jak kombinovat GDPR se směrnicí o ePrivacy transponovanou do ZEK

Právní regulace cookies je v současné době stanovena zákonem č. 127/2005 Sb., o elektronických komunikacích (ZEK), který je transposicí stávající směrnice o ePrivacy. Nové nařízení o ePrivacy má být speciálním právním předpisem k GDPR.

Je zřejmé, že nařízení o ePrivacy nebude schváleno ke dni účinnosti GDPR 25. 5. 20185 a bude tak třeba přihlédnout jak ke stávající sektorové národní regulaci, tak k některým pravidlům pro zpracování osobních údajů podle GDPR, což článek 95 GDPR i výslovně uznává.

Cookies dílčím způsobem upravuje zejména § 89 odst. 1 a 3 ZEK. Toto ustanovení je transposicí článku 5 odst. 3 směrnice o ePrivacy, který byl novelizován směrnicí 2009/136/ES6 a do českého právního řádu byl transponován zákonem č. 468/2011 Sb.

Ustanovení § 87 odst. 2 ZEK dává subjektu údajů možnost udělit souhlas také pomocí elektronických prostředků. Jednou z možností udělení souhlasu je tak vyplnění elektronického formuláře na Internetu a další jsou podrobněji popsány níže.

Souhlas prostřednictvím nastavení prohlížeče

Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu. Souhlas však nemůže zhojit jiné nedostatky, resp. nezákonnosti zpracování osobních údajů.

Souhlas splňuje definiční znaky souhlasu podle článku 4 bodu 11 GDPR - je svobodný, konkrétní, informovaný a jednoznačný. Souhlas je vykládán ve vztahu k účelu, prostředku a způsobu zpracování osobních údajů, nikoliv k produktu či webovské aplikaci, tedy je nadbytečné jednou udělený paušální souhlas například pro cookies třetích stran dále konkretisovat pro jednotlivý vyhledávač nebo zpravodajský server.

Správce i v takovém případě plní informační povinnost, tj. poskytne informaci o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje přímo zpřístupněny. Užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit, protože obtěžují uživatele.

Popisu zpracování osobních údajů, včetně cookies, je vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako Cookies. Prostředky informování by měly být vůči uživateli co nejvstřícnější, zejména by informace v souladu s WP259 měly být podány vrstevnatě.

Druhy cookies a jak s nimi zacházet

Z hlediska účelu zpracování lze cookies rozřadit na různé druhy. Tento dokument se nevztahuje na cookies, k jejichž používání není třeba informovaného souhlasu podle článku 5 odst. 3 směrnice o ePrivacy.)

Toto doporučení se tedy nevyužije zejména pro technické cookies, které jsou potřebné pro správné zobrazení stránky apod., tj. neslouží pro jiné zvláštní, např. marketingové účely. Bližší výčet je uveden ve WP194.

Pravidla pro využívání cookies a obdobných prostředků podle stávající směrnice o ePrivacy transponované do ZEK je nutno vykládat v souladu s řadou obecných zásad pro zpracování osobních údajů tedy také v souladu s pravidly ochrany osobních údajů podle GDPR.

Zejména se jedná o:

Konkrétní pravidla

Shrnutí

Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele (interpretační vodítka k určení takových cookies poskytuje WP194). Pro všechny ostatní cookies je nutno získat souhlas, který však lze získat nastavením běžných prohlížečů.

Pro zpracování osobních údajů získaných na základě takových cookies je nutné zvolit vhodný právní základ zpracování podle článku 6 odst. 1 písm. a), b) nebo f) GDPR. Bude-li právním základem souhlas, kritéria souhlasu a další pravidla pro zpracování získaných dat stanoví GDPR.

Souhlas je vykládán ve vztahu k účelu, prostředku a způsobu zpracování osobních údajů, nikoliv k produktu či webovské aplikaci, tedy je nadbytečné jednou udělený paušální souhlas například pro cookies třetích stran dále konkretisovat pro jednotlivý vyhledávač nebo zpravodajský server.

Článek Úřad pro ochranu osobních údajů ze dne 25. května 2018 - pátek

Další články od Úřad pro ochranu osobních údajů

HackerFest 2018 - největší IT Security událost v ČR