Úřad pro ochranu osobních údajů se konečně vyjádřil ohledně použití cookies v souladu s GDPR. Jeho doporučení vás potěší

23. 5. 2018 | Petr Michl
Slyšeli jste tu ránu? To právě spadl kámen ze srdce mnoha marketérům, co měli řešit soulad využívání cookies s GDPR. Nové doporučení ÚOOÚ je povzbudivé.



Na GDPR je asi ze všeho nejhorší nejistota, co znamená ta změť právních formulací v praxi. Ti, co chtěli posvětit návrhy cookie lišt přímo Úřadem pro ochranu osobních údajů (ÚOOÚ), byli dosud odmítáni. Mnoho marketérů a majitelů webů přijalo nakonec vyčkávací taktiku. A vypadá to, že to byla správná volba. ÚOOÚ totiž prolomil mlčení a jeho čerstvé Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května naznačuje, že tento úřad bude poměrně benevolentní.

Částečně to vychází z toho, že cookies má řešit jiné nařízení EU zvané ePrivacy. To mělo původně vejít v platnost spolu s GDPR, ale nestíhá se to. ePrivacy není třeba vyhlížet s nadšením, co se týče cookie lišt, má ale přinést dobré zprávy. „Návrh ePrivacy prozatím počítá s tím, že cookie lišty zmizí z povrchu zemského (a webu). Zákonodárci, kteří dříve cookie lištu zavedli, uznali, že toto se příliš nepovedlo. Podle návrhu by si tak každý člověk měl navolit režim sběru cookies v rámci nastavení svého prohlížeče," uvádí Anna Freimannová z eLegal.

A něco z tohoto étosu, který nefandí bezpočtu vyskakovacích oken, se otisklo i do doporučení ÚOOÚ, které má sloužit jako výklad toho, jak ke cookies přistupovat. ÚOOÚ je přitom platné od 25. května 2018 do doby, kdy nastane účinnost nového nařízení o ePrivacy.

ÚOOÚ ve svém doporučení vychází z toho,že cookies identifikují zařízení / prohlížeč, nikoliv konkrétního člověka. Říká k tomu:

„Ačkoliv cookies identifikují toliko koncové zařízení, používá-li ho více uživatelů, je nutno vycházet z toho, že jsou srozuměni s tím, jak je nastaveno, protože jinak by si ho nastavili jinak."

Je zde tedy předjímáno, že pokud si někdo sedne k počítači a cookies mu vadí, upraví si to v nastavení prohlížeče ke své spokojenosti. ÚOOÚ uvádí:

Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu. Souhlas však nemůže zhojit jiné nedostatky, resp. nezákonnosti zpracování osobních údajů."

Nedostatkem v tomto případě je myšlen zejména případ, kdy by uživatel neměl z vaší webové prezentace šanci zjistit, co s cookies děláte. Měli byste tak na svém webu vytvořit stránku, kde tyto informace jednoduše shrnete.  

Ještě si připomeňme, jaké druhy cookies máme:

  • cookies pro měření, zajištění technického provozu webu
  • cookies pro marketingové a jiné účely

Ve svém finálním souhrnu ÚOOÚ říká:

„Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele (interpretační vodítka k určení takových cookies poskytuje WP194).

Pro všechny ostatní cookies je nutno získat souhlas, který však lze získat nastavením běžných prohlížečů. Pro zpracování osobních údajů získaných na základě takových cookies je nutné zvolit vhodný právní základ zpracování podle článku 6 odst. 1 písm. a), b) nebo f) GDPR. Bude-li právním základem souhlas, kritéria souhlasu a další pravidla pro zpracování získaných dat stanoví GDPR. Souhlas je vykládán ve vztahu k účelu, prostředku a způsobu zpracování osobních údajů, nikoliv k produktu či webovské aplikaci, tedy je nadbytečné jednou udělený paušální souhlas například pro cookies třetích stran dále konkretisovat pro jednotlivý vyhledávač nebo zpravodajský server."

Zjednodušeně řečeno to znamená:

  • cookies pro měření, zajištění technického provozu webu --> nemusíte řešit
  • cookies pro marketingové a jiné účely --> nemusíte řešit, pro uživatele, co s nimi nesouhlasí, tu je nastavení prohlížeče

To vše ovšem za předpokladu, že na webu informujete o tom, jak nakládáte s cookies (a osobními údaji obecně), případně jaké třetí strany s nimi také pracují. Zároveň si ponechte své lišty, kterými uživatele o využívání cookies informujete. Ostatně dali jste si je tam pravděpodobně kvůli pravidlům Googlu, a ta se nijak nemění.

Toto doporučení ÚOOÚ nijak neneguje to, co jsme například napsali v článku Velký souhrn: jak dělat marketing na Facebooku a být v souladu s GDPR. To, co jsme v něm uvedli, je odrazem toho, jak interpretovat poctivě GDPR.  A je možné, že v nedaleké budoucnosti do svých podmínek tento přísnější výklad pod veřejným tlakem vtělí více napřímo někteří technologičtí giganti, s kterými máte svůj marketing svázaný.

Do té doby ale nemalujme čerta na zeď. Nijak nám nevadí, že popsané doporučení ÚOOÚ jde ve své podstatě proti duchu GDPR (Zkuste si odpovědět, kolik procent uživatelů se vyzná v nastavení prohlížeče a zdali pak můžeme mluvit o aktivním souhlasu?).  Jednoduše totiž znamená, že ÚOOÚ bude ohledně cookies ve svém výkladu mírnější, a pokud splníte jeho nikterak drastické požadavky, sankce vám nehrozí.


To nejlepší z moderního marketingu každý pátek do vašeho inboxu.

Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?
Podobné články: