Že jo

Rozsudek ESD a souhlas s cookies: řešení pro právně bezpečnou ochranu dat


Nejpozději od doby, kdy vstoupilo v platnost Obecné nařízení o ochraně osobních údajů (GDPR), musíte jako provozovatel nesoukromého webu dodržovat důležité aspekty ochrany údajů. Otázka, jak se vypořádat s cookies, byla zpočátku kontroverzní. Evropský soudní dvůr (ESD) svým rozsudkem (1. října 2019) přijal konkrétní ustanovení týkající se souborů cookie s ohledem na souhlas se zpracováním. Souhlas s používáním souborů cookie je také známý jako souhlas s používáním souborů cookie. Poskytovatelé správy souhlasu (CMP) nabízejí zjednodušení v právně bezpečném návrhu používání souborů cookie. Sofistikovaná řešení souborů cookie fungují automaticky a umožňují uživatelům povolit typ a rozsah používání souborů cookie.

Rozsudek ESD a soubory cookie: právní význam na první pohled

Pozadím rozhodnutí ESD je právní záležitost Planet49. Pod spisovou značkou Az.: C- 673/17 jsou nyní jasnější informace o tom, jak má být navržen souhlas s používáním cookies. V zásadě musí mít návštěvník webové stránky možnost dobrovolně a výslovně souhlasit s používáním souborů cookie. Podle rozsudku ESD o cookies je používání a zpracování některých cookies povoleno pouze po udělení souhlasu. To neplatí pro soubory cookie, které jsou nezbytně nutné pro provoz webu.

V rozsudku ESD o cookies Evropský soudní dvůr uvádí, že nařízení o ePrivacy již stanoví povinný souhlas s cookies, které nejsou nezbytně nutné (srovnej čl. 5 odst. 3 směrnice o ePrivacy). Toto tvrzení ESD o cookies je v zásadě známé již z předchozích rozsudků.

Nutno podotknout, že známý § 15 odst. 1 písm. 3 TMG (zákon o telemediích) nelze chápat jako implementaci směrnice o soukromí a elektronických komunikacích. Stejně tak nelze uvažovat o výkladu TMG v souladu se směrnicí ani o přímé aplikaci směrnice o ePrivacy. Proto používání a shromažďování cookies zásadně podléhá GDPR . Podle GDPR může být použití založeno na oprávněném zájmu nebo na souhlasu (srovnej (čl. 6 odst. 1 písm. a GDPR). Protože to samo o sobě nevede k povinnému požadavku na souhlas, odkazuje ESD na směrnici o soukromí a elektronických komunikacích.

Rozsudek ESD o cookies a jeho důsledcích: Souhlas s používáním

Účinný souhlas je v praxi vázán na určité požadavky v důsledku rozsudku ESD o cookies. ESD učinil zásadní prohlášení o cookies s ohledem na účinnost souhlasu s jejich používáním. Ty se týkají starého a nového zákona o ochraně osobních údajů v souladu s GDPR.

Z rozsudku ESD o cookies v zásadě vyplývá, že souhlas s používáním a zpracováním vyžaduje aktivní chování ze strany uživatele . Pokud nedochází k aktivnímu chování, není jasné, zda uživatelé mají dostatečné znalosti o situaci. Z toho již vyplývá
dříve zaškrtnuté políčko pro soubory cookie nemůže představovat účinný souhlas . Ve smyslu skutečného opt-in se návštěvník musí sám aktivovat a udělit svůj souhlas kliknutím, aby mohly být soubory cookie shromažďovány a zpracovávány podle rozhodnutí ESD.

Dále, pokud jde o soubory cookie, podle rozhodnutí ESD souhlas obecně vyžaduje samostatné a nepřednastavené možnosti kliknutí pro všechny myslitelné případy. Z pouhého tlačítka pro odeslání nelze odvodit souhlas pro konkrétní případy.

Dále rozsudek ESD o cookies znamená, že s ohledem na směrnici o soukromí a elektronických komunikacích je třeba zdůraznit, zda informace o cookies představují osobní údaje či nikoli. Směrnice tak má regulační oblast, která dokonce přesahuje zákon o ochraně údajů. Právní experti však upozorňují, že směrnice o soukromí a elektronických komunikacích nebyla v Německu dosud plně implementována.

V důsledku rozsudku Evropského soudního dvora ohledně souborů cookie byste jako provozovatel webové stránky měli také poskytnout přesné informace o používání souborů cookie. Informace požadované v souvislosti se souhlasem s cookies zahrnují mimo jiné dobu zpracování údajů. Stejně tak v důsledku rozsudku ESD o cookies musí být návštěvníkům sděleny informace o přístupu třetích stran ke cookies . Patří sem také přesné informace o příjemcích údajů nebo kategoriích příjemců. Nejpozději od rozsudku ESD musí návštěvník vědět, kteří inzerenti shromážděné údaje zpracovávají.

Význam a nutnost souhlasu s cookies pro provozovatele webových stránek

Téměř každý komerční web shromažďuje data. To zahrnuje nejen provozně nezbytné údaje, ale ve většině případů také údaje, které podle rozsudku ESD o cookies vyžadují výslovný souhlas vašich návštěvníků. I použití těch nejjednodušších analytických nástrojů je spojeno se sběrem mnoha dat a vytvářením odpovídajících cookies. Běžným příkladem je nástroj Google Analytics. K této formě sběru dat také dochází, když někdo umístí widget na sociální média. Na správu obsahu souborů cookie se proto spoléhá každý provozovatel webu, který má zákazníky v oblasti GDPR (EU i mimo ni). Podle rozhodnutí ESD o souborech cookie je provoz webu v souladu se zákonem možný pouze tehdy, je-li zaručeno správné zpracování souhlasu s používáním souborů cookie .

Souhlas s cookies v praxi: implementace jako opt-in

Rozsudek ESD o cookies již má jasné a konkrétní účinky. Z toho vyplývá potřeba opatření pro provozovatele webových stránek. Týká se to typu a provedení souhlasu s cookies, tedy výslovného souhlasu s jeho použitím. Ovlivněny jsou také informace, které mají být uživatelům sdělovány o používání souborů cookie.

V této souvislosti musí být souhlas koncipován jako skutečné opt-in v praxi . To znamená, že k souhlasu je vyžadována aktivní akce uživatele. V zásadě od roku 2009 směrnice EU o ochraně údajů stanoví, že návštěvníci mohou být požádáni o souhlas. V minulosti si však provozovatelé webových stránek mohli tento požadavek vykládat formou opt-out . To znamená, že soubory cookie byly obecně nastaveny, aniž by uživatel musel cokoli dělat. Uživatel

mohl vznést námitku proti používání souborů cookie, ale musel k tomu převzít iniciativu. To se mění s rozsudkem ESD o cookies: přechod na opt-in stanoví, že webová stránka obecně nenastavuje cookies, pokud se pro ně uživatel nerozhodne. V důsledku toho lze soubory cookie vůbec nastavit pouze v případě, že k tomu dal návštěvník souhlas. Souhlas s cookies podle ESD tedy nelze získat zaškrtnutím políčka, které již bylo předem nastaveno .

Je proto vhodné, aby se společnosti a provozovatelé webových stránek obecně co nejrychleji přizpůsobili rozsudku ESD o cookies a přijali vhodná opatření pro právně bezpečný obsah cookies. Řešení pro správu souhlasu, která uživatele jednak komplexně informují o používání cookies, a také si vyžádají jeho výslovný souhlas, výrazně usnadňují provozovatelům webových stránek.

Řešení pro souhlas se soubory cookie: standardy a jak fungují

Pro souhlas s nastavením a zpracováním souborů cookie je k dispozici rámec vyvinutý organizací IAB Europe (Interactive Advertising Bureau): je to rámec transparentnosti a souhlasu (TCF) , který se etabluje jako standard pro souhlas s používáním souborů cookie Has. Cílem vývoje tohoto rámce je komplexní standardizace v otázce souhlasu . První varianta frameworku byla představena v dubnu 2018. Aktuální verze TCF 2.0 následovala v květnu 2020. Zejména s ohledem na rozsudek ESD o cookies má tento rámec velký význam, protože usnadňuje získání potřebného souhlasu. Přesněji řečeno, požadavek IAB je přesně porozumět informacím o souhlasu uživatele se zpracováním souborů cookie. To má vliv na celý řetězec doručování používání souborů cookie. Ve většině případů se na generování více souborů cookie podílí více poskytovatelů služeb. Ty se většinou týkají reklamních bannerů a dalších marketingových opatření. Všechny strany zapojené do tohoto procesu jsou závislé na informacích o tom, zda byl či nebyl udělen souhlas se zpracováním souborů cookie.

Na jedné straně se v rámci správy souhlasu s cookies na základě rámce IAB zjišťuje, zda uživatel vůbec dal souhlas s používáním cookies. Ve druhém kroku Správce souhlasu identifikuje, které konkrétní souhlasy uživatel udělil na banneru souhlasu. Návštěvníci mají možnost souhlasit nebo odmítnout různé použití a účely zpracování souborů cookie. Na základě struktury souhlasu vytvoří správce souhlasu cookie takzvaný řetězec souhlasu, který se zase vytvoří v souboru cookie. Na základě tohoto řetězce souhlasu mají další strany (např. další poskytovatelé správy souhlasu) také způsob, jak zjistit souhlas návštěvníka.

CMP: Řešení pro správu souhlasu pro webové stránky a jejich výhody

Výhody používání dobrého správce souhlasu jsou pro provozovatele webových stránek četné. Lze tak zaručit právně bezpečný design souhlasu s cookies podle ESD. Každý dobrý web má za cíl poskytovat co nejlepší uživatelskou zkušenost. Potřeby návštěvníků by měly být uspokojeny tak, aby na webu zůstali. Mezi nejdůležitější aspekty dlouhého uchování patří vysoká míra přijetí a nízká míra okamžitého opuštění. Dobrý poskytovatel správy souhlasu přispívá k minimalizaci míry okamžitého opuštění a tím ke zvýšení míry přijetí. Přispívá tak k dobré výkonnosti webu. Zákazníky lze získat a trvale udržet na webu pouze v případě, že je míra okamžitého opuštění na webu nízká.

S dobře promyšleným řešením správy souhlasu zajistíte nejen soulad s požadavky rozhodnutí Evropského soudního dvora o souborech cookie, ale také budete mít v reálném čase přehled o aktuální míře přijetí a okamžitého opuštění. Chování návštěvníků webu, zákazníků a potenciálních zákazníků lze pochopit. Z toho lze vyvodit závěry o možném potenciálu zlepšení.

Mezinárodní orientace banneru se souhlasem je samozřejmostí u moderních řešení pro souhlas s cookies. Vyskakovací okno se automaticky zobrazí v jazyce země GDPR, ze které návštěvníci na váš web přistupují. Poskytovatel správy souhlasu zobrazuje informace v celkem 29 jazycích. Kromě toho CMP nabízí citlivé přizpůsobení koncovému zařízení používanému návštěvníky. Řešení pro souhlas se soubory cookie reaguje na aspekty, jako je velikost obrazovky a operační systém (např. iOS nebo Android) a ukazuje návštěvníkům optimalizované zobrazení.

Závěr

Rozsudek ESD nepochybně zkomplikoval praxi ochrany údajů pro provozovatele webových stránek. Při návrhu právně vyhovujícího cookie banneru je třeba vzít v úvahu kromě technických otázek i designové aspekty a především právní rozměr transparentního zpracování dat. To, co zejména provozovatelé webových stránek působí dojmem povýšených pokynů a specifikací, nakonec slouží uživatelům jako zainteresovaným stranám a zákazníkům. V tomto smyslu by měli online prodejci, vydavatelé nebo agentury chápat rozsudek ESD jako pobídku. Návštěvníci webových stránek vědí stále více o rozsahu přenosu dat a požadují maximální přehlednost a transparentnost při správě souborů cookie. Z tohoto pohledu mohou provozovatelé webů z chytrého systému správy souhlasů v kontaktu se zákazníky jedině těžit – prostřednictvím větší důvěry ve spojení s jasnou použitelností.

Články na podobná témata:


více komentářů

Digital Services Act
Že jo

Vztahuje se zákon o digitálních službách (DSA) i na vaši společnost? Online platformy mají další povinnosti

Zákon o digitálních službách stanoví další požadavky na transparentnost pro online platformy. Definice online platformy podle DSA se může vztahovat na vaši firmu. V důsledku toho můžete být požádáni o splnění dalších požadavků na transparentnost DSA. Čtěte dále a zjistěte, zda vaše firma spadá do této kategorie a jaké kroky můžete podniknout, abyste zůstali v […]
A picture of a cookies with a red circle in the middle and the caption 1st party cookies and 3rd party cookies
Nový

Eliminace souborů cookie třetích stran a úprava vašeho nastavení rozsahu souhlasu CMP

Chystané zrušení souborů cookie třetích stran znamená velkou změnu v používání rozsahů souhlasu consentmanager souhlasu. Od června již nebude consentmanager nastavovat soubory cookie třetích stran pod doménou consentmanager . V důsledku této změny budou odstraněny některé z našich možností rozsahu souhlasu, jako je souhlas pro konkrétní účet a souhlas pro konkrétní CMP, používané se soubory […]