GDPR a cookies: Kompletní průvodce dodržováním předpisů
Obecné nařízení o ochraně osobních údajů (GDPR) od svého vstupu v platnost 25. května 2018 zásadně změnilo způsob, jakým weby zacházejí s cookies. Ačkoli je primárním unijním předpisem upravujícím cookies směrnice ePrivacy, GDPR se uplatní vždy, když cookies zpracovávají osobní údaje — což v praxi znamená téměř vždy. Pochopení toho, jak se GDPR na cookies vztahuje, je nezbytné pro každý web působící v Evropském hospodářském prostoru nebo cílící na jeho uživatele.
Jak se GDPR vztahuje na cookies
GDPR cookies výslovně nezmiňuje. Namísto toho upravuje zpracování osobních údajů, které článek 4 odst. 1 definuje jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Recitál 30 nařízení GDPR výslovně uvádí, že online identifikátory — včetně identifikátorů cookies — mohou být využívány k vytváření profilů fyzických osob a k jejich identifikaci. To znamená, že jakákoli cookie obsahující jedinečný identifikátor nebo s ním spojená představuje podle GDPR osobní údaj.
V praxi to zahrnuje téměř všechny cookies s výjimkou těch nejzákladnějších funkčních. Analytické cookies, které přiřazují jedinečné ID návštěvníka, reklamní cookies sledující chování při prohlížení a dokonce i cookies relace navázané na uživatelský účet zpracovávají osobní údaje, a spadají tedy pod požadavky GDPR.
Článek 6: Právní základ pro zpracování
Podle článku 6 nařízení GDPR vyžaduje každé zpracování osobních údajů právní základ. U zpracování souvisejícího s cookies se nejčastěji uplatňují dva:
- Souhlas (čl. 6 odst. 1 písm. a): Subjekt údajů udělil souhlas se zpracováním pro jeden či více konkrétních účelů. Toto je hlavní právní základ pro většinu zpracování cookies, zejména pro analytické, marketingové a reklamní cookies.
- Oprávněný zájem (čl. 6 odst. 1 písm. f): Zpracování je nezbytné pro účely oprávněných zájmů správce, pokud tyto zájmy nepřevažují práva a svobody subjektu údajů.
Právní základ oprávněného zájmu je v kontextu cookies předmětem výrazných diskusí. Někteří provozovatelé webů argumentovali, že analytické sledování slouží oprávněnému zájmu. Několik dozorových úřadů však tento argument u cookies, které nejsou nezbytně nutné, odmítlo. Francouzský CNIL, rakouský DSB i Evropský sbor pro ochranu osobních údajů (EDPB) zaujaly stanovisko, že u analytických cookies je souhlas vyžadován a že oprávněný zájem nemůže sloužit jako právní základ pro ukládání nepodstatných cookies do zařízení uživatele.
Pokyny EDPB 05/2020 k souhlasu jednoznačně uvádějí: „Rolování nebo pokračování v prohlížení webu nepředstavuje platný souhlas.“ Éra implikovaného souhlasu s cookies skončila.
Článek 7: Podmínky platného souhlasu
Článek 7 stanoví podmínky, které musí souhlas splňovat. Aby byl souhlas s cookies podle GDPR platný, musí být:
- Svobodný: Uživatel musí mít skutečnou možnost volby. Souhlas není svobodný, pokud jej uživatel nemůže odmítnout nebo odvolat bez újmy. Cookie zdi, které blokují přístup na web, dokud nejsou přijaty všechny cookies, byly několika dozorovými úřady shledány nesouladnými s předpisy, ačkoli se právní situace v jednotlivých jurisdikcích liší.
- Konkrétní: Souhlas musí být udělen pro každý jednotlivý účel. Jediné „Přijmout vše“ bez možnosti udělit souhlas pro konkrétní kategorie tento požadavek nesplňuje.
- Informovaný: Uživateli musí být jasně sděleno, s čím souhlasí. To znamená identifikovat cookies, jejich účely, shromažďované údaje a jakékoli zapojené třetí strany.
- Jednoznačný: Souhlas musí být udělen jasným aktivním úkonem. Předem zaškrtnutá políčka, mlčení či nečinnost platný souhlas nepředstavují.
Článek 7 odst. 3 doplňuje zásadní požadavek: odvolání souhlasu musí být stejně snadné jako jeho udělení. Pokud uživatel může cookies přijmout jediným kliknutím, musí být schopen tento souhlas se stejnou snadností odvolat. Cookie lišta, která zvýrazňuje „Přijmout“, ale možnost odmítnutí ukrývá v nastavení několik kliknutí hluboko, předpisům nevyhovuje.
Článek 4 odst. 11: Definice souhlasu
Článek 4 odst. 11 definuje souhlas jako „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“
Tato definice je posílena recitálem 32, který uvádí:
„Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů. Může se jednat například o zaškrtnutí políčka při návštěvě internetové stránky. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly představovat souhlas.“
Zásadní rozsudek Planet49 vydaný Soudním dvorem Evropské unie (SDEU) v říjnu 2019 (věc C-673/17) tento výklad potvrdil, když rozhodl, že předem zaškrtnutá políčka nepředstavují platný souhlas s cookies.
Povinnosti transparentnosti: Články 12–14
Články 12 až 14 vyžadují, aby správci údajů poskytovali informace o zpracování údajů stručnou, transparentní, srozumitelnou a snadno přístupnou formou za použití jasného a jednoduchého jazyka. U cookies to znamená:
- Vaše zásady používání cookies musí být napsány jazykem, kterému běžní uživatelé rozumí — nikoli právnickým žargonem.
- Informace musí být poskytnuty v okamžiku shromažďování údajů (tj. před nastavením cookies).
- Uživatelům musí být sdělena totožnost správce, účely zpracování, kategorie údajů, případní příjemci, doby uchovávání a jejich práva.
- Pokud jsou cookies sdíleny s třetími stranami (například Google Analytics, Facebook Pixel nebo reklamní sítě), musí být tyto třetí strany identifikovány.
Článek 17: Právo na výmaz
Článek 17 dává subjektům údajů právo na výmaz svých osobních údajů. V kontextu cookies to znamená, že pokud uživatel požádá o výmaz svých údajů, musí být veškeré osobní údaje shromážděné prostřednictvím cookies vymazány. To zahrnuje analytické profily, reklamní identifikátory a jakékoli další údaje navázané na identifikátory cookies.
Pro provozovatele webů využívající analytické nebo reklamní služby třetích stran to může být obzvláště náročné, protože údaje mohou být uchovávány třetí stranou. Vaše smlouvy o zpracování údajů s poskytovateli cookies třetích stran by měly obsahovat ustanovení pro vyřizování žádostí o výmaz.
GDPR vs. ePrivacy: Který předpis kdy platí?
Vztah mezi GDPR a směrnicí ePrivacy může být matoucí. Zde je vysvětleno, jak se vzájemně doplňují:
- Směrnice ePrivacy (čl. 5 odst. 3) upravuje samotné ukládání informací nebo přístup k informacím v zařízení uživatele. Vyžaduje souhlas u všech cookies s výjimkou těch, které jsou nezbytně nutné. Jedná se o lex specialis (zvláštní předpis) pro cookies.
- GDPR upravuje následné zpracování jakýchkoli osobních údajů shromážděných prostřednictvím cookies. Poskytuje rámec pro to, co představuje platný souhlas, práva subjektů údajů a povinnosti správců údajů.
Prakticky vyjádřeno: směrnice ePrivacy vám říká, že k nastavení cookie potřebujete souhlas. GDPR vám říká, jak vypadá platný souhlas, co můžete s údaji dělat a jaká práva uživatelé v souvislosti s těmito údaji mají. Oba předpisy platí současně.
Dozorové úřady a vymáhání
Každý členský stát EU má dozorový úřad pro ochranu osobních údajů (DPA), který je odpovědný za vymáhání jak GDPR, tak vnitrostátních implementací směrnice ePrivacy. Tyto úřady mají pravomoc vyšetřovat stížnosti, provádět audity a ukládat pokuty až do výše 4 % celosvětového ročního obratu nebo 20 milionů €, podle toho, která částka je vyšší.
Vymáhání v souvislosti s cookies se od roku 2020 dramaticky zrychlilo. Dozorové úřady po celé Evropě přešly od pokynů a varování k podstatným pokutám, čímž se dodržování předpisů o cookies stalo skutečným obchodním rizikem, nikoli teoretickou obavou.
Významné pokuty za cookies podle GDPR
Následující vymáhací opatření dokládají skutečné finanční důsledky nedodržování předpisů o cookies:
| Společnost | Pokuta | Úřad | Rok | Hlavní problém |
|---|---|---|---|---|
| Amazon Europe | 746 milionů € | CNPD (Lucembursko) | 2021 | Nesouladné reklamní sledování a mechanismy souhlasu |
| Google LLC | 150 milionů € | CNIL (Francie) | 2022 | Odmítnutí cookies nebylo tak snadné jako jejich přijetí |
| Facebook (Meta) | 60 milionů € | CNIL (Francie) | 2022 | Chybějící jednoduchý mechanismus pro odmítnutí cookies |
| Microsoft (Bing) | 60 milionů € | CNIL (Francie) | 2022 | Cookies ukládané bez souhlasu, chybějící snadný mechanismus odmítnutí |
| TikTok | 5 milionů € | CNIL (Francie) | 2023 | Odmítnutí cookies vyžadovalo více kliknutí než jejich přijetí |
| Criteo | 40 milionů € | CNIL (Francie) | 2023 | Nezískání platného souhlasu pro sledovací cookies |
| Vueling Airlines | 30 000 € | AEPD (Španělsko) | 2020 | Žádná možnost odmítnutí cookies, pouze „přijmout“ |
Tyto pokuty se neomezují jen na velké korporace. Vymáhacím opatřením čelily i malé a střední podniky, zejména ve Francii, Itálii a Německu. Samotný CNIL vydal v roce 2021 přes 100 formálních výzev webům všech velikostí ohledně dodržování předpisů o cookies.
Praktický kontrolní seznam pro dodržování GDPR u cookies
Pomocí tohoto kontrolního seznamu ověřte, zda váš web splňuje požadavky GDPR na cookies:
- Identifikujte všechny cookies, které váš web nastavuje, včetně těch umístěných skripty třetích stran, jako jsou analytika, reklama a widgety sociálních sítí.
- Klasifikujte každou cookie jako nezbytně nutnou, funkční, analytickou nebo marketingovou/reklamní.
- Zaveďte předchozí souhlas pro všechny nepodstatné cookies. Žádné analytické ani marketingové cookies by se neměly aktivovat dříve, než uživatel udělil souhlas.
- Prezentujte možnosti souhlasu spravedlivě. Možnost odmítnout cookies musí být stejně výrazná a přístupná jako možnost je přijmout.
- Nabídněte podrobný souhlas. Uživatelé musí mít možnost udělit souhlas pro konkrétní kategorie cookies, nikoli být nuceni volit vše, nebo nic.
- Nepoužívejte předem zaškrtnutá políčka. Všechny volitelné kategorie cookies musí být ve výchozím stavu nezaškrtnuté.
- Poskytujte jasné informace o účelu každé cookie, údajích, které shromažďuje, o tom, kdo má k údajům přístup, a jak dlouho cookie přetrvává.
- Identifikujte třetí strany. Uveďte názvy služeb třetích stran, které na vašem webu nastavují cookies (Google Analytics, Facebook Pixel, HubSpot atd.).
- Umožněte snadné odvolání. Poskytněte trvalý, snadno přístupný způsob, jak mohou uživatelé po počátečním souhlasu změnit své předvolby cookies. Běžnými přístupy jsou odkaz v patičce nebo plovoucí ikona.
- Uchovávejte záznamy o souhlasu. Veďte protokol o tom, kdy každý uživatel udělil souhlas, s čím souhlasil a jaká verze zásad používání cookies byla v dané době platná.
- Respektujte volby souhlasu i technicky. Zajistěte, aby odmítnutí souhlasu skutečně zabránilo nastavení odpovídajících cookies. To vyžaduje blokování skriptů před udělením souhlasu, nikoli pouze mazání cookies po jejich nastavení.
- Udržujte zásady používání cookies, které jsou aktuální, přesné a napsané jednoduchým jazykem. Aktualizujte je vždy, když přidáte nové cookies nebo služby třetích stran.
- Vyřizujte žádosti subjektů údajů. Mějte zaveden postup pro vyřizování žádostí o výmaz, který zahrnuje údaje shromážděné prostřednictvím cookies.
- Skenujte pravidelně. Provádějte automatizované skeny cookies alespoň jednou měsíčně a po každém nasazení, abyste zachytili nové cookies zavedené aktualizovanými skripty nebo pluginy.
Dodržování předpisů o cookies podle GDPR není jednorázová záležitost. Vyžaduje průběžnou pozornost, jak se váš web vyvíjí, jsou přidávány nové skripty a aktualizovány regulační pokyny. Organizace, které to považují za nepřetržitý proces, nikoli za odškrtnutí políčka, jsou právě těmi, které se vymáhacím opatřením vyhnou — a při tom si budují důvěru svých uživatelů.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma