Zdroje a slovníček pojmů k souladu s pravidly pro cookies
Soulad s pravidly pro cookies se pojí se specifickou slovní zásobou vycházející z evropské regulace, práva na ochranu osobních údajů a webových technologií. Tento slovníček definuje klíčové pojmy, se kterými se setkáte, a doplňuje jej pečlivě vybraný soubor oficiálních zdrojů a autoritativních odkazů pro další studium.
Slovníček klíčových pojmů
A–C
CMP (Consent Management Platform, platforma pro správu souhlasu): Softwarový nástroj nebo služba, která spravuje shromažďování, ukládání a vynucování souhlasu uživatelů s cookies a dalšími sledovacími technologiemi. CMP obvykle poskytuje rozhraní cookie lišty, ukládá záznamy o souhlasu a řídí, které skripty se smějí spustit na základě voleb uživatele. Příklady zahrnují Cookiebot, OneTrust, Usercentrics a open-source řešení jako Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): Francouzský úřad pro ochranu osobních údajů. CNIL je nejaktivnějším evropským regulátorem v oblasti vynucování pravidel pro cookies, uděluje nejvyšší pokuty související s cookies a vydává nejpodrobnější pokyny k souladu s pravidly pro cookies. Jeho výklady a donucovací opatření často udávají standard, který ostatní úřady následují.
Souhlas: V kontextu GDPR svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů vyjádřený jasným potvrzujícím úkonem. U cookies to znamená, že uživatel musí aktivně zvolit povolení nezbytně nutných cookies prostřednictvím vědomého úkonu, například kliknutím na tlačítko „Přijmout“. Mlčení, předem zaškrtnutá políčka, nečinnost ani pokračování v prohlížení nepředstavují platný souhlas.
Cookie: Malý textový soubor, který web umísťuje na zařízení uživatele. Cookies se používají k široké škále účelů, od udržování přihlašovacích relací (nezbytně nutné) po sledování chování při prohlížení napříč webem (reklamní). Technicky je cookie dvojice název-hodnota s přidruženými metadaty zahrnujícími doménu, cestu, platnost a bezpečnostní příznaky.
Cookie lišta: Prvek uživatelského rozhraní (obvykle lišta, modální okno nebo vyskakovací okno), který se zobrazí, když uživatel poprvé navštíví web, informuje ho o používání cookies na daném webu a žádá o jeho souhlas. Cookie lišta v souladu s předpisy poskytuje jasné informace, nabízí skutečné volby (přijmout, odmítnout, přizpůsobit) a nenastavuje nezbytně nenutné cookies, dokud uživatel neodpoví.
Zásady používání cookies: Dokument (obvykle samostatná webová stránka nebo část zásad ochrany osobních údajů), který poskytuje podrobné informace o všech cookies používaných na webu, včetně jejich názvů, účelů, typů, dob trvání a poskytovatelů třetích stran, kteří je nastavují. Zásady používání cookies naplňují povinnosti transparentnosti dle GDPR a požadavek směrnice ePrivacy na „jasné a úplné informace“.
Cookie zeď (cookie wall): Mechanismus, který blokuje přístup k obsahu webu, pokud uživatel nesouhlasí se všemi cookies. Cookie zdi jsou kontroverzní a jejich zákonnost se liší podle jurisdikce. EDPB uvedl, že cookie zdi podkopávají požadavek na „svobodně udělený“ platný souhlas, protože uživatel čelí volbě typu vezmi, nebo nech být. Některé národní úřady (zejména francouzská Conseil d'Etat) povolily cookie zdi za omezených podmínek, kdy má uživatel skutečný alternativní způsob přístupu k obsahu.
D–E
Manipulativní vzor (dark pattern): Volba návrhu uživatelského rozhraní, která manipuluje uživatele k rozhodnutím, jež by jinak neučinili. V kontextu cookies mezi manipulativní vzory patří: vizuální zvýraznění tlačítka „Přijmout“ při skrytí možnosti „Odmítnout“, používání matoucího jazyka, vyžadování více kliknutí pro odmítnutí než pro přijetí a uplatňování taktik zahanbování za odmítnutí. EDPB vydal v únoru 2023 konkrétní pokyny k manipulativním vzorům v rozhraních pro ochranu osobních údajů.
Správce údajů: Subjekt, který určuje účely a prostředky zpracování osobních údajů. U cookies nastavených webem je správcem údajů obvykle provozovatel webu. U cookies třetích stran může existovat společné správcovství mezi provozovatelem webu a třetí stranou v závislosti na míře, v jaké každá strana ovlivňuje účely a prostředky shromažďování údajů.
Zpracovatel údajů: Subjekt, který zpracovává osobní údaje jménem správce údajů podle jeho pokynů. Poskytovatel hostingu nebo dodavatel CMP jednající výhradně podle pokynů provozovatele webu by byl zpracovatelem údajů. Toto rozlišení je důležité, protože správci nesou primární odpovědnost za soulad s předpisy, zatímco zpracovatelé musí dodržovat pokyny správce a podmínky smlouvy o zpracování osobních údajů.
Subjekt údajů: Fyzická osoba, jejíž osobní údaje jsou zpracovávány. V kontextu cookies jsou subjekty údajů návštěvníci webu, jejichž údaje jsou shromažďovány prostřednictvím cookies. Subjekty údajů mají podle GDPR práva včetně práva na přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů a právo vznést námitku.
DPA (Data Protection Authority, úřad pro ochranu osobních údajů): Nezávislý veřejný orgán odpovědný za sledování a vynucování práva na ochranu osobních údajů v každém členském státě EU. Úřady mají pravomoc vyšetřovat stížnosti, provádět audity, vydávat pokyny a ukládat pokuty. Každý členský stát má alespoň jeden úřad (Německo jich má několik, jeden na každou spolkovou zemi plus federální BfDI). Příklady: CNIL (Francie), Garante (Itálie), ICO (Spojené království), Datatilsynet (Dánsko/Norsko).
DPO (Data Protection Officer, pověřenec pro ochranu osobních údajů): Osoba jmenovaná správcem nebo zpracovatelem údajů k dohledu nad souladem s GDPR. GDPR vyžaduje, aby některé organizace jmenovaly pověřence, mimo jiné orgány veřejné moci a organizace, jejichž hlavní činnost zahrnuje rozsáhlé monitorování subjektů údajů. Přestože nesouvisí přímo s cookies, pověřenec obvykle dohlíží na program organizace pro soulad s pravidly pro cookies.
EDPB (European Data Protection Board, Evropský sbor pro ochranu osobních údajů): Nezávislý orgán EU, který zajišťuje jednotné uplatňování GDPR a podporuje spolupráci mezi národními úřady. EDPB (který nahradil pracovní skupinu podle článku 29) vydává pokyny, doporučení a závazná rozhodnutí. Jeho pokyny k souhlasu (Guidelines 05/2020) a k manipulativním vzorům jsou klíčovými referencemi pro soulad s pravidly pro cookies.
Směrnice ePrivacy (směrnice 2002/58/ES): Směrnice EU upravující soukromí v elektronických komunikacích, včetně používání cookies. Článek 5 odst. 3 je hlavním právním základem požadavku na souhlas s cookies. Jako směrnice musí být provedena do vnitrostátního práva každého členského státu, což vede k rozdílům v implementaci. Má být nahrazena nařízením ePrivacy, které je stále předmětem jednání.
F–G
Cookie první strany: Cookie nastavená doménou, kterou uživatel navštěvuje. Například pokud uživatel navštíví example.com a example.com nastaví cookie, jde o cookie první strany. Cookies první strany se obvykle používají pro nezbytné funkce (relace, předvolby) a analytiku první strany. Obecně jsou považovány za méně invazivní než cookies třetích stran, protože nemohou sledovat uživatele napříč různými weby.
GDPR (General Data Protection Regulation, obecné nařízení o ochraně osobních údajů): Nařízení (EU) 2016/679, komplexní zákon EU o ochraně osobních údajů účinný od 25. května 2018. GDPR poskytuje právní rámec pro to, co představuje platný souhlas (uplatňovaný na cookies prostřednictvím odkazu ve směrnici ePrivacy), práva subjektů údajů, povinnosti správců a zpracovatelů údajů a režim vynucování včetně pokut až do výše 4 % celosvětového ročního obratu nebo 20 milionů eur.
GPC (Global Privacy Control): Signál na úrovni prohlížeče, který sděluje preferenci uživatele odhlásit se z prodeje nebo sdílení jeho osobních údajů. Na rozdíl od staršího signálu Do Not Track (DNT) má GPC právní oporu podle CCPA/CPRA a několika dalších zákonů o ochraně soukromí ve státech USA. Když uživatel povolí GPC ve svém prohlížeči, weby podléhající těmto zákonům jej musí považovat za platnou žádost o odhlášení. GPC je stále více uznáván i v Evropě, ačkoli zatím není podle práva EU právně vyžadován.
Google Consent Mode: Funkce infrastruktury značek společnosti Google, která upravuje chování značek Google (Analytics, Ads atd.) na základě stavu souhlasu sděleného CMP webu. Consent Mode v2, vyžadovaný pro personalizaci reklam v EHP od března 2024, zavádí parametry ad_user_data a ad_personalization vedle stávajících ad_storage a analytics_storage. Když je souhlas odmítnut, značky Google upraví své chování tak, aby nenastavovaly cookies, ačkoli v závislosti na konfiguraci mohou stále odesílat omezené pingy bez cookies.
I–L
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Rámec vyvinutý odvětvím pro správu souhlasu v ekosystému digitální reklamy. TCF poskytuje standardizovaný způsob, jak CMP, inzerenti a vydavatelé sdílejí signály souhlasu napříč dodavatelským řetězcem reklamních technologií. Aktuálním standardem je verze 2.2. TCF čelil právním výzvám, zejména rozhodnutí belgického úřadu z roku 2022, že zpracování řetězce TC ze strany IAB Europe představuje zpracování osobních údajů. Rámec je nadále široce používán, ale jeho právní status se stále vyvíjí.
Oprávněný zájem: Jeden ze šesti právních základů pro zpracování osobních údajů podle článku 6 odst. 1 písm. f) GDPR. Oprávněný zájem vyžaduje test vyvážení mezi zájmy správce a právy a svobodami subjektu údajů. U cookies je použití oprávněného zájmu jako právního základu vysoce sporné. Převažující evropský regulační názor je, že vhodným základem pro nezbytně nenutné cookies je souhlas (nikoli oprávněný zájem), protože směrnice ePrivacy výslovně vyžaduje souhlas pro ukládání na zařízení uživatele.
O–P
Opt-in: Model souhlasu, kdy ke zpracování osobních údajů (nebo nastavení cookies) nedochází, dokud uživatel neučiní potvrzující úkon k jeho povolení. Model cookies v EU je opt-in: žádné nezbytně nenutné cookies, dokud uživatel nesouhlasí. Opt-in poskytuje silnější ochranu soukromí, ale vyžaduje mechanismus souhlasu ještě před zahájením jakéhokoli sledování.
Opt-out: Model souhlasu, kdy ke zpracování osobních údajů (nebo nastavení cookies) dochází ve výchozím nastavení a uživatel musí učinit úkon, aby jej zastavil. Americký model cookies (podle CCPA a podobných státních zákonů) je obecně opt-out: sledování probíhá, pokud uživatel nevznese námitku. Opt-out přenáší břemeno úkonu na uživatele, nikoli na provozovatele webu.
Trvalá cookie: Cookie, která zůstává na zařízení uživatele po definovanou dobu i po zavření prohlížeče. Trvalé cookies se používají k zapamatování předvoleb, udržování přihlašovacích relací napříč návštěvami a sledování chování v čase. Mají nastavené datum platnosti a zůstanou, dokud toto datum neuplyne nebo dokud je uživatel neodstraní. Doba trvání trvalých cookies by měla být přiměřená jejich účelu.
Osobní údaje: Podle GDPR jakákoli informace týkající se identifikované nebo identifikovatelné fyzické osoby. To zahrnuje zjevné identifikátory (jméno, e-mail) i méně zjevné (IP adresy, identifikátory cookies, otisky zařízení). Bod odůvodnění 30 GDPR výslovně uvádí, že online identifikátory, jako jsou identifikátory cookies, mohou představovat osobní údaje. V praxi se téměř všechny cookies, které jednoznačně identifikují prohlížeč nebo uživatele, kvalifikují jako osobní údaje.
Předchozí souhlas: Souhlas získaný předtím, než dojde k úkonu, který povoluje. U cookies znamená předchozí souhlas získání souhlasu uživatele před nastavením jakýchkoli nezbytně nenutných cookies na jeho zařízení. To je základní požadavek článku 5 odst. 3 směrnice ePrivacy. Nastavení cookies nejprve a dodatečná žádost o souhlas, nebo zpětné odstranění cookies v případě odmítnutí souhlasu, požadavek na předchozí souhlas nesplňuje.
S–T
Cookie relace: Cookie, která existuje pouze po dobu trvání relace prohlížeče uživatele a je odstraněna při zavření prohlížeče. Cookies relace se běžně používají k udržování přihlašovacího stavu, obsahu nákupního košíku a dalších dočasných dat. Mnoho cookies relace se kvalifikuje jako nezbytně nutné, a jsou proto vyňaty z požadavku na souhlas, ačkoli to závisí na jejich konkrétním účelu.
Nezbytně nutná cookie: Cookie, která je nezbytná pro fungování webu a pro poskytnutí služby výslovně vyžádané uživatelem. Nezbytně nutné cookies jsou vyňaty z požadavku na souhlas podle článku 5 odst. 3 směrnice ePrivacy. Mezi příklady patří ověřovací cookies, bezpečnostní cookies (tokeny CSRF), cookies pro vyvažování zátěže a cookies předvoleb uživatelského rozhraní, které jsou pro službu nezbytné. Analytické cookies, reklamní cookies a cookies sociálních médií nejsou nezbytně nutné, bez ohledu na to, za jak užitečné je provozovatel webu považuje.
Cookie třetí strany: Cookie nastavená jinou doménou, než kterou uživatel navštěvuje. Například pokud uživatel navštíví example.com a cookie nastaví facebook.com (prostřednictvím Facebook Pixelu vloženého na example.com), je cookie Facebooku cookie třetí strany. Cookies třetích stran se primárně používají pro sledování napříč weby a cílenou reklamu. Hlavní prohlížeče cookies třetích stran omezují nebo odstraňují: Safari a Firefox je již ve výchozím nastavení blokují a Chrome oznámil plány na jejich ukončení (ačkoli se harmonogram několikrát posunul).
Sledovací pixel: Malý neviditelný obrázek (obvykle 1×1 pixel) vložený do webové stránky nebo e-mailu, který při načtení hlásí zpět na server. Ačkoli technicky nejde o cookie, sledovací pixely jsou příbuznou sledovací technologií, která často funguje ve spojení s cookies za účelem sledování chování uživatele. Podle směrnice ePrivacy podléhají stejným požadavkům na souhlas jako cookies, protože zahrnují přístup k informacím na zařízení uživatele (HTTP požadavek přenáší IP adresu uživatele, informace o prohlížeči a jakékoli přidružené cookies).
Oficiální zdroje
Legislativa a pokyny EU
- Úplné znění GDPR — nařízení (EU) 2016/679 na EUR-Lex
- Úplné znění směrnice ePrivacy — směrnice 2002/58/ES na EUR-Lex
- Novela směrnice ePrivacy (2009) — směrnice 2009/136/ES
- Pokyny EDPB — všechny pokyny, včetně Guidelines 05/2020 o souhlasu
- Veřejné konzultace EDPB — včetně pokynů k manipulativním vzorům
Národní pokyny úřadů k cookies
- Pokyny CNIL k cookies (Francie) — nejpodrobnější národní pokyny k cookies, včetně kritérií výjimky pro měření návštěvnosti
- Pokyny Garante k cookies (Itálie) — komplexní pokyny z roku 2021 s konkrétními požadavky na cookie lišty
- Pokyny ICO k cookies (Spojené království) — podrobné praktické pokyny, i přes brexit stále vysoce relevantní pro soulad s předpisy EU
- Datatilsynet (Dánsko) — pokyny a rozhodnutí dánského úřadu
- BfDI (Německo) — federální komisař pro ochranu osobních údajů
Google Consent Mode
- Dokumentace Google Consent Mode — oficiální průvodce implementací
- Požadavky Google Consent Mode v2 — požadavky EHP pro Google Ads
- Nastavení pokročilého Consent Mode — technické podrobnosti implementace
IAB Transparency and Consent Framework
- Přehled IAB Europe TCF — dokumentace rámce a seznam dodavatelů
- Specifikace TCF 2.2 — technická specifikace pro implementátory CMP
Zákony o ochraně soukromí v USA
- Stránka kalifornského generálního prokurátora ke CCPA — oficiální zdroje ke CCPA/CPRA
- California Privacy Protection Agency — předpisy a vynucování CPRA
- Global Privacy Control (GPC) — specifikace a podpora prohlížečů
Judikatura SDEU
- Planet49 (věc C-673/17) — předem zaškrtnutá políčka nepředstavují platný souhlas
- IAB Europe TCF (věc C-604/22) — řetězec TC představuje osobní údaje
Další četba
- W3C Tracking Preference Expression (DNT) — pozadí Do Not Track a jeho nástupnických technologií
- RFC 6265: HTTP State Management Mechanism — technická specifikace cookies
- MDN: Používání HTTP cookies — komplexní vývojářská reference
- Vysvětlení SameSite cookies — pochopení atributu SameSite a jeho dopadu na cookies třetích stran
- Google Privacy Sandbox — iniciativa Google nahradit cookies třetích stran alternativami šetrnými k soukromí
Nástroje pro soulad s pravidly pro cookies
Udržování souladu s pravidly pro cookies vyžaduje správné nástroje. Passiro poskytuje automatizované skenování cookies, které projde celý váš web pomocí skutečného prohlížečového jádra, identifikuje všechny cookies a sledovací technologie, kategorizuje je pomocí průběžně aktualizované databáze a monitoruje změny prostřednictvím naplánovaných skenů a upozornění. Ve spojení s platformou pro správu souhlasu Passiro vám to poskytne úplný, vždy aktuální přehled o stavu souladu vašeho webu s pravidly pro cookies.
Zjistěte více o skenovacích schopnostech Passiro nebo spusťte bezplatný sken svého webu a zjistěte, jaké cookies váš web dnes nastavuje.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma