V minulém příspěvku jsme představili podstatu cookies a předpisy, kterými se jejich používání na webu řídí. Dnes si řekneme, jak správně uvést tato pravidla do praxe a jakým praktikám se naopak vyhnout.
Ať už vytváříte váš web na zelené louce anebo svůj web máte již nějakou dobu „live“, připravili jsme pro vás několik otázek, na které je třeba si při nastavování cookies odpovědět.
Kde a jaké cookies používám?
Pokud používáte ke svému podnikání prezentaci na webu, začněte analýzou toho, jaké weby či webové aplikace provozujete a kde všude cookies používáte. Vytvořte si podrobný přehled všech cookies obsahující jejich název, účel, typ a dobu, po kterou mají být ukládány. Tento seznam vám poslouží i později pro umístění na váš web, kde bude sloužit k informování uživatelů o cookies, které web používá. Přehled zrevidujte a rozhodněte, jestli skutečně potřebujete využívat všechny cookies.
Používám cookies třetích stran?
Pokud používáte soubory cookies třetích stran, určete všechny subjekty, kterým data získaná prostřednictvím cookies dále předáváte. V těchto případech bude třeba určit, kdo je podle GDPR ve vztahu k údajům získávaným z cookies v pozici správce a zpracovatele. A dále jestli jsou údaje předávány mimo Evropskou unii. Všechny tyto situace nezapomeňte formálně ošetřit smlouvou anebo jiným právním aktem.
Co má obsahovat souhlas se zpracováním údajů?
Jak už jsme zmínili, pro všechny typy cookies (vyjma technických a případů oprávněného zájmu) je nutné shromažďovat od uživatelů souhlas se zpracováním osobních údajů získávaných prostřednictvím cookies.
Připravit tedy musíte znění souhlasu a dalšího souhrnného dokumentu/stránky, kam bude ze souhlasu odkazováno a kde se uživatel dozví, jaké cookies na webu používáte, jaké údaje tyto cookies shromažďují, k jakému účelu zpracování a po jak dlouhou dobu budou údaje uchovávány, tzv. Zásady použití souborů cookie. Chybět by neměly ani kontaktní údaje správce osobních údajů. Vzor souhlasu s použitím souborů cookie jsme pro vás připravili zde.
Nezapomínejte na to, že souhlas se zpracováním osobních údajů nenahrazuje Zásady ochrany osobních údajů (Privacy Policy), které musí být na vašem webu uvedeny zvlášť.
Jak má vypadat cookie lišta?
K získávání a uchovávání souhlasu je poté potřeba vybrat vhodné technické řešení. Nejčastějším řešením, které informuje uživatele o existenci cookies na webu a umožní mu vyslovení (ne)souhlasu se zpracováním cookies, je cookie lišta (cookie banner) nebo cookie okno.
Cookie lišta by měla být skutečně funkční a nastavena tak, aby vytvářela evidenci s preferencemi uživatele, která zároveň bude sloužit i k doložení aktivně uděleného souhlasu se zpracováním cookies. Nemělo by se jednat jen o naoko vytvořený grafický prvek webu.
Cookie lišta by měla být rozdělena do několika částí, které uživateli umožní vybrat, s jakými účely zpracování cookies souhlasí a komu mohou být shromážděné informace předávány.
Vzhled a barevnost tlačítek k udělení/odmítnutí souhlasu má také svá pravidla. Tlačítka by se od sebe neměla výrazně lišit velikostí nebo barvou, tak aby pro uživatele nebylo např. tlačítko odmítnutí souhlasu hůře viditelné anebo identifikovatelné, a jeho udělený souhlas mohl být považován za svobodný. Tlačítko odmítnutí by mělo být funkční a nemělo by uživatele například jen přesměrovat na jinou stránku s více informacemi o cookies.
Pokud použijete zaškrtávací políčka nebo přepínače, je důležité připomenout, že nesmí být předem zaškrtnuty na volbu souhlasu. Souhlas udělený předem zaškrtnutým políčkem nepředstavuje aktivní jednání ze strany uživatele, a je tudíž neplatný. Výjimkou jsou opět nezbytné cookies, ke kterým se získání souhlasu nevyžaduje.
Jak uvádíme v předchozím článku , plné zobrazení webové stránky nemůže být podmiňováno souhlasem se zpracováním cookies. To znamená, že cookies lišta nemůže uživateli bránit v přístupu k obsahu webu nebo znesnadňovat jeho čtení.
Úřad pro ochranu osobních údajů (ÚOOÚ) bedlivě monitoruje dodržování nařízení souvisejících s nastavením zpracování cookies. Během prvního pololetí roku 2022 zjistil několik nedostatků souvisejících s nastavení cookie lišty. Tyto nedostatky vykazují znaky tzv. temných vzorců (dark patterns) neboli prvků webu, které mají za cíl uživatele oklamat a donutit ho, aby v souvislosti se zpracováním svých osobních údajů činil nezamýšlená, nedobrovolná a potenciálně škodlivá rozhodnutí.