facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
CVIS Consulting
IT SYSTEMS 4/2019 , IT právo

Novinky v pojetí cookie walls

Jan Rataj, Jan Metelka


cookie wallsNa úvod jen pár slov, co se skrývá pod tajemným pojmem „cookie wall“, který není příliš známým, přestože se s ním v praxi setkáváme až příliš často. Čtenářům IT Systems snad nemusíme podrobně představovat samotné cookies, ale pro jistotu připomeňme, že jde o drobné soubory, které ukládají informace o návštěvníkovi webových stránek - jaké stránky navštěvuje, jaké informace vyhledává, jak dlouhou dobu na daném webu stráví apod. Při každé další návštěvě téhož serveru pak prohlížeč tato data posílá zpět serveru. Tyto informace jsou posléze využívány za širokým spektrem účelů - zejména pak pro reklamu a pro různé statistické vyhodnocování uživatelského chování. Pro úplnost je ještě dobré poznamenat, že cookies existuje mnoho druhů a můžeme je dělit na cookies provozovatele takové webové stránky a cookies třetích stran, dále podle doby jejich expirace a samozřejmě podle toho, jaká data sbírají.


V České republice je problematika cookies (původně regulována evropskou směrnicí Privacy and Electronic Communications Directive z roku 2002, dále jen „směrnice ePrivacy“) konkrétněji upravena zákonem č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (kam byla evropská úprava transponována zákonem č. 468/2011 Sb.), kde je jasně uvedeno, že webová stránka musí informovat uživatele o tom, že jsou zpracovávány (a do počítače uživatele ukládány) cookies. V praxi se toto často řeší pomocí „proužku“, který se na webových stránkách objevuje a který uživatel potvrzuje, pokud souhlasí s tím, že se k němu mohou ukládat příslušné soubory cookies (tedy opt-in režim).

Tím se konečně dostáváme k názvu tohoto textu. Provozovatelé některých webových stránek se totiž rozhodli přístup podmínit potvrzením zpracovávání a ukládání cookies, tedy bez jejich odsouhlasení není uživatel na stránku vůbec vpuštěn. Právě tato praktika se nazývá „cookie wall“ a v březnu 2019 se k ní vyjadřoval příslušný holandský úřad na ochranu osobních údajů (Autoriteit Persoonsgegevens). Svou analýzu pojal ve smyslu rozporu této praktiky se zněním Obecného nařízení o ochraně osobních údajů č. 2016/679 (GDPR). Konkrétně se jednalo o to, že udělovaný souhlas musí být v souladu s GDPR dostatečně určitý, informovaný a svobodně udělený, aby mohl být platný.

Rozpor je zde vidět na první pohled - pokud je souhlasem podmíněn vstup na danou webovou stránku (případně má neudělení souhlasu pro uživatele jiné negativní konsekvence), tak nelze hovořit o tom, že je takový souhlas svobodně udělen. To samozřejmě platí pro všechny nástroje, které uživatele nějakým způsobem monitorují - tedy nejen cookies, ale tzv. tracking pixels (fragment kódu HTML, který se načte, když uživatel navštíví webovou stránku nebo otevře e-mail) a browser fingerprinting (metoda identifikace jednotlivých prohlížečů a sledování online aktivity uživatele).

Pozn. šéfredaktora:

Způsob, jakým EU reguluje prostředí internetu, je nevhodný, zcela nepřiměřený a v důsledku naprosto nefunkční. Způsobuje újmu jak poskytovatelům internetových služeb, tak i samotným uživatelům. Obtěžující varování před cookies jsou toho jasným důkazem. Existují totiž snadno dostupné prostředky, kterými mohou uživatelé webových služeb podle vlastní svobodné vůle chránit na internetu své soukromí, aniž by museli před vstupem na každou webovou stránku překonávat cookie wall. Cestou k ochraně soukromí a zvýšení bezpečnosti na internetu je informovat a vzdělávat, nikoli nařizovat, omezovat a zakazovat.
 

V praxi je celá situace o to horší, že provozovatelé webových stránek, kteří používají praktiku cookie wall často sdružují informace o různých cookies (např. cookies potřebných pro patřičné fungování webové stránky, cookies sloužících pro analýzu návštěvnosti na dané stránce a v neposlední řadě „reklamní“ cookies třetích stran) do jednoho souhlasu (bez jehož udělení není vstup na webovou stránku povolen) - tedy není možné si vybrat souhlas pouze s některými cookies.

Provozovatelé takových webů se brání, že jejich přístup je v souladu se současnou směrnicí ePrivacy and Electronic Communications Directive z roku 2002, která říká: „Přístup k určitému obsahu webových stránek může být stále podmíněn informovaným přijetím souboru cookie nebo podobného zařízení, pokud je používán pro legitimní účely.“

Z formulace je jasné, že se nejedná o přístup k celé webové stránce ale pouze „určitému obsahu“ a o legitimním účelu by taktéž bylo možné vést diskusi. Navíc platí, že celá směrnice ePrivacy bude brzy nahrazena novým přímo použitelným nařízením ePrivacy.

Vzhledem k tomu, že otázka cookies pálí nejenom provozovatele webových stránek ale i samotné návštěvníky, kteří se obávají vlivu na soukromí, vydal i Český úřad pro ochranu osobních údajů (ÚOOÚ) v květnu 2018 své doporučení ke zpracování cookies a obdobných prostředků sledování, neboť obdržel od veřejnosti četné dotazy týkající se vlivu v té době čerstvě účinného GDPR a nejistoty před schválením výše zmíněného nařízení ePrivacy. Regulátor zde cookies dělí na ty, které jsou nezbytně nutné pro zajištění provozu webových stránek a internetových služeb - pro tyto cookies není nutné získat souhlas uživatele. Ten naopak bude nutný pro všechny ostatní (sem budou patřit zejména různé profilovací a reklamní cookies třetích stran).

Resumé tohoto textu tedy není jednoznačné, názor holandského regulátora je bezesporu první vlaštovkou, která nicméně ještě neprošla testem u Evropského soudního dvora. Obecně z pojetí GDPR a současných návrhů v oblasti znění nařízení ePrivacy je nicméně patrné, že s velkou pravděpodobností se dočkáme časem situace, kdy budou cookie walls a spojování povinných souhlasů pro různé druhy cookies historií. Uživatel by neměl být ve svém záměru vstoupit na webovou stránku vzat jako rukojmí a donucen schválit všechny druhy cookies, ale pouze ty, které jsou nezbytně nutné pro provoz takové webové stránky.

Mgr. Ing. Jan Rataj
Autor článku působí jako senior associate ve společnosti DLA Piper
JUDr. Jan Metelka, LL.M
Druhý autor článku působí jako junior associate ve společnosti DLA Piper
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 6/
IT Systems 5/
IT Systems 4/
IT Systems 3/
Oborové a tematické přílohy
příloha #1 6/
příloha #1 5/
příloha #1 4/
příloha #1 3/
Kalendář akcí