Řešení pro e-shopy

Povinné vyžadování souhlasu s používáním cookies

Jakub Macek / 14 srpna, 2015

Internet zbystřil, protože se blíží 30. září 2015, kdy se začnou mít provozovatelé webových stránek povinnost ve výchozím stavu chránit soukromí uživatelů a neukládat o nich informace použitelné ke sledování a dlouhodobému ukládání osobních údajů.

Přinášíme vám proto s tímto upozorněním krátké shrnutí těchto povinností. Je nutné samozřejmě připomenout, že každý případ by měl být posuzován individuálně, takže byste měli věnovat především pozornost příslušným dokumentům, které dané ustanovení vysvětlují podrobněji a konkrétně popisují přijatelná a nepřijatelná řešení.

Řešit souhlas s používáním cookies musí všichni provozovatelé webů, kteří využívají služby jako Google Analytics (remarketing, inzertní funkce), Google AdSense nebo jakákoliv službu, která využívá cookies pro “sledování návštěvníků”. Google navíc toto nově vyžaduje v rámci svých licenčních podmínek.

Nejdříve bych ale chtěl krátce vzpomenout, že se zde nejedná o nesmyslnou zátěž, jak se může na první pohled zdát, ale že jde o kritickou část našich životů. Ochrana soukromí se zejména dostala do popředí díky situaci kolem Edwarda Snowdena – pokud se vám podařilo celou věc minout, mohu doporučit film Citizenfour (ČSFD, IMDb), který dokumentuje v koncentrované formě, jak celá věc začala a ukazuje jak vypadaly pohromadě zprávy, které postupně pronikaly do zpráv v průběhu celého roku (nenechte se odradit formou dokumentu, jde sestříhaný záznam skutečných událostí bez klasické hollywoodské dekorace).

Dokumenty

K získání povědomí o celé situace s ukládáním údajů o uživatelích se stačí pročíst následujícím oficiálním dokumentem, který jak už bývá v EU zvykem, je k dispozici i v české verzi:

Stanovisko 2/2010 k internetové reklamě zaměřené na chování

Už na první pohled je vidět, že zde nejde o žhavou novinku, ale o pět let starý dokument. Potvrzuje se tedy, že bez ohledu na délku přípravného období se bude vše řešit na poslední chvíli (jak je tradicí třeba u daňových přiznání). Ve stručnosti se celá změna dá popsat jako “Ukládat identifikující a osobní údaje lze pouze s informovaným souhlasem.”, což pro provozovatele webu představuje tři úpravy k realizaci:

  1. Sbírané údaje. Tato část je individuální – každý ukládaný údaj musí být popsán a zařazen do jedné z kategorií.
  2. Souhlas. Je potřeba zařídit, aby se údaje nemohly ukládat bez předchozího souhlasu.
  3. Odvolání. I tento souhlas se zpracováním údajů lze kdykoliv odvolat – web na to musí být přípraven.

Jeden z nejdůležitějších faktů je, že samotný zákon je velmi stručný, obecný a k věci. Nelze se tedy povinnosti jen vyhnout technickým trikem.

Sbírané údaje

Aby mohl uživatel udělit informovaný souhlas, musí být pochopitelně nejdříve informován. V principu jde o stejnou situaci jako u předoperačního informovaného souhlasu – text by měl být srozumitelný, bez technického žargonu a neměl by nic zastírat. V opačném případě může být shledán nedostatečný a v důsledku toho nemohl uživatel souhlas udělit (a to i když kliknul na “souhlasím”).

Pokud jste naším klientem a nemáte část webových stránek, kterou bychom nespravovali, můžeme tento dokument sestavit za Vás, případně Vám připravit základní část a předat jej k doplnění. Příprava je v tomto ohledu více než dostatečná a z veřejných zdrojů EU lze stáhnout šablonu také v českém jazyce (zdroj). Pochopitelně v případě vícejazyčných webu je potřeba mít stránku pro jazyky EU, i když doporučujeme rovnou mít tento text pro úplně všechny uživatele – schopnost číst ruský jazyk má i řada občanů EU.

Pro většinu webů budou ukládané údaje spadat do jedné ze tří základních kategorií:

  1. Nutné pro přístup. Zde spadají například údaje potřebné pro přihlášení ke službě, odeslání formuláře, objednání zboží. Ukládají se až na základě uživatelské akce a bez nich nelze požadovaný obsah či službu smysluplně poskytnout. Nesmí být použity pro sledování a musí mít omezenou dobu, po kterou budou uloženy. Pro tyto existuje výjimka a je pouze potřeba je odlišit od ostatních, ale není nutné vyžadovat souhlas.
  2. Zlepšující zážitek. To jsou osobní nastavení uživatele, u nás například oblíbené nastavení barvy webu. V tomto případě by měl být uživatel informován, že tyto údaje není možné použít ke sledování identity.
  3. Sledující. Na tuto skupinu nařízení především cílí. Jsou to informace, které dostatečně jednoznačně identifikují jednotlivého uživatele a tudíž je lze považovat za údaje osobní. Nejobvykleji sem spadají různé sledovací systémy jako Google Analytics a reklamní jako DoubleClick, AdSense nebo Sklik.

Tyto údaje se obvykle ukládají formou cookie, což je krátký textový soubor v počítači uživatele. Je třeba ale poznamenat, že nařízení necílí na cookie jako technickou formu uložení, ale na údaje jako takové. Je-li tedy použito třeba tzv. local shared objects (také “Flash cookies“) nebo modernějších schopností HTML5, vztahují se na ně stejná pravidla.

Zároveň to znamená, že zodpovědnost za technické provedení je na straně provozovatele, a pokud není schopen mít údaj, který nesleduje uživatele, pak tento údaj nesplňuje výjimku. Nebo jinými slovy výjimka je splněna pouze tehdy, pokud každý účel, ke kterému se údaj používá, tuto výjimku splňuje.

Google k tomuto účelu připravil pomocnou stránku Jak Google využívá data, když používáte weby nebo aplikace našich partnerů, na kterou se můžete ze svého webu odkazovat a trochu si ulehčit práci. Jako ukázku opravdu rozsáhlé webu lze použít stránky BBC (1, 2, 3). Dále si třeba všimněte, že i Úřad pro ochranu osobních údajů má solidně dlouhý seznam.

Souhlas

Výraznou změnou oproti předchozímu stavu je, že uživatel musí být nejen informován, ale především se nesmí informace o něm ukládat bez předchozího souhlasu. V důsledku je výchozí stav tedy, že se uživateli nesmí do stránky vkládat žádné sledovací skripty. V okamžiku, kdy potvrdí souhlas, tak je možné si uložit do cookie informaci o souhlasu a začít posílat i ostatní sledovací cookie.

Dřívější řešení s informačním pruhem tedy již není samo o sobě přijatelné. Také by měl být souhlas udělen pouze na omezenou dobu – v tomto ohledu se jeví jednotky měsíců jako bezpečná délka.

Stanovisko v tomto ohledu hovoří o tom, že:

Vydavatelé by si zkrátka měli být vědomi toho, že … přebírají vůči svým návštěvníkům určitou odpovědnost. Rozsah … by měl být analyzován případ od případu.

Odvolání

Jak už jsme zvyklí z e-mailových newsletterů, souhlas lze kdykoliv odvolat a poskytovatel obsahu je povinen toto reflektovat. Nestanoví se ovšem žádná “ochranná” lhůta, takže je potřeba přestat údaje ukládat ihned a nejlépe také všechny existující cookie smazat. Tato možnost musí být uživateli zřetelně dostupná – šablona EU počítá s tím, že obě možnosti souhlasit a odvolat souhlas budou na konci textu.

Tímto způsobem lze samozřejmě ponechat aktuální zobrazování informačního pruhu a samotný souhlas dát až na příslušnou stránku. To ale moc nedoporučuji, protože po určitém množství opakování – například při použití anonymního režimu prohlížeče – může uživatele toto hlášení obtěžovat. Je tedy vhodné umožnit souhlas i nesouhlas vyjádřit již v tomto informačním pruhu.

S tím souvisí i další vstřícnost vůči uživatelům. Pokud vyjádří svůj nesouhlas, nedoporučuji informační pruh po nějakou dobu zobrazovat. Není pravděpodobné, že by při příští návštěvě uživatel změnil názor, ale obtěžující pruh ho může přesvědčit, aby odešel hledat ke konkurenci.

Pragmatický dovětek

Z celé věci je zřejmé, že pokud Váš web nebude uživatele sledovat, bude mít konkurenční výhodu. To je ale v dnešní době málo pravděpodobné, takže této změně se vyhne málokdo a informace o tom, že je uživatel sledován, není úplně povzbuzující. Je tedy možné, že někteří budou v rámci konkurenčního boje nařízení ignorovat. A je dost možné, že budou v rámci konkurenčního boje také nahlášeni. Tedy aspoň nějaká projevená snaha je lepší, než pouze strčit hlavu do písku.

Co tedy udělat v kostce

Co tedy můžeme doporučit, je alespoň klasická kombinace změn – uvést na web seznam cookies, jak bylo popsáno výše, umožnit uživatelům souhlasit s jejich ukládáním a přidat pomocný informační pruh nahoru na web, aby mohli návštěvníci svůj souhlas vyjádřit pohodlně (protože dobrovolně to nikdo hledat nebude).

V případě, že byste v této oblasti chtěli pomoci, můžete se obrátit i na nás. Připravíme vám vhodné řešení.

 

Komentáře