EU si došlápla na cookies. Vyžadovat souhlas a zakazovat přístup je nezákonné

EU si došlápla na cookies. Vyžadovat souhlas a zakazovat přístup je nezákonné
Svět

TVRDÝ ÚDER PROTI COOKIES

Echo24

Evropský sbor pro ochranu osobních údajů (EDPB) ve svých pokynech konstatoval, že takzvané cookie walls, tedy zákaz přístupu uživateli na webovou stránku, pokud cookies nepovolí, jsou od května nezákonné. Fungují totiž na principu souhlasu uživatelů se zpracováním jejich osobních údajů, což podle EDPB není platný souhlas. Technologický server The Verge změnu označil za pokus „napravit otřesnou politiku ohledně cookies“.

Cookies představují drobné množství dat, které webový server pošle skrze internetový prohlížeč na zařízení uživatele. Při každé další návštěvě daného webu pak prohlížeč tato data posílá zpět serveru. Právě díky cookies si počítače a další přístroje „pamatují“ některé uživatelské předvolby jako třeba přihlašovací údaje k emailové schránce.

Materiály evropského orgánu ale upozorňují na problematičnost a nezákonnost některých dosud běžných praktik při používání webových prohlížečů a mobilních aplikací. Cookies a jiné prvky sledující aktivitu uživatelů webových stránek mohou být použity pouze s výslovným souhlasem subjektů údajů. Pouhé prohlížení webových stránek uživatelem nelze interpretovat jako jeho souhlas s použitím cookies. Jinými slovy, pokud je uživateli dána pouze možnost akceptovat sledování nebo ze stránek odejít, nelze takto udělený souhlas považovat za svobodný a souladný s právem.

V té souvislosti pokyny upozorňují na cookie walls – nastavení, které brání přístupu na webovou stránku nebo k některým jejím funkcím, pokud uživatel neudělí souhlas s použitím cookies. Souhlas dle směrnice o elektronickém soukromí je podle pokynů totožný se souhlasem, který reguluje GDPR, tedy svobodný, konkrétní, informovaný a jednoznačný. Pokud je však podmínkou souhlasu zpřístupnění služby, pak nemůže být nikdy úplně svobodný. Plné zobrazení webové stránky, které je podmiňováno souhlasem s uložením cookies v zařízení uživatele, je tudíž nepřípustné, protože nesplňuje výše zmíněné požadavky na podobu souhlasu, v tomto případě zejména na svobodu jeho udělení. Uživatel musí tedy mít vždy na výběr souhlas buď udělit, nebo neudělit.

Důležitou součástí nových pokynů je také rozhodnutí, že jen nepatrná uživatelská interakce se stránkou nebo posouvání v prohlížeči nelze za žádných okolností považovat za souhlas se zpracováním cookies. EDPB konstatuje, že takové počínání nesplňuje podmínku jednoznačnosti projevu vůle. Přejíždění kurzorem po obrazovce či její posunování tedy není považováno za vyjádření souhlasu. Hlavním důvodem je, že stejným způsobem není možné jeho odvolání.

Provozovatelé si ale i tak najdou způsoby, jak uživatele mást. Mezi jejich triky patří už předvyplněná políčka, nepřehledné grafiky nebo prostě chybějící upozornění na to, že souhlasem se člověku do zařízení dostanou cizí data. Nedávná studie ukázala, že pouze 11 procent mechanismů souhlasu s cookies „splňuje minimum evropské normy“.

Pokyny 05/2020 o souhlasu podle nařízení 2016/679 (GDPR) reagují mimo jiné na rozsudek Soudního dvora EU. Podle obecného nařízení Evropské unie o ochraně údajů z roku 2016 jsou cookies, tedy informace, které internetový prohlížeč ukládá o činnosti uživatele, považované za osobní údaje.