Určitě jste se někdy setkali se situací, kdy jste navštívili některé internetové stránky a ve výhledu vám bránila vyskakovací okna, která informovala o cookies. Ta vám zmenšovala prostor zobrazované stránky (a ne a ne zmizet), dokud nekliknete na tlačítko „rozumím“ či „rozumím a přijímám“. V tom lepším případě se zde nacházel odkaz na stránku s bližšími informacemi a v tom ještě lepším byl text napsán dokonce srozumitelně i pro běžného člověka.
Nebo naopak provozujete webovou stránku, kde jste se rozhodli nasadit několik analytických nástrojů a nyní si nevíte rady, jak to uživatelům říct.
V tomto článku se podíváme na to, jaké kvality by měl informační text mít a co všechno by měl obsahovat.
Cookies jsou malé textové soubory, které se ukládají do prohlížeče uživatele. Slouží k různým účelům – od správného fungování webu až po analýzy a marketing. Můžeme je rozdělit na dva druhy podle toho, zda jejich používání vyžaduje souhlas uživatele:
Technické (nezbytné) cookies jsou potřebné pro správné zobrazení stránky a k zajištění jejího fungování. Typicky se jedná o cookies, které kontrolují, zda se uživatel již přihlásil do svého uživatelského účtu, umožňují nastavení jazyka, zajišťují bezpečnost při návštěvě stránky (v určité rozumné míře), zaznamenávají obsah nákupního košíku při provádění objednávky na e-shopu apod.
Ostatní cookies už se zaměřují spíše na marketingové analýzy, trackování uživatelů na webu, nahrávání, zkoumání jejich aktivity nebo profilování.
V právním jazyce se vžil pojem cookies. Tento pojem je však z technického pohledu potřeba vnímat mnohem šířeji. Proto si pod cookies představte různé fingerprinty, skripty, nástroje třetích stran, nebo například jakýkoliv analytický nástroj, který je nasazen na webových stránkách.
Tato oblast v nedávné době prošla podstatnou změnou (ČR přešla na obecnou povinnost vyžadovat souhlas u cookies, které nejsou nezbytné pro fungování webu), proto již výše píšeme, že pro všechny cookies, jiné než nezbytné je potřeba souhlas.
Dejme však nyní souhlas stranou a zaměřme se na to, co je potřeba návštěvníkům stránek o cookies sdělit.
Informační povinnost je nutno splnit vždy, bez ohledu na to, o jaký druh cookies se jedná. Zákon o elektronických komunikacích (který cookies upravuje) přímo uvádí, že je potřeba uživatele předem informovat o tom, že budou cookies používány.
Požadavky na informování vyplývají ze zákona o elektronických komunikacích a z nařízení GDPR. Možná jste právě zpozorněli a nelíbí se vám, že byste měli dodržovat tuto populární evropskou regulaci, protože přece žádné osobní údaje nezpracováváte. V tomto ohledu vás musíme zklamat – cookies v drtivé většině případů osobními údaji budou.
Některé soubory cookies osobním údajem nebudou samy o sobě, ale ve spojení s jinými údaji už ano. Navíc to, co není osobním údajem dneska, jím může být zítra. Například pokud si ukládáte IP adresu přiřazenou k office buildingu, ze které si Pepa prohlíží vaše stránky, většinou nebudete zpracovávat osobní údaje, protože Pepu nebudete schopni identifikovat. Pokud si ale u vás Pepa zřídí uživatelský účet, kde uvede své jméno, najednou bude osobním údajem jméno i IP adresa, protože jste si přiřadili ke konkrétnímu člověku.
Je proto jistější a kolikrát i výhodnější přistupovat ke všem cookies jako k osobním údajům a vyřešit informační povinnost předem. Kdybyste chtěli zpětně dohledávat, jaké cookies soubory jsou osobními údaji, nejspíš už byste celý život nedělali nic jiného.
Provozovatel musí uživatele informovat stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků. Stejně, jako to dělají zákonodárci.
Může jít cookies lištu na webové stránce, ve které se nachází hypertextový odkaz vedoucí na stránku s těmito informacemi. Určitě jsou možné ale i další způsoby informování a kreativitě (za předpokladu zachování účelu GDPR) se meze nekladou.
Rozhodně je nutné vyhnout se tomu, aby se návštěvníci stránek mohli dostat k těmto údajům pouze ve sklepě stavebního úřadu na Alfa Centauri. Dobře, to je možná trochu přehnané, ale ani takové schovávány informačního dokumentu do podstránek není vhodné.
Je také vhodné poskytnout tyto informace srozumitelným způsobem - tzn. vyhnout se právnickému, ale i technickému jazyku tam, kde to není potřeba. Můžete si pohrát i s grafickou úpravu textu, zajímavě jej členit, vynechat dlouhé odstavce či využít různých vizualizací a grafik.
Dalším možným přístupem jsou tzv. vrstvené podmínky ochrany osobních údajů. Uživatel má možnost se přes hypertextový odkaz posunout na stránku, která bude poskytovat podrobnější údaje.
Evropský sbor pro ochranu osobních údajů doporučuje 3 vrstvy: 1) krátké oznámení o tom, že webová stránka používá cookies, případně k čemu je používá s odkazem na další vrstvu, 2) stručné oznámení s nejrelevantnějšími informacemi, 3) plná privacy policy se všemi detaily. V poslední vrstvě je možné použít odbornější jazyk. Jedná se o pouhé doporučení, požadavek na srozumitelnost a transparentnost lze splnit i jinými způsoby.
Toto téma podrobněji rozebíráme v našem dalším článku: informační povinnost. Náležitosti jsou stanoveny v § 89, odst. 3 zákona o elektronických komunikacích a v čl. 13 GDPR:
Aby uživatel pochopil, co mu to vlastně říkáte, můžete věnovat pár vět tomu, co vůbec cookies jsou a jaké jsou na stránkách využívány. Protože přichází v úvahu použití mnoha druhů cookies, které mají různé účely, můžete jednotlivé cookies a jejich účely stručně charakterizovat a popsat, co umožňují. Součástí informace by mělo být to, jaké cookies jsou využívány, jak dlouho jsou uloženy a k čemu jednotlivé cookies slouží. Pokud využíváte vrstvené podmínky, určitě byste tuto informaci měli uvádět až v poslední vrstvě, jinak bude uživatel naprosto zahlcen. Podobně, jako jste možná nyní vy.
Na internetu existují také nástroje, které za vás nachystají cookie lištu a pokud používáte některé běžně používané nástroje, nabízí i šablonu k informování o cookies. Příkladem je třeba aplikace Cookiebot.
Je pro vás problematika cookies složitá a potřebujete poradit? Napište na