elegal - advokátní kancelář

GDPR
Menu

Cookies a (nejen) GDPR: Jaké povinnosti zavádí nový rozsudek provozovatelům webů?

“Na předem zaškrtnuté políčko s povolením ukládání cookies zapomeňte”, zaznělo z Evropy. Kromě toho by každý provozovatel webu měl každého uživatele informovat o době funkčnosti jednotlivých cookies a dalších příjemcích. Co přineslo “přelomové” rozhodnutí?

Soudní dvůr Evropské unie rozhodoval ve věci německé společnosti Planet49 GmbH, kterou žalobou napadl tamní spotřebitelský spolek. Společnost v rámci své reklamní loterie vyžadovala od účastníků dva souhlasy (checkboxy) se zpracováním jejich osobních údajů, a to: 

  • s předáním kontaktních údajů spolupracujícím partnerům k zasílání obchodních sdělení a 
  • s používáním reklamních cookies, které měly sledovat chování individuálně rozpoznaných uživatelů na webových stránkách partnerů. 

Před kliknutím na potvrzení účasti v loterii byl defaultně první souhlas (checkbox) prázdný, ale druhý týkající se analytiky cookies byl předem zaškrtnutý. 

Předem zaškrtnuté políčko není platný souhlas

Více než slavného GDPR se rozhodnutí týká evropské směrnice, kterou u nás provádí zákon o elektronických komunikacích. Tyto pravidla se totiž uplatní bez ohledu na to, zda jde o osobní údaje nebo ne. Směrnice jednoduše brání tomu, aby provozovatelé webu cokoli ukládali do zařízení koncových uživatelů bez jejich souhlasu (vyjma technických cookies). Soud v této věci potvrdil, že pro „udělení“ souhlasu je třeba vždy aktivní činnosti uživatele a předem zaškrtnutý souhlas tak nesplňuje řeč zákona. To by pro většinu našich čtenářů už ale neměla být novinka. 

Co ještě stojí za pozornost?

Zajímavější ale je další závěr rozsudku, který je trochu stranou pozornosti. Soud totiž vyložil informační povinnost provozovatele webu tak, že kromě běžného účelu zpracování musí uživatele informovat i o funkční době jednotlivých cookies a dalších příjemcích. Tato praxe je u nás zatím minimální a majitelé stránek by tak měli více věnovat pozornost nastavení svého on-line marketingu a informovat návštěvníky, jak dlouho budou zpracovávat jejich údaje pomocí jednotlivých nástrojů. 

Bohužel se v rozhodnutí soud nevěnoval tomu, jakým způsobem tedy může být souhlas aktivně udělen a protože stále marně čekáme na nařízení ePrivacy, není nadále na evropském poli jasno, jestli stačí jen nastavení prohlížeče. (Náš úřad je s tím za dobře, více si můžete přečíst zde.)  

A pokud nechcete, aby příště celá Evropa četla rozsudek se jménem vaší společnosti, napište nám a my vám pomůžeme váš web vyladit podle práva.