IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Cookies 2022

cookies GDPR pravidla 2022

Od 1.1. se naše weby měly v cookies synchronizovat s Evropou, protože tam k žádné změně nedošlo – mělo se přejít kompletně z principu opt-out na opt-in – tzn. návštěvník musí jednoznačně, svobodně a informovaně dát souhlas se zpracováním osobních údajů pomocí cookies. Bez tohoto souhlasu nesmí být spuštěna jiná než základní cookies – ta základní jsou opravdu ta nejnutnější, která jsou určena k tomu, aby web správně fungoval. Jedná se například o nastavení rozlišení, jestli stránka má být vykreslována pro počítač, pro mobil nebo pro tablet – toto jsou základní cookies. Všechna ostatní, analytická nebo marketingová, jsou bez přímého svobodného souhlasu zakázána.

GDPR Support logoMnoho webů to neudělalo. Některé weby sice změnily (udělaly) nastavení, nicméně z mého pohledu se jedná o taková optická šidítka, která se sice tváří tak, že uživatel ty cookies přepíná, zapíná, nicméně ta analytická i marketingová jsou již od začátku zapnutá a ta lišta, která toto má správně dělat, je opravdu jen takovým optickým ukazatelem, který ve výsledku nic nedělá.

Pravdou je, že pokud člověk opravdu nesleduje nastavení cookies, nesleduje to, co má spuštěno, nehlídá si je, může to velice jednoduše přehlédnout.

Další slabinou (nebo nešvarem) toho, co se dneska dělá, je to, že souhlas není tak docela svobodný. Opravdu prakticky všechny lišty jsou připraveny tak, že vyzývají uživatele, vyloženě zvýrazněně, aby přijal všechna cookies. Aby si nastavil, jaká cookies chce přijmout, bývá malými písmeny bokem, nebo nezvýrazněno a aby to udělal, musí si to rozkliknout někde úplně jinde. Ale klient (návštěvník toho webu) je opravdu vyzýván k tomu, aby vyloženě kliknul na „přijmout všechna cookies“. Což je, dá se říci, v rozporu s tím, aby byl (podle GDPR) souhlas svobodný.

Proč si to upravit a proč na to dbát?

Na to máme příklad pokuty od francouzského dozorového úřadu, který udělil pokutu Facebooku a Googlu. Ne za to, že neměli dobře udělaná cookies, ale za to, že odvolání souhlasu s těmi cookies (tzn. ve chvíli, kdy si návštěvník webu rozmyslí, jak ta cookies bude používat, že už nechce ta analytická mít spuštěna), nastavení bylo velmi složité najít – cesta k tomu byla velice složitá, tak za to francouzský dozorový úřad udělil pokutu.

Velkou zajímavostí je to, že obě společnosti mají svá evropská sídla v Irsku – tzn. z pohledu GDPR by je měl vyšetřovat Irský dozorový úřad, nicméně francouzský úřad nejednal podle GDPR, ale podle staré směrnice ePrivacy a ta nehledí na to, v jaké zemi se bude přestupek projednávat – jednalo se o francouzské občany, a proto úřad takto konal. A nepokutoval to z pohledu GDPR, ale z pohledu ochrany uživatele. Takže pokud nemáte správně nastavená cookies, můžete se vystavit pokutě od jakéhokoliv dozorového úřadu v Evropské unii, podle současné legislativy.

Další novinkou je to, že rakouský dozorový úřad sjednal, že Google Analytics vlastně porušují GDPR – že předávání osobních údajů mezi Evropou a Amerikou není ošetřeno a ta data mimo Evropskou unii zpracovávají tak, že porušují práva těch zpracovávaných subjektů a ty se pak nemohou domoci svých práv, například práva na vymazání a podobně, tudíž Datenschutzbehörde vydal své stanovisko, že Google Analytics porušuje GDPR. Dá se tedy říci, že každý, kdo je bude používat na svých stránkách je takovým spoluviníkem a vystavuje se možnému postihu, protože dozorové úřady mají postupovat jednotně – jestliže jeden úřad vydal stanovisko o tom, že je to nelegální, mělo by se v tom postupovat takto dál.

Mnoho českých firem a e-shopů používá služby různých webových firem, které nabízejí řešení na míru, ovšem ani tyto firmy nemají ta nastavení správně a uživatel tím, že používá nějakou šablonu, není v jeho silách ani schopnostech provést si to nastavení správně. V tom případě je dobré nechat si provést audit.

Petr Gondek, DPO, managing director GDPR Support s.r.o.

Obrázek: rawpixel.com/Freepik