Budete dodržovat „sušenkový zákon“? A je to vůbec možné?

Sušenkový zákon, jak se přezdívá nařízení Evropské unie o povinném vyžadování souhlasu s uložením cookies, je téměř věčné téma. Diskuzi nedávno oživil Google, když nakázal svým uživatelům na webech souhlas požadovat. Problém je v tom, že směrnici EU nelze dost dobře plně dodržet, a tak to prakticky nikdo nedělá.

Evropská unie se již delší dobu snaží omezit „špatné“ využívání cookies v prohlížečích uživatelů. Do špatné skupiny cookies patří ty, které slouží k „ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů“. Od roku 2009 navíc platí směrnice 2009/136/ES, která změnila předchozí možnost skladování cookies pouze odmítnout (opt-out) na stávající model, kdy je nutné nejdříve s používáním cookies souhlasit (prior opt-in).

Od té doby návštěvníci na webových stránkách objevují opakované žádosti o udělení souhlasu. Takovouto žádost musí dle aktuální směrnice EU mít stránka, která v rámci svých cookies nesplňuje předem definované kritérium A ani kritérium B. Zkráceně lze říci, že pokud stránka používá sociální pluginy, reklamní systém třetích stran či měřící analytický nástroj (nejen třetích stran, ale i váš vlastní) — pokud tedy přeneseně máte na stránce Facebook like, de facto jakoukoli reklamu anebo měříte návštěvnost dle Google Analytics, měli byste každého uživatele podle nařízení EU žádat o tento souhlas.

Je to nesmyslné. Zbytečně komplikované. A problém spočívá v tom, že ani to není dle platné směrnice EU správně. Pouze žádost o souhlas nestačí.

Citace ze směrnic

Ocituji zde několik směrnic, o kterých budu dále hovořit. Pokud je nechcete číst, mám pro vás zkrácenou verzi označenou jako <tl;dr>.

Citováno z doslovného znění stanoviska 2/2010 k internetové reklamě zaměřené na chování, bod 4.1, který se dále odkazuje na čl. 5 odst. 3 směrnice 95/46/ES.

i) souhlas musí být získán před tím, než je cookie umístěno v koncovém zařízení uživatele a/nebo než jsou shromážděny informace uložené v koncovém zařízení uživatele (známé jako předem získaný souhlas),

ii) informovaný souhlas lze získat pouze tehdy, jestliže byly uživateli předem poskytnuty informace o zaslání a účelu cookie. V této souvislosti je důležité vzít v úvahu, že aby byl souhlas platný za všech okolností, ve kterých je poskytnut, musí být poskytnut svobodně, musí být konkrétní a musí představovat informované vyjádření přání subjektu údajů. Souhlas musí být získán před shromážděním osobních údajů, což je nezbytným opatřením zajišťujícím, aby si subjekty údajů byly plně vědomy, že poskytují souhlas a k čemu jej poskytují. Musí být navíc možné, aby byl souhlas odejmut.

<tl;dr> Musíte informovat návštěvníka, k čemu používáte cookies. Pokud zatím nesouhlasil či odmítl, cookies se nemůžou vytvořit.

Zaprvé, časově omezit působnost souhlasu. Souhlas se sledováním by neměl být na dobu neomezenou, ale měl by být platný po omezené časové období, například jednoho roku. Po uplynutí tohoto období by poskytovatelé reklamních sítí museli získat nový souhlas. To by mohlo být zajištěno, pokud by cookies po uložení do koncového zařízení uživatele měla omezenou životnost (a datum jejich vypršení by nemělo být prodlouženo).

<tl;dr> Souhlas není napořád. Ptejte se jej cyklicky. Optimálně znovu po roce.

Za třetí, svobodně poskytnutý souhlas může být vždy odejmut. Subjektům údajů by měla být poskytnuta možnost snadno odejmout souhlas se svým sledováním pro účely poskytování reklamy zaměřené na chování. V tomto ohledu má zásadní význam potřeba poskytnout jasné informace o této možnosti a o tom, jak ji provést (viz níže v části 4.2).

<tl;dr> Souhlas lze kdykoliv zrušit.

Aby byl souhlas platný, musí kromě požadavků popsaných výše (a níže) souhlas dítěte v některých případech poskytnout jeho rodiče nebo jiní zákonní zástupci. V tomto případě to znamená, že poskytovatelé reklamních sítí by museli rodičům oznámit shromažďování a využití informací dítěte a získat jejich souhlas ještě před shromážděním a dalším využitím takových informací pro účely zacílení reklamy na chování dětí.

Na základě výše uvedeného, a rovněž při zohlednění zranitelnosti dětí má pracovní skupina zřízená podle článku 29 za to, že poskytovatelé reklamních sítí by neměli nabízet kategorie zájmů určené pro poskytování reklamy zaměřené na chování dětí nebo ovlivňování dětí.

<tl;dr> Pokud chtějí děti navštěvovat internetovou stránku s cookies, je nutný souhlas rodičů pro každý web. Reklama pro děti je nepřípustná.

Shrňme tedy, jak by to mělo vypadat dle EU

Uživatel musí vyjádřit souhlas a teprve až poté se může spustit měřící kód reklamního systému, sbírání dat o návštěvnících či sběr dat o návštěvnících sociálními pluginy. Pokud vaše stránky mohou navštěvovat děti, musíte děti upozornit na to, že souhlas nemůžou udělat ony samy, ale jejich rodiče. Zároveň musí být zachována jakákoli viditelná možnost tento nesouhlas zrušit a cookies odstranit.

Realita: Směrnici v plném znění nedodržuje téměř nikdo. A to ani ty stránky, které uživatele „otravují“.

Vybudovat podobný systém je značně komplikované, nehledě na řešení, které bere v úvahu děti. Ověřování uživatelské interakce a následné includování skriptů cizích stran je zbytečně pracné, pokud má být řešeno na každém serveru každého majitele, čili dokud neexistuje systém, který toto dělá automaticky. A to vůbec nemluvě o tvorbě podobného systému pro všechny ty již dávno hotové, léta staré, stránky, kde se s tím prostě nepočítalo.

Samozřejmě nutnost souhlasu při sběru dat o návštěvnících není omezena jen na pouhé cookies, zahrnuty jsou i jiné metody jako flash cookies, web storage či přístup ke kontaktům anebo fotografiím v mobilních operačních systémech.

Naštěstí ale Česká republika do zákona o elektronických komunikacích (127/2005 Sb) do svých zákonů směrnici Evropské unie neimplementovala, čili u nás neplatí přímý souhlas uživatelů s ukládáním cookies (prior opt-in). Ten momentálně požaduje pouze Google u svého systému AdWords.

Nicméně pro provozovatele webových stránek v ČR platí jiné povinnosti:

  • Musí předem prokazatelně informovat o rozsahu a účelu zpracování dat na webu, což se dá řešit v podmínkách používání webu.
  • Musí zároveň uživatelům dát možnost takové zpracování odmítnout (§ 89, odstavec 3), neboli „opt-out cookies“.

Průzkum

Zajímalo mě, jak se k těmto povinnostem staví Evropská unie a Česká republika na svých stránkách. Na základě sesbíraných informací jsem vytvořil tabulku níže.

Instituce Bez „Špatných cookies“ Informuje opt-out opt-in
Evropská unie
Evropská komise
Rada Evropské unie ×, používá Google Analytics × ×
Evropský parlament ×, používá Google Analytics × ×
Úřad pro ochranu osobních údajů
Úřad vlády ČR ×, používá Google Analytics × × ×
Nejvyšší soud ×, používá Google Analytics × ×
Ministerstvo vnitra ČR ×, používá Google Analytics × ×

Legenda:

  • Co vše spadá do „špatných cookies“ je rozepsáno výše, případně ve stanovisku 4/2012.
  • Informuje, znamená, že postupuje dle zákona o elektronických komunikacích, případně viz výše.
  • Umožňuje opt-out znamená, že mohu jako uživatel na stránce dát nesouhlas se zpracováváním údajů, poté se data anonymizují a stránky přestanou cookies používat. Nikoliv pouhý nefunkční otravný informační panel, stejně jako nesmyslná informace, že můžete ze stránky kdykoli odejít. Podobná rada je asi stejně hloupá argumentace, jako kdyby vás někdo na ulici nafilmoval a poté, co byste mu řekli, že se vám to nelíbí a ať to smaže, bránil by se tím, že jste neměli na ulici jít v tu dobu, kdy tam byl i on.
  • Umožňuje opt-in znamená, že stránka funguje v rámci platné směrnice EU, to znamená, že se „špatné cookies“ nepoužívají do té doby, než k tomu uživatel svolí a klikne na souhlas.

Závěrem se dá z tabulky říci, že paradoxně jediný způsob řešení propojení návštěvníků s cookies, jaký zmíněné instituce používají, je ten, že nepoužívají cookies.

Vzhledem k tomu, že nelze obsáhnout všechny stránky (nad)státních institucí, vybral jsem jen ty, kde mi to přišlo důležité. Nicméně model používaný kdekoli jinde je identický; buď se cookies vůbec nepoužívají anebo jakýkoli opt-in či opt-out nefunguje. Doporučuji si ale raději udělat vlastní názor. Stačí do prohlížeče nainstalovat rozšíření blokující tento typ skriptů, Disconnect, které zároveň informuje o tom, jaké sledovací skripty zablokovalo.

Hledáme řešení jak z toho ven

Pokud nepočítám řešení typu: „Nechat to být. Neřešit to.“, myslím si, že je velmi nepravděpodobné, že by se situace změnila z pohledu tvůrců reklamních systémů, sociálních pluginů či měřících kódů. Na tomto jsou jejich služby vystavěny a tvůrci nemají sebemenšího důvodu si sami pod sebou řezat větev. Ale třeba nás ještě takový Google překvapí.

Pochybuji, že by úplné vymýcení těchto služeb prospělo jak tvůrcům těchto systémů, tak zadavatelům reklamy a v konečném důsledku i uživatelům. Reklama má na webu svůj důvod a přínos (stránky mohou existovat), sociální pluginy umožňují lépe cílit na uživatele a měřící kódy umožňují autorům zjistit, co jejich uživatelé chtějí. Vracet se zpátky, kdy tyto technologie nebyly, bude kontraproduktivní.

Podle mě existují dvě schůdná řešení tohoto problému.

Tlačit na Evropskou unii

Na základě dotazu europoslance Petra Macha a následné odpovědi komisaře Oettingera to nevypadá, že by se nynější stav mohl sám od sebe interně jakkoli zmírnit. Je třeba na toto téma hovořit, mluvit o tom, že nynější řešení je otravné a nereálné.

Tlačit na prohlížeče

A to je koneckonců i jediné řešení, které EU navrhuje. Ve svém stanovisku 2/2010 mj. píše:

Bod odůvodnění 66 změněné směrnice o soukromí a elektronických komunikacích uvádí, že souhlas uživatele může být vyjádřen pomocí vhodného nastavení prohlížeče nebo jiné aplikace, „je-li to technicky možné a efektivní, v souladu s příslušnými ustanoveními směrnice 95/46/ES“. To není výjimka z čl. 5 odst. 3, ale spíše připomínka, že v tomto technickém prostředí lze souhlas poskytovat různými způsoby, když je to technicky možné, efektivní a v souladu s dalšími příslušnými požadavky pro platný souhlas.

Souhlas tedy nemusí požadovat všichni provozovatelé webových aplikací, stačilo by, kdyby to hlídal přímo samotný prohlížeč. To je dle mého názoru mnohem schůdnější řešení.

Do Not Track

Nicméně nynější stav týkající se opt-in „řešení zasílat požadavky Do Not Track“ je dle statistik Google velmi tristní. Většina webových služeb, včetně služeb společnosti Google, je nerespektuje.

Otázkou zůstává, jestli implementace tohoto řešení přímo do prohlížeče řeší problém „neinformovanosti“ uživatele ohledně sledování. A jestli odklikávání cookies nebude jen další nutná (a nudná) rutina, kterou je třeba automaticky provádět, jako třeba odklikávat podmínky používání služeb. EU se tak jako správný vlk nažere a koza zůstane celá. Ovšem myšlenka, že někdo využívá vaše data, se ztratí.

Zároveň samozřejmě existují způsoby, jak obejít samotné cookies (či web storage). Uživatele může tvůrce webu identifikovat různými způsoby, vůbec nemusí v počítači uživatele nic ukládat a tak z identifikační řešení nemusí být prohlížečem či programově jednoduše detekovatelné.

Jak vidíte budoucnost sušenkového zákona a jeho dodržování na webu vy?

Komentáře: 23

Přehled komentářů

donny
Jan Šablatura Re:
Tomáš Bedřich +1
Jan Pales otrava
Sob Kraviny do kravína
Jan Šablatura Re: otrava
j
David S. Územní dosah zákona
NULL
Jan Šablatura Re: Územní dosah zákona
Jaroslav Bereza AdBlock
Jaroslav Bereza Re: AdBlock
Jan Šablatura Re: AdBlock
Jakub M. Pointa směrnice
Martin Hassman Re: Pointa směrnice
Jan Šablatura
Sob Re: Pointa směrnice
varlog Nebuďte předposraní
Jakub M. Re: Pointa směrnice
karel Re: Nebuďte předposraní
NoxArt Re: Nebuďte předposraní
karel Re: Nebuďte předposraní
Roman Kde ukládat odmítnutí
Zdroj: https://zdrojak.cz/?p=15570