Cookies čeká od nového roku změna

21.10.202129.10.2021 Redakce ISVS.CZ Bezpečnost, Legislativa, Metodika

Dne 1. ledna roku 2022 vstoupí v platnost novela zákona č. 127/2005 Sb., o elektronických komunikacích.

Hlavním účelem této novely je především harmonizovat českou právní úpravu s evropským kodexem pro elektronické komunikace.

Jedna z nejvýznamnějších změn dopadne na každého, kdo provozuje webovou stránku nebo mobilní aplikaci a využívá statické, analytické nebo reklamní nástroje.

— ePravo.cz

Co to je cookie?

V protokolu http označujeme jako cookie malé množství dat, která pošle www server prohlížeči, který je uloží na počítač uživatele.

Při každé návštěvě pak prohlížeč tato data posílá zpět stejnému serveru. Cílem je jakési ukládání se uživatelských předvoleb.

Kde se vzali?

S myšlenkou v roce 1994 přišel tehdejší zaměstnanec Netscape Communications Lou Montulli.

Montulli a jeho tým hledali cestu, jak by mohl Netscape prohlížeč umisťovat malé soubory do počítače návštěvníka webových stránek, které by trackovaly, co daný uživatel na webu dělal.

To umožnilo vyhnout se umístění dat na své vlastní servery.

K čemu slouží?

Tato funkce je nápomocná při odlišení jednotlivých návštěvníků a uložení konkrétních údajů. Pro představu to může být předvyplněné přihlašovací jméno či relevantní vyskakování reklam.

Je zde háček?

Při odlišování jednotlivých uživatelů se pochopitelně ztrácí i určitá anonymita.

Pokud však například svoji adresu či rodné číslo neuložíte, prohlížeč to bez vašeho souhlasu dělat nebude. Funkci můžete kdykoli ručně vypnout.

V čem je ta změna?

Ještě stále vše funguje tak, že soubory cookies jsou ukládány automaticky až do chvíle, kdy uživatel aktivně vyjádří svůj výslovný nesouhlas (tzv. režim opt-out).

Od ledna ale budou moci být cookies ukládány pouze po aktivním vyjádření souhlasu uživatele (tzv. režim opt-in).

Tento souhlas musí být uživatelem poskytnut dobrovolně. Nesmí být vynucený např. zablokováním stránky, znemožněním čtení obsahu stránky nebo jiným znepříjemňováním používání webové stránky s cílem přinutit uživatele k udělení souhlasu.

Dále souhlas samozřejmě musí splňovat všechny potřebné náležitosti GDPR. Správné náležitosti naleznete zde:

Směrnice evropského parlamentu a rady 2009/136/es – čl. 2, písm. f
Nařízení (EU) 2016/679 (GDPR) – čl. 94, odst. 2

Na co si dát pozor a jak by vše mělo vypadat?

Nejdřív je nutné mít jasnou představu, které cookies se ukládají, k čemu je potřebujeme, zda a kam se dále předávají.

Následně je možné zvolit vhodné technické řešení. Měli bychom implementovat nástroj.

Nejlepší je hledat např. na Googlu pod pojmem “consent management”.

Existuje na to mnoho placených funkcí, které umožňují udělat auditu, v podstatě to celé zautomatizují a navrhnou informační dokumentaci.

Zde pár návrhů řešení:

V budoucnu by všechny relevantní zákony a nařízení měly být komplexně nahrazeny nařízením ePrivacy (anglický jazyk, soubor PDF, 12.5 GB). Ta umožňuje třeba technické cookies ukládat i bez souhlasu.

U nás však bylo schvalování tohoto nařízení už několikrát odloženo. Nezbývá tedy, než se zatím řídit stávající právní úpravou.

Zdroj: