Úřad pro ochranu osobních údajů (ÚOOÚ, Úřad) v rámci své úřední činnosti monitoroval dodržování povinností v oblasti cookies (po zavedení principu opt-in od 1. ledna 2022) v souvislosti s nastavením zpracování cookies souborů u různých provozovatelů webových portálů a stránek. V prvním pololetí dal Úřad provozovatelům prostor, aby se nové legislativě přizpůsobili. Nyní ovšem na základě vlastní iniciativy monitoruje dodržování a oslovuje správce, kteří porušují právní předpisy v této oblasti, aby zjednali nápravu. Pokud k ní nedojde, přistoupí ÚOOÚ k sankcím, a to především finančního charakteru. Mezi hlavní nedostatky, které byly zjištěny kontrolami ÚOOÚ, patří:
  • používání netechnických cookies bez souhlasu,
  • neúměrně dlouhá doba platnosti cookies vzhledem k jejich účelu,
  • nepřítomnost volby určené pro vyjádření nesouhlasu s využitím netechnických cookies v první vrstvě cookies lišty,
  • špatná kategorizace cookies,
  • absence informací o konkrétních použitých cookies,
  • rozdíl ve viditelnosti tlačítek pro souhlas a nesouhlas s využitím netechnických cookies,
  • nesprávná klasifikace cookies souborů,
  • informace o cookies v cizím jazyce,
  • cookies lišta znesnadňuje či znemožňuje čtení webové stránky.
Úřad již dříve připravil na svých stránkách poradnu, kde odpovídá na Často kladené otázky ohledně souhlasu s cookies uděleného prostřednictvím tzv. cookie lišty. Nyní došlo k aktualizaci této poradny v části, která se věnuje uchovávání souhlasu s ukládáním cookies. ÚOOÚ uvádí, že dobu, po kterou je platně udělen souhlas se zpracováním cookies (resp. osobních údajů zpracovaných prostřednictvím cookies), musí stanovit správce s ohledem na účel, ke kterému jsou cookies (osobní údaje) zpracovány. To se týká i opětovného zobrazení cookies lišty po předchozím odmítnutí souhlas udělit. Dobu pro opětovné zobrazení cookies lišty má správce stanovit s ohledem na očekávání subjektů údajů. Obecně lze dle názoru Úřadu za přiměřenou dobu, na kterou byl souhlas s využíváním cookies udělen, považovat 12 měsíců. V případě, že uživatel odmítl souhlas udělit, nemělo by být jeho udělení znovu vyžadováno alespoň 6 měsíců od posledního zobrazení cookies lišty. Tato doba může být kratší pokud:
  • se významně změnila jedna nebo více okolností zpracování,
  • provozovatel není schopen sledovat předchozí souhlas/nesouhlas (např. uživatel smazal cookies uložené ve svém zařízení).
Obecné nařízení („GDPR“) žádné omezení doby zpracování osobních údajů na základě uděleného souhlasu nestanoví, pokud trvá účel zpracování a subjekt údajů svůj souhlas neodvolal. Není tedy jasné, o co ÚOOÚ své doporučení opírá. 225 385 333
Facebook
Twitter
LinkedIn
Pinterest
WhatsApp
Email