Soubory cookie jsou malé textové soubory složené z písmen a čísel, které webová stránka ukládá do koncového zařízení (počítače, mobilního telefonu) návštěvníka webové stránky nebo aplikace při její návštěvě. Tyto soubory slouží k různým účelům, na jejichž základě je klasifikujeme jako funkční (nezbytné), analytické nebo marketingové soubory.
Kdy jsou soubory cookie osobními údaji?
Definice podle GDPR definuje osobní údaje jako "veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, online identifikátor, nebo odkazem na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Ve spojení s touto definicí GDPR uvádí, že fyzickým osobám mohou být přiřazeny online identifikátory poskytované jejich zařízeními, aplikacemi, nástroji a protokoly, jako je IP adresa, soubory cookie nebo jiné identifikátory. Ty mohou zanechávat stopy, které lze zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi získanými ze serverů použít k vytvoření profilů fyzických osob a k jejich identifikaci.
Typy souborů cookie:
Marketingové soubory - k ukládání marketingových souborů cookie se používají marketingové nástroje. Marketingové nástroje zase ukládají soubory cookie, které slouží ke zjišťování preferencí a následnému cílení a personalizaci reklamy, ať už ve webových prohlížečích nebo na sociálních sítích. Jedná se o tzv. retargeting, což v praxi znamená, že pokud souhlasíte s ukládáním marketingových souborů cookie a prohlížíte si například webové stránky určitého typu spotřebiče, budou vám v blízké budoucnosti zobrazovány podobné produkty v celém online prostoru, ať už na jiných webových stránkách, nebo také na sociálních sítích.
Společným znakem analytických a marketingových souborů cookie je, že tyto soubory se ukládají a údaje z nich následně zpracovávají poskytovatelé analytických a marketingových služeb a nástrojů. Z tohoto důvodu můžeme analytické a marketingové soubory označovat jako soubory cookie třetích stran.
Informační povinnost.
Provozovatel webových stránek je povinen informovat návštěvníky webových stránek o tom, jak a pro jaké účely zpracovává jejich osobní údaje prostřednictvím souborů cookie. V tomto případě informační povinnost zahrnuje následující základní informace o používání souborů cookie:
Aplikační praxe dozorových orgánů.
Podle zprávy Úřadu pro ochranu osobních údajů uložil provozovatelům jen v roce 2023 pokuty v celkové výši zhruba 4,5 milionu korun. Pokuty byly uloženy zejména za nedostatečné splnění podmínek pro udělení souhlasu subjektu údajů, nemožnost odvolat souhlas nebo nedostatečné splnění informační povinnosti vůči subjektům údajů.
Ve smyslu 38. recitálu nařízení GDPR si děti zaslouží zvláštní ochranu svých osobních údajů, protože si mohou být méně vědomy rizik, důsledků a svých práv, které mohou být zpracováním jejich osobních údajů ovlivněny nebo s ním souviset.
Tato zvláštní ochrana by se měla vztahovat zejména na používání osobních údajů dětí pro:
(a) marketingové účely; nebo
(b) vytvoření osobního, nebo
(c) profilování uživatelů a získávání údajů o dětech při využívání služeb poskytovaných přímo dítěti.
GDPR rovněž stanoví, že pokud nositel rodičovské zodpovědnosti udělil souhlas se zpracováním osobních údajů dítěte, nemělo by to být nezbytné v souvislosti s poradenskými službami poskytovanými přímo dítěti.
Pokyny pro zpracování osobních údajů dětí dozorovými úřady
Ke zpracování osobních údajů dětí, včetně zpracování osobních údajů ve školách, byla vydána řada publikací, doporučení a/nebo pokynů.
Určitě bychom rádi upozornili na práci britského regulačního orgánu, Úřadu komisaře pro informace (ICO), který na svých webových stránkách zveřejnil pokyny ke zpracování osobních údajů dětí v online prostředí.
Dětský kodex například obsahuje seznam doporučení, aby bylo dodržováno zpracování osobních údajů dětí v rámci aplikací, her nebo zařízení připojených k internetu, včetně nových služeb.
Za účelem dosažení souladu doporučuje britský regulační orgán poskytovatelům výše uvedených služeb zvážit a následně zavést následující opatření (v souvislosti se zpracováním osobních údajů dětí):
(a) provést zmapování osobních údajů, které jsou shromažďovány od dětí (ze Spojeného království),
b) zavést kontrolu věku návštěvníků webových stránek a těch, kteří stahují nebo hrají online hry,
c) vypnout geolokační služby, které monitorují polohu návštěvníků webových stránek,
(d) nepoužívat techniky, které vybízejí děti k tomu, aby poskytovaly širší rozsah zpracovávaných osobních údajů, a
(e) zajistit vysokou úroveň ochrany údajů (privacy by default).
V návaznosti na výše uvedené stojí za zmínku také iniciativa společnosti Google, která v polovině roku 2023 zveřejnila zásady rámce pro ochranu dětí a dospívajících na internetu, jejichž cílem je stanovit základní zásady a poskytnout návod pro zlepšení ochrany dětí v online prostředí.
Závěr - Jak zpracovávat osobní údaje dětí
Povaha zpracování osobních údajů dětí vyžaduje zvláštní pozornost. Vyplývá to nejen z rozhodovací praxe dozorových orgánů, které v podobných případech porušení ochrany osobních údajů ukládají vyšší pokuty, ale také z právních předpisů o ochraně osobních údajů, které na zpracování osobních údajů dětí pohlížejí citlivěji.
Co je to informační povinnost, jaké jsou nejčastější chyby provozovatelů a na co si dát pozor při jejím plnění?
Informační povinnost podle článků 13 a 14 GDPR
Pokud jde o shromažďování a používání osobních údajů, klade GDPR důraz na transparentnost.
GDPR rozlišuje dva případy. 1: kdy jsou osobní údaje získávány přímo od subjektu údajů (článek 13 GDPR), a na 2: kdy tomu tak není (článek 14 GDPR).
Pokud jsou údaje shromažďovány přímo, musí být subjekt údajů o shromažďování informován okamžitě, tj. v okamžiku shromažďování údajů. Pokud jde o obsah informací, které musí být subjektu údajů sděleny, GDPR je jmenovitě (taxativně) vymezuje: totožnost správce, kontaktní údaje odpovědné osoby (jsou-li k dispozici), účely zpracování a právní základ, případné sledované oprávněné zájmy, příjemci v případě předání osobních údajů a případný záměr předat osobní údaje do třetích zemí, doba uchovávání, práva subjektu údajů, možnost odvolání souhlasu, právo podat stížnost u dozorového úřadu (v ČR je to Úřad pro ochranu osobních údajů ČR), zda je zpřístupnění osobních údajů zákonné či nikoliv, zda je zpřístupnění osobních údajů zákonné či nikoliv a zda je zpřístupnění osobních údajů nezákonné, o všech činnostech automatizovaného rozhodování, včetně profilování.
Pokud nejsou osobní údaje shromažďovány od subjektu údajů, musí být informace subjektu údajů poskytnuty v přiměřené lhůtě, nejpozději však do jednoho měsíce od jejich shromáždění. Pokud jsou shromážděné informace použity k přímému kontaktování subjektu údajů, má subjekt údajů právo být informován, jakmile jej správce kontaktuje.
Subjekt údajů musí být informován přesnou, transparentní, srozumitelnou formou.
Nejčastější chyby.
Nejčastější chybou v případě plnění informační povinnosti vůči subjektu údajů je otázka časového hlediska. Osobní údaje shromažďovány přímo od subjektu údajů, měl by být subjekt údajů informován neprodleně, tj. v okamžiku, kdy jsou osobní údaje shromažďovány.
Obsah informační povinnosti. Vzhledem k tomu, že nařízení vyjmenovává informace, které musí být subjektu údajů poskytnuty, není informační povinnost splněna, pokud chybí byť jen jedna informace definovaná v článcích 13 a 14. Nezřídka se stává, že správce zpracovává osobní údaje subjektu údajů na základě jeho souhlasu, a pak chybí v informační povinnosti zmínka o tom, že subjekt údajů má právo svůj souhlas kdykoli odvolat nebo že souhlas je udělen na určitou dobu. Nedávejte souhlas na dobu neurčitou.
Zvláštní kategorie osobních údajů - údaje týkající se zdraví. Opomenutí by mohlo být považováno za závažné porušení informační povinnosti, protože GDPR ukládá přísnější podmínky pro zpracování určité kategorie osobních údajů. Podmínkou je uvést všechny účely, pro které správce hodlá zpracovávat osobní údaje subjektu údajů, jakož i právní základ podle čl. 6 odst. 1 GDPR.
Doba uchovávání osobních údajů - tj. jak dlouho budou osobní údaje uchovávány po skončení účelu zpracování osobních údajů.
Povinnost informovat subjekt údajů o jeho právech. Provozovatele často tato práva pouze vyjmenovávají, což není dostačující. Subjekt údajů musí být informován o tom, jaká jsou jednotlivá práva a jak je může uplatnit.
Právo podat stížnost u dozorového úřadu. Doporučuje se uvést odkaz na vzor takové stížnosti, který lze nalézt na internetových stránkách Úřadu pro ochranu osobních údajů České republiky.
Profilování podle čl. 22 odst. 1 a 4 obecného nařízení o ochraně osobních údajů, musí do své informační povinnosti zahrnout podstatné informace o použitém postupu, jakož i o významu a možných důsledcích takového zpracování pro subjekt údajů.
Kontaktní údaje pověřené odpovědné osoby DPO - e-mail nebo telefon.
Informační povinnost v písemné i elektronické podobě - pokud má správce prostředky k informování subjektů údajů jak elektronicky, tak fyzicky, měl by použít obě formy, aby pokryl všechny své dostupné možnosti informování.
