Co by měl obsahovat cookie banner a proč „Přijmout vše“ nestačí
Publikováno: 30. 9. 2021 | 3 minuty čtení
V květnu tohoto roku zaslalo sdružení "Noyb" stížnost kvůli špatnému řešení cookie banneru stovkám různých společností napříč EU. Důvodem stížností bylo chybějící tlačítko pro zamítnutí na Consent Banneru na jejich webových stránkách, resp. zamítnutí bylo komplikované dalšími překážkami.
Od zavedení evropského obecného nařízení o ochraně osobních údajů (GDPR) v květnu 2018 probíhá diskuse o tom, jak přesně by měl Consent/Cookie Banner vypadat z hlediska své funkčnosti a designu. V každém případě je nesporné, že používání souborů cookie a podobných technologií vyžaduje pro netechnické účely zpracování souhlas návštěvníků webových stránek. Není však přesně vymezeno, jak přesně by měla tato výzva k udělení souhlasu vypadat.
GDPR (článek 7) uvádí některé podmínky k udělení souhlasu uživatele, ale nespecifikuje, jak musí být samotný Consent Banner koncipován. V bodě 42 (5) odůvodnění GDPR je pouze podrobněji vysvětleno, že souhlas je udělen na základě svobodné vůle, pouze pokud má uživatel „svobodnou volbu“. Je tedy zřejmé, že uživatel musí mít také možnost zamítnout nebo svůj souhlas následně odebrat. Neexistují však žádné jasné pokyny, jak by taková možnost zamítnutí měla vypadat.
Vzhledem k absenci jasných předpisů se nyní v praxi objevilo několik variant řešení Consent Bannerů, které více či méně usnadňují odmítnutí používání souborů cookie a podobných technologií při příchodu na webové stránky. To vedlo k debatě mezi sdruženími na ochranu osobních údajů na jedné straně a provozovateli internetových stránek a marketéry na straně druhé. Sdružení na ochranu osobních údajů zastávají názor, že (v souladu s GDPR) musí Consent Banner poskytnout uživateli jasnou možnost volby mezi "Přijmout vše" a "Odmítnout vše". Obě volby musí být stejně dostupné a zvolitelné na jeden klik a jakékoliv skrytí této volby za pojmy jako "přizpůsobit" nebo "nastavení" je podle jejich názoru nepřípustné.
Sdružení na ochranu osobních údajů zpravidla upozorňují na následující nedostatky:
- V prvním dialogovém okně banneru (první vrstva) neexistuje možnost odmítnutí
- V dialogu jsou implicitně zatržené kategorie, účely nebo služby
- Místo tlačítka pro odmítnutí je k dispozici pouze odkaz
- Kontrast tlačítka pro odmítnutí je zavádějící
- Barva tlačítka pro odmítnutí je zavádějící
- Použití právního základu "Oprávněného zájmu" pro neoprávněné účely (GDPR, čl. 6 odst. 1 písm. f))
- Použití funkčního zpracování dat pro neoprávněné účely
- Možnost odvolání souhlasu není tak snadná jako udělení souhlasu (GDPR, čl. 7 odst. 3)
Konkrétně například následující Consent Banner nesplňuje podmínky:
Chybí tlačítko pro odmítnutí. Opravený by mohl vypadat takto:
I zde by mohli zastánci ochrany soukromí, jako je Noyb, kritizovat odstín tlačítka pro odmítnutí a/nebo výběr ikony.
Závěr
Podoba Consent Banneru založená na doporučeních sdružení na ochranu osobních údajů je z hlediska ochrany osobních údajů příkladná. Na druhou stranu, míra získaných souhlasů při dodržení tohoto nejpřísnějšího výkladu potom často klesá hluboko pod 50 %. Provozovatelé webových stránek by proto měli zvážit také variantu, zda lze případně použité sledovací pixely upravit na varianty šetrné k ochraně osobních údajů, aby bylo možné shromažďovat údaje bez souhlasu uživatele. Alternativně je možné zvýšit míru získaných souhlasů různými kreativními metodami, například žádat o souhlas na konkrétní účely dle zájmů uživatele a jeho aktivitě.
