Přejít k navigační liště

Zdroják » Různé » Budete dodržovat „sušenkový zákon“? A je to vůbec možné?

Budete dodržovat „sušenkový zákon“? A je to vůbec možné?

Články Různé

Sušenkový zákon, jak se přezdívá nařízení Evropské unie o povinném vyžadování souhlasu s uložením cookies, je téměř věčné téma. Diskuzi nedávno oživil Google, když nakázal svým uživatelům na webech souhlas požadovat. Problém je v tom, že směrnici EU nelze dost dobře plně dodržet, a tak to prakticky nikdo nedělá.

Evropská unie se již delší dobu snaží omezit „špatné“ využívání cookies v prohlížečích uživatelů. Do špatné skupiny cookies patří ty, které slouží k „ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů“. Od roku 2009 navíc platí směrnice 2009/136/ES, která změnila předchozí možnost skladování cookies pouze odmítnout (opt-out) na stávající model, kdy je nutné nejdříve s používáním cookies souhlasit (prior opt-in).

Od té doby návštěvníci na webových stránkách objevují opakované žádosti o udělení souhlasu. Takovouto žádost musí dle aktuální směrnice EU mít stránka, která v rámci svých cookies nesplňuje předem definované kritérium A ani kritérium B. Zkráceně lze říci, že pokud stránka používá sociální pluginy, reklamní systém třetích stran či měřící analytický nástroj (nejen třetích stran, ale i váš vlastní) — pokud tedy přeneseně máte na stránce Facebook like, de facto jakoukoli reklamu anebo měříte návštěvnost dle Google Analytics, měli byste každého uživatele podle nařízení EU žádat o tento souhlas.

Je to nesmyslné. Zbytečně komplikované. A problém spočívá v tom, že ani to není dle platné směrnice EU správně. Pouze žádost o souhlas nestačí.

Citace ze směrnic

Ocituji zde několik směrnic, o kterých budu dále hovořit. Pokud je nechcete číst, mám pro vás zkrácenou verzi označenou jako <tl;dr>.

Citováno z doslovného znění stanoviska 2/2010 k internetové reklamě zaměřené na chování, bod 4.1, který se dále odkazuje na čl. 5 odst. 3 směrnice 95/46/ES.

i) souhlas musí být získán před tím, než je cookie umístěno v koncovém zařízení uživatele a/nebo než jsou shromážděny informace uložené v koncovém zařízení uživatele (známé jako předem získaný souhlas),

ii) informovaný souhlas lze získat pouze tehdy, jestliže byly uživateli předem poskytnuty informace o zaslání a účelu cookie. V této souvislosti je důležité vzít v úvahu, že aby byl souhlas platný za všech okolností, ve kterých je poskytnut, musí být poskytnut svobodně, musí být konkrétní a musí představovat informované vyjádření přání subjektu údajů. Souhlas musí být získán před shromážděním osobních údajů, což je nezbytným opatřením zajišťujícím, aby si subjekty údajů byly plně vědomy, že poskytují souhlas a k čemu jej poskytují. Musí být navíc možné, aby byl souhlas odejmut.

<tl;dr> Musíte informovat návštěvníka, k čemu používáte cookies. Pokud zatím nesouhlasil či odmítl, cookies se nemůžou vytvořit.

Zaprvé, časově omezit působnost souhlasu. Souhlas se sledováním by neměl být na dobu neomezenou, ale měl by být platný po omezené časové období, například jednoho roku. Po uplynutí tohoto období by poskytovatelé reklamních sítí museli získat nový souhlas. To by mohlo být zajištěno, pokud by cookies po uložení do koncového zařízení uživatele měla omezenou životnost (a datum jejich vypršení by nemělo být prodlouženo).

<tl;dr> Souhlas není napořád. Ptejte se jej cyklicky. Optimálně znovu po roce.

Za třetí, svobodně poskytnutý souhlas může být vždy odejmut. Subjektům údajů by měla být poskytnuta možnost snadno odejmout souhlas se svým sledováním pro účely poskytování reklamy zaměřené na chování. V tomto ohledu má zásadní význam potřeba poskytnout jasné informace o této možnosti a o tom, jak ji provést (viz níže v části 4.2).

<tl;dr> Souhlas lze kdykoliv zrušit.

Aby byl souhlas platný, musí kromě požadavků popsaných výše (a níže) souhlas dítěte v některých případech poskytnout jeho rodiče nebo jiní zákonní zástupci. V tomto případě to znamená, že poskytovatelé reklamních sítí by museli rodičům oznámit shromažďování a využití informací dítěte a získat jejich souhlas ještě před shromážděním a dalším využitím takových informací pro účely zacílení reklamy na chování dětí.

Na základě výše uvedeného, a rovněž při zohlednění zranitelnosti dětí má pracovní skupina zřízená podle článku 29 za to, že poskytovatelé reklamních sítí by neměli nabízet kategorie zájmů určené pro poskytování reklamy zaměřené na chování dětí nebo ovlivňování dětí.

<tl;dr> Pokud chtějí děti navštěvovat internetovou stránku s cookies, je nutný souhlas rodičů pro každý web. Reklama pro děti je nepřípustná.

Shrňme tedy, jak by to mělo vypadat dle EU

Uživatel musí vyjádřit souhlas a teprve až poté se může spustit měřící kód reklamního systému, sbírání dat o návštěvnících či sběr dat o návštěvnících sociálními pluginy. Pokud vaše stránky mohou navštěvovat děti, musíte děti upozornit na to, že souhlas nemůžou udělat ony samy, ale jejich rodiče. Zároveň musí být zachována jakákoli viditelná možnost tento nesouhlas zrušit a cookies odstranit.

Realita: Směrnici v plném znění nedodržuje téměř nikdo. A to ani ty stránky, které uživatele „otravují“.

Vybudovat podobný systém je značně komplikované, nehledě na řešení, které bere v úvahu děti. Ověřování uživatelské interakce a následné includování skriptů cizích stran je zbytečně pracné, pokud má být řešeno na každém serveru každého majitele, čili dokud neexistuje systém, který toto dělá automaticky. A to vůbec nemluvě o tvorbě podobného systému pro všechny ty již dávno hotové, léta staré, stránky, kde se s tím prostě nepočítalo.

Samozřejmě nutnost souhlasu při sběru dat o návštěvnících není omezena jen na pouhé cookies, zahrnuty jsou i jiné metody jako flash cookies, web storage či přístup ke kontaktům anebo fotografiím v mobilních operačních systémech.

Naštěstí ale Česká republika do zákona o elektronických komunikacích (127/2005 Sb) do svých zákonů směrnici Evropské unie neimplementovala, čili u nás neplatí přímý souhlas uživatelů s ukládáním cookies (prior opt-in). Ten momentálně požaduje pouze Google u svého systému AdWords.

Nicméně pro provozovatele webových stránek v ČR platí jiné povinnosti:

  • Musí předem prokazatelně informovat o rozsahu a účelu zpracování dat na webu, což se dá řešit v podmínkách používání webu.
  • Musí zároveň uživatelům dát možnost takové zpracování odmítnout (§ 89, odstavec 3), neboli „opt-out cookies“.

Průzkum

Zajímalo mě, jak se k těmto povinnostem staví Evropská unie a Česká republika na svých stránkách. Na základě sesbíraných informací jsem vytvořil tabulku níže.

Instituce Bez „Špatných cookies“ Informuje opt-out opt-in
Evropská unie
Evropská komise
Rada Evropské unie ×, používá Google Analytics × ×
Evropský parlament ×, používá Google Analytics × ×
Úřad pro ochranu osobních údajů
Úřad vlády ČR ×, používá Google Analytics × × ×
Nejvyšší soud ×, používá Google Analytics × ×
Ministerstvo vnitra ČR ×, používá Google Analytics × ×

Legenda:

  • Co vše spadá do „špatných cookies“ je rozepsáno výše, případně ve stanovisku 4/2012.
  • Informuje, znamená, že postupuje dle zákona o elektronických komunikacích, případně viz výše.
  • Umožňuje opt-out znamená, že mohu jako uživatel na stránce dát nesouhlas se zpracováváním údajů, poté se data anonymizují a stránky přestanou cookies používat. Nikoliv pouhý nefunkční otravný informační panel, stejně jako nesmyslná informace, že můžete ze stránky kdykoli odejít. Podobná rada je asi stejně hloupá argumentace, jako kdyby vás někdo na ulici nafilmoval a poté, co byste mu řekli, že se vám to nelíbí a ať to smaže, bránil by se tím, že jste neměli na ulici jít v tu dobu, kdy tam byl i on.
  • Umožňuje opt-in znamená, že stránka funguje v rámci platné směrnice EU, to znamená, že se „špatné cookies“ nepoužívají do té doby, než k tomu uživatel svolí a klikne na souhlas.

Závěrem se dá z tabulky říci, že paradoxně jediný způsob řešení propojení návštěvníků s cookies, jaký zmíněné instituce používají, je ten, že nepoužívají cookies.

Vzhledem k tomu, že nelze obsáhnout všechny stránky (nad)státních institucí, vybral jsem jen ty, kde mi to přišlo důležité. Nicméně model používaný kdekoli jinde je identický; buď se cookies vůbec nepoužívají anebo jakýkoli opt-in či opt-out nefunguje. Doporučuji si ale raději udělat vlastní názor. Stačí do prohlížeče nainstalovat rozšíření blokující tento typ skriptů, Disconnect, které zároveň informuje o tom, jaké sledovací skripty zablokovalo.

Hledáme řešení jak z toho ven

Pokud nepočítám řešení typu: „Nechat to být. Neřešit to.“, myslím si, že je velmi nepravděpodobné, že by se situace změnila z pohledu tvůrců reklamních systémů, sociálních pluginů či měřících kódů. Na tomto jsou jejich služby vystavěny a tvůrci nemají sebemenšího důvodu si sami pod sebou řezat větev. Ale třeba nás ještě takový Google překvapí.

Pochybuji, že by úplné vymýcení těchto služeb prospělo jak tvůrcům těchto systémů, tak zadavatelům reklamy a v konečném důsledku i uživatelům. Reklama má na webu svůj důvod a přínos (stránky mohou existovat), sociální pluginy umožňují lépe cílit na uživatele a měřící kódy umožňují autorům zjistit, co jejich uživatelé chtějí. Vracet se zpátky, kdy tyto technologie nebyly, bude kontraproduktivní.

Podle mě existují dvě schůdná řešení tohoto problému.

Tlačit na Evropskou unii

Na základě dotazu europoslance Petra Macha a následné odpovědi komisaře Oettingera to nevypadá, že by se nynější stav mohl sám od sebe interně jakkoli zmírnit. Je třeba na toto téma hovořit, mluvit o tom, že nynější řešení je otravné a nereálné.

Tlačit na prohlížeče

A to je koneckonců i jediné řešení, které EU navrhuje. Ve svém stanovisku 2/2010 mj. píše:

Bod odůvodnění 66 změněné směrnice o soukromí a elektronických komunikacích uvádí, že souhlas uživatele může být vyjádřen pomocí vhodného nastavení prohlížeče nebo jiné aplikace, „je-li to technicky možné a efektivní, v souladu s příslušnými ustanoveními směrnice 95/46/ES“. To není výjimka z čl. 5 odst. 3, ale spíše připomínka, že v tomto technickém prostředí lze souhlas poskytovat různými způsoby, když je to technicky možné, efektivní a v souladu s dalšími příslušnými požadavky pro platný souhlas.

Souhlas tedy nemusí požadovat všichni provozovatelé webových aplikací, stačilo by, kdyby to hlídal přímo samotný prohlížeč. To je dle mého názoru mnohem schůdnější řešení.

Do Not Track

Nicméně nynější stav týkající se opt-in „řešení zasílat požadavky Do Not Track“ je dle statistik Google velmi tristní. Většina webových služeb, včetně služeb společnosti Google, je nerespektuje.

Otázkou zůstává, jestli implementace tohoto řešení přímo do prohlížeče řeší problém „neinformovanosti“ uživatele ohledně sledování. A jestli odklikávání cookies nebude jen další nutná (a nudná) rutina, kterou je třeba automaticky provádět, jako třeba odklikávat podmínky používání služeb. EU se tak jako správný vlk nažere a koza zůstane celá. Ovšem myšlenka, že někdo využívá vaše data, se ztratí.

Zároveň samozřejmě existují způsoby, jak obejít samotné cookies (či web storage). Uživatele může tvůrce webu identifikovat různými způsoby, vůbec nemusí v počítači uživatele nic ukládat a tak z identifikační řešení nemusí být prohlížečem či programově jednoduše detekovatelné.

Jak vidíte budoucnost sušenkového zákona a jeho dodržování na webu vy?

Komentáře

Subscribe
Upozornit na
guest
23 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
View all comments
donny

Vymýšlejí kraviny. Což takhle prostě nakázat prohlížečům, aby opt-out blokovali cookies třetích stran?

Tomáš Bedřich

Dobrý článek, děkuji za přehled EUropského byrokratického pekla. Skoro bych brečel, ale naštěstí patřím do kategorie „neřeším“.

Jan Pales

ako uzivatel to riesim s http://prebake.eu/, ako spravca neriesim. aka je vlastne sankcia a kto ma moze za toto nahanat?

Sob

Je to pitomost od začátku do konce. Weby používaj cookies „odjakživa“ a prohlížeče mají možnost je blokovat (i selektivně), automaticky mazat a některý (např. IE) dokonce stále ještě podporujou dotaz u každýho kousku, jestli ho uživatel fakt chce uložit (volba jen pro skutečný masochisty). Pokud to chce uživatel řešit, prostředků k tomu má dost. Podstatný je, že to ve skutečnosti téměř nikdo řešit nechce.

Ze stejnýho důvodu nemá žádnou šanci na úspěch Do Not Track. Pokud to nastavení bude ve výchozím stavu vypnutý, nikdo (až na pár zanedbatelných vyjímek) si ho nezapne. A naopak, pokud bude ve výchozím stavu zapnutý (jako to udělal IE), nikdo si ho nevypne, reklamní systémy budou smět sledovat asi tisíc uživatelů celosvětově a můžou to zabalit. :)

O to větší nesmysl je, otravovat tím uživatele, když je to prostě nezajímá. Někdo by mohl namítnout, že jen chybí osvěta a kdyby o tom věděli, určitě by je to zajímalo. Nesmysl. Ve skutečnosti i s osvětou je „informovaný souhlas“ iluze u dobrý poloviny uživatelů. Souhlas ano, informovaný ani omylem. V další fázi asi bude potřeba takovým uživatelům zakázat používání webu. Samozřejmě pro jejich dobro, aby jim zlý cookies či jiný nástrahy nesežraly babičku, nebo tak něco. ;)

j

Pokuta je v CR do 10M Kc (ovsem muze byt ukladana i opakovane).

David S.

Určitě to napadlo více lidí, totiž šoupnout hosting mimo eurochlívek. Kdo všechno je povinný ten zákon dodržovat? Každý, kdo hostuje v eurosajůzu, každá firma se sídlem v eurosajůzu (ať už hostuje kdekoliv), nebo každá firma registrovaná kdekoliv, pokud její majitel je občan EU?

NULL

:-) Na tom si zas někdo v Potěmkinově Unii vybuduje „kariéru“

Jaroslav Bereza

Až budete přidávat sušenkový dialog na web nastavte mu třídy ať si nemusím přidávat do AdBlocku nová pravidla :-) …je to i taková malá reklama, kterou bude EU na každém webu a zdarma :-D

Jaroslav Bereza

Wysiwyg mi my smazal kod… takže ty třídy: class=“banner ad ads popup advertisement advertising commercial flash modal“

Jakub M.

Docela mě překvapuje postoj autora i diskutujících. Chápu, že se jedná o další práci (i když mít práci je obvykle lepší než nemít práci), ale především bych od kolegů v oboru čekal alespoň stejné uvědomění rizik spojených se konstantním sledováním jako má Evropská komise. Osobně proti tomu intenzivně bojuji blokováním v prohlížeči, ale málo lidí má dostatečný technický přehled.

Jednoduchý příklad je LinkedIn. Je vidět, že i velkou sociální síť, která má nacpaná svoje tlačítka na hromadě webů, lze hackout. Evidentně je možné odnést si z NSA tajné informace (včetně toho, že operátoři ve volných chvílích nehledají teroristy, ale svoje přítelkyně) a nevěřím právníkům Google, že tlak vlády USA úspěšně ustojí příštích 100 let.

Ještě přidávám připomenutí, že pokud je služba poskytnuta do zahraničí, tak musí pochopitelně splňovat i zákony cílové země, takže to, že ČR něco neimplementovala není nutně směrodatné, protože nejspíše neomezujete použití svých stránek na ČR a například SR toto údajně uzákoněno má (podle http://www.samoregulace.cz/sites/default/files/cookies_vcr.pdf).
I proto to řeší Google – oni budou první, kdo by dostal pokutu, takže tuto povinnost strategicky přenášejí na své zákazníky.

Martin Hassman

Myslím, že řadě lidí zde nevadí duch (pointa) směrnice, ale její forma.

Sob

Rizika bezpochyby existují, stejně jako v mnoha jiných oblastech. Jde jen o to si uvědomit, že smysluplnost různých ochranných opatření má svoje meze. Opravdu má být pokrok, že každý jednotlivý web bude obtěžovat návštěvníky dotazem na souhlas s používáním cookies? Podle stejný logiky můžeme postavit policajta ke každýmu přechodu pro chodce a kdo se mu neprokáže, že přes ten konkrétní přechod už někdy přecházel, od toho bude požadovat potvrzení, že ví, jak správně přecházet, rozhlížet se, nevstupovat těsně před rozjetý Tatry s pískem, atd. Jak se říká, kdyby to zachránilo jediný život…

Jestliže jsou cookies skutečně problém, udělejme osvětu. Řekněme o tom dětem ve škole, pracovat s počítačem je přece učíme a bezpečnost na internetu k tomu určitě patří. A pokud je to akutnější a je třeba varovat víc lidí, tak ať o tom za nějaký malý všimný natočí katastrofickou reportáž TV Nova (no, možná raději ne :), nebo udělá kampaň na homepage Seznam (pro cílovou skupinu perfektní umístění). A hotovo, za měsíc máme vyřešeno, všichni budou poučení a dál už je to na nich.

Mimochodem, je „vtipný“ jak ten, kdo cookies chce řešit vlastníma silama, trpí ještě víc než ostatní. Souhlas s používáním cookies se ukládá, kdo by to řekl, opět pomocí cookies. Když je při zavření prohlížeče automaticky promázne, příště se může těšit na dotaz znovu. To musí dodat skutečně intenzivní pocit bezpečí.

varlog

Sušenkový zákon hodlám úplně ignorovat. Weby, které se podvolí, budou své uživatele štvát. Já ne a vidím v tom skvělou konkurenční výhodu. Nebuďte z EU tak předposraní, nemůžou potrestat půlku Evropy.

Jakub M.

Hlavní věc, kterou ta směrnice přináší, je možnost penalizovat ty, kteří bez informovaného souhlasu sledují chování návštěvníků. Na vymahatelnosti dle mého názoru selhalo DNT.

Osobně to vidím tak, že není přijatelné dělat to, když člověk někam fyzicky přijde, a není v pořádku dělat to na internetu. Jako příčinu vidím davovou mentalitu („když to dělá on, tak to udělám já“), což je pochopitelně neřešitelné. Evidentně nelze očekávat dobrovolnou seberegulaci, takže očekávám, že to bude fungovat jako každá jiná forma kontrolní pokuty, třeba od finančního úřadu.

karel

správně ikdyž to bude daleko víc než půlka,
se ukáže, že je to tak vymahatelné jako zákaz plítvání vodou ikdyž ten své opodstatnení má,
zatímco sušenkový zákon je jen další z hromady sraček co nám eu předhazuje, ať raději něco dělaj s uprchlíkama a neserou se do věcí do kterých jim je hovno.

Sry za sprostá slova, ale v souvislosti s eu už prostě nedokážu mluvit slušně.

NoxArt

Co se týče postihů, tak nejde moc o to co udělá EU, ale právě pro ta snadná vrátka pro konkurenci. Máte chvíli snad nějakou výhodu, ale pokud v týmu některého z nich o tomto někdo ví, může vás pak citelně poškodit. Poškodit konkurenci legálně, s téměř nulovým úsilím a nulovými náklady? Není to nepředstavitelná situace.

karel

No bože, tak dostanu výtku, pak druhou a možná mi i pohrozí pokutou tak to možá implementuju.
No pokud chce konkurence dělat práskače tak ať si to užijou s rychlostí jak pracujou uřadové se opravdu nebojím.

Roman

Možná nepozorovnost, ale napadá mě taková technická věc. Pokud uživatel odmítne ukládání cookies, tak jakou mám možnost si tohle rozhodnutí zapamatovat (nabízí se, v cookies, ale to odmíntul).
Takže ten kdo odmítne, tak mu při každé návštěvě tohle bude znova naskakovat?
To je dost přísné :D

Enum a statická analýza kódu

Mám jednu univerzální radu pro začínající programátorty. V učení sice neexistují rychlé zkratky, ovšem tuhle radu můžete snadno začít používat a zrychlit tak tempo učení. Tou tajemnou ingrediencí je statická analýza kódu. Ukážeme si to na příkladu enum.

Pocta C64

Za prvopočátek své programátorské kariéry vděčím počítači Commodore 64. Tehdy jsem genialitu návrhu nemohl docenit. Dnes dokážu lehce nahlédnout pod pokličku. Chtěl bych se o to s vámi podělit a vzdát mu hold.