‚Čekáme na nový web.‘ Tuzemská ministerstva zaskočil zákon o cookies, pokutu ale nedostanou
Návštěvníci webových stránek mají od 1. ledna 2022 možnost odmítnout sledování svých aktivit. Na webech většiny českých ministerstev ale tato možnost stále chybí. Zdůvodňují to například tím, že jejich dodavatel je vytížený. Na rozdíl od soukromých firem je Úřad pro ochranu osobních údajů nemůže potrestat, jelikož jsou vyloučeny z dosahu peněžitých sankcí.
Weby obvykle zaznamenávají informace o aktivitě svých uživatelů: které konkrétní stránky si prohlížejí či jak často se vracejí. K tomu slouží soubory cookies, ukládající se do prohlížečů.
Novela zákona o elektronických komunikacích od letošního roku zavedla právo takové sledování odmítnout. Provozovatel stránky pak nesmí návštěvníka zablokovat, a pokud dotyčný svůj názor nevyjádří, bere se to rovněž jako nesouhlas.
Server iROZHLAS.cz prošel začátkem ledna weby všech čtrnácti tuzemských ministerstev. Výsledek? Deset z nich zákonné požadavky neplnilo vůbec nebo jen zčásti.
Ombudsman i rozvědka. Úřady předávají reklamním firmám data o návštěvnících webu, často nevědomky
Číst článek
„Funkci pro souhlas uživatelů s uložením cookies jsme již zadali našemu poskytovali webu. Vzhledem k vytížení jeho personálu k ní ale ještě nedošlo,“ reagovala na dotaz iROZHLAS.cz Aneta Kovářová z tiskového oddělení ministerstva zahraničí.
Podobně chybějící funkci vysvětlovali i její kolegové a kolegyně z resortů školství, dopravy, práce a sociálních věcí, kultury či ministerstva pro místní rozvoj, které už úpravu před vydáním článku zapracovalo.
Svůj web v reakci upravilo i ministerstvo životního prostředí. „Webové stránky obsahovaly relikt – analytický modul pro facebook, který není dlouhodobě využíván. Z webových stránek byl stažen,“ uvedla Dominika Pospíšilová z tiskového oddělení.
O zdržení při spouštění nového webu mluvila i Tereza Meravá z tiskového oddělení Českého telekomunikačního úřadu, jehož se problém se změnou zákona týká také.
Spravedlnost se neptá, zdravotnictví mlčí
Jediný úřad, který se proti povinnosti vymezil, byl resort spravedlnosti. „Ministerstvo na svém portálu justice.cz používá pouze tzv. technické cookies, proto na náš portál nespadá povinnost vyžadovat souhlas s přijetím nebo odmítnutím cookies,“ zněla odpověď.
Vnitro neuhlídalo osobní údaje desetitisíců lidí. Pokutu platit nemusí, pomohla mu změna zákona
Číst článek
Později mluvčí Michal Pleskot upřesnil, že ministerstvo považuje za technicky nezbytné i cookies služby Google Analytics, které slouží ke sledování pohybu uživatelů po webu.
Podle Josefa Bátrly, advokáta, který se specializuje na právo informačních technologií, ale podobný výklad neobstojí. Podle stanoviska evropské pracovní skupiny na ochranu soukromí takové sledování uživatele „není striktně nezbytné pro poskytnutí funkce požadované uživatelem“, takže se na něj výjimka nevztahuje.
V tomto případě má navíc ministerstvo povolený takzvaný remakreting, kdy společnost Google sleduje chování návštěvníka napříč webem, čehož mohou inzerenti využít pro cílení reklamy. Podmínkou nicméně je, že si provozovatel stránky vyžádá souhlas. „Lze se tedy důvodně domnívat, nejen že předmětný výklad nemá v rámci zákona oporu, ale že se i provozovatel takového webu dopouští porušování smluvních podmínek (společnosti Google),“ upozorňuje advokát.
Vůbec na dotazy neodpovědělo ministerstvo zdravotnictví, které skrze soukromou firmu Reservatic provozuje rezervační systém na očkování proti nemoci covid-19. Web porušuje hned několik pravidel: zvýrazněným tlačítkem nabádá uživatele, aby sledování povolili, a bez odkliknutí jim přístup ke stránce zablokuje. Před takovou praxí ale už v druhé polovině loňského prosince varoval Úřad pro ochranu osobních údajů (ÚOOÚ).
Úřady mají imunitu
„Situací, kdy jdou orgány veřejné moci příkladem, bývá bohužel v oblasti ochrany soukromí jako šafránu,“ podotkl k tomu pro iROZHLAS.cz advokát Bátrla.
Chytrá karanténa: Kdo dostane moje data? A dozví se sousedi, že mám koronavirus?
Číst článek
Podle něj je řadu let zřejmé, že paragraf, který sledování uživatelů webů dosud upravoval, byl v rozporu s evropským právem. „Díky zdržení v Senátu se taktéž poměrně dlouho vědělo i o příchodu novely tohoto zákona,“ dodal právník, podle něhož se české úřady mohly připravit s předstihem – například pohledem do států, které měly své zákony v pořádku již od začátku.
„Oproti soukromému sektoru orgánům státní moci prakticky nic nehrozí. Důvod je ten samý, co u GDPR (nařízení upravující ochranu osobních údajů v EU, pozn. red.) – orgány veřejné moci jsou totiž zákonem o zpracování osobních údajů vyloučeny z dosahu peněžitých sankcí, respektive uložení správního trestu,“ vysvětlil právník.
Technické řešení kulhá
Nový zákon se týká všech stránek, které cílí na tuzemské uživatele. Aby mu web vyhověl, nestačí se pouze zeptat na souhlas. Důležitý je i způsob, jakým to udělá. Bátrla v této souvislosti hovoří o takzvaných dark patterns neboli nekalých praktikách, kterými autoři stránky uživatele de facto nutí, aby jim svůj souhlas dal.
Ochrana proti sledování
Nejjistější ochranou proti internetovému sledování zůstávají opatření, která může každý udělat sám: nastavit svůj internetový prohlížeč, aby cookies automaticky mazal, případně si reklamní sledování úplně zablokovat rozšířením prohlížeče.
Úřad pro ochranu osobních údajů například varuje před tlačítky obarvenými způsobem, který uživatele motivuje k odsouhlasení sběru dat.
„Je ironií, že je to právě cookies lišta ÚOOÚ v tmavé barvě, kde při najetí na černé tlačítko ‚Nesouhlasím‘ toto tlačítko zbělá, zatímco při najetí na původně bílé tlačítko ‚Souhlasím‘ naopak zezelená,“ řekl advokát s tím, že za takový postup by český úřad nepochválil třeba jeho francouzský protějšek.
Jak upozornil ve své knize Why Privacy Matters (Proč na soukromí záleží) profesor práva Neil Richards, lidé na internetu používají stovky různých stránek, a pokud každá z nich vyžaduje souhlas se zpracováním osobních údajů, uživatelé brzy otupí. Bez rozmýšlení pak odsouhlasí cokoliv, jen aby se dostali k informacím, které hledají.