Analytické cookies a podobné technologie v roce 2025: máme dobrou i špatnou zprávu

Co se změnilo?

Zpřísnil se výklad a rozšířil výčet technologií a nástrojů, které nelze bez souhlasu uživatele použít. 
S tímto rozšířením přišel už v říjnu 2024 Evropský sbor pro ochranu osobních údajů (EDPB) ve svém stanovisku, kde podrobně vykládá technický rozsah ePrivacy směrnice (konkrétně článku 5 odst. 3). Ten, ve zkratce, říká, že technologie, které umožňují ukládání nebo získávání informací v koncovém zařízení uživatele, lze používat jen s jeho souhlasem. Výjimku mají pouze ty, které jsou nezbytné pro poskytování vyžadovaných služeb nebo pro provedení přenosu sdělení. 
Protože cookies dostaly legislativně i mediálně dost prostoru, vývoj odlišných metod sledování se rozjel. Aktuálně tak některé analytické nástroje nabízí režimy, které nevyužívají cookies, ale identifikují uživatele třeba pomocí fingerprintingu (např. kombinace IP adresy, rozlišení obrazovky, jazyka prohlížeče apod.). I když tato technologie neukládá data do zařízení uživatele, EDPB přesto rozhodl zařadit ji do svého výkladu a výčtu „podobných technologií“, na které podle něj zmíněný článek dopadá. 
Jaké další technologie na tomto seznamu najdete:

• fingerprinting
• IP tracking
• pixel tracking
• IoT (Internet of Things) reporting
• tvorba unikátního identifikátoru

Co na to český ÚOOÚ?

Říkáte si, že stanovisko EDPB je jen doporučením, které není závazné a zajímá vás spíše názor českého Úřadu na ochranu osobních údajů? Tady přichází ta špatná zpráva, ÚOOÚ se totiž k jeho výkladu připojil a na náš dotaz výslovně potvrdil, že:

• i cookie-less sledovací nástroje, které vytvářejí jedinečný hash návštěvnického identifikátoru (např. ze zařízení, IP adresy a nastavení prohlížeče), spadají pod tzv. „podobné technologie“,
• a tedy i na ně se vztahuje povinnost získat souhlas s jejich použitím, pokud nespadnou do „nezbytné“ kategorie.

Finální slovo, jestli evropský EDPB i český ÚOOÚ nejdou svým širokým výkladem nad rámec zákona, bude mít až případný soud. Zda a případně kdy se ho dočkáme, je ve hvězdách. Doporučujeme proto zbystřit.

Co je a není podle ÚOOÚ nezbytné aneb konečně pozitivní zpráva

Zároveň nám ÚOOÚ na náš dotaz potvrdil pozitivní informaci. Některé analytické cookies či jiné sledovací prvky mohou spadnout do „nezbytné“ výjimky a lze je tak za určitých podmínek používat i bez souhlasu. 
Podle ÚOOÚ je možné považovat je za „nezbytné“, pokud:

• slouží výhradně k měření návštěvnosti webu,
• neumožňují celkové sledování navigace osoby,
• slouží pouze k produkci anonymních statistických dat,
• jimi shromážděné osobní údaje nejsou spojovány s jinými zpracovávanými údaji,
• nezpřístupňují data třetím stranám.

Pokud tyto podmínky nejsou naplněny, musí správce získat souhlas uživatele před zahájením zpracování (typicky cookie lišta). ÚOOÚ ale varuje, že tímto nedává bianco šek všem analytickým cookies, ale vyzývá k individuálnímu posouzení jednotlivých cookies. 
⚠️ Pozor, není souhlas jako souhlas. V tomto článku řešíme výhradně souhlas uživatele s tím, jestli můžete cookies nebo obdobné technologie používat (získávaný většinou v rámci 1. vrstvy cookie lišty). Ke zpracování osobních údajů přitom většinou také dochází, a pak je třeba mít pro něj příslušný právní důvod podle GDPR, a tím může být kromě souhlasu třeba i oprávněný zájem.

 Doporučení pro praxi

1. Auditujte analytické technologie – nejen podle názvu, ale podle jejich chování.
2. Rozlišujte mezi technickou nezbytností a marketingovou šikovností.
3. Zajistěte správné nastavení (cookies) lišty i informací v zásadách zpracování údajů.
4. Uchovávejte důkazy o právním posouzení a způsobu zpracování.