Dark patterns a cookie lišty
Pokud je něco, co uživatelé webových stránek, nesou poměrně nelibě, tak jsou to tzv. cookie lišty. Získávání souhlasu s využitím cookies a se zpracováním osobních údajů pomocí těchto technologií má svůj význam co do ochrany osobních údajů a právního základu zpracování podklad. Používáním různých manipulativních technik (dark patterns) ze strany provozovatelů webu, aby souhlas uživatele získali, resp. aby se jejich jednání jako souhlas alespoň tvářilo, však obecně snižuje jak důvěru v ochranu osobních údajů tak i samotný význam a smysl zákonné regulace.
S příchodem roku 2022 zavalily internetové stránky v nevídaném měřítku ne zcela uživatelsky příjemné cookie lišty v podobě vyskakujících či vyjíždějících oken a pruhů. Zákon o elektronických komunikacích[1] (ZEK) totiž s účinností novely, provedené zákonem č. 374/2021 Sb., začal vyžadovat od provozovatelů webových stránek[2], aby pro ukládání údajů do zařízení uživatelů nebo k získávání údajů z těch zařízení povinně získali předem prokazatelný souhlas uživatele s rozsahem a účelem zpracování takových údajů. Výjimku v tomto směru tvoří pouze technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování webové služby.
Novela, která tyto nové požadavky přinesla, byla výsledkem implementace evropské regulace označované jako směrnice e-Privacy[3] a dotkla se převážně tzv. cookies, tedy malých textových souborů, které se prostřednictvím webové stránky či aplikace uloží na určitou dobu do zařízení uživatele, případně dalších technických prostředků a trackovacích technologií, jako jsou např. pixely, pluginy, beacons, local storage, session storage, device fingerprinting apod. (v dalším textu pro zjednodušení již o nich hovoříme jen jako o "cookies").
Vzhledem k tomu, že mezi údaji získanými pomocí cookies jsou i osobní údaje a dochází k jejich shromažďování a zpracování za různými účely (např. nastavení webu, vytváření statistik, posuzování chování uživatele na webu, marketing), měl by provozovatel webu jako správce získaných osobních údajů plnit i další povinnosti podle obecného nařízení o ochraně osobních údajů - GDPR[4]. Základem vždy je mít zákonný titul k jejich zpracování. U cookies lze jako o zákonném titulu uvažovat v podstatě pouze souhlas se zpracováním osobních údajů, který naplňuje všechny znaky požadované GDPR, tj. musí být svobodný, konkrétní, informovaný a jednoznačný. Udělení souhlasu pomocí nastavení prohlížeče, používání stránek či interakce s nimi či pouhým zavřením cookie lišty není přípustné.
Jak odborné kruhy[5], tak i Úřad pro ochranu osobních údajů (ÚOOÚ)[6] se shodují v tom, že souhlas s využitím cookies dle ZEK a souhlas se zpracováním osobních údajů dle GDPR lze vyjádřit společně jedním právním jednáním, typicky tedy souhlasem uděleným v cookie liště.
Od nabytí účinnosti novely zákona o elektronických komunikacích uběhl již více než rok a je nutno konstatovat , že si cookie lišty skutečně oblíbil jen málokdo. Nejde pouze o samotné technické a vizuální zpracování, kdy cookie lišta znesnadňuje přístup na webové stránku a snižuje uživatelský komfort, ale jde také o problematické naplnění podmínek GDPR pro potřebný souhlas. Vzhledem k tomu, že jsou cookies a data pomocí nich získaná pro mnohé provozovatele webu stále využívány jako primární technologie co do provádění statistického měření a marketingových aktivit, začali někteří z nich vymýšlet i speciální "vychytávky", aby souhlas od uživatele získali (nebo, aby to tak aspoň takto vypadalo). Někteří z nich svojí kreativitou, dost možná spojenou i s neznalostí, se však často dostávají na samu hranici tzv. dark patterns.
Pojem "dark patterns" (z angličtiny volně přeloženo jako temné vzorce) je přitom používán pro různé manipulativní techniky, které mají za cíl ve své podstatě přinutit uživatele webu k nějaké akci, kterou uživatel ani sám původně nezamýšlel. Snaží se ho přitom zmást, obelstít či využít jeho nepozornosti, netrpělivosti, a zneužívají přitom ve prospěch své věci i dříve nabyté uživatelské návyky, vzorce chování či běžně používané symboliky.
Evropská komise zpracovala a v dubnu minulého roku vydala rozsáhlou zprávu o používání dark patterns v digitálním prostředí[7], ve které mj. uvádí, že u 73 ze 75 zkoumaných webů a aplikací byly odhaleny "dark patterns". Přičemž u mnohých z nich se právě jednalo o problematiku cookies.
S jakými nejčastějšími příklady "dark patterns" se u cookie lišt lze v praxi setkat?
- Zahlcení – cookie lišta obsahuje obrovské množství pro běžného uživatele nesrozumitelných informací;
- Blokace – cookie lišta brání uživateli dostat se na web nebo podstatně ztěžuje přístup či prohlížení webu;
- Útok na emoce – odmítnutí cookies je prezentováno jako něco negativního, naopak přijetí je chváleno, oceňováno, nebo je prezentováno jako povinné. Podobně působí i časový nátlak nebo pokud se cookie lišta objevuje při otevření jakékoliv části webu, dokud není udělen souhlas;
- Skrývání – lišta je navržena tak, aby téměř znemožnila uživateli přístup k podrobným informacím o zpracování osobních údajů nebo skryje políčko pro kompletní odmítnutí cookies např. do dalších vrstev;
- Zmatení – snaží se zmást uživatele nesprávnými informacemi či různými manipulativními technikami, např. nelogickým použitím barev (políčku pro akceptaci je červené, pro odmítnutí modré), různých fontů a barev písma (odmítnutí je menší písmem nebo vyvedeno ve světlých sotva viditelných nebo uživatelsky neoblíbených barvách; akceptační políčko je větší, dostupnější, vyvedeno v pozitivních barvách) apod.;
- Navedení k souhlasu – typicky se jedná o použití předzaškrtnutého políčka (takový souhlas není aktivní, tudíž ho nelze považovat za platný)[8];
- Složitost použitého nástroje – cookie lišta je složitě strukturovaná, mnohovrstevná, jazykově nepochopitelná, dává příliš mnoho možností, odmítnutí cookies je konstruováno pro jednotlivé poskytovatele cookies (partnery) a nelze je odmítnout naráz;
- Nepřesnost – jsou uváděny nesprávné, nepřesné či neúplné informace (např. cookies je využívána pro jiný účel, než je uveden v popisu, typicky je např. statistická cookie označena jako technická);
- Zasmluvnění – souhlas s cookies je součástí smlouvy, resp. podmínek pro provozování nějaké služby[9];
- Jednou souhlas, navždy souhlas – jednou udělený souhlas nelze jednoduše odvolat (např. nelze znovu vyvolat cookies lištu nebo odvolání souhlasu je navázáno na další komunikační kanály – např. e-mail, telefon).
Výjimkou ze shora uvedeného jsou jen tzv. technické cookies, tedy ty, bez nichž by v podstatě web nemohl fungovat. Tyto může provozovatel webu ukládat do zařízení uživatele a zpracovávat získané osobní údaje jako správce na základě oprávněného zájmu (není zapotřebí souhlas), je však povinen o nich transparentně uživatele informovat.
Je zřejmé, že u všech shora uvedených příkladů dark patterns není možné se dovolávat platnosti souhlasu uživatele a jeho souladu s podmínkami GDPR. Z pohledu autorky je také důsledkem používání těchto "dark patterns", ať již úmyslně či z neznalosti věci, i snižující se zájem uživatelů o ochranu svých osobních údajů, kdy ji bohužel mohou vnímat jako něco, co se dá lehce obejít, zneužít a těžko se tomu z jejich pozice lze jakkoliv čelit. Nelze vyloučit ani ten důsledek , že se ochrana osobních údajů do budoucna stane pro běžné uživatele složitou a neuchopitelnou komplikací a že může tak být i chápána jako obtěžující. Proto lze v tomto směru jen podpořit úvahy o postupné opouštění technologie cookie lišt a otevřít prostor pro nové technologie.
Do budoucna bude ohledně cookies hrát klíčovou roli i další evropská legislativa, ať již se bude jednat o revidovanou směrnici e-Privacy, Akt o digitálních trzích (Digital Markets Act), Akt o umělé inteligenci (AI Act) nebo Zákon o datech (Data Act ), ale o tom zase příště.
_____________________________________
[1] Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) (ZEK)
[2] Srov. § 89 odst. 3 ZEK: "Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem."
[3] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích)
[4] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[5] Stanovisko Spolku pro ochranu osobních údajů k právní úpravě cookies v České republice od začátku roku 2022
[6] Stanovisko ÚOOÚ dostupné >>> zde.
[7] European Commision: Behavioural study on unfair commercial practices in the digital environment: dark patterns and manipulative personalisation - Final Report, duben 2022
[8] Připomeňme případ C-673/17, Planet49, kde Soudní dvůr Evropské unie jasně vymezil, že předzaškrnuté políčko nemůže zakládat platný souhlas dle článků 4 odst. 11 a článku 6 odst. 1 písm. a) GDPR
[9] Viz také případ společnosti Meta Platforms Ireland Limited, provozovatele sociální sítě Facebook, které byla udělena pokuta 210 mil. EUR za Facebook a 180 mil. EUR za Instagram za netransparentnost zpracování údajů pro behaviorální /zájmovou) reklamu.
Autorka: Mgr. Lenka Hanková (Rödl & Partner)
