Vlákno názorů k článku GDPR last minute: A co cookies? Musí mít weby povinně lištu se souhlasem? od Filip Jirsák - Že vám to není hloupé, pořád opakovat něco,...

Kde lze nastavit, ze session cookie ano, ale cokkie s barvou oci ne? A opet, je to uplne jedno, protoze to neni informovany a dolozitelny souhlas.

Ale ono to jde! A sice tak, že cookies paušálně zakážete a pro konkrétní weby nastavíte výjimku. A můžete také nastavit to, že uložené cookies se po ukončení běhu prohlížeče ihned smažou.

Cookies mám v prohlížeči kompletně zakázané, vzácné výjimky povoluji jen tam, kde jsou z nějakého důvodu nutné s tím, že po ukončení běhu prohlížeče se smažou.

Presne tak, cookies môžem predsa globálne zakázať a povolím len domény, kde to chcem a kde to má zmysel. Ak web potrebuje použiť cookie, má si zdetekovať schopnosť zariadenia cookies prijať a uložiť a až v prípade nemožnosti použitia má vyhodiť hlášku v zmysle - ak chcete od nášho webu funkciu XY, povoľte ukladanie (trvalé, pre session) cookies tejto doméne, pre váš prehliadač to spravíte takto… (návod).

Súhlas s použitím cookies cez lištu sa aj tak uloží zas len to tej blbej cookie a ak mám pravidlá nastavené na povolenie cookies pre sedenie (myslím, že v prehliadačoch je to default), hláška o povolení ma bude otravovať znovu a znovu a znovu. Otravné, nesystémové a choré.

Nemuzete tam mit zadne pravidlo a chtit si muzete co chcete, protoze GDPR vyzaduje informovany souhlas => dotycny vam nejdrive musi prokazatelne sdelit, naco ta data chce.

Naopak GPDR naprosto jasne a bydefault predpoklada, ze zadna data nikdo zpracovavat nebude (coz je zcela spravne) a pokud nejaka chce, je to jeho problem, jak si souhlas zajisti. JInach receno, vychozi hodoutou GPRD je nesouhlas, a pripadny souhlas musi dokazovat prave ten, kdo data ma. A toto nelze zmenit ani zadnou vyjimkou, i kdyby se pani poslanci a UOOU na hlavu staveli.

A samozrejme plati, ze pokud potrebujete session cokie, tak na nej nepotrebujete souhlas, pokud mate nastavenu nejakou rozumnou (v tomto pripade rejneme v hodinach) expiraci (coz je zahodno i z bezpecnostnich duvodu). Pokud si na eshopu do cookie ulozite obsah kosiku (mineno pro neprihlasene, prihlasenemu to muzete ulozit do databaze u sebe, stejne musite mit souhlas), je rekneme akceptovatelna expirace par dnu. Ale rozhodne neobhajite identifikacni cookie s expiraci v mesicich ... naprosto bez sance.

BTW: Nevim nic o tom, ze by v nastaveni prohlizece slo nekde rici, ze cookie X ano, ale Y ne.

Přesně takhle to chci, protože pak v mém prohlížeči můžu mít pravidlo, které nastavím jen jednou. Nemusím pak na každé stránce odesílat souhlas s cookies. Jediné místo, kde je možné to hromadně nastavit je ten prohlížeč.

Hurááááá, konečně někdo s mozkem... Nevěřím svým očím.

1. Pro cookies, které jsou nutné pro zajištění provozu webových stránek není nutno získat souhlas uživatele.
2. Pro cookies, které se používají pro reklamní či marketingové účely, už ale provozovatel webu souhlas uživatele potřebuje.

A teď to přijde:

Podle ÚOOÚ ale uživatel souhlas může dát i jen prostým nastavením svého prohlížeče: "Uživatel určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu."

Větší blábol jsem dlouho nečetl a nechce se mi věřit, že by to ÚOOÚ takto vydal. Běžný uživatel ve většině netuší, že jde v prohlížeči kolem cookies něco nastavovat. A hlavně, pokud si uživatel nastavuje (nebo vědomě ponechává defaultně) nastavení cookies v prohlížeči, tak to dělá s tím, že ta cookies potřebuje pro běžný korektní běh webových aplikací. Nemá možnost si paušálně oddělit použití cookies pro korektní běh webu a pro sběr osobních údajů. Proto technické nastavení prohlížeče nemůže být absolutně považováno za udělení souhlasu ke zpracování osobních údajů pro marketingové a reklamní účely.