Jak plnit informační povinnost na webu s ohledem na GDPR

Informační povinnost, zakořeněná v zásadě transparentnosti, hraje klíčovou roli v několika právních oblastech, jako je zpracování osobních údajů, ochrana soukromí v elektronických komunikacích a práva spotřebitelů. Provozovatelé webových stránek mají za úkol informovat návštěvníky o skutečnostech, které jsou považovány za zásadní, a to bez ohledu na jejich osobní zájem. Bez poskytnutí těchto relevantních informací nelze například platně získat souhlas se zpracováním osobních údajů. Uživatel, zejména spotřebitel nebo subjekt údajů, se také může jen obtížně domáhat svých práv, pokud není informován o jejich existenci nebo o událostech, které mohou narušovat jeho zájmy.

Právní rámec informační povinnosti na webu

Informační povinnost týkající se používání cookies a dalších analytických nástrojů vyplývá jak ze zákona č. 127/2005 Sb. o elektronických komunikacích, tak i z nařízení Evropského parlamentu a Rady (EU) 2016/679, známého jako GDPR. Bohužel, žádný z těchto předpisů nespecifikuje, o čem, v jakém rozsahu a jak přesně by měly informační povinnosti v oblasti ochrany osobních údajů a ochrany soukromí v elektronických komunikacích vypadat.

Doporučení ÚOOÚ a Soudního dvůra EU

V návrhu doporučení od Úřadu pro ochranu osobních údajů (ÚOOÚ) z května 2018 se považuje za klíčové informovat uživatele o identifikaci v koncovém zařízení. Tato identifikace může probíhat dvěma způsoby: přímým získáním od uživatele nebo nepřímým získáním od jiného správce. V obou případech musí být uživatel poučen o ukládání nebo čtení dat z jeho zařízení a následné manipulaci s těmito daty.

Soudní dvůr EU se ve svém rozsudku zabýval povinnostmi provozovatelů webových stránek v oblasti identifikace online. Rozsudek zdůraznil potřebu poskytování jasných a úplných informací o důsledcích souhlasu, který uživatel může udělit. Tato rozhodnutí ovlivnila i povinnost informovat o době funkčnosti souborů cookies, což je nový aspekt, který by měl být zohledněn v praxi.

První a druhá vrstva informací: Jak je prezentovat

Pro splnění informační povinnosti se často používá dvoustupňový přístup. První vrstva informací je prezentována pomocí pop-up oken nebo tzv. cookies lišt, které se zobrazují při prvním načtení stránky. Tato vrstva obsahuje klíčové informace, jako jsou název správce, účel a rozsah zpracování. Druhá vrstva informací, zpravidla obsažená v dokumentu typu "Privacy Policy", poskytuje detailnější informace, jako jsou kontaktní údaje správce, právní základ zpracování a další specifika.

Nový pohled na informační povinnost: Jakým způsobem ji plnit

V praxi je klíčové dodržovat zásadu přehlednosti a snadné dostupnosti informací. Dávkování informací podle vhodné míry detailu je klíčové pro efektivní sdělení uživatelům. Ideálně by první vrstva informací měla obsahovat alespoň název správce, účel a rozsah zpracování, zatímco druhá vrstva by měla rozvést další důležité aspekty informační povinnosti. Příklady dobře a špatně popsání účelu zpracování ilustrují, že jasná a konkrétní formulace přináší uživateli větší přidanou hodnotu a lepší porozumění tomu, co se s jeho údaji děje.

Klíčové body pro efektivní plnění informační povinnosti
Splnění informační povinnosti na webu není pouze formalitou, ale klíčovým prvkem pro budování důvěry uživatelů. Je důležité prezentovat informace tak, aby byly snadno srozumitelné a aby uživatelům umožňovaly informovaně rozhodovat o poskytnutí souhlasu se zpracováním svých údajů. Soudní rozhodnutí, směrnice a doporučení ÚOOÚ nám nabízejí jasný rámec, jak postupovat. Aplikací těchto principů v praxi můžeme vytvořit webové prostředí, které respektuje práva uživatelů a zároveň je v souladu s právními normami.