Směrnice o ePrivacy
Směrnice o ochraně soukromí a elektronických komunikacích
Přehled
Směrnice o ePrivacy (ePD), často nazývaná „cookie zákon“, doplňuje GDPR tím, že poskytuje specifická pravidla pro ochranu soukromí v elektronických komunikacích. Zahrnuje důvěrnost komunikací, použití sledovacích technologií a přímý marketing.[1]
Jako směrnice se její implementace liší mezi členskými státy. Navrhované nařízení o ePrivacy bylo oficiálně staženo v únoru 2025, což znamená, že směrnice zůstává platným právem.
Vztah k GDPR
- ePD je lex specialis: Má přednost před GDPR pro elektronické komunikace
- Platí principy GDPR: Souhlas podle ePD musí splňovat standardy GDPR
- Společné vymáhání: Obě sady pravidel vymáhají orgány pro ochranu osobních údajů
Klíčové požadavky
Souhlas s cookies (článek 5 odst. 3)[2]
Souhlas je vyžadován před uložením nebo přístupem k informacím v zařízení uživatele:
| Typ cookie | Je vyžadován souhlas? |
|---|---|
| Nezbytně nutné | Ne (výjimka) |
| Preference/funkčnost | Ano |
| Analytické/statistické | Ano (některé jurisdikce umožňují výjimky) |
| Reklamní | Ano |
| Sledování třetími stranami | Ano |
Požadavky na souhlas
Platný souhlas musí být:
- Předběžný: Získán před nastavením cookies
- Svobodně udělený: Skutečná volba bez újmy při odmítnutí
- Specifický: Jasný ohledně účelů a typů cookies
- Informovaný: Uživatelé rozumí, jaká data jsou shromažďována
- Jednoznačný: Vyžaduje jasnou afirmativní akci
- Odvolatelný: Uživatelé mohou snadno změnit preference
Nejlepší postupy pro banner cookies
| Dělat | Nedělat |
|---|---|
| Poskytnout podrobné volby | Předvyplňovat souhlas |
| Zajistit stejnou viditelnost tlačítka „Odmítnout vše“ | Schovávat odmítnutí za více kliknutí |
| Ukládat důkaz o souhlasu | Nastavovat cookies před souhlasem |
| Umožnit snadné odvolání souhlasu | Ztížit odvolání více než udělení souhlasu |
| Jasný, srozumitelný jazyk | Technický žargon |
Důvěrnost komunikací (článek 5)
- Zákaz odposlechu a sledování
- Povolené technické ukládání nezbytné pro přenos
- Obsah i metadata jsou chráněny stejně
Přímý marketing (článek 13)
| Typ | Požadavek |
|---|---|
| Marketing e-mailem/SMS | Vyžaduje předchozí souhlas opt-in |
| Stávající zákazníci | Měkký opt-in pro podobné produkty (s jednoduchým odhlášením) |
| B2B marketing | Pravidla se liší podle členských států |
Nevyžádané komunikace
- Identita odesílatele nesmí být skryta
- Vyžaduje platný mechanismus pro odhlášení
- Musí být respektovány národní registry „nevolejte“
Navrhované změny Digital Omnibus (2025)
Evropská komise navrhla zjednodušení pravidel pro cookies prostřednictvím balíčku „Digital Omnibus“:[3]
- Přesun některých ustanovení ePD do GDPR
- Rozšíření výjimek pro analytické a bezpečnostní cookies
- Umožnění centralizovaných signálů souhlasu ke snížení „únavy ze souhlasu“
Poznámka: Tyto návrhy dosud nebyly přijaty. Současné požadavky ePD zůstávají v platnosti.
Příklady vymáhání
| Orgán | Subjekt | Pokuta | Důvod |
|---|---|---|---|
| CNIL (Francie) | 150 mil. € | Porušení pravidel souhlasu s cookies | |
| CNIL (Francie) | 60 mil. € | Obtížné odmítnutí cookies | |
| ICO (Velká Británie) | Více subjektů | Varování | Skrytá tlačítka pro odmítnutí |
| AEPD (Španělsko) | Různí | 10 000–100 000 € | Nesprávné získávání souhlasu |
Kontrolní seznam pro vývojáře
Banner pro souhlas s cookies
- Získat souhlas před nastavením nepodstatných cookies
- Poskytnout podrobné ovládání kategorií
- Zajistit stejnou dostupnost tlačítka „Odmítnout vše“
- Ukládat a časově označit záznamy o souhlasu
- Umožnit snadné odvolání souhlasu
- Blokovat skripty třetích stran do získání souhlasu
Technické požadavky
- Provést audit všech cookies a sledovacích technologií
- Kategorizovat podle účelu a nezbytnosti
- Dokumentovat účely a dobu uchování cookies
- Zajistit, aby skripty respektovaly signály souhlasu
- Implementovat synchronizaci souhlasu pro subdomény