Doporučení SPIR pro vydavatele: příprava uživatelského rozhraní žádosti o souhlas se zpracováním osobních údajů z online identifikátorů

Vzhledem k nejistotě, která na trhu vládne v mezidobí mezi již přijatým GDPR, jehož některé výkladové aspekty jsou postupně upřesňovány, a budoucím nařízením ePrivacy a ve světle rozhodnutí zahraničních regulátorů ve specifických případech týkajících se platnosti či neplatnosti získaných souhlasů, usiluje Sdružení pro internetový rozvoj (SPIR) o vytvoření co nejstabilnějšího prostředí pro vydavatele a zároveň co nejjednotnějšího a nejpřehlednějšího prostředí pro uživatele internetu.

Pro potřeby českého trhu SPIR, i po konzultacích s Úřadem pro ochranu osobních údajů, stále považuje za dostatečný souhlas pro umísťování cookies pro potřeby cílené reklamy povolením cookies v prohlížeči. Nicméně evropští i globální partneři začínají vyžadovat po českých subjektech dokládání standardizovaných souhlasů, které splňují požadavky IAB Europe Transparency and Consent Framework (TCF).

Ze situace na trhu je patrné, že nezapojení se do TCF povede nevyhnutelně k vyloučení příslušného českého subjektu z globálního či evropského reklamního ekosystému, a tudíž praktické likvidaci příslušného subjektu. Souhlasy získané jinak, než v souladu s TCF nebudou minimálně hlavními obchodními partnery přijímány jako platné. 

Z tohoto důvodu SPIR doporučuje vydavatelům, aby se zapojili, pokud to bude nezbytné pro monetizaci jejich reklamního inventory, do TCF a dodržovali níže uvedené standardy. Níže uvedené doporučení pro UI odpovídá standardům TCF, které je nezbytné dodržet, má-li být takto získaný souhlas považovaný v rámci TCF za platný. 

Vlastní doplnění SPIR, která zpřesňují některá doporučení TCF nebo doporučují z pohledu SPIR nejvhodnější variantu z těch, které jsou nabízeny v rámci TCF, jsou vždy vyznačeny kurzívou a označeny jako „Doporučení SPIR“.

DŮLEŽITÉ:  Aktuálně se připravuje verze 2.0 TCF, která má reagovat na některá rozhodnutí evropských dozorových orgánů. Nová verze má být připravena k nasazení na podzim 2019, přičemž verze 1.0 má být definitivně stažena v prvním čtvrtletí 2020. Níže uvedené doporučení je proto vhodné pouze jako přechodné řešení v případě tlaku ze strany silných zahraničních partnerů do doby, než bude připravena verze 2.0. Již nyní je patrné, že souhlasy získané ve verzi 1.0 TCF nebudou kompatibilní s verzí 2.0 a bude tudíž nutné po nasazení nové verze opět přesouhlasovat. Vzhledem k nastalé situaci SPIR doporučuje nasadit níže uvedené řešení v případě potřeby po přechodné období v minimalistické formě. Jakmile bude verze 2.0 TCF definitivně připravena, bude SPIR své doporučení aktualizovat.

Základní postup:

1. Najděte si dodavatele CMP řešení, vybírat můžete např. ze seznamu na https://advertisingconsent.eu/cmp-list/
    
2. Implementujte do svých stránek uživatelské UI pro získávání souhlasu. Můžete využít UI komponentu CMP řešení, pokud ji obsahuje. Dodržujte přitom standardy uvedené v doporučení SPIR.

Kdy by se uživateli měla zobrazit oznámení o zpracování údajů a žádost o souhlas (příp. v případě oprávněného zájmu poučení o možnosti vznést námitku)?

Vydavatelé mohou určit, kdy a jak často se příslušné rozhraní UI/UX zobrazí. Vydavatel může toto také ponechat na poskytovateli UI a/nebo CMP. Uvedené rozhraní by se však mělo zobrazovat alespoň:

• při prvním vstupu uživatele na stránky, které jsou provozovány z ČR nebo jiné členské země EU (jelikož na tyto země se vztahují ustanovení GDPR);
   
• pokud vydavatel přidal nového smluvního partnera do seznamu smluvních partnerů a chce tuto skutečnost oznámit a sdělit, že osobní údaje zpracovává nový smluvní partner, a získat k tomu od uživatele souhlas, případně poskytnout informace o způsobu, jakým uživatel může uplatnit své právo vznést námitku vůči využívání daného smluvního partnera.

Doporučení pro UI/UX 

Kombinování účelů zpracování a/nebo smluvních partnerů

O účelech zpracování a/nebo smluvních partnerech je nutno informovat beze změny takovým způsobem, aby bylo uživateli jasné, že každý účel zpracování a/nebo smluvní partner představuje samostatný a odlišný účel a/nebo subjekt.

Volbu ohledně účelů zpracování a/nebo smluvních partnerů může uživatel učinit také en bloc(souborně), tj. nikoliv samostatně.

Aniž by to bylo na úkor ustanovení druhého odstavce, uživatel by měl mít možnost si zvolit účely zpracování a/nebo smluvní partnery jednotlivě nebo po menších skupinách, tj. uživatel by měl mít možnost učinit různá rozhodnutí a volby ohledně některých či všech účelů zpracování a/nebo smluvních partnerů, které se mu zobrazují.

Jazyk uživatelského rozhraní

Uživatelské rozhraní musí podporovat jazyk či jazyky, v nichž se nabízí služba, v jejímž rámci se dané UI zobrazuje. Uživatelské rozhraní může dále podporovat i jiné jazyky, např. jazyky země, z níž uživatel ke službě přistupuje.

Formátování UI/UX

Uživatelské rozhraní musí obsahovat dostatečně transparentní informace o zpracování, uvedení účelů zpracování a smluvních partnerů. 

Žádost o souhlas může pokrývat celou stránku nebo její převážnou část. Pokud UI nepokrývá celou nebo převážnou část obsahu stránky, musí být zobrazeno zvýrazněným či nápadným způsobem.

Není-li souhlas od uživatele třeba (např. na základě oprávněného zájmu), je možné informace o zpracování osobních údajů zahrnout do snadno přístupné specializované sekce na webové stránce.

Výzva uživateli, aby se vyjádřil podrobně k jednotlivým účelům zpracování a partnerům, musí být zobrazena v rovnocenném postavení jako žádost o souhlas tak, aby nevznikal dojem, že jedna volba či možnost je upřednostňována před jinou. Vydavatelé musejí nabízet možnost získat podrobnější informace, v jejichž rámci by měla být uživateli nabídnuta možnost udělit souhlas pro všechny nebo jen pro některé účely a stejně tak případně pro všechno nebo některé partnery. Vydavatelé mohou (ale nemusí) nabízet uživateli možnost odmítnout zpracování osobních údajů. 

Doporučení SPIR:

SPIR doporučuje označit tlačítko nabízející podrobnější volby způsobem, z něhož je jasně patrné, že se nejedná pouze o další informace, ale skutečně nastavení, které uživatel může přizpůsobit svým preferencím (např. Podrobnější nastavení, Další volby, Nastavení vlastních preferencí).

SPIR doporučuje umožnit uživateli zavřít banner prostřednictvím tlačítka x, nikoliv samostatným tlačítkem, které explicitně znamená nesouhlas (např. Nesouhlasím, Ne, Odmítám...). SPIR se domnívá, že volba takového „nesouhlasného“ tlačítka v uživateli vyvolává mylný dojem absolutního, a tudíž trvalého odmítnutí, a opakované výzvy s žádostí o souhlas tak mohou uživatele obtěžovat a vést k vyššímu počtu stížností. Použití „zavíracího“ tlačítka bude spíše vnímáno jako dočasný nesouhlas, resp. nesouhlas pro tuto chvíli. 

1. ÚROVEŇ

Uživatelské rozhraní (UI) musí sdělovat následující informace v první vrstvěinformací, které jsou zobrazovány v souladu s prvním odstavcem:

• skutečnost, že se osobní údaje zpracovávají, a příklady zpracovávaných osobních údajů;
• účely zpracování osobních údajů a operace používané smluvními partnery na podporu těchto účelů;
• skutečnost, že údaje zpracovávají třetí osoby, a odkaz na ucelený seznam takových třetích osob;
• možnost uplatnit volby, resp. vyjádřit souhlas a možnost tyto volby (souhlas) kdykoli změnit.

V první vrstvě se tedy může zobrazit přehled možností formou rozklikávací (rozbalovací) nabídky, která po jejímž rozkliknutí (rozbalení) se uživatel dostane do vrstvy druhé.

2. ÚROVEŇ

Následující informace může UI sdělovat již v první vrstvě, nejpozději ovšem ve vrstvě druhé, která je snadno přístupná z vrstvy první, zobrazené v souladu s odstavcem prvním:

• účely zpracování osobních údajů včetně standardní definice takových účelů;
• smluvní partneři, kteří osobní údaje zpracovávají.

Příklady způsobů, kterými lze zobrazit seznam účelů zpracování a smluvních partnerů formou druhotných obrazovek zahrnuje mimo jiné odkaz nebo rozbalovací nabídku.

Seznam účelů zpracování a/nebo smluvních partnerů zobrazených v rámci UI musí mít následující vlastnosti:

• musí obsahovat minimálně jméno smluvního partnera, odkaz na jeho politiku ochrany osobních údajů, účely zpracování a související funkce.

Vydavatelé mohou umožnit uživatelům označit nebo odznačit jednotlivé účely zpracování a/nebo smluvní partnery. Je na vydavatelích, jakým způsobem se rozhodnou tyto možnosti zobrazit. Vydavatelé mohou zároveň uvést případné důsledky plynoucí z jednotlivých voleb vybraných uživatelem.

Doporučení SPIR: 

SPIR doporučuje jako výchozí volbu ponechat jednotlivé účely a partnery zaškrtnuté tak, aby uživatel, který s některou položkou nesouhlasí, ji odškrtl. Následně je potřeba toto nastavení potvrdit, čímž je splněn požadavek opt-in.

Účely zpracování:

• Ukládání údajů a přístup k nim[1]
• Personalizace[2]
• Výběr, zobrazování a reporting reklamy[3]
• Výběr, zobrazování a reporting obsahu[4]
• Měření[5]

Doporučení SPIR: 

SPIR doporučuje zvážit skutečné účely zpracování. Pokud vydavatel a jeho partneři zpracovávají data za jinými než uvedenými účely, je nutné seznam o příslušné účely rozšířit.

Jak často musí být daný text koncovým uživatelům zobrazován?

Pokud se koncový uživatel vyjádří ke zpracování a označí určité volby, může vydavatel zobrazit potvrzení volby, kterou uživatel učinil, spolu s informacemi, jak je možné toto nastavení později změnit.

Pokud se koncový uživatel nevyjádří, ale místo toho se přesune na [stránku] [mob. aplikaci] a začne internetové stránky používat, znamená to, že souhlas neudělil. Oznámení by se mu pak zobrazit minimálně podruhé, případně častěji. Vydavatel by měl v patičce stránky zobrazit připomenutí s odkazem na zásady ochrany osobních údajů, kde je možné nastavení změnit.

Podrobné standardy TCF v.1.0 naleznete na https://advertisingconsent.eu/.