Provozujete webové stránky, na kterých používáte vložené Google Fonts, případně jiné tzv. embedované fonty? Pak byste měli věnovat zvýšenou pozornost tomu, zda nevědomky neporušujete právní předpisy. Koncem ledna tohoto roku totiž Mnichovský civilní okresní soud vydal rozhodnutí, ve kterém uložil provozovateli webu nahradit uživateli újmou vzniklou porušením GDPR v souvislosti s používáním Google Fonts.
Google fonts, o co se jedná?
Google Fonts je knihovna obsahující více než tisíc bezplatných a plně licencovaných počítačových písem (fontů). Fonty z této knihovny pak můžete po vložení do kódu webových stránek fonty bezplatně používat.
Potenciální porušení GDPR
Problém si ukážeme na výše naznačeném případu z Bavorska. Při používání Google Fonts na jakémkoliv webu totiž může docházet k poskytování určitých dat, včetně IP adresy, serverům Google. IP adresa je ovšem dlouhodobě považována za osobní údaj, protože provozovatel webu, který má IP adresu uživatele k dispozici, by byl schopen za pomoci dostupných prostředků a součinnosti dalších osob (především poskytovatele připojení) konkrétního uživatele na základě IP adresy ztotožnit. Jako takový osobní údaj je IP adresa chráněna GDPR, které je v České republice přímo použitelné (závazné) a navíc jsou jeho ustanovení promítnuta i do tuzemské právní úpravy. Jednoduše řečeno se jím musíme řídit i my. Stejnou povahu a ochranu mají např. i tzv. reklamní ID a některé cookies.
Vzhledem k povaze IP adresy jako chráněného údaje se právníci shodovali, že je nezbytné pro její poskytnutí třetí straně (v tomto případě Google) získat výslovný předchozí souhlas. Mnichovský soud tento názor potvrdil, když výslovně uvedl, že používání služeb jako je Google Fonts nemůže založit tzv. oprávněný zájem správce osobních údajů, který by mu jinak umožňoval údaje zpracovávat a poskytnout Google i bez souhlasu, a to především proto, že provozovatel webu může požadované fonty stáhnout od Google na svůj web a používat je lokálně (tzn. bez toho, aby IP adresu Google vůbec musel předávat).
Předání IP adresy společnosti Google bez souhlasu uživatele pak Mnichovský soud považoval za tak závažný zásah do práv uživatele, že mu přiznal i náhradu újmy od provozovatele webu. Její výše ale byla spíše symbolická (100 EUR). Provozovatel webu se dále musí zdržet dalšího takového jednání pod hrozbou sankce daleko vyšší (250.000 EUR).
Naše doporučení
Vzhledem k tomu, že v podstatě totožná pravidla jako v Německu platí pro provozovatele webů i v České republice, je vhodné vzít si z popsaného případu poučení. Provozovatelům webů, kteří používají Google Fonts či podobnou službu výrazně doporučujeme tyto fonty používat lokálně, bez předávání dat Google. Pokud by provozovatel webu z jakéhokoliv důvodu potřeboval transfer dat Google serverům zachovat, je nezbytné, aby si předem obstaral souhlas uživatele webu. Typicky je možné získat souhlas prostřednictvím cookie lišty. V opačném případě se provozovatel webu vystavuje riziku podobné sankce jako v Mnichovském případě (v českém prostředí však od Úřadu pro ochranu osobních údajů). Pouhé upozornění uživatele na možný transfer dat třetí straně je přitom nedostačující.
Pokud byste potřebovali pomoci se správným nastavením cookies z pohledu práva, neváhejte se na nás obrátit.
