S články na téma cookies se v posledním roce „roztrhl pytel“ a s blížící se účinností novely zákona č. 127/2005 Sb., o elektronických komunikacích[1] (dále jen „Zákon“), před koncem roku 2021 se téměř každý snažil předložit svůj pohled na věc a pomoci tak zoufale tápajícím v rychlém a správném nastavení správy cookies a osobních údajů.
Ač se o tématu hojně diskutovalo, vyšlo mnoho článků a proběhl bezpočet seminářů a webinářů, dozorový úřad nad výslednou aktivitou správců příliš nejásá. Ba naopak. S koncem školního roku vystavil ÚOOÚ správcům vysvědčení,[2] jež svědčí o tom, že v jeho očích příliš úspěšní nejsou.
Popíšeme si užívání cookies nejen z hlediska ochrany osobních údajů, ale rovněž z hlediska tvůrce webu, který do značné míry ovlivňuje, jaké cookies budou na webové stránce nasazeny a jak budou fungovat.
Není cookies jako cookies
Co si pod pojmem cookies v technickém slova smyslu vlastně představit? Podle definice jsou cookies malé textové soubory, jež se ukládají do zařízení návštěvníka webové stránky. Jedná se o lokální soubory, které jsou uloženy v počítači/tabletu/telefonu/jiném zařízení návštěvníka webové stránky. V okamžiku, kdy držitel takového zařízení opětovně webovou stránku navštíví, stránka automaticky „prohledá“ složku v předmětném zařízení, kam se cookies ukládají, aby zjistila, zda již bylo cookies uloženo, a pokud ano, jaká informace se v cookies nachází (např. o přihlašovacím jméně do uživatelského účtu v online obchodě, nastavení preferovaného jazyka v případě vícejazyčného webu apod.).
Bleskové shrnutí vývoje právní úpravy:
Právní úpravu soukromí v elektronických komunikacích na unijní úrovni nalezneme ve směrnici 2002/58/ES, její ustanovení byla transponována do výše uvedeného zákona. Tato směrnice byla v listopadu 2009 novelizována (s účinností od května 2011), avšak český zákonodárce neprovedl novelizaci Zákona tak, aby odpovídala znění novelizované směrnice.
Zpracování cookies bylo podrobeno rovněž šetření ÚOOÚ, který v kontrolních protokolech konstatoval nesoulad české legislativy s legislativou unijní.[3] Přístup ke cookies, který byl v České republice praktikován, se změnil od 1. ledna 2022, kdy nabyla novela účinnosti. Do té doby byla správa cookies založena na § 89 odst. 3 cit. zákona a byla vystavěna na principu OPT-OUT, tj. subjekt údajů byl provozovatelem webu (správcem osobních údajů) informován o tom, že dochází k ukládání cookies souborů, k jakému účelu se tyto cookies soubory ukládají do zařízení návštěvníka webu, a dále byl subjekt údajů informován o možnosti a způsobech změny ukládání cookies, případně o uplatnění svých práv coby subjektu údajů.
Uvedená novela změnila přístup na princip OPT-IN, kdy správce osobních údajů musí nejdříve získat souhlas subjektu údajů s uložením cookies a teprve po obdržení tohoto souhlasu může cookies do zařízení návštěvníka webové stránky uložit. Na souhlas s uložením cookies se vztahují podmínky pro udělení a doložení souhlasu dle čl. 4 bod 11 ve spojení s čl. 7 GDPR a informace podaná návštěvníkovi webové stránky musí splňovat náležitosti uvedené v čl. 13 GDPR.
Obdobně jako před novelou existuje i při současné právní úpravě legální výjimka pro možnost uložení cookies bez souhlasu subjektu údajů, a to v případně, že se jedná o „technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem“.
Problematika souhlasu
Jak již bylo uvedeno, k získání souhlasu se použijí ustavení GDPR, konkrétně pak podmínky pro souhlas uvedené v čl. 4 bod 11 ve spojení s čl. 7 GDPR. Problematickým v tomto případě může být především odstavec první, který po správci požaduje, aby byl schopen prokázat udělení souhlasu se zpracováním. V případě „běžného“ zpracování osobních údajů je takové doložení poměrně jednoznačné a správce tuto povinnost buď splní, nebo nikoli. Avšak v případě cookies, které jsou svým způsobem abstraktní (abstraktnější než jiné osobní údaje), se tato povinnost může jevit jako problematická.
Jak tedy postupovat, pokud bude ÚOOÚ při kontrole vyžadovat doložení souhlasů s ukládáním cookies? Jednou z možností je doložit správné nastavení, tj. kontrolujícím v reálu předvést, jakým způsobem dochází k získávání souhlasu a zda skutečně nedochází k uložení cookies dříve, než je souhlas udělen. Tato varianta je jednodušší, nicméně požadavky čl. 7 odst. 1 GDPR nenaplňuje, neboť nedochází k jasnému doložení konkrétního souhlasu, pouze dokládá správné nastavení a správný postup při ukládání osobních údajů.
Pro doložení konkrétního souhlasu proto musí správce využít takové řešení, které umožňuje správu souhlasů, aby byl schopen konkrétní souhlas doložit. Zjednodušeně lze říci, že na straně služby, která správu cookies nabízí, dochází k uložení takových souhlasů do databáze. Tato databáze by měla obsahovat informaci o tom, zda byl souhlas udělen, z jaké IP adresy k němu došlo, a datum a čas, kdy byl souhlas udělen.
Tvorba webu, použití cookies a jejich typy
Cookies dělíme na tři základní typy podle toho, k čemu konkrétně na webu slouží.
Technické cookies – jsou nezbytné pro správné fungování webu. Bez nich by nebylo možné správně zobrazit například některé jeho části. Ve výchozím stavu jsou tyto cookies zapnuté a nelze je vypnout.
Analytické cookies – se používají kvůli analýze návštěvnosti webu. Pomáhají také dosáhnout lepší uživatelské přívětivosti webu. Ve výchozím stavu jsou tyto cookies vypnuté.
Personalizace a marketing – tyto cookies jsou nastaveny většinou ze strany partnerů. Pomáhají se správným cílením reklamy a nabízí relevantní obsah dle zájmů návštěvníka webu. Ve výchozím stavu jsou tyto cookies vypnuté.
Náležitosti cookies lišty
Většina webů pro správu cookies využívá cookies lišty. Téměř by se dalo říci, že co webová stránka, to jiná cookie lišta. Nicméně aby správce zpracovával cookies v souladu s legislativou, měla by cookie lišta obsahovat určité povinné minimum, které je možné shrnout do následujících bodů:
- Informace o zpracování osobních údajů – podle čl. 13 GDPR má být subjekt údajů informován o zpracování svých osobních údajů správcem v okamžiku, kdy správce osobní údaje získá. Protože je však cookie lišta malá a z hlediska uživatele je nechtěné, aby zaplňovala celou stránku, měla by zahrnovat alespoň základní informace o zpracování s uvedením odkazu na detailní informaci o zpracování cookies. Základní informace by měly obsahovat identifikaci správce, uvedení důvodu zpracování cookies, právního titulu zpracování, kontakt na správce a odkaz na další vrstvu se zbývajícími náležitostmi dle čl. 13 (především jde o práva subjektu údajů). Otázkou může být užití jazyka, ve kterém se o cookies informuje. Správce by měl zvolit takový jazyk, který odpovídá návštěvníkům (či předpokládaným návštěvníkům) jeho webové stránky. Informace o cookies na webech orgánů státní správy tak budou především v českém jazyce, zatímco u soukromoprávních subjektů bude záležet na tom, na které uživatele správce převážně cílí. V případě pochyb je na místě koncipovat informace vícejazyčně.
- Rozdělení používaných cookies – návštěvník webové stránky by měl obdržet informaci o tom, které cookies stránka obsahuje a které budou po udělení souhlasu uloženy do jeho zařízení, a to včetně doby, po kterou budou cookies uloženy.
- Předzaškrtnuté cookies NE – dnes již téměř výjimečně, avšak stále je možné narazit na webové stránky s cookie lištou, která má předzaškrnuté použití všech cookies. Jde o chybný přístup, neboť pro udělení souhlasu je třeba aktivního přístupu uživatele, tj. on sám musí zaškrtnout, které cookies chce přijmout (případně vybrat políčko „přijmout vše“ – viz níže).
- Tlačítka pro udělení souhlasu – aby mohlo dojít k legálnímu uložení cookies do zařízení uživatele, musí uživatel s takovým uložením souhlasit, případně spravovat volby cookies. Nedostatky, které ÚOOÚ ve své zprávě konstatoval, směřují právě k této oblasti, kdy některé cookies lišty nasazené na webových stránkách sice umožňují jednoduchým způsobem udělit souhlas s ukládáním cookies, případně spravovat volby cookies, ale již neumožňují souhlas jednoduchým způsobem neudělit. Cookie lišta má tedy správně obsahovat alespoň dvě možnosti volby – souhlas s uložením a odmítnutí uložení. Třetí volba – možnost spravovat uložení cookies – je v cookie liště vítaná a umožňuje návštěvníkům webu přizpůsobit ukládání cookies do zařízení dle jejich potřeb.
Délka platnosti cookies
Vývojář webové stránky nebo aplikace může určit délku platnosti jednotlivých cookies. Délku platnosti cookies služeb třetích stran nejsme schopni přímo určit, ale měli bychom být schopni je kontrolovat pomocí možné úpravy nastavení dotyčných služeb ve smyslu kontroly špatně nastavených cookies a jejich expirací nebo mít možnost provést resetování souhlasů. U některých typů cookies může platnost trvat jen několik dnů. U jiných typů už může být platnost delší a dosahovat 60 až 90 dnů. Standardně používaná doba platnosti je například 30 dnů.
Další využití cookies
Je třeba mít na paměti, že § 89 odst. 3 Zákona hovoří o souhlasu pro „ukládání nebo získávání přístupu k údajům uloženým v koncových zařízeních“. To však mnohým podnikatelům (správcům osobních údajů) nemusí stačit, neboť pouhé uložení cookies do zařízení uživatele pro ně nemá z hlediska vytěžení informací o návštěvnících webu dostatečnou přidanou hodnotu. Pokud tedy správce hodlá využít informace získané z cookies k dalším opatřením (např. profilování, cílení reklamy, analýze atraktivity obsahu webu apod.), bude se tak dít již výlučně v režimu GDPR, přičemž pro takové další zpracování bude muset správce stanovit nový účel, určit právní titul, plnit informační povinnost vůči subjektům údajů a dodržet veškeré náležitosti vycházející z obecných zásad zpracování (čl. 5 GDPR) a na ně navazujících ustanovení GDPR. Z technického hlediska dochází k vytěžení uvedených informací tak, že data z uložených cookies se získávají už při načítání webové stránky. Prostřednictvím zdrojového kódu ve stránce se tyto soubory otevřou a na základě načtených hodnot dochází ke generování určitého obsahu. Tyto vyčtené hodnoty lze samozřejmě opět uložit nebo odeslat datovou větou do dalšího systému, kde lze tato data dále číst a vyhodnocovat.
V případě, že správce pověří správou svých webových stránek, včetně provádění shora uvedených analýz, svého smluvního partnera, pak tento smluvní partner bude v postavení zpracovatele osobních údajů ve smyslu čl. 4 bod 8 GDPR a správce musí s takovým zpracovatelem uzavřít zpracovatelskou smlouvu ve smyslu čl. 28 GDPR a rovněž o něm informovat jako o příjemci osobních údajů dle čl. 13 GDPR.[4]
Doporučená technická řešení
Existují pouze dvě možnosti, jak správu a zpracování cookies správně vyřešit. Pokud vlastník webu disponuje vývojářským týmem, má možnost nechat si celý plugin vytvořit na míru. Tento způsob má však svá úskalí z pohledu náročnosti vývoje a pečlivého otestování, které i přesto nemusí chyby odhalit a dochází pak k porušení zákona. Přesto si takový postup zvolila třeba jednička v oblasti online prodeje elektroniky Alza.cz, která odbornými kvalitami jistě disponuje.
Menší nebo méně technicky vybavené subjekty se rozhodly využít některý z existujících nástrojů, které jsou z pohledu vývojářské komunity velmi dobře otestovány a je jisté, že fungují zcela správně. Některé z nástrojů fungují do určité míry zcela zdarma. Klíčovým faktorem je často počet zobrazení stránek, který se odvíjí od počtu návštěvníků. V případě navštěvovanějších webových stránek a větších portálů je třeba přejít do placeného režimu.
Všechny níže uvedené nástroje s jistotou splní očekávaní a s daty uživatelů budou nakládat nejlepším možným způsobem. Většina má velmi intuitivní proces nastavení, jenž by měl zvládnout i laik. Samozřejmostí je i možnost exportů, ať už pro přehled, nebo v případě důkazního břemene.
Nabídka podobných řešení
Cookie Pro https://www.cookiepro.com/
Cookie Hub https://www.cookiehub.com/
Cookie Consent https://www.cookieconsent.com/
Cookies Yes https://www.cookieyes.com/product/cookie-consent/
DIDOMI https://www.didomi.io
Pro více informací k jednotlivým řešením doporučujeme článek dostupný zde.
Jak tedy rozhodně ne
V textu jsme se nyní pokusili shrnout, jak legálně postupovat při využívání cookies. Je ale třeba také upozornit na praktiky, nad kterými by dozorový úřad oko rozhodně nepřivřel.
Když si to shrneme, ukládání a čtení cookies je založeno na uděleném souhlasu, který musí splňovat náležitosti dle GDPR. Jednou ze základních charakteristik souhlasu je aktivní konání uživatele, který souhlas uděluje. Proto se za řádně udělený souhlas nebude považovat předzaškrtnuté pole pro souhlas nebo předzaškrtnuté volby cookies souborů – chybělo by zde totiž aktivní konání uživatele, jeho vůle vyjadřující souhlas s uložením a čtením cookies.[5] Rovněž pouhé scrollování po stránce nelze považovat za aktivní udělení souhlasu, nejednalo by se o jednoznačný projev vůle subjektu údajů (vůle subjektu údajů by spočívala v prohlédnutí webové stránky, nikoli přijetí cookies). Mezi nedovolené praktiky patři i tzv. cookie wall, tedy situace, kdy je subjektu údajů znemožněn přístup na webovou stránku do okamžiku udělení souhlasu se zpracováním cookies (pro řádně udělený souhlas v takovém případě chybí svobodně a bez nátlaku vyjádřená vůle s uložením a čtením cookies).
Ve své zprávě ÚOOÚ poukázal rovněž na skutečnost, že ne všechny cookie lišty jsou správně nastaveny co do počtu možností spravovat cookies. Teoretický základ leží opět u souhlasu, kdy odmítnout (jakékoli) zpracování na základě souhlasu má být stejně snadné jako jeho udělení. Pokud tedy cookie lišta obsahuje možnost udělit souhlas s veškerými cookies, má rovněž obsahovat možnost veškerá cookies odmítnout. Umožnit vlastní správu cookies dává subjektu údajů možnost zvolit, která cookies jsou pro něj akceptovatelná.
ÚOOÚ dále upozorňuje na rozdíl ve viditelnosti tlačítek pro souhlas a nesouhlas s netechnickými cookies, aniž by tento poznatek dále rozvinul. Zde je na místě poukázat na dokument EDPB,[6] který se zabývá nekalými praktikami na sociálních sítích a ze kterého je možné teoreticky vycházet i při nastavení cookie lišty. S jistotou lze tvrdit, že takové zabarvení odmítacího pole, které znemožňuje jeho přečtení či znemožňuje jeho nalezení na webové stránce, bude zcela jistě špatně (EDPB tuto praktiku označuje jako Left in the dark). Opět je možné vycházet z premisy, že neudělit (odvolat) souhlas má být stejně snadné jako jej udělit. Otázkou je, zda různé zbarvení polí, které neznemožňuje čtení a které podprahově vyvolává (předvídá) určitou reakci, je ještě v normě nebo je již za hranou. Dokument rovněž zmiňuje použití barev v matoucím kontextu, kdy jako příklad uvádí přepínač s červenou a zelenou barvou. Obvyklým způsobem udělení souhlasu je posunutí přepínače doprava a jeho zelené zbarvení. Pokud však bude přepínač posunut doprava a zbarví se červeně, pak taková úprava může vyvolat znejistění, zda došlo k udělení (posun doprava), nebo naopak neudělení souhlasu (červená barva).
Použitím některých výše uvedených nekalých praktik se správce osobních údajů dostává do konfliktu s čl. 12 GDPR, dle kterého má správce poskytnout informace „stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků“.
Pozor na záludnosti
Cookies na přelomu roku
Jediným správným postupem, jak dále ukládat a využívat již uložené informace v zařízení návštěvníka, bylo vyžádat si při první návštěvě po 1. lednu 2022 nový souhlas. Jak již bylo v článku zmíněno, cookies soubory mají určitou časovou platnost a poté zaniknou. Standardní doba platnosti je 30 dní. Předpokládejme, že tuto dobu platnosti mají i následující dva příklady.
Pokud byl na web nasazen nový systém pro práci s cookies v průběhu listopadu 2021, bylo vše v pořádku. Původní uložené cookies mohly samy expirovat a uživatelé postupně udělili nové souhlasy.
Pokud došlo k nasazení až v polovině prosince 2021, nastavené cookies nemusely samy zaniknout. První krok nově nasazeného systému pro správu cookies sice vedl k tomu, že se snažil získat od uživatelů souhlas znovu, v zařízení ale byly stále uložené původní cookies. Ty mohly na webu zůstat i bez souhlasu uživatele. Legislativně správným řešením tedy v daném okamžiku bylo nastavení cookies tak, aby při první návštěvě webové stránky po 1. lednu 2022 odeslal web dotaz do zařízení uživatele, zkontroloval zde případně uložené cookies a v případě, že se zde nacházely cookies nedopovídající legislativně účinné po 1. lednu 2022, nahradil tyto cookies novými, založenými na souhlasu, nebo automaticky provedl jejich likvidaci.
Cookies v mobilních aplikacích
Ač by se na první pohled mohlo zdát, že problematika cookies se týká pouze webových stránek, opak je pravdou. Například většině uživatelů známá aplikace pro jízdní řády IDOS takový souhlas požaduje, a to ze stejného důvodu, jako je tomu u webových stránek. Také provozovatelé mobilních aplikací musejí dbát právní úpravy při zpracování cookies, neboť se i na ně v plné míře vztahuje výše popsané.
Co když můj web cookies nevyužívá?
Přestože je v dnešní době takových webů téměř zanedbatelné množství, není neřešitelné vytvořit jednoduchý prezentační web, který nevyužívá cookies. Takový web si představme například jako jednostránkovou prezentaci sportovního klubu nebo začínajícího hudebníka. Na webu jsou pouze základní informace, kontaktní údaje a textový obsah pouze v českém jazyce. Součástí webu není žádný systém pro správu obsahu, nevyskytují se zde ani pluginy sociálních sítí, ani analytické nástroje. Tento web bude fungovat správně napříč všemi zařízeními a nepotřebuje kvůli tomu uložit jediný cookie soubor.
I na takovém webu by měl být ale viditelný odkaz s prohlášením, že web nepoužívá žádné cookies, nejlépe včetně jasného vysvětlení, proč tomu tak je. Pozor však na chybné domněnky, že základní prezentační web s cookies nepracuje. Pokud dojde k nasazení některého z analytických nástrojů, například Google Analytics, vytvoří se skrze váš web několik souborů cookies v zařízení návštěvníka.
Pozor na Google Analytics
Google Analytics jsou velmi oblíbeným a rozšířeným nástrojem. Jejich využívání však s sebou nese jeden velký problém z hlediska ochrany osobních údajů, a tím je předávání osobních údajů do třetích zemí, tj. mimo EU/EHP. Obchodní podmínky služby Google Analytics[7] sice uvádějí, že smluvní stranou je společnost Google Ireland Limited, tedy společnost se sídlem v EU, na druhou stranu však také uvádějí, že tato společnost využívá servery, které jsou pod kontrolou spřízněného subjektu Google, na nichž jsou uložena data o zákaznících a zpracovatelských softwarech. Zpracovatelský software přitom dle obchodních podmínek znamená software a upgrade na straně serveru Google a spřízněné subjekty Google znamenají Google LLC a jím vlastněné dceřiné společnosti. Z pohledu ochrany osobních údajů tak dochází k řetězení zpracovatelů ve smyslu čl. 28 odst. 2 GDPR, přičemž správce nemá možnost ovlivnit výběr subzpracovatele, a tím nemůže ovlivnit ani předávání do třetích zemí. V takovém případě se správce dostává do střetu s čl. 28 odst. 1 GDPR, který po správci vyžaduje, aby využil „pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů“. Správce má možnost se tohoto střetu vyvarovat, a to za předpokladu, že zvolí dostatečně vhodné právní, organizační a technická opatření, aby minimalizoval rizika plynoucí z takového předání. Tyto závěry je třeba dovozovat z judikatury SDEU,[8] na kterou svým výkladem navázal EDPB.[9]
Shrnuto a podtrženo
Problematika cookies s blížící se účinností novely Zákona nepominula, ba právě naopak. Jak dokládá výše uvedená zpráva ÚOOÚ, jedná se o problém, který provozovatelé webových stránek s menšími či většími úspěchy a nezdary řeší a budou řešit neustále. Provozovatelé webových stránek si především musí dát pozor na správné nastavení systému pro získávání souhlasů a dobu uložení cookies. Jako při každém zpracování je třeba i v případě zpracování cookies dbát na správné informování subjektů údajů, kdy se z praktického hlediska jeví jako nejvýhodnější vícevrstvá informace.
Provozovatelé webových stránek by si měli zkontrolovat, v jaké míře se u nich na webu nacházejí cookies třetích stran, zda o těchto cookies řádně informují, a především by měli zvolit vhodné nástroje, které omezí dobu uložení tak, aby odpovídala účelu zpracování.
S cookies je to jako s ohněm
Dalo by se říct, že s cookies je to podobné jako s ohněm. I cookies mohou být dobrý sluha (a to i dvou pánů – jak správce webu, tak návštěvníka), ale mohou být také zlý pán, protože mohou sledovat internetovou aktivitu uživatele napříč internetem a ovlivňovat jeho chování (zobrazování reklamy, cílené snížení ceny u prohlíženého produktu s cílem „přinutit“ k nákupu apod.). Odmítat jednoznačně cookies jako něco špatného by tedy bylo krátkozraké. Je však třeba mít na paměti jejich rizika a s tím ke správě cookies i přistupovat. Poměrně zdařilou osvětovou kampaň v tomto duchu vedla společnost AVAST, která za tímto účelem vytvořila šestidílnou minisérii, v níž potrápí hlavního protagonistu (herec Martin Kraus) bezhlavé ukládání cookies tak, že se to odrazí i v jeho soukromém životě.[10]
Vojtěch Dlouhý
Autor je právník, pracuje jako konzultant ochrany osobních údajů ve společnosti F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a. s.
David Musil
Autor je vedoucí vývojář v Davmo Software, s.r.o.
[1] zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů.
[2] https://www.uoou.cz/cookies-listy-vykazuji-radu-nedostatku/d-56422.
[3] např. sp. zn. UOOU-00438/19 či UOOU-00350/20 dostupné zde https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=37700 a zde https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=43383.
[4] Zpracovatel jako příjemce osobních údajů vychází z Pokynů k transparentnosti podle nařízení 2016/679, které přijala a schválila pracovní skupina 29, překlad dostupný na stránkách ÚOOÚ – https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=31895.
[5] Rozsudek C-673/17 ve věci Planet 49 GmbH.
[6] Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognize and avoid them; dostupné na https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en.
[7] https://marketingplatform.google.com/about/analytics/terms/cz/.
[8] Rozsudek SDEU C-311/18 tzv. Schrems II.
[9] Doporučení 01/2020 dostupné zde: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.
[10] Minisérie s názvem „Muž, který povolil vše“, dostupná zde: https://www.youtube.com/watch?v=vLdyFzWG-c4.