Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

Cookies po novele zákona o elektronických komunikacích

Autor: Adriana Černochová | Vloženo: 12. 11. 2021 10:58 | Přečteno: 1342X

Dne 15.09.2021 Poslanecká sněmovna schválila novelu zákona č. 127/2005 Sb., o elektronických komunikacích, jejímž účelem bylo (mimo jiné) harmonizovat českou právní úpravu cookies s úpravou evropskou, zejm. se Směrnicí Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 – směrnicí o zpracování osobních údajů a ochraně soukromí v odvětvích elektronických komunikací. Změna bude spočívat především v přechodu ze současného režimu opt-out pro přijetí cookies na režim aktivního souhlasu uživatele, tzv. opt in.

V čem spočívá změna?

Nakládání s cookies upravuje § 89 odst. 3 zákona o elektronických komunikacích (dále jen „ZEK“). Podle současného znění ZEK je provozovatel webové stránky nebo mobilní aplikace povinen účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu zpracování údajů a je povinen nabídnout jim možnost takové zpracování odmítnout. Důsledkem této povinnosti je, že na webech se zobrazují tzv. cookies lišty, které na používání cookies upozorňují.

Pokud určitá cookies nejsou nezbytná pro fungování konkrétní webové stránky, musí provozovatel stránky o použití takové cookies uživatele informovat (vč. účelu jejího použití) a umožnit mu její použití pro daný účel odmítnout. Současná úprava je tedy založena na tzv. režimu opt-out, tzn., že používání cookies a celkově sledování aktivity uživatele na webu je možné do té doby, než konkrétní uživatel vyjádří svůj nesouhlas.

Nová úprava zavádí povinnost provozovatele stránky získat předchozí prokazatelný aktivní souhlas uživatele s rozsahem a účelem zpracování údajů v rámci cookies. Zde hovoříme o režimu opt-in, kdy používání cookies může být aktivováno až na základě aktivního úkonu (souhlasu) uživatele. Před udělením souhlasu přitom není možné cookies používat.

„Technické“ cookies

Z povinnosti udělit souhlas pro využití cookies existují výjimky. Jedná se např, o situace, kdy je použití cookies nezbytné pro technické ukládání nebo pro poskytnutí služby, která je poskytována na základě žádosti uživatele, tj. nejde o nějakou vedlejší službu, kterou uživatel nepožaduje. V tomto případě hovoříme o tzv. technických cookies (§ 89 odst. 3 ZEK věta druhá). Technické cookies demonstrativně vypočítává preambule návrhu Nařízení ePrivacy (viz níže), přičemž se může jednat o:

  • cookies uchovávané po dobu trvání jedné navázané relace s internetovou stránkou, aby bylo možné udržovat přehled o informacích zadaných koncovým uživatelem při vyplňování internetových formulářů
  • cookies sloužící jako nástroj k měření návštěvnosti stránky
  • cookies sloužící ke kontrole konfigurace nastavení zařízení uživatele

Jak musí vypadat souhlas s přijetím cookies?

Nelze plošně vyloučit, že některé cookies poskytují provozovateli údaje, na základě nichž lze identifikovat konkrétního uživatele. Z tohoto důvodu musí souhlas s jejich přijetím vyhovovat požadavkům stanoveným v Obecném nařízení o ochraně osobních údajů (GDPR), tzn. musí být především udělen dobrovolně, neměl by být vynucován zablokováním přístupu ke stránce nebo jiným znepříjemňováním používání webové stránky s cílem přimět uživatele k jeho udělení. Souhlas by měl být informovaný, mělo by být zřejmé, co je jeho obsahem a k čemu budou získaná data použita. Proto obecná informace „souhlasím s používáním cookies“ po účinnosti novely nebude dostatečná. Souhlas by měl být vyjádřen jednoznačným projevem vůle, tzn., že nestačí, aby byl souhlas udělován např. pokračováním v prohlížení webové stránky. Udělení souhlasu by mělo být stejně jednoduché jako jeho odvolání (tzn. že např. na webové stránce zůstane, byť i ve zmenšené podobě, určité tlačítko na odvolání souhlasu nebo bude možné jednoduše se na možnost odvolání souhlasu „proklikat“).

Čeho je nutné se vyvarovat

Vzhledem k tomu, že souhlas nesmí být podmíněný, není vhodné používat ani tzv. cookies wall, tzn. velkou tabulku, která překryje většinu obsahu webové stránky. Takový souhlas by nebyl svobodný, protože uživatel se stejně na většinu obsahu nedostane, dokud na cookie wall nezareaguje. Souhlas by neměl být ani předzaškrtnutý, tzn. nesmí tam být rovnou zaškrtnuto, že uživatel souhlasí, protože ani takový souhlas by nebyl svobodný a tato problematika už rovněž byla řešena judikaturou (viz například rozsudek Soudního dvora EU ve věci Planet49, o němž jsme detailně referovali zde). Je třeba si dávat pozor rovněž na používání zelené barvy ve spojitosti s volbou „povolit všechny cookies“, což by mohlo být vyhodnoceno jako nesvobodně udělený souhlas, neboť zelená barva uživateli podsouvá, že se jedná o tu správnou volbu. V této souvislosti je potřeba upozornit, že na cookies liště sice může být uvedena možnost „povolit všechny cookies“, zároveň tam však musí být i možnost „odmítnout všechny cookies“.

Praktické důsledky

V prvé řadě si provozovatel stránek musí zjistit, jaké cookies jsou na nich použity, a především k jakému účelu slouží. Podle toho je třeba vyhodnotit, zda je k užití cookies nutný souhlas uživatele. V této fázi může povozovatel zjistit, že používá i technická cookies, která souhlas nevyžadují. Užívá-li provozovatel doposud cookie lištu obsahující pouhou informaci o existenci cookies (v režimu „opt-out“), bude nutno ji změnit podle výše uvedených požadavků. Je třeba ale upozornit na to, že neexistuje žádné univerzální řešení (resp. univerzální tabulka), protože jednotlivé webové stránky nebudou vždy používat ty samé cookies. Současně je potřeba stanovit správnou dobu uložení jednotlivých cookies. Jak již bylo uvedeno výše, souhlas musí splňovat požadavky GDPR, proto je potřeba si dávat pozor na to, aby provozovatelé webu či mobilních aplikací vytvořili informace obsahující srozumitelný popis toho, k čemu jednotlivé cookies slouží a tyto informace jednoduchým způsobem zpřístupnili uživatelům.

Budoucnost - Nařízení ePrivacy

V souvislosti s novou úpravou cookies je potřeba zmínit v tuto chvíli sice ještě nepřijaté nicméně rovněž zásadní Nařízení Evropského parlamentu a rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích (dále jen Nařízení ePrivacy). Toto nařízení totiž přinese rovněž zásadní změny v oblasti cookies, protože podle něj už nebudou dostatečné ani tzv. cookies lišty, které byly popsány výše. Je to reakce na všudypřítomné využívání sledovacích cookies, kdy se od uživatelů stále častěji požaduje, aby poskytli souhlas s uchováváním sledovacích cookies ve svém koncovém zařízení. Uživatelé jsou tak přetíženi nekonečnými žádostmi o poskytnutí souhlasu.

Podle současného znění návrhu Nařízení ePrivacy by byl souhlas s používáním cookies realizován v rovině technického nastavení používaného prohlížeče, což povede k uložení povinnostem vývojářům prohlížečů. To by znamenalo, že si každý uživatel ve svém prohlížeči nastaví, které cookies povolí a které ne a toto nastavení by bylo poté závazné pro všechny webové stránky, které uživatel navštíví.

Závěr

Nová úprava podmínek pro přijetí cookies se dotkne každého provozovatele internetových stránek, bez ohledu na to, zda se jedná o statický web, e-shop nebo např. portál. Je nutno upozornit, že užívání cookies je úzce spjato s pravidly zpracování osobních údajů – zdaleka tedy nejde pouze o to, jakou podobu má cookie lišta, ale hlavně o to, co se s daty získávanými prostřednictvím cookies dále děje z hlediska GDPR. Úroveň implementace GDPR u daného provozovatel stránek se odrazí mimo jiné rovněž v úrovni implementace nové úpravy cookies.

 

Autor: Adriana Černochová, cernochova@lawyer.cz

Autorka působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o. jako právní asistentka.