Nová pravidla pro získávání souborů cookies

back to media

Rok 2022 přináší poměrně zásadní novelizaci zákona č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZoEK“). Oblastí, které v rámci novely ZoEK doznávají podstatných změn, jsou například rozšíření působnosti ZoEK na některé další služby, které lze nově považovat za služby elektronických komunikací (tj. především o interpersonální komunikační služby nezávislé na číslech, například WhatsApp nebo Messenger), uzavírání smluv o poskytování služeb elektronických komunikací, rozšíření ochrany spotřebitele, nová pravidla pro telemarketing, anebo například právě úprava dosavadních pravidel na využívání a ukládání souborů cookies. Cílem tohoto článku je posouzení dopadů novely ZoEK na poslední jmenovanou oblast.

 

Co jsou to soubory cookies a kdy se používají

Soubory cookies doprovází každého uživatele internetu při navštěvování v zásadě jakýchkoliv internetových stránek. Jedná se o malé datové soubory, jež jsou odesílány do internetového prohlížeče uživatele navštívenou internetovou stránkou. Tyto soubory jsou ukládány v internetovém prohlížeči uživatele a slouží k identifikaci konkrétního počítače při používání internetové sítě, resp. při návštěvách konkrétních internetových stránek. Účelem využití souborů cookies je nápomoci konkrétním internetovým stránkám sledovat uživatelské aktivity a návštěvy. Různé typy souborů cookies sledují různé činnosti a jsou využívány pouze v takovém případě, ve kterém se uživatel aktivně pohybuje po internetových stránkách. Základním rozdělením souborů cookies je rozdělení na relační cookies (tzv. session cookies) a trvalé cookies (tzv. persistent / permanent cookies). V prvním případě se jedná o takové soubory cookies, které jsou uchovávány v mezipaměti internetového prohlížeče a po jeho zavření jsou automaticky smazány. Tyto soubory cookies obsahují pouze informace o aktuálních aktivitách na dané internetové stránce (například obsah nákupního košíku na e-shopu). Trvalé soubory cookies naopak zůstávají v paměti prohlížeče, resp. zařízení, a to i po tom, co je internetový prohlížeč zavřen (například zapamatování přihlašovacího jména a hesla).

 

Stav do 31. prosince 2021

Před účinností novely ZoEK, která do českého právního řádu transponuje povinnosti dle směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace (dále jen „Kodex“), byla pravidla pro využívání souborů cookies nastavena tak, že provozovatelé internetových stránek byli oprávněni soubory cookies využívat automaticky, měli však vůči jejich uživatelům informační povinnost o využití soborů cookies, přičemž uživatelé vždy museli mít možnost využití cookies odmítnout (tzv. opt-out princip).[1] Jinými slovy, minulá právní úprava počítala se skutečností, že souhlas s použitím souborů cookies je a priori daný.

Důležitým doplněním zůstává, že ustanovení § 89 odst. 3 ZoEK nemíří explicitně na soubory cookies, ale na veškeré případy, ve kterých dochází k ukládání informací do koncových zařízení uživatelů, anebo naopak získávání informací uložených v těchto koncových zařízeních. Soubory cookies jsou tudíž pouze jednou z kategorií regulovaných situací, a to jak v původní právní úpravě, tak i v právní úpravě novelizované, avšak pro účely tohoto článku se zaměříme toliko na soubory cookies.[2]

 

Stav od 1. ledna 2022

S účinností novely ZoEK a na základě transpozice závazných ustanovení Kodexu byla pravidla pro využívání souborů cookies doslova otočena o 180 stupňů. Nově jsou provozovatelé internetových stránek oprávněni využívat soubory cookies pouze na základě výslovného souhlasu návštěvníka internetové stránky (tzv. opt-in princip).[3] Výjimku z daného pravidla zákonodárce udělil pouze pro takové soubory cookies, které slouží k technickému ukládání nebo výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací. Jedná se tedy o technické soubory cookies, tj. takové, které jsou nezbytné pro správné fungování internetové stránky, její a uživatelskou bezpečnost či řádné zobrazování.

 

K souhlasu s ukládáním souborů cookies a se zpracováním osobních údajů

Bylo by chybou předpokládat, že souhlas uživatele internetové stránky s použitím a uložením cookies nemá jasně daná pravidla a parametry. Právě naopak, takový souhlas musí splňovat stejné požadavky, které vyžaduje souhlas se zpracováním osobních údajů podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení GDPR“).[4]

Vzhledem k tomu, že prostřednictvím souborů cookies může docházet ke zpracování osobních údajů uživatelů daných internetových stránek, je provozovatel internetových stránek v takovém případě rovněž povinen disponovat souhlasem se zpracováním osobních údajů. Není však potřeba obstarávat souhlas dvojí, neboť tento stav by mohl způsobovat problematické situace, kterými by mohlo například být udělení souhlasu s použitím souborů cookies a zároveň neudělení souhlasu se zpracováním osobních údajů, nebo naopak. Takový stav by rozhodně nebyl žádoucí. Provozovatel internetových stránek je tedy v případě zpracovávání osobních údajů prostřednictvím souborů cookies povinen vypracovat souhlas s použitím souborů cookies takovým způsobem, kterým dojde k naplnění informační povinnosti jak pro použití souborů cookies, tak pro zpracování osobních údajů. Souhlasy s použitím souborů cookies a se zpracováním osobních údajů jsou totiž navzájem komplementární, provozovatel internetových stránek proto není povinen obstarávat si dvojí souhlas, vždy postačí pouze jeden vhodně a přiléhavě naformulovaný souhlas pro postihnutí obou situací, tedy takový, který je dostatečně podrobný, aby pokrýval informační požadavky jak na souhlas s využitím a uložením souborů cookies, tak na zpracování osobních údajů.

Nařízení GDPR na udělení souhlasu se zpracováním osobních údajů udává určité kvalitativní požadavky.[5] Je nutné, aby souhlas s ukládáním souborů cookies na zařízení uživatele byl svobodný, konkrétní, informovaný a jednoznačný, a zároveň byl udělen jednoznačným potvrzením, tedy v případě souborů cookies například zatržením kolonky, ve které uživatel vlastní aktivní činností odsouhlasí využití a uložení souborů cookies, případně rovněž zpracování osobních údajů. Nepřípustnou praktikou poté je, aby provozovatel internetové stránky podmínil vstup na dané stránky právě souhlasem s použitím souborů cookies (tzv. cookie walls), neboť v takovém případě by se z logiky věci nikdy nemohlo jednat o svobodný souhlas, a taková podmínka je tudíž v rozporu jak s Nařízením GDPR, tak rovněž i s metodickými pomůckami European Data Protection Board, který vykládá unijní legislativu zaměřenou na ochranu osobních údajů.[6]

 

Praktická doporučení k náležitostem souhlasu s využitím a uložením souborů cookies

Co se formy a obsahu souhlasu s využitím a uložením cookies týče, na prvním místě lze rozhodně doporučit rozdělit jednotlivé soubory cookies podle účelu jejich využití, přičemž uživatel by měl mít možnost odmítnout buď jednotlivé skupiny souboru cookies, zároveň je však vhodné, aby mohl rovněž jednoduše odmítnout veškeré využívané soubory cookies (s výjimkou nezbytných technických cookies, o kterých je potřeba pouze informovat). Udělení souhlasu by mělo pro uživatele být co možná nejsrozumitelnější a nejpřehlednější, nikoliv matoucí, omezující či obtěžující. Cookie lišta by rovněž měla obsahovat odkaz na informace a pravidla využití cookies (tzv. cookie policy), které by měly obsahovat detailní, jasné, pravdivé a úplné informace o tom, jaké soubory cookies daná internetová stránka využívá a kdo je jejich autorem, jaký je jejich přesný účel, jak se projevují, po jak dlouhou dobu budou v zařízení uživatele uloženy a zda jsou například předávány třetím stranám či do třetích zemí. Pro větší přehlednost je doporučeno informace poskytovat ve více vrstvách, což umožní uživatelům se rozhodnout, zda o použití souborů cookies budou informováni ve stručné, či obsáhlejší formě. V neposlední řadě by měl uživatel být na každé internetové stránce schopen svůj souhlas s využitím a uložením souborů cookies odvolat, a to jednoduchým a ideálně stejným či velmi obdobným způsobem, jakým svůj souhlas původně udělil. Co se doby platnosti uděleného souhlasu týče, právní úprava výslovně nestanovuje jeho maximální délku, doba jeho trvání je však omezena maximálně na dobu, po kterou trvá účel zpracování osobních údajů (a k tomu analogicky na dobu, po kterou trvá účel uložení a využití souborů cookies).[7] Spolek na ochranu osobních údajů se domnívá, že v obecné rovině lze za legitimní považovat dobu trvání platnosti souhlasu mezi 12-14 měsíci, případně i dobu delší za podmínky, že bude řádně odůvodněna,[8] ovšem například Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) však počítá s povinností výmazu souborů cookies v krátké lhůtě, tj. nejpozději do 13 měsíců od jejich posledního využití.[9]

 

Závěrečné informace

Přestože soubory cookies z technického hlediska z důvodu jejich úpravy v ZoEK patří do kontrolní pravomoci Českého telekomunikačního úřadu, je to však poměrně nepřekvapivě ÚOOÚ, do jehož působnosti spadá kontrola, zda provozovatelé internetových stránek dodržují povinnosti při využívání souborů cookies, a to z již zmiňovaného důvodu, že náležitosti souhlasu s použitím souborů cookies spadají do legislativy se zaměřením na ochranu osobních údajů, a zároveň proto, že pomocí těchto souborů běžně dochází rovněž ke zpracování osobních údajů uživatelů internetových stránek. A je to právě ÚOOÚ, který jako jednu z priorit v soukromém sektoru zařadil do svého kontrolního plánu pro rok 2022 kontrolu internetových stránek a jejich provozovatelů ve spojení s dodržováním opt-in principu a udělování prokazatelného a informovaného souhlasu uživatelů internetových stránek s využitím a ukládáním souborů cookies.[10] Kontrolované osoby a internetové stránky budou vybírány s ohledem na počet návštěvníků, připravit by se proto měly převážně osoby, které provozují internetové stránky s vysokou návštěvností.

 

[1] Dle ustanovení § 89 odst. 3 ZoEK účinného do 31.12.2021 - „Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout.“

[2] Mimo soubory cookies do regulace dle ustanovení § 89 odst. 3 ZoEK dopadají například technologie sloužící ke snímání otisků zařízení, které představují spojení několika prvků informací o zařízení uživatele, přičemž tyto prvky ve spojení například s IP adresou uživatele mohou naplňovat definici osobních údajů. Podrobněji k těmto technologiím viz Stanovisko č. 9/2014 k uplatňování směrnice 2002/58/ES na otisky zařízení přijaté 25. listopadu 2014 pracovní skupinou WP29.

[3] Dle ustanovení § 89 odst. 3 ZoEK v účinném znění – „Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo -uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování.

[4] Tento požadavek vychází z ustanovení čl. 2 písm. f) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice ePrivacy) ve spojení s čl. 94 Nařízení GDPR.

[5] Recitál 32 ve spojení s článkem 7 Nařízení GDPR.

[6] Konkrétně se jedná o Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020 vydané European Data Protection Board.

[7] Zásada účelového omezení zpracování osobních údajů dle ustanovení čl. 5 odst. 1 písm. b) Nařízení GDPR.

[8] Stanovisko Spolku pro ochranu osobních údajů k právní úpravě cookies v České republice od začátku roku 2022

[9] Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018

[10] Kontrolní plán ÚOOÚ pro rok 2022, čj. UOOU-00147/21-1 ze dne 31. ledna 2022

All rights reserved © Pokorný, Wagner & Partners, Attorneys-at-law