Cookies nově jen se souhlasem. Poslanecká sněmovna přijala zpřísňující pravidla od roku 2022
Poslanecká sněmovna schválila ve třetím čtení novelu zákona 127/2005 Sb., o elektronických komunikacích (dále jen „ZEK“),[1] jejímž účelem je v prvé řadě harmonizovat českou právní úpravu s evropským kodexem elektronických komunikaci.[2] Změny se však dotknou i jiných oblastí, které s tímto kodexem přímo nesouvisejí. Jedna z nejvýznamnějších změn dopadne na každého, kdo provozuje webovou stránku nebo mobilní aplikaci a využívá statické, analytické nebo reklamní nástroje. Změna spočívá v přechodu ze stávajícího režimu opt-out pro používání cookies a obdobných sledovacích technologií do režimu aktivního souhlasu uživatele, tzv. opt-in.
Stručně ke cookies
Cookies jsou malé textové soubory ukládané do zařízení uživatele, které slouží například k zajištění technického fungování webové stránky. Bez nich by bylo daleko složitější zjistit, že uživatel, který prochází webem, je pořád jedním a tím samým uživatelem. Webová stránka by totiž v opačném případě při každém novém načtení tuto informaci „zapomněla“ a to by komplikovalo například přidání zboží do nákupního košíku, který by se při každém přechodu na jinou stránku vyprázdnil.
Vedle toho lze cookies využívat i pro statické a analytické účely, konkrétně například k měření návštěvnosti, sledování toho, jak se uživatel proklikává jednotlivými stránkami webu, dokonce i to, jak pohybuje kurzorem myši po stránce.
Cookies jsou ale hojně využívány i pro marketingové účely, neboť jejich prostřednictvím lze k uživateli, který prochází internetem, přiřazovat informace o tom, co si prohlížel a co ho tedy patrně zajímá. Následně mu jsou na různých webových stránkách zobrazovány reklamy, které odpovídají tomu, které stránky navštívil v minulosti. Pokud jste si tedy vybírali destinaci na letní dovolenou, je pravděpodobné, že se Vám na jiných stránkách budou zobrazovat nabídky cestovních kanceláří nebo cestovního pojištění.
Stávající právní úprava
Právní úprava cookies je obsažena v § 89 odst. 3 ZEK a vychází z evropské směrnice ePrivacy.[3] Nevztahuje se však jen na používání cookies, ale dopadá obecně na jakékoliv technologie, které mohou ukládat údaje do zařízení uživatele nebo z něho číst informace. Nejtypičtějším příkladem jsou právě cookies ukládané do zařízení uživatele. Další technologie jako jsou web beacony, trackovací pixely nebo web trackery pak využívají například tzv. device fingerprint neboli „otisk zařízení“, který do zařízení uživatele neukládá žádná data, ale k identifikaci dochází na základě čtení dat jako je operační systém, rozlišení obrazovky, označení prohlížeči či nastavení jazyka ze zařízení uživatele. Vzhledem k tomu, že právní úprava se pro tyto technologie neliší, budeme je pro zjednodušení v následujících částech tohoto článku zahrnovat pod pojem cookies.
Podle současného znění ZEK je provozovatel webové stránky nebo mobilní aplikace povinen „účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování.“. Důsledkem této právní úpravy jsou na webech zobrazovány tzv. cookies lišty, které upozorňují na používání cookies, někdy jsou informace o nich uvedeny pouze v patičce stránky nebo na zvláštní stránce.
Vedle toho je však provozovatel povinen nabídnout uživatelům „možnost takové zpracování odmítnout“. Tento režim označujeme jako opt-out a spočívá v tom, že používání cookies a tedy i měření návštěvnosti a sledování pohybu uživatele na webu je možné do doby, než uživatel vyjádří svůj nesouhlas. Dle návrhu doporučení Úřadu pro ochranu osobních údajů[4] je možné vyjádřit souhlas s používáním cookies, a dle našeho názoru tedy i případný nesouhlas, prostřednictvím nastavení webového prohlížeče. Zjednodušeně řečeno, pokud nechcete, aby docházelo k používání cookies na webových stránkách, které si prohlížíte, změňte si nastavení prohlížeče.
Nutno dodat, že tento režim není v souladu s novelizovaným zněním směrnice ePrivacy, která od roku 2009 opustila opt-out a zavedla povinnost získávat aktivní souhlas s používáním cookies. Český zákonodárce na tuto změnu směrnice reaguje až nyní, a to právě novelou ZEK.
Změny od roku 2022
Chystaná novela ZEK zavádí od 1. 1. 2022 pro použití cookies povinnost získat předchozí prokazatelný aktivní souhlas uživatele s rozsahem a účelem zpracování. Zde hovoříme o režimu opt-in, kdy používání cookies může být aktivováno až na základě aktivního úkonu (souhlasu) uživatele. Před udělením souhlasu přitom není možné cookies používat.
Z potřeby udělení souhlasu pro využití cookies existuje několik výjimek, které ale jsou vymezeny poměrně úzce. Jde např. o situace, kdy je použití cookies nezbytné pro technické ukládání nebo pro poskytnutí služby, která je poskytována na základě žádosti uživatele, tj. nejde o nějakou vedlejší službu, kterou uživatel nepožaduje. To, že jsou cookies nezbytné pro poskytnutí služby pak mimo jiné znamená, že použití cookies je časově omezené právě na poskytování dotčené služby. Hranice mezi tím, kdy jsou cookies nezbytné k poskytnutí služby a kdy již nikoli, může být v některých případech nejasná a bude se odvíjet od charakteru poskytované služby. Statistické a analytické nástroje však do výjimek zpravidla nespadnou.
Jak vyplývá z výše popsaných změn zaváděných novelou ZEK, pasivita uživatele nebude od roku 2022 ve většině případů žádoucí, resp. určitě ne dostatečná, ale naopak bude potřeba získání jeho aktivního souhlasu k použití cookies. Do doby jeho udělení nebude možné cookies ukládat a případně aktivovat jiné technologie, nepůjde-li o některou z výjimek.
Souhlas s používáním cookies by měl mít navíc kvalitu dle požadavků stanovených v GDPR.[5] Jde zejména o požadavek na dobrovolné udělení souhlasu, který by neměl být vynucován zablokováním přístupu ke stránce nebo jiným znepříjemňováním používání webové stránky s cílem přinutit uživatele k udělení souhlasu. Souhlas by měl být informovaný, tedy mělo by být zřejmé, co je jeho obsahem, k čemu budou získaná data použita. Dnešní často velmi obecné formulace „souhlasím s používáním cookies“ již nebudou dostatečné. Stejně tak by souhlas měl být vyjádřen jednoznačným projevem vůle, a tím by měla skončit stávající praxe, dle které je souhlas udělován například pokračováním v prohlížení webové stránky – to totiž nepředstavuje jednoznačný úkon uživatele směřující k vyjádření souhlasu s používáním cookies. Dále také platí, že udělení souhlasu by mělo být stejně jednoduché jako jeho odvolání.[6]
Dopady a praktická doporučení
Změna by po schválení senátem a podpisu prezidenta měla nabýt účinnosti od 1. ledna 2022, doporučujeme se tak na změnu začít připravovat již nyní. Dopadá totiž na každého, kdo provozuje web nebo mobilní aplikaci a využívá nástroje pro sledování návštěvnosti či cílení reklam, a její implementace může představovat poměrně významné zásahy do stávajících webových stránek a dopady v oblasti online marketingu.
Nejdříve je třeba identifikovat všechny nástroje používané na webech využívající cookies nebo jiné obdobné technologie a zjistit, k čemu všemu jsou používány. Na základě toho je pak třeba rozhodnout, jestli je nutné získat souhlas uživatele. Pokud ano, bude třeba upravit stávající cookies lišty z režimu opt-out do režimu opt-in. Současně je třeba nastavit správnou dobu uložení jednotlivých cookies. Na trhu jsou dostupná různá řešení, která slibují splnění požadavků nové právní úpravy. Je však třeba věnovat pozornost jeho specifickému nastavení. Ani sebelepší nástroj totiž nemusí zajistit soulad s novou právní úpravou, pokud je například nastaven tak, že vede k vynucování souhlasu.
V zájmu splnění požadavku GDPR na poskytnutí informovaného souhlasu bude také potřeba, aby provozovatelé webů a mobilních aplikací vytvořili informace obsahující srozumitelný popis toho, k čemu jednotlivé cookies slouží a tyto informace jednoduchým způsobem zpřístupnili uživatelům.
V souvislosti s prověřováním jednotlivých nástrojů používaných na webu doporučujeme rovněž vyřešit otázku navazujícího předávání osobních údajů do zemí mimo Evropskou unii, resp. Evropský hospodářský prostor, která je často s webovými nástroji úzce spjata. V návaznosti na rozhodnutí Soudního dvora EU ve věci Schrems II[7] je totiž tato oblast stále více v hledáčku Úřadu pro ochranu osobních údajů a zahraničních dozorových úřadů. Jejich aktivitu se snaží iniciovat i neziskové organizace, z nichž ta patrně nejaktivnější, nyob Maxe Schremse, rozeslala desítky stížnosti na správce a zpracovatele k dozorovým úřadům po celé Evropské unie.[8]
Novela ZEK tímto dohání evropský standard v přístupu ke cookies, to ovšem znamená významné zpřísnění dosud benevolentních pravidel. V této souvislosti je vhodné zmínit, že v budoucnu by měly být jak směrnice ePrivacy, tak relevantní ustanovení ZEK nahrazeny nařízením ePrivacy,[9] které ve svém současném návrhu obsahuje obdobnou úpravu, ale umožňuje například použití některých cookies určených pro statistické účely bez souhlasu. Schválení tohoto nařízení však již bylo několikrát odloženo, do té doby je třeba se řídit novelizovaným ZEK.
.jpg)
Mgr. Michal Nulíček, LL.M.
Partner
Mgr. et Mgr. Ing. Jan Tomíšek
Managing Associate
Mgr. Filip Beneš
Junior Lawyer
ROWAN LEGAL, advokátní kancelář s.r.o.
GEMINI Center
Na Pankráci 1683/127
140 00 Praha 4
Tel.: +420 224 216 212
Fax: +420 224 215 823
e-mail: praha@rowanlegal.com
[2] Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace.
[3] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích).
[4] Návrh Doporučení ke zpracování cookies a obdobných prostředků sledování od 25. května 2018. Dostupné >>> zde.
[5] Viz čl. 2 písm. (f) směrnice ePrivacy ve spojení s čl. 94 odst. 2 GDPR.
[6] Viz čl. 7 odst. 3 GDPR.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
