Konečné rozhodnutí ESD ve věci potvrzování souhlasu s cookies

Společnost Planet49 byl německý poskytovatel loterijních služeb, který měl v době původního projednávání (rok 2017) na své internetové stránce určené pro hráče dvě zaškrtávací políčka (checkboxy). První políčko nebylo předem zaškrtnuto a týkalo se souhlasu uživatelů se zasíláním obchodních sdělení sponzory a partnery. Druhé políčko (požadující výše zmíněný souhlas s cookies) bylo již předem zaškrtnuté, nicméně jeho označení nebylo povinné.

Řízení o předběžné otázce, zahájené v listopadu 2017 v Německu, se týkalo otázky, zda jsou předem zaškrtnutá políčka na internetových stránkách, týkající se souhlasu s všeobecnými podmínkami (v tomto případě souhlas se sdílením příslušných osobních údajů prostřednictvím cookies), v souladu s evropským právem či nikoliv.

Generální advokát Szpunar v této souvislosti vydal dne 21. března 2019 své nezávazné stanovisko[1], ve kterém s velkou mírou opatrnosti posoudil, zda toto lze považovat za platný souhlas s ukládáním a přístupem ke cookies. Generální advokát Szpunar dospěl k závěru, že toto nelze považovat za platně poskytnutý souhlas, zejména protože GDPR[2] ve svém 32. bodě odůvodnění stanovuje následující:

„Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván.“

Z formulace příslušného výkladového ustanovení GDPR je tedy patrné, že souhlas musí být svobodně poskytnutý a informovaný a za takovýto platný souhlas nelze považovat zdržení se „odškrtnutí“ předem zaškrtnutého políčka.

Jak již bylo zmíněno výše, konečné rozhodnutí[3] Soudního dvoru (Velkého senátu) ve věci C-673/17 bylo vydáno dne 1. října 2019 a v zásadě potvrdilo původní závěry Szpunara. Soudní dvůr konkrétně potvrdil, že používání cookies vždy vyžaduje poskytnutí souhlasu ve formě aktivního jednání návštěvníka internetové stránky (tj. tento aktivní souhlas nelze v předstihu nahradit souhlasem ve formě již předem zaškrtnutého políčka)

Tato povinnost se obecně týká (i) cookies a/nebo (ii) informací, které jsou shromážděné prostřednictvím cookies, ať už se týkají osobních údajů nebo ne (neboť existují různé druhy cookies a ne každá cookie obsahuje osobní údaje). Rovněž bylo zopakováno, že uživatel musí být detailně informován o těchto cookies, konkrétně o jejich délce trvání a možnosti přístupu třetích osob.

Je tedy zřejmé, že jak Generální advokát Szpunar, tak i Velký senát Soudního dvoru EU chrání spíše konečné uživatele než provozovatele internetových stránek a zdůrazňují důležitost informovaného, svobodného a aktivního souhlasu, v souladu s GDPR. Vzhledem k tomu, že rozhodnutí Soudního dvoru je závazné (na rozdíl od předchozího stanoviska Generálního advokáta Szpunara), bude pak zajímavé sledovat okamžitou reakci provozovatelů internetových stránek v souvislosti s „cookie walls“ a dalšími „nekalými“ praktikami, které účinně omezují konečným uživatelům plný přístup na internetové stránky před poskytnutím úplného souhlasu (který samozřejmě může být poskytnut na úkor konečného uživatele).

Toto vše poskytuje uživatelům více práv a větší kontrolu nad tím, co sdílí a s kým, a celkově zvyšuje ochranu jejich soukromí. Nedávné rozhodnutí je proto důležitým krokem ke spravedlivějšímu internetu v budoucnosti.

Mgr. Petr Šabatka,
Partner