Práva a povinnosti související s právní úpravou tzv. „cookies“

Cookies se rozumí části informací, které jsou uchovávané v jednoduchých textových souborech, umístěných na počítači z webové sítě (dále jen jako „cookies“). Tyto cookies mohou být (a velmi často jsou) čteny webovými stránkami během pozdějších návštěv webové stránky, čímž jsou pro provozovatele webových stránek cenným zdrojem informací o chování návštěvníka (klienta) webové stránky, a o jeho preferencích (např. při zadávání parametrů k vyhledávanému zboží, zájezdu, atp.).

Obecně řečeno, cookies neobsahují osobní informace, jejichž prostřednictvím může být zákazník identifikován, pokud takovéto informace webové stránce neposkytl. Výhodou používání těchto cookies pro zákazníka je přizpůsobení webové stránky pro jeho potřeby (podle preferencí zadaných při jeho dřívější návštěvě webové stránky), vyšší komfort a personifikace webové stránky, a dále obdržení cílené reklamy podle těchto preferencí návštěvníka webové stránky.

Právní úprava

Na právní úpravu cookies (v České republice) je potřeba nahlížet ze dvou pohledů - jednak z pohledu poskytování služeb elektronických komunikací a jednak z pohledu ochrany osobních údajů.

S ohledem na členství České republiky v Evropské unii však nelze opomíjet právní předpisy Evropské unie. Jedná se zejména o Směrnici Evropského parlamentu a Rady č. 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), Směrnici Evropského parlamentu a Rady č. 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úřední věstník L 281 ze dne 23.11.1995) a Nařízení Evropského parlamentu a Rady č. 45/2001/ES ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úřední věstník L 8 ze dne 12.1.2001).

Evropská Směrnice č. 2009/136/EC novelizující Směrnici č. 2002/58/ES (tzv. "e-Privacy Directive") stanovila některá nová pravidla pro poskytovatele elektronických služeb, zejména pak novou povinnost poskytovatele informovat uživatele služby o zpracování údajů prostřednictvím cookies a obdržet jeho souhlas s takovým zpracováním ještě před uložením cookies v počítači návštěvníka webové stránky (tzv. opt-in), a uložila členským státům tuto e-Privacy Directive implementovat do svých vnitrostátních právních řádu nejpozději do 25. května 2011. Česká republika implementovala e-Privacy Directive novelou zákona č. 127/2005 Sb. o elektronických komunikacích s účinností od 1. ledna 2012. Novelizované ustanovení § 89 odst. 3, které upravuje cookies („Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“), však nový opt-in princip vůbec nereflektuje a v podstatě zachovává možnost toto zpracování údajů odmítnout (tedy tzv. opt-out mechanismus, který byl v ČR i EU uplatňován dosud). Jinými slovy, dle momentálně platného českého zákona není potřeba předchozího souhlasu uživatele služby se zavedením cookies.

I přes výše uvedené je však nutné konstatovat, (i) že i když zmíněná směrnice neplatí přímo, nelze vyloučit přiznání jejího přímého účinku, a tudíž nelze vyloučit, že bude de lege ferenda nutné z pokynu regulátora (soudu, Úřadu na ochranu osobních údajů nebo Evropské komise) dovozen přímý účinek pravidla e-Privacy Directive o cookies bez ohledu na současnou úpravu v zákoně o elektronických komunikacích, a proto bude nutné, aby i čeští provozovatelé webových stránek zavedli opt-in mechanismus, tj. zajištění informovaného souhlasu s prováděním cookies; (ii) od roku 2012 je navrženo (přímo účinné) nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které má již přímo regulovat behaviorální cílení a zásah do osobních údajů (k jehož účinnosti ke dni 1. lednu 2014 nedošlo).

Návrh nařízení mimo jiné uvádí, že samotné cookies, na kterých je behaviorální cílení založeno, nemusí být nezbytně osobním údajem. Za osobní údaj – v intencích nového nařízení – jsou cookies považovány pouze tehdy, jestliže spolu s dalšími informacemi, které servery získávají, budou použity k vytvoření profilu jednotlivých osob a k jejich identifikaci.[1] Zpracování cookies by tak nově vyžadovalo jako podmínku získání výslovného (informovaného) souhlasu dotčeného subjektu[2], tedy opačný postup oproti tomu, který je aktuálně aplikovaný v § 89 odst. 3 zmíněného zákona o elektronických komunikacích.

Jak již bylo uvedeno výše, tak toto navržené nařízení podrobně upravuje zákaz behaviorálního cílení, a to tehdy není-li prováděno v rámci uzavírání či plnění smlouvy, nebo není-li výslovně povoleno právem Evropské unie nebo právem členského státu, anebo pokud není založeno na souhlasu subjektu údajů (tzv. opt-in systém). Cílení také nesmí vycházet ze zvláštní kategorie osobních údajů (tzv. citlivé údaje, do kterých spadá například údaj o sexuální orientaci, o náboženském vyznání či o rasovém nebo etnickém původu aj.). V případě, že někdo bude provádět nezákonné zpracování osobních údajů, může mu být dle nového nařízení udělena pokuta až ve výši dvou procent ročního celosvětového obratu. Toto nové nařízení dále také stanovuje, že (i) v případech, kdy dochází k cílení reklamy, musí o tom být subjekt informován a upozorněn na předpokládané účinky takového zpracování osobních údajů; a (ii) také, že behaviorální cílení se považuje za zpracování osobních údajů a musí tedy splňovat podmínky zákonného zpracování.

Druhým pohledem, kterým je potřeba nahlížet na právní regulaci cookies je jejich povaha co by osobního údaje.

Ačkoliv zákon o ochraně osobních údajů výslovně neoznačuje cookies ani jiné technické identifikátory za osobní údaje, tak i s ohledem na výše zmíněné rozhodnutí Soudního dvora a vzhledem k tomu, že podle obecné zákonné definice je osobním údajem „jakákoli informace týkající se určeného či určitelného subjektu údajů, tj. lze-li takový subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu“, je nutné cookies za osobní údaje považovat, pokud by příslušný provozovatel webu (správce osobních údajů) mohl na jejich základě, případně i s využitím dalších údajů, které má k dispozici, identifikovat konkrétní osobu.

Závěr

Podle momentálně platného českého zákona není potřeba předchozího souhlasu uživatele služby se zavedením cookies. Plně postačuje, pokud je uživatel o takovém zpracování informován (např. uveřejněním banneru na webové stránce), a má možnost jej (následně) odmítnout.

Lze však očekávat, že de lege ferenda bude nutné přistoupit k zajištění informovaného souhlasu s využitím cookies ze strany provozovatele webové stránky. Je proto otázkou, jak k dané problematice přistoupí provozovatelé webových stránek.

Mgr. Ilona Kindlová,
advokátka

Mgr. Michal Švec,
advokátní koncipient

KŠD LEGAL advokátní kancelář s.r.o.

CITY TOWER
Hvězdova 1716/2b
140 00  Praha 4

Tel.: +420 221 412 611
Fax: +420 222 254 030
e-mail: ksd.law@ksd.cz

--------------------------------------------------------------------------------
[1]V současné době jediné známé rozhodnutí Soudního dvora, týkající se cookies, je rozhodnutí
EU C-131/12 Google Spain SL, Google Inc. proti Agencia Espanola de Proteccción de Datos, Mario Costeja Gonzáles, ve kterém byly tyto cookies řešeny v rámci předběžné otázky, přičemž z odpovědí soudu lze vyvodit, že pokud jsou v rámci shromažďování cookies zjištěny informace obsahující osobní údaje, jde o zpracování osobních údajů, není odpovědným za toto zpracování osobních údajů, popř. výmaz takovýchto informací poskytovatel služeb internetového vyhledávače (např. Google), ale samotný vydavatel webové stránky, která cookies shromažďuje.
[2] U nezletilých mladších 13 let musí udělit souhlas rodič či jiný zákonný zástupce dítěte, přičemž správce má povinnost vyvinout přiměřené úsilí k získání ověřitelného souhlasu, a to s ohledem na dostupné technologie.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz