V současné době se cookies využívají v hojné míře pro tzv. cílenou či adresnou reklamu a marketing. Evropská unie se v této souvislosti obává negativních dopadů využívání cookies na soukromí uživatelů internetu, a proto chystá zpřísnění právní úpravy ochrany osobních údajů i ve vztahu ke cookies. Dne 15. června 2015 Rada EU schválila tzv. obecný přístup k návrhu nařízení o ochraně osobních údajů, podle něhož mají být pod osobní údaje zahrnuty i cookies, což by vedlo jednak k výraznému omezení cílené reklamy a jednak k dalšímu zatížení provozovatelů webových stránek.

Současná právní úprava

Na úrovni EU nyní upravuje používání cookies směrnice č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (dále jen „e-Privacy směrnice“). Tato směrnice zavázala členské státy EU, aby do svých právních řádů zavedly povinnost provozovatele webových stránek ukládat cookies v počítači či jiném zařízení pouze po předchozím souhlasu uživatele webových stránek. E-Privacy směrnice tedy vyžaduje zavedení tzv. opt-in režimu pro používání cookies, kdy uživatel webových stránek musí aktivně udělit souhlas s používáním cookies ještě před samotným uložením cookies v uživatelově počítači nebo jiném zařízení. Některé cookies lze podle e-Privacy směrnice používat i bez předchozího souhlasu uživatele (tj. v režimu opt-out) – jedná se především o tzv. session cookies, které se smažou, jakmile uživatel zavře prohlížeč. U všech cookies však musí provozovatel webových stránek splnit informační povinnost vůči uživateli (viz dále).[1]

E-Privacy směrnice (resp. její novelizace směrnicí č. 2009/136/ES) byla v ČR transponována zákonem č. 468/2011 Sb., který s účinností od 1. ledna 2012 novelizoval zákon č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZoEK“). Transpozice byla ovšem provedena nesprávně. ZoEK totiž umožňuje ukládání cookies v režimu opt-out, neboť nevyžaduje souhlas uživatele již před uložením cookies na uživatelův počítač. Podle ZoEK postačuje, aby provozovatel webových stránek předem prokazatelně informoval uživatele o rozsahu a účelu zpracování údajů získaných pomocí cookies a aby mu nabídl možnost takové zpracování odmítnout.[2]

U některých podnikatelů využívajících cookies panuje obava z toho, že české soudy a úřady se budou dovolávat e-Privacy směrnice a že budou aplikovat na cookies režim opt-in. Směrnice EU sice mohou mít přímý účinek v případě, že ji členské státy řádně a včas netransponují, ale přípustný je pouze tzv. přímý účinek vertikální, který se uplatní v situaci, kdy se jednotlivec dovolává svých práv vyplývajících pro něho ze směrnice. Naopak přímo ze samotné směrnice nemohou pro soukromé jednotlivce vyplývat žádné povinnosti. Ani na základě tzv. nepřímého účinku e-Privacy směrnice, resp. ani eurokonformním výkladem ZoEK, nelze dovodit povinnost provozovatele webových stránek zpracovávat cookies v režimu opt-in. To, že současná česká právní úprava cookies funguje na principu opt-out, potvrdil dokonce i Úřad pro ochranu osobních údajů, který vykonává působnost v oblasti ochrany osobních údajů.[3] Lze však očekávat, že Úřad pro ochranu osobních údajů bude trvat na důsledném plnění výše uvedené informační povinnosti, která vyplývá jak z e-Privacy směrnice, tak ze ZoEK, a proto by provozovatelé webových stránek měli uživatele řádně informovat o tom, jaké údaje jsou v souvislosti s používáním cookies zpracovávány, dále v jakém rozsahu a za jakým účelem jsou zpracovány a také kým jsou zpracovány a především, jakým způsobem lze zpracování údajů odmítnout. Tyto informace by měly být uživateli sděleny jasně a srozumitelně – např. formou samostatného viditelného pop-up okna, které „vyskočí“ při spuštění webových stránek a bude obsahovat odkaz na požadované informace o cookies a o postupu, jak lze ukládání souborů cookies na uživatelův počítač nebo jiné zařízení zamezit.

Je však nutné upozornit na to, že povinnost vyžádat si před ukládáním cookies souhlas uživatele by mohla vyplývat již ze stávající právní úpravy, a to ze zákona č. 101/2000 Sb., o ochraně osobních údajů. Tento zákon sice výslovně nestanoví, že cookies nebo jiné technické identifikátory jsou osobními údaji, nicméně Úřad pro ochranu osobních údajů připouští, že cookies lze považovat za osobní údaje, pokud by provozovatel webových stránek byl schopen na základě cookies a případně i dalších údajů identifikovat konkrétní fyzickou osobu. Také zpřísňující trend EU v oblasti ochrany osobních údajů směřuje spíše k tomu, že cookies by mohly být považovány za osobní údaje. Již nyní lze podle Soudního dvora EU považovat za osobní údaj například IP adresu.

Jestliže by bylo na cookies nahlíženo jako na osobní údaje a na provozovatele webových stránek jako na správce osobních údajů, znamenalo by to nepochybně zpřísnění regulace používání cookies. Zákon o ochraně osobních údajů totiž až na výjimky vyžaduje předchozí souhlas dotyčného subjektu údajů se zpracováním jeho osobních údajů a rovněž stanovuje další povinnosti pro správce osobních údajů. Úřad pro ochranu osobních údajů přitom může za porušení předpisů o ochraně osobních údajů uložit pokutu až do výše 10 mil. Kč.[4]

Návrh nařízení EU o ochraně osobních údajů

Hlavní problém tedy tkví v tom, zda mají být cookies považovány za osobní údaje. Evropská unie v posledních letech usiluje o to, aby se na cookies nahlíželo jako na osobní údaje. V této souvislosti bude důležité sledovat, v jaké podobě bude přijat návrh nařízení EU o ochraně osobních údajů, a to především článek 4 nařízení, který obsahuje definice. Účinnost nařízení měla původně nastat již 1. ledna 2014, nicméně návrh nařízení vyvolal řadu diskuzí, neboť na rozdíl od směrnice nařízení EU je přímo použitelné, má přímý účinek a přednost před aplikací vnitrostátního práva. Schválení návrhu nařízení tak bylo odloženo až na období po loňských volbách do Evropského parlamentu. Dne 15. června 2015 Rada EU schválila tzv. obecný přístup k návrhu nařízení a nyní tedy bude pokračovat další vyjednávání s Evropským parlament a Komisí o jeho konečné podobě. V aktuální podobě návrh nařízení výslovně uvádí v definici osobního údaje (podle čl. 4 odst. 2) také elektronické identifikátory a lokalizační údaje, kam spadají nepochybně i cookies. Nicméně naopak bod 24 recitálu nařízení vychází z toho, že samotné elektronické identifikátory (včetně cookies) nemusí být vždy považovány za osobní údaje. Ani návrh nařízení o ochraně osobních údajů tak bohužel zatím nedává zcela jednoznačnou odpověď na otázku, zda cookies bude nutné považovat za osobní údaje. V případě, že by cookies byly podle nařízení osobními údaji, prostřednictvím nichž lze identifikovat konkrétní fyzickou osobu, vztahoval by se na jejich používání režim opt-in (až na některé výjimky – zejm. session cookies). Provozovatel webových stránek by si tedy musel vyžádat předchozí informovaný souhlas uživatele s ukládáním cookies do jeho počítače či jiného zařízení. Současně by provozovatel webových stránek musel splnit informační povinnost, což však musí učinit i podle současné právní úpravy (viz výše). Za porušení těchto povinností by podle aktuálního návrhu nařízení bylo možné uložit poměrně vysoké pokuty až do výše 1 mil. eur nebo 2 % celosvětového ročního obratu společnosti. V jaké podobě bude návrh nařízení o ochraně osobních údajů nakonec schválen, zatím nelze odhadnout. Přijetí nařízení lze očekávat pravděpodobně v průběhu roku 2016.

Závěr – doporučení pro provozovatele webových stránek

Vzhledem k nejasnosti současné české právní úpravy a k evropskému trendu směřujícímu ke zpřísnění ochrany osobních údajů doporučujeme, aby provozovatelé webových stránek používali cookies v režimu opt-in a aby si tedy vyžádali předchozí informovaný souhlas uživatele. Takový souhlas může být udělen například „zakliknutím“ odkazu v pop-up oknu, které „vyskočí“ při spuštění webových stránek, jak je uvedeno výše. Bohužel to bude znamenat další administrativní zatížení pro provozovatele webových stránek, ale na druhou stranu se tím vyhnou případným sankcím za porušení ochrany osobních údajů.

Je možné, že řada uživatelů souhlas s používáním cookies neudělí. Pokud by se provozovatelé webových stránek z tohoto důvodu rozhodli i přes výše uvedená rizika a naše doporučení používat cookies v režimu opt-out, tzn. bez předchozího souhlasu uživatele, bude nanejvýš vhodné, aby řádně plnili informační povinnost vůči uživateli a aby mu nabídli možnost používání cookies odmítnout, jak je uvedeno výše.

JUDr. Martin Kartner,
partner

Mgr. Jiří Prouza,
advokátní koncipient

CHSH Kališ & Partners s.r.o., advokátní kancelář

Týn 639/1
110 00  Praha 1 – Staré Město

Tel.: +420 221 111 711
Fax: +420 221 111 725
e-mail: office@chsh.cz

--------------------------------------------------------------------------------
[1] Srov. článek 5 odst. 3 e-Privacy směrnice.
[2] Srov. § 89 odst. 3 ZoEK. Naproti tomu ve většině zemí EU se předchozí informovaný souhlas vyžaduje – např. v Rakousku, Belgii, Dánsku, Finsku, Francii, Švédsku, Itálii, Maďarsku, Slovensku, Nizozemí či Velké Británii.
[3] Srov. ÚŘAD PRO CHRANU OSOBNÍCH ÚDAJŮ. Informační bulletin 1/2015. Str. 8. Dostupné na www, k dispozici >>> zde.
[4] Srov. § 45 zákona o ochraně osobních údajů.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz