Rozhodnutí Soudního dvora EU: Souhlas k ukládání a přístupu k souborům cookies

Dle Rozhodnutí není souhlas k ukládání a přístupu k souborům cookies právoplatně udělen, pokud je souhlas poskytnut formou předem zaškrtnutého políčka, jehož zaškrtnutí musí uživatel k odmítnutí souhlasu zrušit. Uživateli je dále nutné předem poskytnout jasné a úplné informace, které musí zahrnovat mimo jiné informace o účelu zpracování, době funkčnosti souborů cookies a možnost přístupu třetích stran k souborům cookies.

Rozhodnutí nám ale připomíná širší a neukončenou diskusi, která se v České republice ohledně cookies vede.

Spor v původním řízení a odůvodnění rozhodnutí

Spor v původním řízení se týkal situace, kdy společnost Planet49 GmbH uspořádala na svých internetových stránkách reklamní loterii. Pro účast v této loterii museli uživatelé poskytnout své jméno a adresu na webové stránce, na které se nacházela zaškrtávací políčka ohledně zasílání obchodních sdělení a ukládání souborů cookies. Políčko týkající se ukládání souborů cookies bylo předem zaškrtnuto, uživatel však měl možnost tuto volbu zrušit, a přesto se reklamní loterie zúčastnit. 

V odůvodnění Rozhodnutí Soudní dvůr uvedl, že poskytnutí souhlasu vyžaduje aktivní jednání ze strany uživatele. K platnému udělení souhlasu rovněž nepostačuje skutečnost, že uživatel aktivně souhlasí s poskytnutím služby. Před poskytnutím souhlasu musí být uživateli poskytnuty jasné a úplné informace umožňující jednoduše rozpoznat důsledky souhlasu a zajistit, aby byl takový souhlas udělen s plnou znalostí věci. Dle Rozhodnutí musí být v rámci těchto informací poskytnuty rovněž informace o době funkčnosti souborů cookies a možnost přístupu třetích stran k souborům cookies.

Rozhodnutí se týká zejména výkladu pojmu „souhlas“ a informačních povinností ve smyslu směrnice o soukromí a elektronických komunikacích („ePrivacy směrnice“)[2]. Tato pravidla se tedy uplatní i v případě, že soubory cookies neobsahují osobní údaje ve smyslu obecného nařízení o ochraně osobních údajů („GDPR“).[3]

V případě, kdy cookies obsahují informace, které umožňují identifikaci konkrétní fyzické osoby, je třeba dále brát v potaz požadavky kladené GDPR, a to zejména povinnost zpracovávat údaje pouze v nezbytném rozsahu, na základě zákonného důvodu, pro stanovené a legitimní účely a po omezenou dobu a povinnost informovat subjekt údajů o zpracování.

Cookies v německé právní úpravě

S ohledem na skutečnost, že se Rozhodnutí týká předběžné otázky německého Spolkového soudního dvora, je vhodné se krátce zaměřit na právní úpravu cookies v Německu a implementaci ePrivacy směrnice v německém právním řádu.

ePrivacy směrnice zavedla ve vztahu k souborům cookies tzv. opt-in režim, tedy nutnost předem vyžádat souhlas uživatele s ukládáním a přístupem ke cookies (s výjimkou cookies nezbytných pro fungování webové stránky a poskytování služby, které lze ukládat i bez souhlasu).[4] Opt-in režim byl do znění ePrivacy směrnice promítnut v roce 2009, původní znění ePrivacy směrnice účinné od roku 2002 obsahovalo ve vztahu ke cookies režim opt-out, tedy přípustnost ukládat cookies, pokud uživatel ukládání souborů cookies neodmítne.[5]

Příslušná ustanovení ePrivacy směrnice týkající se souborů cookies byla implementována v německém právním řádu do německého zákona Telemediengesetz[6], a to v režimu opt-out podle původního znění ePrivacy směrnice. Režim opt-out byl však v německé právní úpravě ponechán i po změně ePrivacy směrnice a aktuální německá právní úprava tak požadavek opt-in souhlasu dle ePrivacy směrnice nereflektuje.

Cookies v české právní úpravě

Ve vztahu k České republice je nutné připomenout, že v českém právním řádu rovněž nedošlo k řádné implementaci e-Privacy směrnice. Český zákonodárce při implementaci ePrivacy směrnice uplatnil tzv. opt-out režim, tedy přípustnost ukládat soubory cookies, pokud uživatel ukládání souborů cookies neodmítne.[7] Změna ePrivacy směrnice z roku 2009, která zavedla opt-in režim, nebyla v českém právním řádu zohledněna. 

Dle e-Privacy směrnice je třeba uživateli vždy poskytnout jasné a úplné informace o ukládání cookies. Podle české právní úpravy musí být uživatel předem prokazatelně informován o rozsahu a účelu zpracování a ukládání souborů cookies (s výjimkou cookies nezbytných pro fungování webové stránky a poskytování služby, které lze ukládat i bez informování uživatelů).

Nesprávnou implementaci ePrivacy směrnice ve vztahu k opt-in režimu však není možné napravit ani eurokonformním výkladem, neboť v souladu s judikaturou Evropského soudního dvora nelze eurokonformní interpretací národních právních předpisů založit povinnost soukromých subjektů, která národním právním řádem není dána či není dána v daném rozsahu, a to ačkoli vyplývá ze směrnice.[8]

K souhlasu se zpracováním cookies se vyjádřil Úřad pro ochranu osobních údajů ve svém doporučení z 25. května 2018, dle kterého pro platně udělený souhlas se zpracováním cookies postačuje nastavení prohlížeče umožňující webové stránce ukládat cookies.[9] Tato interpretace se však odklání od právního názoru pracovní skupiny WP29,[10] dle kterého lze považovat nastavení prohlížeče za platně udělený souhlas pouze v situaci, kdy je v původním nastavení prohlížeče ukládání cookies deaktivováno a uživatel musí toto nastavení svým aktivním jednáním změnit; a dále pouze pokud jsou uživateli před udělením souhlasu poskytnuty jasné a úplné informace. Jakkoli je diskusní stanovisko Úřadu pro ochranu osobních údajů vítáno ze strany široké veřejnosti, v dlouhodobém horizontu jej vnímáme jako neudržitelné.[11]

S ohledem na to, že opt-out režim zakotvený v české legislativě neodpovídá aktuálnímu znění ePrivacy směrnice, v případě projektů, které jsou přeshraničního charakteru se doporučuje zvolit režim silnější ochrany subjektů, tj. opt-in.[12]

Přineslo vlastně Rozhodnutí něco nového?  

Přestože jsou hlavní závěry Rozhodnutí očekávané a pro Českou republiku, která nastavila režim opt-out, ne přímo použitelné, Rozhodnutí nám připomíná dluh České republiky vůči cookies spočívající v nesprávné transpozici ePrivacy směrnice.

Jak již bylo v úvodu zmíněno, Rozhodnutí se týká předběžné otázky německého Spolkového soudního dvora, přičemž německá právní úprava znění ePrivacy směrnice ohledně režimu opt-in rovněž nereflektuje. Bude tudíž velmi zajímavé sledovat, jak bude znít rozhodnutí německého Spolkového soudního dvora a zdali se ve svém rozhodnutí německý Spolkový soudní dvůr vypořádá s rozporem ve znění německého zákona a ePrivacy směrnice a aplikací GDPR.

Soudní dvůr EU současně připomněl, že ochrana související s cookies prostřednictvím ePrivacy směrnice se vztahuje na veškeré informace uložené na koncovém zařízení bez ohledu na to, zda se týkají osobních údajů či nikoliv, a má za cíl zejména chránit uživatele před rizikem pronikání skrytých identifikátorů nebo jiných podobných nástrojů do koncového zařízení uživatelů. Ostatně v takovém jednání některé instituce na ochranu spotřebitele spatřují nekalé obchodní praktiky.[13]

Rozhodnutí nám současně připomíná, že před poskytnutím souhlasu by měly být uživateli poskytnuty jasné a úplné informace včetně informací o době funkčnosti souborů cookies a možnosti přístupu třetích stran k souborům cookies. Tyto údaje měly být poskytnuty jasným a jednoduchým jazykem tak, aby bylo uživateli umožněno porozumět obsahu udělovaného souhlasu. Zejména doba funkčnosti souborů cookies v poskytovaných informacích často chybí.

Na závěr je nutno připomenout aktuálně projednávané ePrivacy nařízení, které v příštích letech nahradí ePrivacy směrnici a díky své přímé použitelnosti i národní právní předpisy. Rovněž je nutno při ukládání souborů cookies mít vždy na paměti, zda nedochází ke zpracování osobních údajů identifikovatelných osob, díky čemuž by bylo nutné zohlednit další požadavky stanovené GDPR.

JUDr. Zdeněk Kučera, Ph.D.,
vedoucí praxe IT práva a litigací Kinstellar a vyučující Právnické fakulty Univerzity Karlovy v Praze

Mgr. Štěpánka Havlíková,
advokátní koncipientka Kinstellar, studentka LL.M. programu na Univerzitě Regensburg