Rozhodnutí Soudního dvora EU: Souhlas k ukládání a přístupu k souborům cookies
Soudní dvůr Evropské Unie dne 1. října 2019 rozhodl o předběžné otázce německého Spolkového soudního dvora ohledně platnosti souhlasu s ukládáním informací prostřednictvím souborů cookies uděleného formou předem zaškrtnutého políčka a ohledně rozsahu informací, které musí být poskytnuty uživateli před udělením takového souhlasu (dále jen „Rozhodnutí“).[1]
Dle Rozhodnutí není souhlas k ukládání a přístupu k souborům cookies právoplatně udělen, pokud je souhlas poskytnut formou předem zaškrtnutého políčka, jehož zaškrtnutí musí uživatel k odmítnutí souhlasu zrušit. Uživateli je dále nutné předem poskytnout jasné a úplné informace, které musí zahrnovat mimo jiné informace o účelu zpracování, době funkčnosti souborů cookies a možnost přístupu třetích stran k souborům cookies.
Rozhodnutí nám ale připomíná širší a neukončenou diskusi, která se v České republice ohledně cookies vede.
Spor v původním řízení a odůvodnění rozhodnutí
Spor v původním řízení se týkal situace, kdy společnost Planet49 GmbH uspořádala na svých internetových stránkách reklamní loterii. Pro účast v této loterii museli uživatelé poskytnout své jméno a adresu na webové stránce, na které se nacházela zaškrtávací políčka ohledně zasílání obchodních sdělení a ukládání souborů cookies. Políčko týkající se ukládání souborů cookies bylo předem zaškrtnuto, uživatel však měl možnost tuto volbu zrušit, a přesto se reklamní loterie zúčastnit.
V odůvodnění Rozhodnutí Soudní dvůr uvedl, že poskytnutí souhlasu vyžaduje aktivní jednání ze strany uživatele. K platnému udělení souhlasu rovněž nepostačuje skutečnost, že uživatel aktivně souhlasí s poskytnutím služby. Před poskytnutím souhlasu musí být uživateli poskytnuty jasné a úplné informace umožňující jednoduše rozpoznat důsledky souhlasu a zajistit, aby byl takový souhlas udělen s plnou znalostí věci. Dle Rozhodnutí musí být v rámci těchto informací poskytnuty rovněž informace o době funkčnosti souborů cookies a možnost přístupu třetích stran k souborům cookies.
Rozhodnutí se týká zejména výkladu pojmu „souhlas“ a informačních povinností ve smyslu směrnice o soukromí a elektronických komunikacích („ePrivacy směrnice“)[2]. Tato pravidla se tedy uplatní i v případě, že soubory cookies neobsahují osobní údaje ve smyslu obecného nařízení o ochraně osobních údajů („GDPR“).[3]
V případě, kdy cookies obsahují informace, které umožňují identifikaci konkrétní fyzické osoby, je třeba dále brát v potaz požadavky kladené GDPR, a to zejména povinnost zpracovávat údaje pouze v nezbytném rozsahu, na základě zákonného důvodu, pro stanovené a legitimní účely a po omezenou dobu a povinnost informovat subjekt údajů o zpracování.
Cookies v německé právní úpravě
S ohledem na skutečnost, že se Rozhodnutí týká předběžné otázky německého Spolkového soudního dvora, je vhodné se krátce zaměřit na právní úpravu cookies v Německu a implementaci ePrivacy směrnice v německém právním řádu.
ePrivacy směrnice zavedla ve vztahu k souborům cookies tzv. opt-in režim, tedy nutnost předem vyžádat souhlas uživatele s ukládáním a přístupem ke cookies (s výjimkou cookies nezbytných pro fungování webové stránky a poskytování služby, které lze ukládat i bez souhlasu).[4] Opt-in režim byl do znění ePrivacy směrnice promítnut v roce 2009, původní znění ePrivacy směrnice účinné od roku 2002 obsahovalo ve vztahu ke cookies režim opt-out, tedy přípustnost ukládat cookies, pokud uživatel ukládání souborů cookies neodmítne.[5]
Příslušná ustanovení ePrivacy směrnice týkající se souborů cookies byla implementována v německém právním řádu do německého zákona Telemediengesetz[6], a to v režimu opt-out podle původního znění ePrivacy směrnice. Režim opt-out byl však v německé právní úpravě ponechán i po změně ePrivacy směrnice a aktuální německá právní úprava tak požadavek opt-in souhlasu dle ePrivacy směrnice nereflektuje.
Cookies v české právní úpravě
Ve vztahu k České republice je nutné připomenout, že v českém právním řádu rovněž nedošlo k řádné implementaci e-Privacy směrnice. Český zákonodárce při implementaci ePrivacy směrnice uplatnil tzv. opt-out režim, tedy přípustnost ukládat soubory cookies, pokud uživatel ukládání souborů cookies neodmítne.[7] Změna ePrivacy směrnice z roku 2009, která zavedla opt-in režim, nebyla v českém právním řádu zohledněna.
Dle e-Privacy směrnice je třeba uživateli vždy poskytnout jasné a úplné informace o ukládání cookies. Podle české právní úpravy musí být uživatel předem prokazatelně informován o rozsahu a účelu zpracování a ukládání souborů cookies (s výjimkou cookies nezbytných pro fungování webové stránky a poskytování služby, které lze ukládat i bez informování uživatelů).
Nesprávnou implementaci ePrivacy směrnice ve vztahu k opt-in režimu však není možné napravit ani eurokonformním výkladem, neboť v souladu s judikaturou Evropského soudního dvora nelze eurokonformní interpretací národních právních předpisů založit povinnost soukromých subjektů, která národním právním řádem není dána či není dána v daném rozsahu, a to ačkoli vyplývá ze směrnice.[8]
K souhlasu se zpracováním cookies se vyjádřil Úřad pro ochranu osobních údajů ve svém doporučení z 25. května 2018, dle kterého pro platně udělený souhlas se zpracováním cookies postačuje nastavení prohlížeče umožňující webové stránce ukládat cookies.[9] Tato interpretace se však odklání od právního názoru pracovní skupiny WP29,[10] dle kterého lze považovat nastavení prohlížeče za platně udělený souhlas pouze v situaci, kdy je v původním nastavení prohlížeče ukládání cookies deaktivováno a uživatel musí toto nastavení svým aktivním jednáním změnit; a dále pouze pokud jsou uživateli před udělením souhlasu poskytnuty jasné a úplné informace. Jakkoli je diskusní stanovisko Úřadu pro ochranu osobních údajů vítáno ze strany široké veřejnosti, v dlouhodobém horizontu jej vnímáme jako neudržitelné.[11]
S ohledem na to, že opt-out režim zakotvený v české legislativě neodpovídá aktuálnímu znění ePrivacy směrnice, v případě projektů, které jsou přeshraničního charakteru se doporučuje zvolit režim silnější ochrany subjektů, tj. opt-in.[12]
Přineslo vlastně Rozhodnutí něco nového?
Přestože jsou hlavní závěry Rozhodnutí očekávané a pro Českou republiku, která nastavila režim opt-out, ne přímo použitelné, Rozhodnutí nám připomíná dluh České republiky vůči cookies spočívající v nesprávné transpozici ePrivacy směrnice.
Jak již bylo v úvodu zmíněno, Rozhodnutí se týká předběžné otázky německého Spolkového soudního dvora, přičemž německá právní úprava znění ePrivacy směrnice ohledně režimu opt-in rovněž nereflektuje. Bude tudíž velmi zajímavé sledovat, jak bude znít rozhodnutí německého Spolkového soudního dvora a zdali se ve svém rozhodnutí německý Spolkový soudní dvůr vypořádá s rozporem ve znění německého zákona a ePrivacy směrnice a aplikací GDPR.
Soudní dvůr EU současně připomněl, že ochrana související s cookies prostřednictvím ePrivacy směrnice se vztahuje na veškeré informace uložené na koncovém zařízení bez ohledu na to, zda se týkají osobních údajů či nikoliv, a má za cíl zejména chránit uživatele před rizikem pronikání skrytých identifikátorů nebo jiných podobných nástrojů do koncového zařízení uživatelů. Ostatně v takovém jednání některé instituce na ochranu spotřebitele spatřují nekalé obchodní praktiky.[13]
Rozhodnutí nám současně připomíná, že před poskytnutím souhlasu by měly být uživateli poskytnuty jasné a úplné informace včetně informací o době funkčnosti souborů cookies a možnosti přístupu třetích stran k souborům cookies. Tyto údaje měly být poskytnuty jasným a jednoduchým jazykem tak, aby bylo uživateli umožněno porozumět obsahu udělovaného souhlasu. Zejména doba funkčnosti souborů cookies v poskytovaných informacích často chybí.
Na závěr je nutno připomenout aktuálně projednávané ePrivacy nařízení, které v příštích letech nahradí ePrivacy směrnici a díky své přímé použitelnosti i národní právní předpisy. Rovněž je nutno při ukládání souborů cookies mít vždy na paměti, zda nedochází ke zpracování osobních údajů identifikovatelných osob, díky čemuž by bylo nutné zohlednit další požadavky stanovené GDPR.
JUDr. Zdeněk Kučera, Ph.D.,
vedoucí praxe IT práva a litigací Kinstellar a vyučující Právnické fakulty Univerzity Karlovy v Praze
Mgr. Štěpánka Havlíková,
advokátní koncipientka Kinstellar, studentka LL.M. programu na Univerzitě Regensburg
[1] Rozsudek Soudního dvora EU ze dne 1. října 2019 ve věci C-673/17, jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím Bundesgerichtshof (Spolkový soudní dvůr, Německo) ze dne 5. října 2017, v řízení Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV proti Planet49 GmbH.
[2] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích)
[3] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46 (obecné nařízení o ochraně osobních údajů neboli GDPR).
[4] Článek 5 odst. 3 ePrivacy směrnice.
[5] Směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009, kterou se mění směrnice 2002/22/ES o univerzální službě a právech uživatelů týkajících se sítí a služeb elektronických komunikací, směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a nařízení (ES) č. 2006/2004 o spolupráci mezi vnitrostátními orgány příslušnými pro vymáhání dodržování zákonů na ochranu zájmů spotřebitele.
[7] Ustanovení § 89 zákona 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů.
[8] Rozsudek Evropského soudního dvora ze dne 26. září 1996, sp. zn. C-168/95. Luciano Arcaro. (odst. 42);
Rozsudek Evropského soudního dvora ze dne 8. října 1987, sp. zn. 80/86. Kolpinghuis Nijmegen BV. (odst. 8).
[9] Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018, dostupné online na webových stránkách Úřadu pro ochranu osobních údajů: k dispozici >>> zde. Strana 2. Doporučení však bylo vydáno jako diskusní materiál.
[10] Stanovisko 2/2010 k internetové reklamě zaměřené na chování ze dne 22. června 2010, dostupné online v archivu stanovisek pracovní skupiny WP29:k dispozici >>> zde. Strany 13-15 a strana 23.
[11] Změnu patrně přinese i nově připravované nařízení, které nahradí ePrivacy směrnici.
[12] K polemice, co je silnější a slabší ochranou viz např. MÍŠEK, J. Souhlas se zpracováním osobních údajů za časů Internetu. Revue pro právo a technologie 5 (9), 3-74, 2014.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
