Hlavní navigace

Novinky u cookies na webu: Mají se provozovatelé webů bát nových povinností?

Jana Langerová

Soudní dvůr Evropské unie vydal nedávno rozhodnutí týkající se cookies, konkrétně souhlasu s dalším zpracováním osobních údajů zákazníků. Co přineslo?

Doba čtení: 8 minut

Sdílet

Rozhodnutí vycházelo z evropské směrnice ePrivacy, která v případě marketingových cookies vyžaduje aktivní souhlas návštěvníka. Pokud je souhlas předem zaškrtnutý, nejedná se o takzvaný aktivní souhlas.

Do cookies se ukládají informace o aktivitě uživatele při každé návštěvě. Soubory cookies mohou usnadnit používání webových stránek. Pro podnikatele jsou v zásadě nezbytností. Na druhou stranu je však do souborů cookies možné uložit i mnohem více informací a zjišťovat konkrétní zájmy návštěvníka webu. Tímto dochází do zásahu do soukromí uživatele, resp. se pracuje s jeho osobními údaji, popisuje Ondřej Preuss, zakladatel služby DostupnyAdvokat.cz.

O co přesně šlo?

Jednalo se o případ C-673/17 Planet49 versus německý svaz spotřebitelských organizací, kde se mimo jiné řešila otázka platnosti souhlasu s použitím cookies uděleného prostřednictvím předem zaškrtnutého políčka, a to na základě dosud platné ePrivacy směrnice a neplatné směrnice o ochraně osobních údajů, kterou dnes nahrazuje obecné nařízení o ochraně osobních údajů (GDPR). Klíčovým faktorem při posuzování platnosti souhlasu přitom bylo nejen to, zda je políčko souhlasu předem zaškrtnuté, ale i to, zda je souhlas projeven specificky pro daný účel, dodává Jana Břeská, Public Affairs manažerka ze Sdružení pro internetový rozvoj. V případě Planet49 docházelo k tomu, že aktivací tlačítka, kterým uživatel odsouhlasil svou účast v loterii, zároveň odsouhlasil použití cookies. 

Soudní dvůr Evropské unie také shledal, že souhlas je informovaný, a tudíž platný pouze tehdy, pokud je uživatel informován o době funkčnosti cookies a o případném přístupu třetích stran ke cookies. Tím, že bude políčko ve webovém formuláři již předem zaškrtnuté, je tak uživateli znemožněno souhlas aktivně vyjádřit a souhlas tedy není aktivní. To Soudní dvůr odvozuje z konkrétních ustanovení směrnice o e-Privacy a nařízení GDPR, které přímo stanoví, že předem zaškrtnutá políčka by za souhlas se zpracováním osobních údajů být považována neměla. Zajímavé je, že Soudní dvůr vztáhl povinnost aktivního souhlasu i na cookies, která se osobních údajů netýkají. Tedy i na technická cookies, která jsou nezbytná pro správné zobrazení internetové stránky a nemusí obsahovat osobní údaje návštěvníka stránky, podotýká Ondřej Vykoukal, advokát z advokátní kanceláře KPMG Legal.

Soudní dvůr v dané souvislosti poukázal na skutečnost, že je prakticky nemožné objektivně určit, zda uživatel internetové stránky skutečně dal svůj souhlas se zpracováním svých osobních údajů tím, že nezrušil označení předem zaškrtnutím políčka, jako ani to, zda byly splněny zákonné požadavky na dostatečnou informovanost předmětného souhlasu. Soudní dvůr argumentoval, že nelze vyloučit, že uvedený uživatel nečetl informaci nacházející se před označením políčka, a dokonce, že si ani nevšiml daného políčka před pokračováním v činnosti na internetové stránce, kterou navštívil, dodává Matej Michalec, člen advokátní kanceláře V4 Legal specializující se na právo duševního vlastnictví.

Z tohoto případu vyplývá, že Planet49 zpracovávala údaje shromážděné prostřednictvím cookies velmi invazivním způsobem. Například ID uživatele spojovala s jeho registračními údaji. V tomto světle lze chápat, proč SDEU rozhodl, že pro zpracovávání takových dat Planet49 potřebuje aktivní souhlas uživatele, shrnuje Jana Břeská.

Přečtěte si více o souhlasu se zpracováním osobních údajů: Skutečně pokaždé potřebujete souhlas se zpracováním osobních údajů?

Bude mít toto rozhodnutí dopad?

Soudní dvůr Evropské unie rozhodoval o předběžné otázce v případu, který jinak spadá do jurisdikce německých soudů. Směrnice ePrivacy je transponována odlišným způsobem v jednotlivých státech EU, tudíž nebude mít německý rozsudek přímý dopad na české provozovatele webových stránek. V České republice byla směrnice o e-Privacy implementována zákonem o elektronických komunikacích. Problémem podle Ondřeje Vykoukala je, že zákon v rozporu se směrnicí stanoví, že postačí, pokud je uživateli o cookies informován a je mu poskytnuta možnost cookies odmítnout (tzv. opt-out režim). Aktivní souhlas se tedy u nás nevyžaduje, ten se předpokládá. 

Na znění zákona však nic nezmění ani toto rozhodnutí Soudního dvora a čeští provozovatelé webů tak aktivní, konkrétní a informovaný souhlas vyžadovat nemusí. Ze zákona navíc vychází i doporučení českého Úřadu na ochranu osobních údajů, dle kterého mohou uživatelé internetových stránek udělit souhlas se zpracováním cookies v nastavení svého prohlížeče pro všechny weby, které tak nemusí cookies lišty zobrazovat, popisuje Ondřej Vykoukal. Takový obecný souhlas však určitě není konkrétní a informovaný, jak SDEU vyžaduje. 

Podle tiskového mluvčího Úřadu pro ochranu osobních údajů Tomáše Patáka by provozovatelé webových stránek měli důsledně dbát na to, aby si lidé po řádném seznámení a poučení mohli svobodně zatrhnout volbu služby, která je opravdu zajímá. Úřad pro ochranu osobních údajů doporučuje provozovatelům webových stránek, aby se v této věci obrátili na Ministerstvo průmyslu a obchodu ČR, které je gestorem ePrivacy, radí dále. Také našemu serveru potvrdil, že aktuálně Úřad pro ochranu osobních údajů judikát vyhodnocuje a nejspíše v prvním čtvrtletí příštího roku k němu vydá informaci. 

O cookies liště jsme psali v článku Opravdu už cookies lišta není na webu nutná? Úřad je v rozporu s Google a spol. 

Pokud jde o ochranu osobních údajů, pak po celé EU nyní platí jednotně GDPR, které ovšem většina provozovatelů českých webů již dodržuje a rozsudek SDEU v tomto ohledu tedy nepřináší žádné nové povinnosti nad rámec tohoto nařízení. Předem zaškrtnuté políčko souhlasu je obecně praktika, kterou GDPR nedovoluje, a SPIR na tuto skutečnost také v minulosti v rámci své edukační činnosti zaměřené na implementaci GDPR podniky opakovaně upozorňoval, upřesňuje Jana Břeská.

Jak na správný postup?

Jak je popsáno výše, ani s tímto rozsudkem Soudního dvora se pro české provozovatele nejspíš příliš nemění. Udělení souhlasu i jiným způsobem, jako je například nastavením prohlížeče, by mělo „stačit“ i po přijetí nového nařízení ePrivacy. To mělo původně doprovodit GDPR, ale ještě není přijato. V advokátní kanceláři eLegal českým klientům, kteří vnímají lištu negativně, dávají lišty pryč a o to víc si vyhrají s informací o zpracování osobních údajů, na kterou se umístí někde viditelně v dolním menu webu odkaz. Pokud chce být někdo do doby přijetí nařízení ePrivacy opravdu v suchu, měl by lištu nastavit tak, aby například check-boxem nebo jiným tlačítkem umožnila zvlášť povolení technických, analytických a marketingových cookies a aby odkazovala na úplné informace (privacy policy, zásady ochrany osobních údajů, jak si každý nazve), doporučuje Tomáš Pauch, advokát z eLegal

GDPR počítá s možností poskytnutí souhlasu např. prostřednictvím označení políčka (tzv. opt-in) za předpokladu, že jsou splněny i ostatní podmínky týkající se konkrétnosti a informovanosti takového souhlasu. V praxi je tedy třeba dbát na poskytnutí všech potřebných informací, ale také na tzv. rozčlenění souhlasu, tedy jeho udělení zvlášť pro každý jeden účel zpracování. Doporučujeme vyvarovat se praktikám, jakými jsou např. „schovávání“ souhlasu do všeobecných obchodních podmínek, protože z hlediska formy musí být písemný souhlas samostatný a odlišitelný od jiných skutečností. Také je důležité mít nastavený systém, který umožňuje dotyčným osobám udělený souhlas kdykoliv jednoduše modifikovat nebo odvolat, upozorňuje Matej Michalec.

Zjistěte, kde se v dodržování GDPR dělají chyby, v článku První rok s GDPR za námi. Které věci v praxi vůbec nefungují?

Souhlas s ukládáním cookies by měl především jasně odlišovat nezbytné cookies, které jsou zpracovávány bez souhlasu uživatele a o kterých je uživatel pouze informován, a ostatní cookies, pro které je vyžadován souhlas uživatele (nebo alespoň povinnost umožnit jejich ukládání odmítnout). Souhlas by potom uživatel mohl dát například zaškrtnutím políčka, upřesňuje Štěpánka Havlíková, Junior Associate z advokátní kanceláře Kinstellar.

Pro běžné použití cookies není tedy třeba vymýšlet nic nového – informační povinnost provozovatelů stránek platí v ČR stejně jako doposud. Co se však postupně mění, je tlak zahraničních partnerů, kteří podléhají odlišným právním řádům svých vlastních zemí. Jsme svědky toho, že zahraniční partneři nutí své české protějšky získávat standardizované souhlasy i s umístěním cookies a dosavadní českou praxi nepovažují za dostatečný projev souhlasu uživatele, dodává Jana Břeská. 

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Podle ní se jako vhodné řešení pro takovouto situaci jeví tzv. Rámec pro transparentnost a souhlas – Transparency and Consent Framework (TCF), který připravila evropská oborová organizace IAB Europe. Na příslušných stránkách lze najít velmi konkrétní návod na to, jak by měla žádost o souhlas s užitím cookies vypadat. Takto získaný souhlas je obecně uznávaný průmyslem napříč EU i dalšími globálními hráči. SPIR doporučuje využít tohoto nástroje, pokud se podnik dostane do situace, kdy nedokáže obhájit před svými partnery platnost souhlasů získaných prostřednictvím nastavením prohlížeče, radí dále.

Přijdou další změny?

Na GDPR tento případ určitě nic nezmění, protože se jej rozsudek ani příliš netýkal. Podstata je právě v předpise „ePrivacy“, kdy současnou evropskou směrnici má nahradit nové nařízení. Rozdíl mezi směrnicí a nařízenín je v tom, že směrnice je jen návod a každý stát si přijímá vlastní zákony. Nařízení pak nahrazuje rovnou zákon v členské zemi. Aktuálně máme totiž právě u cookies zajímavou situaci, protože jsme směrnici ePrivacy do českého řádu nepromítli úplně dobře. Český úřad tak nedávno publikoval své rozhodnutí, kde řekl, že ani věta „používáním webu souhlasíte s cookies“ není aktivně udělený souhlas, jak by požadoval SDEU. Ale právě kvůli chybě českého zákona za to nemohl udělit pokutu. Máme to tedy nyní trochu jinak než zbytek Evropy a protože je to chyba státu, nemusí se naši podnikatelé SDEU bát, doplňuje Tomáš Pauch.

O ePrivacy jsme informovali zde: Nařízení ePrivacy zřejmě tento rok platit nebude

Diners Vánoce 2019

Vzhledem k osobním údajům má navrhované nařízení za cíl upřesnit a doplnit obecné GDPR. Významné je například doplnění pravidel, která budou regulovat nejen tradiční operátory, jako je tomu doposud, ale také služby, jako je WhatsApp, Facebook Messenger, Viber nebo Skype. Nařízení o e-Privacy je projednáváno už několik let, schváleno by snad mohlo být příští rok, myslí si Ondřej Vykoukal. 

Ve Sdružení pro internetový rozvoj rozsudek chápou jako indikátor směru, kterým se mohou v budoucnu evropští regulátoři ubírat, a ne jako přímou předzvěst legislativních změn. Z jednání je podle nich patrné, že nařízení ePrivacy bude oproti původní směrnici striktnější. Konečnou podobu ale dosud neznáme. S ohledem na pokročilou fázi projednávání tohoto návrhu zároveň nepředpokládáme, že by rozsudek SDEU v této předběžné otázce přímo ovlivnil podobu budoucího nařízení ePrivacy, uzavírá Jana Břeská.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).