Vážení,
chtěli bychom Vás tímto informovat o změně pravidel ukládání souborů cookie, ke které v České republice došlo na počátku roku 2022.
Parlament České republiky schválil dne 15. září 2021 novelu zákona o elektronických komunikacích (zákon č. 127/2005 Sb.), která zavádí řadu změn týkajících se používání a ukládání souborů cookies. Nová pravidla vstoupila v platnost 1. ledna 2022.
Účelem tohoto článku je přiblížit současnou „politiku cookies“ prostřednictvím podrobného zkoumání nových pravidel ochrany osobních údajů, která kromě nařízení ONOOÚ – Obecné nařízení o ochraně osobních údajů (anglicky GDPR, oficiálně „Nařízení Evropského parlamentu a Rady (EU) č. 2016/679“) nařizují i nedávné „Pokyny č. 05/2020 k souhlasu“ ze dne 4. května 2020. Cílem těchto předpisů je chránit soukromí osob při používání služeb elektronické komunikace, a tedy i při surfování na internetu.
– CO JSOU SOUBORY COOKIE A PROČ JSOU DŮLEŽITÉ.
Soubory cookie jsou malé textové soubory, které se ukládají do zařízení uživatelů (počítačů, mobilních telefonů nebo prohlížečů, jako jsou Microsoft Edge, Google Chrome, Internet Explorer) při surfování na internetu; slouží k identifikaci návštěvníků stránek a k dlouhodobému ukládání a vyhledávání jejich informací. Používají je správci webových stránek ke shromažďování údajů o uživatelích, a tedy k provádění analýz, statistik, reklamy nebo k vyhodnocování poskytovaných služeb; jejich účelem je nejčastěji zajištění navigace na webu (tzv. technické cookie), shromažďování informací o počtu přístupů (tzv. analytické cookie) nebo zobrazování personalizovaných reklam (tzv. marketingové cookie).
Soubory cookie samy o sobě nepředstavují nebezpečí: naopak, jejich použití je nezbytné například pro správné fungování internetových obchodů (produkty vložené do nákupního košíku jsou dočasně uloženy v souboru cookie), pro udržení přihlášení na blogu nebo fóru. Riziko úniku osobních údajů, jejich použití neoprávněnými osobami a způsob, jakým lze uložené informace použít, však představují pro uživatele riziko ohrožení soukromí.
– LEGISLATIVA V ČESKÉ REPUBLICE.
Ještě před několika měsíci Úřad pro ochranu osobních údajů (ÚOOÚ) toleroval, že provozovatelé internetových stránek nevyžadují „výslovný“ souhlas uživatelů se zpracováním jejich osobních údajů.
Provozovatelé a odborníci si totiž dlouhou dobu – vzhledem k tomu, že český zákon požadavky na souhlas přesně neformuloval – vykládali nutnost vyžadovat od návštěvníků souhlas podle tzv. principu „opt-out“, podle kterého platí, že co uživatel výslovně neodmítne, to přijímá.
Na webových stránkách tedy stačilo informovat koncové uživatele o tom, že jsou zpracovávány soubory cookie, a upozornit je na možnost odmítnout jejich ukládání prostřednictvím nastavení prohlížeče. Tento přístup je nutné změnit, protože od 1. ledna 2022 musí být souhlas uživatele nejen výslovně vyžádán, ale musí být také svobodný, konkrétní, informovaný, jednoznačný a prokazatelný. Takový souhlas tedy nemůže být souhlasem, který je automaticky předem nastaven v prohlížeči, ani souhlasem, který je vyjádřen předem zaškrtnutým políčkem. Stejně tak nelze za informovaný a svobodně udělený souhlas považovat informaci, že „setrváním na webové stránce souhlasíte s ukládáním souborů cookie“.
Výše uvedená novela (zákon č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb.) tedy změnila § 89 odst. 3 zákona o elektronických komunikacích tak, že slova „je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout“ nahrazují slovy „získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování“. Proto dnes, každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas.
Právní řád České republiky tak přijal evropskou zásadu opt-in ve vztahu k souborům cookie a vyhověl tak nové judikatuře Evropského soudního dvora.
Podívejme se tedy na rozhodnutí evropských soudců a evropské právní předpisy v této věci.
– PŘÍPAD PŘED SOUDNÍM DVOREM EU: POVINNÝ OPT-IN
V Německu napadl spotřebitel u soudců Spolkového soudního dvora (Bundesgerichtshof) používání webové stránky německou společností provozující online hazardní hry, na které byl uživatel vyzván k nastavení souborů cookie, ale příslušné políčko již bylo zaškrtnuto. Jednalo se tedy o předem zaškrtnuté políčko, jehož prostřednictvím uživatelé internetu, kteří se chtěli hry zúčastnit, vyjádřili svůj souhlas s instalací souborů cookie. Proto uživatelé, kteří chtěli vznést námitku proti ukládání údajů, museli zrušit zaškrtnutí políčka (postup „opt-out“).
Evropský soudní dvůr (ESD) v této věci rozhodl a vyslovil se pro opačný postup tzv. „opt-in“ s tím, že jsou to sami spotřebitelé (uživatelé internetových stránek), kdo musí aktivně zaškrtnout toto políčko. Evropský soudní dvůr zejména uvedl, že souhlas spotřebitele „není právoplatně udělen, pokud je ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit“ (Rozsudek Soudního Dvora, velkého senátu, C-673/17 ze dne 1. října 2019).
Jak je známo, výkladové rozsudky Soudního dvora jsou závazné pro vnitrostátní soud („předkládající soud“) i pro soudy ostatních členských států, které mohou být nuceny neuplatňovat rozporné vnitrostátní pravidlo. Pokud jde o časové účinky rozhodnutí Soudního dvora, má se za to, že nabývá účinku zpětně (ex tunc), tj. od okamžiku, kdy pravidla, která jsou předmětem výkladu, vstoupí v platnost.
Závěrem je třeba zdůraznit, že ačkoli je výše uvedený rozsudek závazným precedentem (pro všechny soudy členských států EU), Soudní dvůr může v budoucnu svůj výklad změnit.
– EVROPSKÉ PRÁVO O SOUBORECH COOKIE.
Jak již bylo zmíněno, problematika cookies spadá do oblasti elektronických komunikací a jako taková podléhá směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 (známé jako „směrnice o soukromí a elektronických komunikacích“ nebo „evropský zákon o cookies“), následně pozměněné směrnicí Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009.
Směrnice o souborech cookie zaprvé stanoví, že uživatelé webových stránek musí být provozovatelem webových stránek informováni o používání souborů cookie srozumitelnou a jednoduchou formou, a zadruhé, že provozovatel je povinen získat informovaný souhlas návštěvníka před instalací souborů cookie do zařízení a zahájením sledování.
Provozovatel webových stránek tedy může používat soubory cookie pouze ve dvou případech: buď s výslovným souhlasem uživatele, nebo pokud se jedná o „technicky nezbytné“ soubory cookie, tj. soubory cookie, které umožňují správné fungování webových stránek (např. soubory cookie pro ukládání jazykových preferencí nebo soubory cookie, které ukládají údaje o přihlášení a nákupním košíku).
V neposlední řadě je důležité si uvědomit, že terminologie „evropského zákona o cookies“ je nesprávně používána: nejedná se o „zákon“, ale o „směrnici“, a jako takovou ji musí přijmout každý členský stát a provádět ji podle vnitřních postupů schválených samotným státem. Právě z tohoto důvodu, vzhledem k tomu, že směrnice o soukromí a elektronických komunikacích vůbec neobjasňuje, jakým způsobem musí být povinnosti týkající se informací a souhlasu uplatňovány, byla daná směrnice členskými státy transponována, ale – pozor – byla interpretována, a tudíž uplatňována různými způsoby.
Evropská unie proto pracuje na nařízení o soukromí a elektronických komunikacích (COM/2017/010 final – 2017/03 (COD)), regulačním aktu, který zruší a nahradí směrnici 2002/58/ES o soukromí a elektronických komunikacích a který bude doprovázet GDPR při regulaci zpracování osobních údajů. Vzhledem k tomu, že GDPR neupravuje specificky digitální oblast, bude nařízení upravovat zejména všechny aspekty online komunikace.
Projekt Evropské unie totiž počítá s vytvořením zákona o ochraně osobních údajů, který by byl závazný pro všechny členské země. K dnešnímu dni však bylo schválení nařízení o soukromí a elektronických komunikacích několikrát odloženo a o konkrétních požadavcích, které musí evropské společnosti působící v digitálním světě splnit, se stále diskutuje.
Mezitím EU vydala dne 4. května 2020 takzvané “ Pokyny č. 05/2020 k souhlasu“: dokument, který má usnadnit uplatňování evropské směrnice, a který má tedy správcům internetových stránek pomoci při přípravě jejich internetových portálů.
Na závěr se podívejme na některé praktické důsledky shora uvedeného k tématu cookies.
– CO BYCHOM MĚLI UDĚLAT NA NAŠÍCH WEBOVÝCH STRÁNEK A CO HROZÍ?
Především je třeba podotknout, že souhlas uživatele nesmí být podmínkou pro přístup na webovou stránku: lišta se soubory cookie nemůže zablokovat přístup na stránku, pokud k tomu návštěvník nedal souhlas. Takový souhlas nelze považovat za „svobodně udělený“. Odmítnutí souhlasu (nebo jeho následné odvolání) proto nemůže koncovému uživateli způsobit žádnou újmu (např. nemožnost prohlížení obsahu stránek).
Za druhé, návštěvníkovi musí být jasně a srozumitelně poskytnuty úplné a důkladné informace o všech záležitostech, které jsou důležité pro ochranu soukromí, jako je povaha zpracovávaných údajů, účely zpracování, příjemci, kterým mohou být údaje předány, nebo práva subjektu údajů. Na vlastních webových stránkách lze například poskytnout stručné informace o způsobu ukládání údajů, nicméně je třeba zajistit, aby si návštěvníci mohli vyžádat podrobné, úplné a transparentní vysvětlení. Pro každý z účelů, pro které jsou osobní údaje shromažďovány, by měl být vyžádán souhlas provozovatele stránek. V neposlední řadě má každý uživatel právo na opravu nepřesných údajů a také právo na výmaz svých údajů. Proto, uživatelé mají nejen právo být informováni o použití svých údajů, když dávají souhlas s jejich zpracováním, ale musí mít také možnost kdykoli poté požádat o informace o použití těchto údajů, a případně si vyžádat kopii poskytnutých údajů.
V případě porušení této novely zákona může podnikateli (tj. právnická nebo podnikající fyzická osoba) hrozit pokuta až do výše 15.000.000 Kč nebo do výše 5 % z čistého obratu dosaženého za poslední ukončené účetní období podle toho, která z těchto hodnot je vyšší.
Vzhledem k tomu, že právní předpisy týkající se souborů cookie prošly v průběhu let několika změnami – stále konkrétnějšími, pokud jde o ochranu osobních údajů – nabízejí nové pokyny řadu rad, jak převést různé teoretické novinky do praxe.
V případě jakýchkoliv dotazů či nejasností se na nás neváhejte obrátit.
S pozdravem a přáním hezkého dne
Team Spoladore & Bystřický