Poslední vývoj v otázce cookies

29. 11. 2019

Soudní dvůr EU (SDEU) vydal začátkem října důležité rozhodnutí týkající se používání cookies. Rozhodnutí navazuje na stanoviska některých evropských dozorových úřadů, které již dříve signalizovaly nespokojenost s tím, jak provozovatelé webů cookies používají. Rozhodnutí SDEU jejich názory zásadním způsobem posiluje. Nyní bude zajímavé sledovat, jak na tyto požadavky budou reagovat provozovatelé webů, ale i jednotliví regulátoři. Podle našeho rychlého průzkumu zatím nastavení cookies zůstává v určité šedé zóně. Teprve se tedy ukáže, jaká varianta se stane všeobecně přijímanou.

Začátkem října vydal SDEU rozhodnutí ve věci Planet49, ve kterém shrnuje základní zásady použití cookies. Jsou jimi:

· Používání cookies s výjimkou těch, které jsou „nezbytně nutné“ („strictly necessary“) pro fungování webu, vyžaduje aktivní souhlas ve smyslu GDPR (tj. svobodný, vědomý, informovaný, konkrétní a jednoznačný projev vůle).

· Předem zaškrtnutá políčka nepředstavují souhlas v souladu s GDPR.

· Jiné postupy, jako je souhlas projevený pokračováním v surfování nebo pomocí nastavení prohlížeče, se ve světle daného rozhodnutí SDEU pravděpodobně také nebudou považovat za dostatečné. To však není v rozhodnutí výslovně potvrzeno.

· Souhlas s použitím cookies musí být doplněn informací o době platnosti souborů cookie a o tom, zda k získaným informacím mohou mít přístup třetí strany a případně jaké třetí strany to jsou.

Rozhodnutí reflektuje stanoviska mnohých evropských dozorových úřadů (např. Velká Británie, Německo, Francie), které se vesměs shodují, že souhlas musí být udělen dle přesné dikce GDPR, tzn. svobodně, informovaně a musí být odlišitelný od ostatních skutečností (srovnání přístupů jednotlivých úřadů naleznete zde).

Právní úprava v EU a v Česku

Celou situaci kolem cookies nicméně zásadně komplikuje rozdílnost implementace pravidel, která se jich týkají, napříč EU. Česko je přitom právě jednou ze zemí, kde jsou pravidla pro používání cookies podle dosud platné směrnice 2002/58/ES („ePrivacy“) nesprávně transponovaná do místního práva (konkrétně do §89 odst. 3 zákona č. 125/2005 Sb., o elektronických komunikacích). Český úřad se i na základě toho v minulosti vyjádřil ve smyslu, že u cookies není nezbytně nutné poskytnout aktivní souhlas prostřednictvím například lišty, ale bude postačovat i prosté nastavení cookies ve webovém prohlížeči s účinností pro všechny budoucí návštěvy webových stránek. Na tomto postoji patrně setrvává i nadále. Minulý měsíc totiž při kontrole (čj. UOOU-00438/19–20 ) posuzoval nastavení cookies nejmenovaného internetového obchodu ve vztahu k uživatelům a dospěl k tomu, že kontrolovaná osoba je v souladu s požadavky našeho zákona o elektronických komunikacích, pokud:

i) oznamuje uživateli, že používáním webových stránek souhlasí s využitím souboru cookies ve svém prohlížeči, a
ii) informuje uživatele o rozsahu a účelu zpracování a rovněž jim nabízí možnost takové zpracování odmítnout (pomocí nastavení v prohlížeči či na jiných stránkách umožňujících nastavení cookies).

Tento postoj úřad vysvětluje tím, že Česko nesprávně transponovalo novelizovanou ePrivacy směrnici, a protože unijní judikatura neumožňuje aplikovat směrnici a její účinky přímo na jednotlivce, nezbývá než se řídit platnou národní legislativou.

Jaké typy cookies vyžadují souhlas a jaké nikoli

Rozhodnutí SDEU bohužel neobsahuje podrobnosti o typech cookies a nedává odpovědi na otázku, které cookies mohou být považovány za nezbytně nutné (nevyžadovaly by souhlas), a které už nezbytně nutné nejsou (vyžadují souhlas).

ICO (britský dozorový úřad) uvádí ve svém stanovisku ke cookies tyto příklady:

ICO kromě cookies rovněž uvádí příklady „obdobných technologií“, jako jsou cookies, které uchovávají data v uživatelově zařízení nebo je odtamtud získávají. Na tyto technologie budou dopadat identická pravidla. Jde například o lokální úložiště v prohlížeči (HTML5 local storage), lokální sdílené objekty neboli flash cookies nebo technologie zaznamenávajících otisk zařízení (tzv. fingerprinting).

Otisky zařízení jsou obdobou otisku prstů a zaznamenávají technické elementy zařízení tak, že je v konečném důsledku jedinečně identifikovatelné. Tyto technologie umí rozklíčovat nastavení zařízení, síťové protokoly, JavaScripty, použití API nebo třeba nainstalované pluginy v zařízení.

Náhled ICO nicméně patří k těm spíše přísnějším a jiné dozorové úřady mohou být zejména ohledně základních analytických cookies poněkud shovívavější.

Co teď s nastavením cookies?

Pro začátek by určitě každý provozovatel webových stránek nebo aplikací využívajících cookies a další podobné technologie měl provést důkladnou analýzu toho, jaké typy cookies a k jakým účelům používá. Na základě analýzy by provozovatel měl zvážit, pro jaké cookies předchozí souhlas potřebuje a pro jaké nikoli. Na webu by pak rovněž měla být k dispozici podrobná informace o použití cookies obsahující název cookie, funkci a povahu cookies (nezbytné a nutné pro provoz webu, preferenční, marketingové apod.), dobu platnosti a informaci o použití cookies třetích stran.

Mohlo by vás také zajímat:

Potvrzení souhlasu ke zpracování osobních údajů

Přímý marketing a osobní údaje

Účel a právní základ zpracování