Každý uživatel internetu za sebou zanechává jistou informační stopu. Tu se maximálně snaží vytěžit mimo jiné správci a provozovatelé webových stránek, a to hned za několika účely. Snaží se o zlepšování uživatelského prostředí svých stránek tak, aby tyto byly pro uživatele příjemnější, chtějí zlepšit relevanci nabízených služeb nebo se snaží informační stopu návštěvníka využít třeba jako efektivní marketingový nástroj pro zacílení reklamy. Ke všem těmto účelům mohou využívat tzv. cookies. Nemohou tak však činit libovolně, neboť oblast cookies je upravena celou řadou právních předpisů.
Cookies jsou malé textové soubory, které webové stránky ukládají na počítač nebo mobilní zařízení uživatele v okamžiku, kdy uživatel tyto stránky začnete využívat. Stránky si tak na určitou dobu mohou zapamatovat preference uživatele a úkony, které na nich uživatel provedl (např. přihlašovací údaje, jazyk, velikost písma a jiné zobrazovací preference). Soubory cookies mohou být nezbytné pro správné fungování webové stránky, ale mohou také sloužit pro jiné účely.
Pro zjednodušení můžeme cookies dělit do několika kategorií, a to podle různých kritérií:
Na základě toho, jestli se cookies ukládají pouze dočasně, tzn. do doby zavření prohlížeče, nebo přetrvávají v zařízení delší časový interval, rozlišujeme mezi relačními (dočasnými) a persistentními (přetrvávajícími). Většinu existujících cookies tvoří druhá zmíněná kategorie.
Dále lze cookies dělit podle toho, odkud pochází. Cookies buď pochází přímo od správce internetové stránky, nebo se jedná o tzv. cookies třetích stran (dnes hojně např. služby Google).
Mezinárodní obchodní komorou ve Spojeném Království bylo vytvořeno jednoduché orientační členění, využitelné pro další, zejména právní, kvalifikaci cookies, a to na:
Cookies druhé generace pak tvoří zvláštní kategorii. V nastavení soukromí ve všech současných běžných prohlížečích je umožněno soubory cookies smazat či do budoucna zakázat jejich ukládání. Jelikož tato možnost znemožňuje, nebo alespoň velmi omezuje správcům webových stránek účinně datové soubory ukládat, byl vyvinut nový druh cookies, tzv. cookies druhé generace, který je pro běžného uživatele počítače či telefonu de facto nesmazatelný, a dokonce umožňuje i obnovu smazaných cookies generace první.
Obecná pravidla pro sbírání souborů cookies upravuje sekundární právo Evropské unie, konkrétně Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích). Členské státy Evropské unie byly povinny tuto směrnici, včetně její pozdější novelizace v roce 2009, implementovat do svých právních řádů. Podle této směrnice je na správci webových stránek, aby před ukládáním cookies vyžádal od uživatele webových stránek souhlas. Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb však souhlas uživatele nutný není. Provozovatel však vždy musí poskytnout jasné a úplné informace, a to včetně řádného poučení o možnostech souhlasit jen s některými typy cookies, případně souhlas dodatečně odvolat (metoda opt-in). Svolení s ukládáním cookies musí být vědomé a aktivní. Detailnější podmínky a výklad předmětné směrnice shrnuje ve svém stanovisku European Data Protection Board (dříve WP 29). K nedávné aktualizaci došlo také v pokynech o souhlasu podle Nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (GDPR) v souvislosti s tzv. cookie wall, která fakticky zabraňovala přejít na webové stránky, aniž by byl souhlas udělen, což byl samozřejmě nesprávný postup. Na cookies lze také v některých případech aplikovat GDPR, a to když lze informace z cookies považovat za osobní údaje ve smyslu čl. 4 nařízení.
Směrnice o soukromí a elektronických komunikacích i změny provedené její novelou byly do českého právního řádu implementovány zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), respektive změnovým zákonem č. 468/2011 Sb., v § 89 odst. 3 takto:
„Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“
Původní znění směrnice bylo zákonem provedeno správně, nicméně změny, které přinesla zmíněná novela směrnice v roce 2009, však Česká republika změnou zákona o elektronických komunikacích nesprávně reflektovala. Dodnes stále tento zákon v rozporu se směrnicí připouští, aby webové stránky soubory cookies používaly do okamžiku, než uživatel přímo svým jednáním vyjádří nesouhlas (metoda opt-out). Stránky tímto způsobem využívají formy konkludentního souhlasu, kdy uživatel „souhlasí“ s používáním cookies pouhým setrváním na stránce, nikoli až po přímém udělení souhlasu s ukládáním.
Úřad pro ochranu osobních údajů (Úřad), který má za úkol dohlížet na dodržování těchto pravidel, nadto vydal 22. 5. 2018 své vlastní stanovisko k výkladu zákona o elektronických komunikacích, potažmo předmětné směrnice a nařízení GDPR v souvislosti s cookies, jež ne zcela koresponduje s již citovaným stanoviskem a pokyny European Data Protection Board. Úřad ve svém stanovisku nekomentoval chybně provedenou novelizaci směrnice, a navíc uváděl, že souhlas je vykládán pouze ve vztahu k účelu cookies s tím, že paušální souhlas s cookies třetích stran, udělený pro všechny webové stránky prostřednictvím prohlížeče, lze pokládat za platný. Toto sdělení je v zásadním rozporu s pokyny European Data Protection Board a takový postup oslabuje směrnicí zamýšlenou ochranu soukromí uživatelů webových stránek. Původní stanovisko z roku 2018, jak sám Úřad přiznává, již bylo překonáno a ve své aktualitě ze dne 17. 6. 2020 odkazuje na výše uvedené pokyny o souhlasu podle nařízení GDPR.
V neposlední řadě existují odlišná pravidla nastavená prostřednictvím ujednání v podmínkách použití služeb, jako je tomu například u společnosti Google, která požaduje po správcích webu mnohdy přísnější podmínky oproti právní úpravě.
Jelikož je výše nastíněná právní úprava značně nejasná, nezbývá než doufat, že v blízké době bude přijata finální podoba nařízení o soukromí a elektronických komunikacích (ePrivacy), které by mělo nahradit „problematickou“ směrnici a být aplikováno před českým zákonem, a tím definitivně sjednocena pravidla pro ukládání cookies ve všech členských státech v této oblasti. Původně bylo zamýšleno přijetí nařízení ePrivacy již společně s nařízením GDPR.
Pokud tedy na svých stránkách cookies máte nebo chcete mít, důrazně doporučujeme si ověřit, že vaše stránky splňují veškeré podmínky dle právních předpisů.
Mějte zejména na paměti, že:
Informujte daného uživatele vhodnou formou (pop-up okno nebo lišta umístěná na stránce), že váš web používá cookies s možností výběru přijmout/odmítnout jejich ukládání. V rámci této informace také uživateli poskytněte odkaz na úplné znění zásad použití cookies s jejich základním přehledem, názvem, expirací, informací, o jaký typ cookie se jedná, identifikací dalších příjemců a popisem toho, k čemu cookies slouží.
V této fázi má uživatel několik možností, jak se zachovat:
Upozorňujeme, že ve světle rozhodnutí SDEU Planet 29 (C‑673/17) ze dne 19. 10. 2019 není za souhlas považováno potvrzení předvyplněného „políčka“ na stránkách, které navíc musí k případnému odmítnutí svého souhlasu uživatel „odškrtnout“. Současně právě z tohoto rozsudku vyplývá také povinnost informovat i o expiraci jednotlivých cookies a dalších příjemcích informací z nich.
Pro opravdové nadšence přikládáme studii, která se zabývala otázkou, jak se měnila „úspěšnost“ vyžádání souhlasu s použitím cookies dle pozice cookie banneru na webových stránkách. Ze studie vyplývá, že nejlepším umístěním banneru je pozice v levém dolním rohu stránky.
V každém případě však doporučujeme, aby nebylo uživateli znemožněno alespoň základní použití stránek i kdyby souhlas odmítl udělit. Uživatel by také kdykoli měl mít možnost seznámit se (i dodatečně) se zásadami cookies a změnit své předchozího rozhodnutí.
Cookies jsou dnes využívány velkým množstvím webových stránek, častokrát však jejich správci a provozovatelé nemají pravidla týkající se cookies správně nastavena. Přestože se může zdát, že se jedná pouze o nevýznamnou problematiku, rozhodně bychom doporučili ji nepodceňovat, neboť v případě zjištění postupu, který nebude v souladu s právními předpisy, může být udělena pokuta až do výše 20 000 000 EUR, příp. až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok.
Pokud si ani po přečtení tohoto článku nevíte rady, v Cisek, advokátní kanceláři s.r.o. vám rádi připravíme potřebnou dokumentaci a poskytneme právní poradenství pro váš projekt.
(Photo by Christina Branco on Unsplash)