Evropská unie je dlouhodobě aktivní na poli ochrany soukromí obecně a v online prostředí zvlášť. I z tohoto důvodu se jak regulace, tak navazující rozhodovací činnost pravidelně zaměřuje na problematiku cookies jakožto potenciálního prostředku pro narušování soukromí lidí. Vedle dlouho připravovaného nařízení ePrivacy, které jistě přinese změny ve způsobu jejich užití, se nedávno pozornost soustředila na rozhodnutí Soudního dvora Evropské unie („SDEU“), který v aktuálním kontextu obecného nařízení o ochraně osobních údajů (Nařízení (EU) 2016/679) („GDPR“), vydal zásadní rozhodnutí ve věci C-673/17, jež má přímé dopady na způsoby získávání souhlasu s užitím cookies. SDEU konkrétně určil, že správce webových stránek nemůže platně získat souhlas uživatele s používáním souborů cookies na jeho počítačovém zařízení pomocí předem zaškrtnutých check-boxů.
Spor mezi německou federací spotřebitelských organizací, která napadla praxi společnosti Planet49 provozující on-line herní platformu, došel až k německému Spolkovému soudu (Bundesgerichtshof), který podal předběžnou otázku k SDEU. Spornou byla skutečnost, že Planet49 používala v rámci platformy on-line reklamních loterií předem zaškrtnuté políčko, kterým uživatelé internetu, již se chtějí loterií zúčastnit, vyjadřují souhlas s využitím souborů cookies.
SDEU k otázce ochrany soukromí v souvislosti s elektronickými komunikacemi poskytl při této příležitosti důležitý výklad, který lze shrnout do následujících bodů:
- souhlas, který musí uživatel internetových stránek poskytnout k umístění a využití souborů cookies na svém zařízení, nemůže být v souladu s právními předpisy udělen předem zaškrtnutým check-boxem;
- skutečnost, že informace uložené nebo prohlížené v zařízení uživatele jsou nebo nejsou osobními údaji, nemá na závěr vyslovený SDEU vliv (unijní právo má totiž obecně za cíl chránit uživatele před zásahem do jeho soukromé sféry);
- souhlas musí být specifický, tj. poskytnutý pro každý samostatný účel zpracování (skutečnost, že uživatel dal souhlas s účastí na reklamní loterii, nepostačuje k tomu, aby bylo možné se domnívat, že uživatel souhlasí i s umístěním souborů cookies); a
- informace, které musí poskytovatel služeb poskytnout uživateli, zahrnují dobu funkčnosti souborů cookies, jakož i možnost, aby k těmto souborům měly přístup třetí osoby.
Jak jsme již uvedli, soubory cookies jsou v poslední době hojně skloňovaným pojmem. Jedná se o soubory, které poskytovatel internetových stránek umístí do počítače uživatele těchto stránek a může k nim mít při nové návštěvě stránek uživatelem znovu přístup, a to za účelem usnadnění prohlížení internetu nebo zjednodušení transakcí nebo získání informací o chování uživatele. Přestože i český dozorový orgán, Úřad pro ochranu osobních údajů („ÚOOÚ“), poslední dobou zaměřil svou pozornost právě na využívání souborů cookies provozovateli webových stránek, není praxe v této oblasti zdaleka jednotná.
I v České republice hojně využívaným nástrojem pro plnění povinností souvisejících s užitím cookies představuje tzv. „cookie banner“, který se při návštěvě zobrazí v popředí webové stránky a uživatel jej pouze vezme na vědomí. V České republice totiž provozovatelé webových stránek dosud souhlas s ukládáním cookies získávají nastavením prohlížeče. Podle doporučení ÚOOÚ z roku 2018 totiž může uživatel určit v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webové stránce ukládat cookies do koncového zařízení. Toto nastavení lze dle ÚOOÚ považovat za souhlas se zpracováním osobních údajů; webový prohlížeč je zde nástrojem zprostředkování souhlasu. Cookie banner pak v zásadě plní pouze funkci informační a umožňuje uživatelům seznámit se s aktuálním zněním cookie policy.
Dokud nezačne platit nové nařízení ePrivacy, bude otázka získávání souhlasu s cookies v České republice stále do jisté míry nejistá a provozovatelé webových stránek se mohou rozhodnout, zda se vydají marketingově schůdnější cestou s rizikem, že dozorové orgány v Evropské unii mohou situaci posoudit odlišně, než jak to dělá citované doporučení ÚOOÚ, nebo cestou aktivního souhlasu, např. prostřednictvím cookie banneru, která více vyhovuje GDPR a komentovanému rozhodnutí.
Zdroje článku
- doporučení ÚOOÚ z roku 2018 https://www.uoou.cz/cookies-a-nbsp-gdpr/d-29966