Úvod
Cookies jsou nejčastěji užívanou metodou identifikace uživatelů a personalizace prohlížení webu. Kromě marketingových účelů slouží k analýze návštěvnosti či k personalizaci a zabezpečení webu. Technicky jde krátké textové soubory obsahující unikátní kód, které webový server při první návštěvě internetové stránky umístí prostřednictvím prohlížeče do zařízení užitého k procházení webu (nejčastěji počítače či smartphonu, ale obecně může jít o jakékoliv zařízení připojené k internetu). Internetová stránka si tak zařízení díky cookie „zapamatuje“ a může o něm sbírat informace i při následných návštěvách.
Díky cookies je nakupování v eshopech pro uživatele pohodlnější, protože obchod si může ukládat jejich uživatelská nastavení, přihlašovací údaje či zboží vložené do košíku. Cookies jsou využívány i pro přesnější cílení reklamy a poskytování relevantnějšího obsahu. Zpracovávání cookies však též často zasahuje do soukromí člověka a jeho elektronické komunikace. K zásahu dochází hned dvakrát. První zásahem je samotné umístění souboru cookie do zařízení uživatele a následné získávání přístupu k tomuto souboru. Druhým zásahem je sběr a další zpracování osobních údajů uživatele prostřednictvím cookies (historie objednávek, nákupní preference, navštívené stránky, údaje vložené do formulářů apod.).
Na jedné straně tedy stojí přívětivější uživatelská zkušenost a relevantnější obsah, na druhé straně soukromí člověka a jeho elektronické komunikace. Problematickým aspektem této kolize je fakt, že průměrný uživatel internetu nezná technickou podstatu fungování souborů cookies a nedokáže zhodnotit jejich dopady na své soukromí. V tomto článku bych chtěl popsat, v jakých případech je třeba získávat souhlas k výše popsaným zásahům do soukromí člověka a jeho elektronické komunikace.
Cookies a elektronické komunikace – v ČR souhlas není třeba
Je třeba si uvědomit, že cookies jsou do počítačů a telefonů ukládány s cílem získávat přístup k soukromým informacím nebo sledovat činnost uživatele. Ukládání a následný přístup ke cookies v těchto zařízeních pak představuje zásah do soukromé sféry jejich uživatelů.
Ochrana soukromí v odvětví elektronických komunikací je na unijní úrovni upravena směrnicí 2002/58/ES o soukromí a elektronických komunikacích (dále jen „ePrivacy směrnice“). Dle aktuálního znění ePrivacy směrnice je ukládání cookies nebo získávání přístupu k již uloženým cookies povoleno pouze pod podmínkou, že dotčený uživatel k tomu předem poskytl svůj souhlas (tzv. opt-in režim).
Česká republika však ePrivacy směrnici nesprávně transponovala do svého právního řádu, neboť dle zákona o elektronických komunikacích (dále jen „ZEK“) stačí dát uživatelům možnost odmítnout ukládání cookies nebo získávání přístupu k již uloženým cookies (tzv. opt-out režim). Důvodem je to, že ePrivacy směrnice původně obsahovala opt-out režim, který byl v roce 2009 změněn na stávající opt-in režim, na což český zákonodárce již nereagoval.
Pokud je zákon členského státu v rozporu se směrnicí EU, může mít navrch jak směrnice, tak zákon. Záleží na tom, zda se rozporu domáhá občan vůči státu, či stát vůči občanovi. Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) při svých kontrolách zpracovávání cookies správně vychází ze ZEK, dle nějž stačí uživatele o zpracování cookies informovat a umožnit jim cookies odmítnout. ZEK má v těchto případech před ePrivacy směrnicí přednost, protože stát se vůči občanovi nemůže domáhat nesprávně transponované směrnice.
ÚOOÚ ve svém Doporučení k zpracování cookies a obdobných prostředků sledování ze dne 22. 5. 2018 (dále jen „Doporučení“) uvedl, že souhlas není nutné získat pro ty cookies, které jsou nezbytně nutné pro zajištění provozu webových stránek a internetových služeb. Pro všechny ostatní cookies je třeba získat souhlas, který však lze získat nastavením běžného prohlížeče. Které cookies jsou nezbytně nutné, je třeba posuzovat případ od případu a především z pohledu uživatele, nikoliv provozovatele webu. Výslovně jsou za nezbytné označovány ty cookies, díky kterým zboží zůstává v nákupním košíku či ty, které umožňují rovnoměrné rozložení zátěže mezi servery (load balancing).
K dovozování souhlasu z nastavení prohlížeče se budu věnovat ve druhé části této minisérie. Zde se chci zastavit u tvrzení ÚOOÚ, že pro všechny cookies, které nejsou nezbytné, je třeba získat souhlas. Ke tomuto závěru došli i zahraniční regulátoři (např. ve Velké Británii či Irsku), jenže v těchto zemích je ePrivacy směrnice transponována správně, a tedy výjimka pro nezbytné cookies je výjimkou z povinnosti získat předchozí souhlas k umístění či přístupu ke cookies v zařízení uživatele. V ČR je však dle ZEK možné všechny cookies včetně těch nezbytně nutných umisťovat a získávat k nim přístup bez předchozího souhlasu. Není tedy jasné, proč ÚOOÚ tvrdí, že pro jiné cookies než ty nezbytné, je nutné získat souhlas. ÚOOÚ patrně vychází z nesprávné premisy, že k ukládání a čtení cookies je nutné získat předchozí souhlas.
Cookies a osobní údaje – bez souhlasu se často neobjedete
Znamená to tedy, že ke zpracování cookies v ČR není třeba získávat souhlas? To rozhodně ne. Souhlas není třeba k umístění cookies do koncového zařízení a k následnému přístupu k těmto cookies. Jak jsem ale popsal v úvodu tohoto článku, umístění souborů cookie do počítače či telefonu je jen prvním krokem. Díky cookies weby získávají i další údaje o chování uživatele na webu, které mohou být osobními údaji ve smyslu obecného nařízení o ochraně osobních údajů (dále jen „GDPR“).
V případech, kdy jsou prostřednictvím cookies zpracovávány osobní údaje, mají provozovatelé webových stránek zejména povinnost:
- definovat konkrétní účel, pro který osobní údaje, vč. cookies užívají,
- vybrat právní základ tohoto zpracování a
- informovat uživatele o zpracování osobních údajů, vč. cookies.
Souhlas nebo oprávněný zájem?
Pro zpracování osobních údajů získaných prostřednictvím cookies je tedy potřeba si určit právní základ. Tím může být především souhlas uživatele či oprávněný zájem provozovatele webu. Hranice mezi osobními údaji získávanými prostřednictvím cookies, které lze zpracovávat na základě oprávněného zájmu, a mezi těmi, k nimž už je nutné získat souhlas, je neostrá.
Čím více bude zpracování osobních údajů získaných prostřednictvím cookies zasahovat do soukromí uživatele, tím spíše bude třeba získat jeho souhlas. Souhlas tak bude nezbytný ke zpracování cookies třetích stran sloužících k marketingovým účelům. Nejasná je situace u analytických cookies. Osobně se domnívám, že pro zpracování analytických cookies lze využít oprávněný zájem, neboť tyto cookies do soukromí uživatele příliš nezasahují. Funkční cookies (např. uchování zboží v košíku i po opuštění stránky či uložení přihlašovacích údajů) souhlas nevyžadují.
Informovat je nutné téměř vždy
Aby člověk mohl učinit informované rozhodnutí, musí mít dostatek vstupních informací. To platí i pro cookies. S výše uvedenou výjimkou v podobě nezbytných cookies, které nelze odmítnout, musí provozovatel webu ohledně všech cookies a jimi získávaných osobních údajích předem uživateli poskytnout informace o:
- účelu zpracování cookies,
- době funkčnosti souborů cookies a
- třetích subjektech s přístupem k cookies.
Závěr
V souvislosti s cookies dochází k zásahu do soukromí člověka ve dvou rovinách. Pro jejich umístění do počítače či telefonu a následné čtení je nejprve nutné vyhovět podmínkám stanoveným v ZEK, který stojí na opt-out režimu. Stačí tak uživatele o cookies řádně informovat a dát jim možnost ukládání cookies odmítnout.
Pokud cookies slouží ke zpracování osobních údajů, je třeba identifikovat právní základ pro toto zpracování. U funkčních a analytických cookies si lze vystačit s oprávněným zájmem, u marketingových cookies budete potřebovat souhlas.
Jak (ne)získávat souhlas se zpracováním cookies a souvisejících osobních údajů budu psát ve druhém díle této minisérie o cookies.