Nezávazná poptávka

Blog

Musí provozovatel českého webu získat souhlas s cookies? Část 2

04.03.2016

V prvním díle naší série článků s podtitulem „Co takhle dát si cookies?“ jsme se věnovali aktuálním otázkám, které přinesla změna politiky společnosti Google. Změna měla dopad na všechny provozovatele webů využívajících služby této společnosti. Problematice jsme se věnovali také z technického hlediska, když jsme se snažili osvětlit, co to vlastně ony cookies jsou.

Jak se české právo „popralo“ s problematikou cookies? Kde jsou upraveny? A proč se právníkům při slově cookies ježí vlasy? Na tyto otázky odpovíme v následujícím textu.

Česká právní úprava

V České republice upravuje danou problematiku zákon č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (dále jenom „ZEK“), a to v § 89 odst. 3, kde stanoví:

„Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“

Jinak řečeno, provozovatel webu má informační povinnost vůči uživatelům o rozsahu a účelu zpracování cookies. Pokud se jedná pouze o session cookies, provozovatel webu nemá ani tuto informační povinnost. U ostatních druhů cookies musí provozovatel webu své uživatele dle zákona vždy informovat. Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) je dlouhodobě nespokojen s chováním provozovatelů webů, co se cookies týče. Kritizuje je zejména za to, že mnoho webů vůbec neobsahuje informace o zpracovávání cookies, obsahuje informaci nedostatečnou nebo je tato informace umístěna tak, že se k ní uživatel dostane jen s velkou námahou.

Dle výše uvedeného ustanovení zákona lze cookies (bez ohledu na jejich typ) využívat bez předchozího souhlasu uživatele webu. Pokud si uživatel nepřeje další využívání cookies, musí sám aktivně vyjádřit svůj nesouhlas provozovateli (nastavením v internetovém prohlížeči). To znamená, že v České republice je zákonem zaveden tzv. opt-out režim.

Kdo kontroluje porušování § 83 odst. 3 ZEK a kdo vám může uložit pokutu? Úprava problematiky v ZEK by mohla naznačovat, že pravomoc by měl mít Český telekomunikační úřad (dále jen „ČTÚ“). O tom, že vám sankci může uložit právě ČTÚ, se dočtete i v některých internetových článcích, které se problematikou zabývají. Není tomu ale tak. Dle vyjádření ČTÚ jsou cookies „obsahem služeb“, a proto se na ně ZEK nevztahuje, jak je stanoveno v § 1 odst. 2 ZEK. Cookies jsou totiž osobními údaji, a to dle zákona č 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších přepisů. Osobními údaji jsou v tom případě, pokud shromažďují informace, na základě kterých lze určit fyzickou osobu – uživatele. Sankci Vám tedy může uložit ÚOOÚ.

„Sušenka“ sváru

Proč se tedy právníkům při pomyšlení na cookies ježí vlasy? Odpověď je celkem jednoduchá, Česká republika (zase jednou) špatně transponovala směrnici Evropské unie. Přesněji řečeno, § 89 odst. 3 ZEK nezměnila skoro vůbec. Konkrétně se jedná o směrnici e-Privacy Directive (2002/58/EC, směrnice o soukromí a elektronických komunikacích v aktuálním znění). Ta původně v roce 2002 zavedla stejný princip jako je dnes v České republice, tedy opt-out režim. E-Privacy Directive byla ale novelizována směrnicí 2009/136/ES. Tato novela zavedla režim opt-in a nahradila původní článek 5 odst. 3 novým, v tomto znění:

„Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“

Režim opt-in tedy znamená, že provozovatel webu musí získat předchozí a informovaný souhlas uživatele s používáním cookies (například pomocí pop-up okna s odkazem na informace o účelu zpracování).
Opět jinak řečeno, provozovatel webu musí, dle evropské směrnice, plnit informační povinnost vůči uživatelům vždy, tedy, i když jsou využívány pouze session cookies (pro porovnání, dle ZEK provozovatel webu nemusí plnit informační povinnost, pokud jsou využívány pouze session cookies).

Navíc musí provozovatel od uživatele získat předchozí a informovaný souhlas s využíváním cookies (pro porovnání, dle ZEK provozovatel webu nemusí získávat souhlas uživatele). Výjimku tvoří technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací, nebo pokud si uživatel službu výslovně vyžádal. V těchto případech provozovatel nemusí žádat předchozí souhlas uživatele.
Výše uvedená novela směrnice byla do českého právního řádu transponovaná v podobě novely ZEK, a to zákonem 468/2011 Sb. Konkrétně se jedná o citované ustanovení § 89 odst. 3 ZEK, jehož novelizované znění zní:

„Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby provedení nebo usnadnění přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“

Je asi evidentní, že se daná transpozice „ne příliš zdařila“ a Česká republika tak poskytuje uživatelům menší míru ochrany jejich soukromí, než zbytek Evropy, protože i po novelizaci ZEK zůstal zachován pouze režim opt-out. Tento stav dlouhodobě kritizuje i ÚOOÚ.

Situace se provozovatelům webů následně zkomplikovala změnou politiky společnosti Google, který zavedl povinnost získání předchozího informovaného souhlasu pro provozovatele webů, kteří využívají jeho služeb.

Které sušenky si tedy vybrat? České, evropské nebo s příchutí Google?

Pokud jste provozovatelem českého webu a dodržujete informační povinnost stanovenou ZEK ustanovením § 89 odst. 3, rozhodně nemusíte v současné době podléhat panice. ÚOOÚ sice konstatuje, že se nepříznivým stavem v oblasti ochrany osobních údajů českých uživatelů bude zabývat a v budoucnu přistoupí i k individuálnímu výkonu dozoru. Ve svém bulletinu ale nejdřív zahajuje veřejnou diskusi na téma cookies.
Lze si do budoucna představit, že směrnici e-Privacy Directive bude přiřknut přímý účinek (např. judikaturou ESD) a v tom případě by se jí museli řídit i čeští provozovatelé webů. Domníváme se však, že řešením bude až nové nařízení EU týkající se ochrany osobních údajů, v rámci kterého by cookies měly být osobními údaji. Nařízení bude mít přímý účinek per se (bude tedy bez novelizace vnitrostátních předpisů přímo aplikovatelné i na české provozovatele webu). Toto nařízení mělo vejít v účinnost 1. ledna 2014, ale nestalo se tak. V současné době je připraven návrh nařízení.

A jak chutnají sušenky s náplní Googlu? Pokud užíváte některé ze služeb této společnosti, např. Google AdSense nebo Google Analytics, užíváte je na základě smluvního vztahu s touto společností. To znamená, že pokud má Google ve smluvních podmínkách zakotveno, že musíte od uživatelů získat předchozí informovaný souhlas, tak jsou tyto podmínky pro vás závazné. A to, i když vám Google stanoví povinnosti nad rámec českého zákona. Jaké dopady by mělo nedodržování těchto nových podmínek, jsme řešili v předchozím článku naší série.

Závěrem lze jen shrnout, že pokud jste provozovatelem českého webu a splňujete informační povinnost dle ZEK, tedy informujete své uživatele o rozsahu a účelu zpracování cookies na viditelném a lehko dostupném místě umístněném na webu, jednáte právně nezávadně. Je třeba se ale připravit, že v blízkém časovém horizontu mohou v této oblasti nastat změny, které Vám přinesou další povinnosti.

Jaké změny to mohou být? Co je to skupina WP 29 a jakou roli sehrávají její stanoviska v oblasti cookies? A „kam směřuje“ evropská regulace v ochraně osobních údajů a cookies? Dozvíte se v příštím článku z našeho cyklu „Co takhle dát si cookies?“.

Musí provozovatel českého webu získat souhlas s cookies? Část 2
5 (100%) 1 hlasů

Miroslava Balážová

Související služby