K (ne)chybějící regulaci cookies v současné právní úpravě

7. září 2018

Tento článek Martiny Černé vyšel v Právním rádci, 09/2018

Jaké jsou právní aspekty využívání souborů cookie v kontextu současné, poněkud rozpolcené, právní úpravy? Jaký je aktuální stav návrhu nařízení ePrivacy? A je v současné době využívání souborů cookie a údajů (především těch, které mají povahu osobních údajů) z nich získaných vůbec nějakým způsobem upraveno?

Společně s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)1 mělo dle původních předpokladů vstoupit v účinnost rovněž nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích),2 které mělo být speciálním a do značné míry doplňujícím přepisem ke GDPR, pamatujícím na některé konkrétní problémy ochrany soukromí a osobních údajů při využívání elektronických komunikačních technologií.

Tak se nicméně nestalo a nařízení ePrivacy jako by ustrnulo ve fázi návrhu a ani více než tři měsíce po nabytí účinnosti GDPR není platným právním předpisem. Namísto toho je předmětem stále nových diskusí a pozměňovacích návrhů, přičemž shoda nepanuje ani na samotném textu předpisu, ani na jeho konečném vztahu ke GDPR.3 Opakovaných změn v rámci jednotlivých rozprav a předkládaných pozměňovacích návrhů doznává i navrhovaná úprava využívání souborů cookie a případné potřeby souhlasu koncového uživatele s jejich ukládáním v elektronickém zařízení.4

Cookies v návrhu ePrivacy

Úpravu využívání souborů cookie a informací prostřednictvím nich shromažďovaných předpokládá článek 8 navrhovaného nařízení ePrivacy. Ten nabízí taxativní výčet případů, ve kterých je přípustné soubory cookie, resp. z nich získané informace, využívat. Konkrétně se má jednat o tyto případy:5

  • Takový postup je nezbytný výlučně pro účely zajištění přenosu elektronické komunikace elektronickou komunikační sítí.
  • Koncový uživatel udělil k takovému postupu souhlas.
  • Takový postup je nezbytný k poskytnutí služby informační společnosti, kterou koncový uživatel poptává.
  • Takový postup je nezbytný pro měření návštěvnosti webové stránky za předpokladu, že toto měření provádí poskytovatel služby informační společnosti, kterou koncový uživatel poptává, nebo třetí stranou pro takového poskytovatele na základě smlouvy dle článku 28 GDPR.
  • Takový postup je nezbytný pro udržování nebo obnovení bezpečnosti služeb informační společnosti, prevenci podvodného jednání nebo detekci technických chyb po dobu nezbytně nutnou k naplnění účelu.
  • Takový postup je nezbytný pro účely bezpečnostních aktualizací za podmínky, že:

a. Tyto bezpečnostní aktualizace jsou nezbytné a žádným způsobem neovlivní nastavení ochrany soukromí ze strany koncového uživatele;

b. Koncový uživatel je o provedení instalace vždy předem informován;

c. Koncový uživatel má možnost odložit nebo odmítnout instalaci takových aktualizací.

Nejnovější návrh navíc oproti předchozím návrhům předpokládá vypuštění původně zamýšlených zvláštních ustanovení o souhlasu s ukládáním souborů cookie a o nastavení ochrany soukromí ze strany koncového uživatele.6

Ani tento návrh však nemusí být konečný a s ohledem na stále probíhající diskuse a nedořešené otázky lze jen stěží předpokládat, že by nařízení ePrivacy v dohledné době vstoupilo v platnost a v účinnost. Není proto bezpředmětné zabývat se otázkou, jak by si měli poskytovatelé služeb informační společnosti, kteří soubory cookie v hojné míře využívají, počínat do doby, než bude dostupná platná a účinná právní úprava, logicky navazující na GDPR.

Současná (ne)úprava

V této souvislosti je třeba zdůraznit, že oblast souborů cookie nezůstává ani v důsledku průtahů při tvorbě a schvalování nařízení ePrivacy zcela neupravená. Až do nabytí účinnosti navrhovaného nařízení ePrivacy zůstává v platnosti směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) a v rozsahu, ve kterém lze informace, získané prostřednictvím souborů cookie, považovat za osobní údaje, se aplikuje rovněž GDPR. Je proto vhodné upozornit na určité komplikace, které mohou vznikat tam, kde starší právní regulace elektronických komunikací naráží na některé nové či aktualizované zásady vyplývající z GDPR.

V obecné rovině lze i nadále vycházet z doporučení WP 29, formulovaných ve stanovisku 04/2012 o výjimkách z povinnosti získat souhlas s používáním souborů cookie.7 Poskytovatel služeb informační společnosti tedy v zásadě může i bez souhlasu koncového uživatele ukládat do zařízení soubory cookie a využívat informace jejich prostřednictvím získané, pokud se jedná o:

  • Cookies sloužící k uložení informací vkládaných uživatelem (obsah formulářů, nákupního košíku apod.) po dobu trvání připojení ke službě, případně po přiměřenou delší dobu (max. v řádu hodin);
  • Cookies sloužící k identifikaci přihlášeného uživatele po dobu, kdy je přihlášen;
  • Cookies sloužící k zabezpečení přihlašování, resp. k zamezení zneužití přihlašovacích údajů, které jsou uloženy po přiměřenou dobu;
  • Cookies sloužící k uložení technických dat multimediálních přehrávačů, sloužící k zajištění přehrávání zvukového nebo audiovizuálního záznamu po dobu trvání připojení ke službě;
  • Vyrovnávací cookies po dobu trvání připojení ke službě;
  • Cookies sloužící k uložení nastavení uživatelského rozhraní (včetně jazyka, velikosti písma apod.) po dobu trvání připojení ke službě nebo po přiměřenou delší dobu;
  • Cookies třetích stran, pokud se týkají plug-in modulů pro sdílení obsahu na sociálních sítích a jsou ukládány do zařízení koncového uživatele, který je k této sociální síti přihlášen.

V našich podmínkách lze tedy v zásadě vycházet i nadále z ustanovení § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, a bez souhlasu uživatele, resp. bez umožnění uživateli takovéto zpracování odmítnout, je tedy přípustné technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem. Ani v ostatních případech není sice automaticky třeba vyžadovat výslovný souhlas s ukládáním a využíváním souborů cookie, uživateli však musí být dána možnost ukládání takových cookies odmítnout.

Kontext GDPR

V rozsahu, v jakém mohou informace, získané prostřednictvím souborů cookie, představovat osobní údaje, je však třeba tyto výjimky interpretovat mimo jiné i v kontextu právní úpravy představované GDPR, což znamená v prvém kroku posoudit, zda informace, které poskytovatel prostřednictvím souborů cookie získává, jsou nebo mohou být osobními údaji, a pokud tomu tak je, pak v druhém kroku zvážit, zda je ke zpracování takovýchto osobních údajů dán některý z právních titulů předpokládaných GDPR. V této souvislosti je třeba věnovat pozornost zejména souhlasu s ukládáním a využíváním souborů cookie, který bývá velmi často formulován nesprávně a směšován s jinými právními tituly tak, že v řadě případů bývá jeho vyžadování nadbytečné. Obdobně problematickým právním titulem může být i oprávněný zájem poskytovatele služby, např. na možnosti zobrazovat uživateli cílenou reklamu nebo vést statistiku návštěvnosti webové stránky, pokud není dostatečně odůvodněna jeho převaha nad oprávněnými zájmy koncového uživatele.

Je tedy představitelné, že soubory cookie sloužící k marketingovým, analytickým či statistickým účelům, přesahujícím rámec oprávněného zájmu poskytovatele dané služby, bude možné ukládat a využívat pouze se souhlasem koncového uživatele.

Za nevhodnou lze tedy považovat formulaci typu: "S provozem tohoto webu nám pomáhají soubory cookie. Využíváním našeho webu s jejich používáním souhlasíte.", obvykle doprovázenou toliko tlačítkem "Rozumím" nebo hůře "Souhlasím", v lepším případě odkazem na více či méně podrobné informace o ukládaných souborech a možnostech nastavení ochrany soukromí.

Podstatně vhodnějším postupem je při prvotní informaci uživatele o využívání souborů cookie vůbec neoperovat s pojmem souhlasu a nejprve vhodným způsobem rozčlenit soubory cookie na ty, které podléhají výjimkám a jejichž využití je oprávněné i bez souhlasu, resp. možnosti odmítnutí ze strany koncového uživatele - tyto budou do zařízení ukládány automaticky a uživatel o tom bude pouze informován - a na ty, k jejichž využití je souhlas koncového uživatele nezbytný, nebo které koncový uživatel může odmítnout - v takovém případě by měl být uživatel o souhlas vhodným způsobem požádán, resp. by mu měla být vhodným způsobem nabídnuta možnost nastavit ukládání souborů cookie ve vztahu k dané službě.

V každém případě se však lze domnívat, že nedořešená právní úprava využívání souborů cookie neznamená automaticky nemožnost s těmito soubory dále pracovat. Naopak, v řadě případů lze související problémy řešit již jen správnou klasifikací souborů cookie z hlediska toho, zda spadají do režimu některé z výjimek, a vhodnou formulací informace o využívání souborů cookie, resp. umožnění odmítnutí nebo udělení souhlasu s využíváním těch typů souborů cookie, na které se žádná z výjimek nevztahuje. Je však třeba brát v úvahu, že jakoukoliv podobu dokumentace k využívání souborů cookie lze v současné době považovat pouze za dočasnou. S ohledem na stále nedořešenou podobu nařízení ePrivacy a probíhající diskuse, jejichž výsledkem jsou opakované změny navrhovaných ustanovení upravujících využívání souborů cookie, je zřejmé, že po nabytí účinnosti nařízení ePrivacy bude nutné podrobit veškeré politiky využívání souborů cookie a s tím související dokumentaci důkladné revizi.

Poznámky

1) Dále jen "GDPR".

2) Dále jen "Nařízení ePrivacy".

3) Srov. např. EU, Outcome of the Council meeting No. 9810/18, dostupné z http://www.consilium.europa.eu/media/35579/st09810-en18.pdf, s. 10 a EU, Progress report/Policy debate No. 9079/18, dostupné z http://data.consilium.europa.eu/doc/document/ST-9079-2018-INIT/en/pdf, s. 3.

4) Na tomto místě je vhodné upozornit, že problematika souborů cookie se netýká pouze osobních počítačů a podobných zařízení, ale rovněž zařízení, které jsou součástí tzv. Internetu věcí (IoT).

5) Stav návrhu ke dni 10. července 2018, srov. EU, Examination of the Presidency text No. 10975/18, dostupné z http://data.consilium.europa.eu/doc/document/ST-10975-2018-INIT/EN/pdf.

6) Přestože současná podoba navrhovaného článku 8 písm. e) (viz bod b. výše v textu tohoto příspěvku) s pojmem nastavení ochrany soukromí ze strany koncového uživatele nadále pracuje.

7) EU, Article 29 Data Protection Working Party, Opinion 04/2012 on Cookie Consent Exemption, 00879/12/EN, WP 194, dostupné z http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf.