Autor: Mgr. Michal Nulíček, LL.M., Mgr. Bohuslav Lichnovský, LL.M., Mgr. Filip Beneš
Úřad pro ochranu osobních údajů ve svém kontrolním plánu pro rok 2020 avizoval, že se problematice používání cookies hodlá v tomto roce intenzivně věnovat, když má v plánu zahájit hned 8 kontrol zaměřených právě na jejich používání. Cookies jsou však předmětem zájmu i jiných dozorových úřadů, které intenzivně chrlí stanoviska ohledně jejich používání. Ale zatímco zbytek EU vyžaduje před uložením cookies získat souhlas uživatele (princip opt-in), podle aktuální české právní úpravy, ztělesněné v zákoně č. 127/2005 Sb., o elektronických komunikacích, je cookies možné používat do doby, než uživatel řekne dost (princip opt-out).
Ani v ČR však nelze stanoviska dozorových orgánů z jiných států EU úplně ignorovat. Cookies a případně i další trackovací technologie totiž ve většině případů vedou ke zpracování osobních údajů – získané údaje se totiž týkají osob, které jsou i ve spojení s dalšími sbíranými údaji (např. IP adresy) identifikovatelné. V takovém případě se vedle zákona o elektronických komunikacích použije i GDPR.
Přestože tato stanoviska dozorových orgánů v některých případech nejsou zcela v souladu, lze z nich vyvodit, jaké přístupy k užívání cookies a souvisejícímu zpracování osobních údajů nejsou správné. Zakázané zóny, se kterými se v praxi často setkáváme a kterým se podrobněji věnujeme dále, se uplatní i v ČR. V tomto článku rozebereme nejčastější tři: cookies walls, dovozování souhlasu z chování uživatele a označování cookies za nezbytné, i když nezbytnými nejsou.
Cookie walls
Některé webové stránky vynucují udělení souhlasu s používáním cookies a souvisejícím zpracováním osobních údajů prostřednictvím tzv. cookie walls. Typický cookie wall vypadá tak, že se přes celou stránku zobrazí vyskakovací okno, které znemožňuje prohlížení obsahu webové stránky. Aby se uživatel mohl podívat na obsah, který se skrývá „za zdí“, musí udělit souhlas.
V ČR je toto problematické zejména v případě, kdy pro související zpracování osobních údajů je nutno získat souhlas, například pokud jsou údaje získané z cookies a trackingu používány pro personalizaci reklam.
Dle aktualizovaného stanoviska Evropského sboru pro ochranu osobních údajů č. 5/2020 k souhlasu[1] takový souhlas není udělen svobodně, jelikož uživateli není poskytnuta skutečná možnost jej neudělit. Zpracování osobních údajů, které je na něm založeno, je tak v rozporu s GDPR. Cookie walls tedy nelze doporučit ani v ČR.
Dovozování souhlasu z chování uživatele
Na spoustě internetových stránek se objevuje hláška, že prohlížením webových stránek uživatel souhlasí s používáním cookies. Pokud však s používáním cookies souvisí i zpracování osobních údajů, které je třeba založit na souhlasu (např. personalizace reklam), není takový souhlas udělen jednoznačným projevem vůle.
Souhlas totiž nelze dovozovat nepřímo pouze na základě toho, že si uživatel prohlíží webovou stránku, stráví na ní určitou dobu, nebo z toho, že doscrolloval do poloviny jejího obsahu. Z této interakce uživatele s webovou stránkou totiž jednoznačně neplyne jeho vůle směřující k udělení souhlasu, motivace uživatele totiž může být jiná (např. snaha zjistit kontaktní údaje, které jsou obvykle umístěny ve spodní části webové stránky).
EDPB zároveň upozorňuje na to, že odvolání souhlasu by mělo být stejně jednoduché jako jeho udělení, což je ve zmíněných případech jen obtížně představitelné.[2]
Označování cookies za nezbytné, přestože nezbytné nejsou
Existují určité druhy cookies, u kterých není nutné získávat souhlas s jejich použitím a ani podle české právní úpravy se k nim neváže povinnost poskytnout možnost jejich použití odmítnout. Jedná se o tzv. nezbytné cookies, které slouží k technickému ukládání nebo výhradně pro potřeby přenosu zprávy nebo jsou nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána uživatelem.[3]
Tato zakázaná zóna je v ČR relevantní v případě, kdy provozovatel webových stránek nesprávným zařazením cookies odebere právo na opt-out s umístěním cookies, neposkytne informace o zpracování osobních údajů či nezíská souhlas se zpracováním osobních údajů – pokud je nutný.
Na nezbytné cookies se totiž nevztahuje opt-in, ani opt-out. Pro provozovatele webových stránek tak může být lákavé, do této kategorie zahrnout co možná nejširší množství cookies. Jak informoval irský dozorový úřad, v praxi dochází k tomu, že do této kategorie jsou zahrnovány i cookies, které nezbytné nejsou.[4] Je tomu tak především proto, že to, do jaké kategorie jsou jednotlivé cookies zařazeny, záleží výhradně na rozhodnutí provozovatele webových stránek.
Mezi cookies, které jsou často mylně zařazeny do kategorie nezbytných, lze zařadit ty, které se snaží vylepšit uživatelský zážitek například tím, že si pamatují předchozí vyhledávání apod. Stejně tak za nezbytné nelze označit cookies, které souvisejí s používáním chatbota – ty se stanou nezbytnými až v případě, kdy uživatel aktivně chatbota použije – tím si tuto ve smyslu zákona tuto službu výslovně vyžádá. Naopak za nezbytné lze označit ty cookies, které jsou potřeba výhradně pro vložení zboží do nákupního košíku a dokončení objednávkového procesu.
Závěr
V souvislosti s přesouváním businessu do on-line světa se zvyšuje i pozornost dozorových úřadů v těchto vodách a jak je vidět, používání cookies a trackovacích technologií na webu má spoustu nástrah. I přesto se tyto malé a zdánlivě neškodné soubory a technologie často objevují na webových stránkách společností bez vědomí právních a compliance oddělení. Takový přístup však doporučujeme změnit i s ohledem na zpřísňující se přístup dozorových orgánů a plánovanou regulaci.
[1] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
[2] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
[3] § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích
[4] https://www.dataprotection.ie/sites/default/files/uploads/2020-04/Data%20Protection%20Commission%20cookies%20sweep%20REVISED%2015%20April%202020%20v.01.pdf