Nová legislativa přináší revoluci ve využívání cookies a jiných sledovacích technologií na českém internetu

Novela zákona o elektronických komunikacích zcela převrací dosavadní přístup ke cookies. Kde doposud stačilo uživatele o cookies informovat, bude nově nutné získat jeho výslovný souhlas s parametry podle GDPR, ať už jde o cookies využívané za účelem rozpoznání uživatele při opětovných návštěvách, měření návštěvnosti nebo sledování chování uživatele za účelem cíleného marketingu. Výjimka zůstává pouze pro nezbytné cookies. Příspěvek shrnuje, jak novela dopadá na využívání cookies a jiných sledovacích technologií, jak upravit cookies lišty do souladu se zákonem a na co vše je nutné při implementaci pamatovat.

                    cookies                    opt-in                        souhlas                         ZEK                      novela                     GDPR

Poslanecká sněmovna schválila v polovině června ve třetím čtení dlouho očekávanou novelu zákona č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZEK“), 1 která by po přijetí senátem a podpisu prezidenta měla s plánovanou účinností od 1. ledna 2022 přinést vedle změn souvisejících s evropským kodexem elektronických komunikaci2 také podstatné zpřísnění dosavadních pravidel používání cookies a jiných sledovacích technologií. Ty bude nově možné používat pouze na základě aktivního souhlasu uživatele.

Úvodem ke cookies

Soubory cookies 3 bývají na webových stránkách využívány např. k zajištění technického fungování. Bez nich by bylo daleko složitější zjistit, že uživatel webu je pořád tentýž. Webová stránka by totiž v opačném případě při každém novém načtení tuto informaci „zapomněla“, což by komplikovalo např. přidání zboží do nákupního košíku, který by se při každém přechodu na další stránku vyprázdnil. Mimo to jsou cookies používány obecně pro webovou statistiku a analytiku, tedy pro měření návštěvnosti webových stránek a sledování pohybu uživatele.

Postupem času se však cookies staly jedním z hlavních nástrojů online marketingu. Provozovatelům webových stránek i inzerentům reklamy totiž pomáhají lépe cílit reklamní obsah na základě informací získaných o uživateli, především pak informací o jeho zájmech, preferencích a zařazení v rámci socioekonomických skupin odvozených z chování uživatele na internetu.

1 Sněmovní tisk č. 1084. Dostupný z https://www.psp.cz/sqw/historie.sqw?o=8&t=1084.

2 Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace, CELEX: 32018L1972.

3 Cookies jsou krátké textové soubory ukládané na zařízení uživatele většinou mající podobu identifikátoru.

Již dnes bývají pro své problematické aspekty 4 postupně doplňovány, či dokonce nahrazovány jinými technologiemi, jako jsou např. web beacony, web trackery 5 nebo tzv. device fingerprinting. Tato technologie využívá toho, že webové prohlížeče sdílejí se serverem širokou škálu informací, jako jsou např. informace o rozlišení obrazovky, barevné hloubce, operačním systému a jeho verzi nebo časovém pásmu, přičemž tyto informace mohou být využity k jedinečné identifikaci konkrétního zařízení, a to i nezávisle na použitém prohlížeči.

Fungování cookies spočívá v ukládání informací do zařízení uživatele a jejich následném čtení. Technologie device fingerprintingu je založena na čtení informací ze zařízení uživatele, přičemž i tento postup je dle stanoviska bývalé pracovní skupiny WP29 nutné považovat za získání přístupu k informacím pocházejícím ze zařízení uživatele, díky čemuž také podléhají níže popsané regulaci 6

Současná právní úprava

Stávající právní úprava cookies v České republice je zatím provedena ZEK, který nesprávně transponuje evropskou směrnici ePrivacy7 . Označení cookies stejně jako označení pro jiné technologie ZEK výslovně nezmiňuje. Obecné podmínky, za kterých lze ukládat údaje do zařízení uživatele nebo získávat přístup k údajům uloženým v uživatelově zařízení, stanovuje v § 89 odst. 3 ZEK.

Současná (jak bylo zmíněno nesprávná) úprava cookies a jiných obdobných technologií obsažená v ZEK, ukládá provozovatelům webů a mobilních aplikací 8 dvě hlavní povinnosti.

Zaprvé se jedná o povinnost informovat uživatele, že k používání cookies dochází. Tato informační povinnost je typicky plněna prostřednictvím tzv. cookies lišty, jež obsahuje stručné informace o používání cookies na webové stránce, případně je tato povinnost plněna prostřednictvím informačního dokumentu 9 dostupného na webu.

Další povinností, kterou je provozovatel povinen dle ZEK splnit, je poskytnout uživateli možnost odmítnout používání cookies, neboli umožnit mu tzv. opt-out. V tomto právě spočívá zmiňovaná nesprávnost implementace směrnice ePrivacy – té totiž od novelizace z roku 2009 tento opt-out nestačí a požaduje, aby každý provozovatel webu získal aktivní „opt-in“ souhlas uživatele. Na tuto změnu evropské směrnice český zákonodárce po roce 2009 nereagoval a činí tak až nyní.

Typická cookies lišta, se kterou se můžeme na českých webech setkat, nejenže neobsahuje aktivní předchozí opt-in souhlas uživatele, ve skutečnosti zpravidla neobsahuje ani možnost následně (jak zatím vyžaduje ZEK) uplatnit opt- -out a odmítnout používání cookies. Její součástí bývá toliko informační text a tlačítko s názvy „Souhlasím“ nebo „Rozumím“. Po kliknutí na takové tlačítko však zpravidla dojde pouze ke skrytí lišty, zatímco k aktivaci cookies dojde ihned po příchodu uživatele na webové stránky.

Tento přístup do jisté míry vychází z přístupu Úřadu pro ochranu osobních údajů (dále jen „Úřad“) jako orgánu dozoru v této oblasti dle § 87 odst. 3 ZEK, který v roce 2018 vydal návrh doporučení 10, v němž uvádí, že volbu ve vztahu k používání cookies může uživatel učinit také prostřednictvím nastavení webového prohlížeče 11. Takový přístup však poskytuje ještě volnější prostor pro provozovatele webů, kteří díky němu nemusejí implementovat nástroje na odmítnutí cookies (tzv. opt-out) a mohou se spolehnout na to, že uživatel provedl volbu ve vztahu cookies nastavením svého prohlížeče. V návaznosti na tento přístup se na českém internetu začaly objevovat informační dokumenty obsahující návod pro uživatele, jak si v nastavení prohlížeče používání cookies vypnout. Tím byl naplněn požadavek na poskytnutí možnosti používání cookies odmítnout, přesněji spíše návodu, jak cookies vypnout, nicméně stranou zůstávala informace o tom, že si uživatel takovým krokem v praxi významně zkomplikuje prohlížení některých webových stránek, neboť tímto dojde k vypnutí i těch cookies, které jsou nezbytné pro samotné fungování webových stránek.

4 Mezi které spadá např. možnost odmítnutí či vymazání cookies, omezená využitelnost či nižší přesnost.

5 K tomu blíže TOMÍŠEK, J. Cookies a GDPR. Právní rozhledy 20/2018.

6 Zde srov. Stanovisko WP29 4/2012 k výjimkám z povinnosti získání souhlasu s užitím cookies ze dne 7. června 2012 (WP 194) a Stanovisko WP29 9/2014 k aplikaci Směrnice 2002/58/EC na device fingerprinting ze dne 25. listopadu 2014 (WP 224).

7 Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), CELEX: 32002L0058.

8 Právní úprava je obecná a nemíří jen na používání cookies a jiných nástrojů na webových stránkách, ale týká se obecně jakéhokoli ukládání informací do zařízení uživatele, ke kterému může docházet např. i v souvislosti s používáním mobilní aplikace.

9 Zpravidla se jedná o „zásady ochrany soukromí“ či dokument s významově obdobným názvem.

10 Návrh Doporučení ke zpracování cookies a obdobných prostředků sledování od 25. května 2018. Dostupné na https://www.uoou.cz/assets/File. ashx?id_org=200144&id_dokumenty=42915.

11 K tomu blíže TOMÍŠEK, J. Cookies a GDPR. Právní rozhledy 20/2018.

Cookies po novele ZEK

Novela ZEK zavádí, s předpokládanou účinností od 1. ledna 2022, povinnost získat předem prokazatelný souhlas uživatele, který musí pokrývat celý rozsah a všechny účely zpracování, k nimž dochází prostřednictvím cookies. Jedná se tedy o tzv. režim opt-in, v rámci něhož může dojít k aktivaci cookies až na základě aktivního souhlasu uživatele.

Úzce vymezenou skupinu cookies lze nicméně používat i bez souhlasu uživatele, a to na základě některé ze zákonných výjimek. Tyto výjimky nejsou nové, s ohledem na dosavadní volný režim používání cookies jim však nebyla ze strany provozovatelů webů věnována taková pozornost. I to se však nyní změní. Bez souhlasu lze tedy používat cookies, které jsou nezbytné „pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací“ nebo „pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem“12

Pod výjimku tak typicky spadnou cookies, jejichž použití je nezbytné pro to, aby webové stránky správně fungovaly, nebo cookies nezbytné pro poskytnutí služby, která je poskytována na základě žádosti uživatele. Touto službou typicky bývají např. chatovací nástroje, které může uživatel aktivovat pro komunikaci se zákaznickou podporou, nebo jiné doplňky webu, které nejsou aktivovány automaticky, ale až úkonem uživatele. Jak už to tak bývá, hranice mezi tím, kdy jsou cookies nezbytné k poskytnutí služby a kdy již nikoli, může být v některých případech nejasná a bude se odvíjet od charakteru poskytované služby.

Na statistické a analytické cookies a také na cookies používané pro marketing však žádnou z výjimek nebude možné aplikovat a pro jejich další používání bude třeba získat souhlas uživatele. Jak přitom zmiňuje pracovní skupina WP2913, daná výjimka se nevztahuje ani na analytické cookies prvních stran, které na webové stránky umísťuje sám provozovatel webu, a údaje z nich nejsou předávány třetím stranám. Ačkoli jsou tyto cookies často považované provozovateli webových stránek za nezbytné, neboť jim dávají přehled o tom, jakým způsobem jsou webové stránky využívány, nejedná se o cookies, které by byly nezbytné pro uživatele, neboť z jeho pohledu neovlivňují to, zda webové stránky budou fungovat správně, ani nejsou nezbytně nutné pro poskytování funkce, kterou si uživatel výslovně vyžádal. Přes tože se tak dle WP29 může výjimka z požadavku na souhlas pro analytické cookies prvních stran jevit jako dobrá volba v případě, že jsou tyto údaje omezeny na vytváření anonymizovaných statistik, doposud taková výjimka nebyla formulována a režim opt-in se uplatní i na tyto cookies.

Vzhledem ke vzájemné provázanosti směrnic ePrivacy a GDPR by souhlas s používáním cookies měl splňovat požadavky stanovené v GDPR14. Jde zejména o jeho odvolatelnost, konkrétnost, informovanost a jednoznačnost projevu vůle, který směřuje k jeho udělení 15. Aby byl souhlas informovaný, musejí být uživateli poskytnuty veškeré informace nezbytné pro učinění informovaného rozhodnutí. Tato povinnost bude zvláště důležitá v případě cookies sledujících chování uživatele pro účely přímého marketingu – uživateli by měly být poskytnuty mimo jiné údaje o všech subjektech, jimž budou jeho osobní údaje za účelem cíleného marketingu předávány (typicky poskytovatelé reklamních systémů a inzerenti).

Současně by udělení souhlasu mělo být stejně jednoduché jako jeho odvolání 16. Dalším znakem souhlasu je jeho dobrovolnost, uživatel by měl mít skutečnou možnost rozhodnout se o tom, zda s použitím cookies souhlasí. Není proto dovoleno udělení souhlasu vynucovat zablokováním přístupu ke stránce do doby jeho udělení (např. prostřednictvím lls) nebo jinak znepříjemňovat uživateli používání webové stránky s cílem přinutit jej k udělení souhlasu.

12 Viz § 89 odst. 3 ZEK

13 Stanovisko WP29 4/2012 k výjimkám z povinnosti získání souhlasu s užitím cookies ze dne 7. června 2012 (WP 194), s. 11.

14 Viz čl. 2 písm. (f) směrnice ePrivacy ve spojení s čl. 94 odst. 2 GDPR

15 Viz čl. 4 bod 11) GDPR

16 Viz čl. 7 odst. 3 GDP

V této souvislosti je vhodné zmínit také požadavek na tzv. granularitu souhlasu. Tento požadavek v kontextu cookies podle pokynů pracovní skupiny WP29 k získávání souhlasu s cookies znamená, že uživateli musí být k odsouhlasení předloženy jednotlivé skupiny cookies dle jejich účelů.

Před udělením souhlasu není možné cookies používat, a tedy není možné uložit do zařízení uživatele a údaje z nich zpracovávat, a to až na ty, které jsou nezbytné pro samotné technické ukládání údajů. Souhlas by tedy měl být vyžádán před nastavením nebo přečtením cookies 17. To v praxi znamená např. i to, že skripty, které ukládání cookies zajišťují, by měly být načteny až v okamžiku, kdy uživatel souhlas udělí. Pokud by byly cookies uloženy již dříve, souhlas by byl pouze iluzorní, jelikož by uživateli neposkytoval reálnou možnost ovlivnit používání cookies. Ostatně takový postup byl shledán jako nezákonný i ze strany francouzského dozorového úřadu (CNIL), který uložil společnostem Google LLC a Google Ireland Limited pokutu v souhrnné výši 100 mil. eur18 a společnosti Amazon Europe Core pokutu ve výši 35 mil. eur 19.

Jak se na změny začít připravovat?

S ohledem na to, že novela ZEK přináší výrazné zpřísnění stávajících benevolentních podmínek pro používání cookies, může implementace změn představovat poměrně významné zásahy do stávajících webových stránek a dopady do stávající praxe v oblasti online marketingu, proto je vhodné začít se připravovat již nyní. Současně je nutné mít na paměti, že na každé doméně a v každé mobilní aplikaci mohou být používány jiné cookies a jiné nástroje, což celou problematiku přizpůsobení se nové právní úpravě činí ještě komplexnější.

Jako první krok by měl každý provozovatel webu nebo mobilní aplikace zmapovat všechny používané cookies a podobné nástroje, tedy tyto řádně identifikovat, přiřadit jim účely jejich využití, připravit textaci souhlasů a seznam třetích stran, kterým jsou údaje z cookies předávány za účelem marketingu. V souvislosti s mapováním používaných nástrojů doporučujeme vyřešit otázku navazujícího předávání osobních údajů do zemí mimo Evropský hospodářský prostor, která je často s webovými nástroji úzce spjata a která je po rozhodnutí Soudního dvora Evropské unie ve věci Schrems II.20 v hledáčku dozorových úřadů napříč EU.

Z technického hlediska pak bude nezbytné zajistit řešení cookies lišty, přičemž v tomto případě lze zvolit vlastní řešení nebo vybrat některé z dostupných komerčních řešení. U komerčních nástrojů je však třeba pamatovat na to, že i ten nejmocnější nástroj určený pro správu cookies může být v rozporu se ZEK, pakliže není správně nastaven. Zvolené řešení by tak mělo splňovat výše uvedené náležitosti souhlasu, zejména požadavek na svobodnost souhlasu a poskytnutí možnosti odmítnutí cookies bez jakékoli penalizace.

17 Viz. Stanovisko WP29 2/2013 poskytující pokyny k získání souhlasu pro soubory cookie ze dne 2. října 2013 (WP 208), podle kterého musí být souhlas vyžádán a získán vždy „před uložením a čtením cookies“ (pozn. překlad autora).

18 CNIL. Cookies: financial penalties of 60 million euros against the company GOOGLE LLC and of 40 million euros against the company GOOGLE IRELAND LIMITED. Dostupné z: https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million- -euros-google-ireland.

19 CNIL. Cookies: financial penalty of 35 million euros imposed on the company AMAZON EUROPE CORE. Dostupné z: https://www.cnil.fr/en/ cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core.

20 Srov. Rozsudek Soudního dvora EU ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems ze dne 16. července 2020

Vyvstává také otázka, zda rozdělovat souhlas s uložením nebo získáním přístupu ke cookies a souhlas s jejich zpracováním, nebo postačí jediný souhlas na obojí. Vzhledem k tomu, že je směrnice ePrivacy lex specialis k GDPR, což znamená přímou aplikovatelnost čl. 5 odst. 3 směrnice21, z jehož textace lze dovozovat, že jeden souhlas pro oboje je dostatečný, je podle našeho názoru možné pokrýt obě činnosti jedním souhlasem.

Na obrázku je uvedena ukázka, jak by nová podoba cookies lišty mohla vypadat. Vedle možnosti vyjádřit souhlas se všemi cookies poskytuje i jednoduchý způsob, jak s použitím jiných než nezbytných cookies nesouhlasit. Detailnější nastavení je pak možné provést po kliknutí v Podrobném nastavení, zejména v souladu s požadavkem na granulitu souhlasu udělit souhlas s jednotlivými kategoriemi cookies. Na tomto místě se však sluší uvést, že se nejedná o univerzální řešení, neboť v sobě neobsahuje např. možné předávání údajů získaných prostřednictvím cookies dalším správcům, případně informaci o předávání do třetích zemí mimo EU. Vždy je proto třeba identifikovat nástroje používané na konkrétním webu a přizpůsobit jim textaci a případně další volby.

V návaznosti na to bude nutné upravit informace o zpracování zohledňující všechna identifikovaná zpracování v souvislosti s cookies včetně nového souhlasového režimu a předávání osobních údajů třetím stranám.

Nová česká právní úprava cookies do jisté míry dohání evropský standard. Nicméně z poměrně benevolentního režimu se dostaneme do stavu, který je dokonce přísnější než aktuální návrh evropského nařízení ePrivacy22. To by v budoucnu mělo nahradit směrnici ePrivacy a i navazující českou právní úpravu a obsahuje např. výjimku, podle které není třeba získávat souhlas s cookies používaných pro statistické účely. Datum jeho přijetí však byl již několikrát odložen, do té doby je tak třeba se vypořádat s nástrahami novelizovaného ZEK.

Ve vztahu k dozorovým aktivitám lze pak očekávat, že se Úřad zaměří na dodržování nových požadavků. Cookies byly v jeho hledáčku již několik let, když používání cookies při provozu webových stránek bylo zařazeno do kontrolního plánu jak pro rok 2019, tak pro rok 2020, kdy bylo v této oblasti plánováno hned osm kontrol. Jen během loňského roku pak provedl Úřad podle zveřejněných údajů minimálně sedm kontrol zaměřených na používání cookies, přičemž konečné číslo mohlo být ještě vyšší. Nadto je dlužno podotknout, že nový režim opt-in byl do novely ZEK zařazen z iniciativy Úřadu, který na nesprávný režim opt-out dlouhodobě upozorňoval (a to jak veřejně, tak přímo v protokolech o kontrolách). Lze proto očekávat, že Úřad nebude po nabytí účinnosti novely při kontrolách příliš zdrženlivý a v případě zjištění nedostatků bude provozovatelům webových stránek rovnou ukládat pokuty v intencích GDPR.

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.