Cookies jako osobní údaj

Vydáno: 10 minut čtení

Cookies jsou předmětem dlouholetého sporu, jehož jádrem je otázka, zda jsou cookies osobním údajem, zda je jejich česká právní úprava kompatibilní s evropským právem, a jak tedy s těmito informacemi nakládat. Odpovědi na tyto otázky vám přináší následující příspěvek.

Cookies jako osobní údaj
JUDr.
Eva
Janečková
 
Co to jsou Cookies a k čemu slouží
Cookies jsou krátké textové soubory, které server umisťuje do uživatelova počítače při načtení webové stránky. Technicky jde o sérii kódů, podle kterých prohlížeč shromažďuje a následně odesílá informace o našem chování zpět na příslušný server. Cookies nejsou přímo navázány na údaje identifikující uživatele, jako jsou jméno a příjmení, často ale obsahují přihlašovací údaje do systému.
Existují dva typy cookies. První z nich je nezbytný k funkčnosti internetových stránek, druhý slouží provozovatelům mimo jiné ke sběru osobních údajů. Každý z těchto typů má proto odlišný režim. První cookies je možné využívat bez souhlasu, druhý v současné době pouze se souhlasem subjektu údajů. U obou však musí být beze zbytku plněna informační povinnost.
Vzhledem k tomu, že cookies mohou být použity například k využívání konkrétních funkcí webové stránky, k získávání informací o způsobu využívání webových stránek uživatelem nebo k zaznamenání položek v nákupním košíku v e-shopu anebo k zachování přihlášení uživatele k e-mailovému účtu či sociální síti1), mohou být a jsou často využívány pro účely profilování, kdy je možné dovodit, jak se uživatel na internetu chová, jaké informace vyhledává, jaké zboží nakupuje atd., a následně pro účely marketingu a cílené reklamy. Proto jejich využíváním může dojít k citelnému zásahu do soukromí člověka (subjektu údajů) a jak v České republice, tak na evropské úrovni sílila potřeba využívání cookies nějakým způsobem upravit a omezit.
 
Posílení ochrany uživatelů internetu po zavedení směrnic
Původní úprava fungovala v režimu opt-out, nebylo tedy nutné vyžadovat předem souhlas s umístěním cookies.
Na základě směrnice Evropského parlamentu a Rady 2009/136/ES,
ze dne 25. 11. 2009, kterou se mění směrnice 2002/22/ES, o univerzální službě a právech uživatelů týkajících se sítí a služeb elektronických komunikací, směrnice 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a nařízení (ES) č. 2006/2004, o spolupráci mezi vnitrostátními orgány příslušnými pro vymáhání dodržování zákonů na ochranu zájmů spotřebitele,
která novelizovala čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES
ze dne 12. 7. 2002, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (dále jen „směrnice 2002/58/ES“),
došlo k posílení ochrany uživatelů internetu
,
neboť se vyžaduje poskytnutí informací a získání souhlasu uživatele ještě předtím, než budou cookies uloženy či bude získán přístup k již uchovávaným informacím v počítači uživatele.
Z doslovného znění čl. 5 odst. 3 směrnice 2002/58/ES vyplývá, že:
1.
souhlas musí být získán před tím, než jsou cookies umístěny v koncovém zařízení uživatele a/nebo než jsou shromážděny informace uložené v koncovém zařízení uživatele (známé jako předem získaný souhlas), a
2.
informovaný souhlas lze získat pouze tehdy, jestliže byly uživateli předem poskytnuty informace o zaslání a účelu cookies.
V této souvislosti je důležité vzít v úvahu, že aby byl souhlas platný za všech okolností, ve kterých je poskytnut, musí být poskytnut svobodně, musí být konkrétní a musí představovat informované vyjádření přání subjektu údajů. Souhlas musí být získán před shromážděním osobních údajů, což je nezbytným opatřením zajišťujícím, aby si subjekty údajů byly plně vědomy, že poskytují souhlas a k čemu jej poskytují. Musí být navíc možné, aby byl souhlas odejmut.
I při znalosti nejrůznějších technických obtíží pracovní skupina zřízená podle článku 29 směrnice 95/46/ES ze dne 24. 10. 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice 95/46/ES“), navrhla tři opatření, která měla zvýšit jistotu a bezpečnost uživatele. WP29 tedy navrhla:
1.
Časově omezit působnost souhlasu. Souhlas se sledováním by neměl být na dobu neomezenou, ale měl by být platný po omezené časové období, například jednoho roku. Po uplynutí tohoto období by poskytovatelé reklamních sítí museli získat nový souhlas. To by mohlo být zajištěno, pokud by cookies po uložení do koncového zařízení uživatele měly omezenou životnost (a datum jejich vypršení by nemělo být prodlouženo).
2.
Výše popsaná rizika by byla dále zmírněna pomocí dalších informačních postupů.
3.
Svobodně poskytnutý souhlas může být vždy odejmut. Subjektům údajů by měla být poskytnuta možnost snadno odejmout souhlas se svým sledováním pro účely poskytování reklamy zaměřené na chování. V tomto ohledu má zásadní význam potřeba poskytnout jasné informace o této možnosti a o tom, jak ji provést.
Ještě komplikovanější pravidla byla stanovena pro souhlas poskytnutý dětmi. Aby byl souhlas platný, musí kromě požadavků popsaných výše (a níže) souhlas dítěte v některých případech poskytnout jeho rodiče nebo jiní zákonní zástupci. V tomto případě to znamená, že poskytovatelé reklamních sítí by museli rodičům oznámit shromažďování a využití informací dítěte a získat jejich souhlas ještě před shromážděním a dalším využitím takových informací pro účely zacílení reklamy na chování dětí.
Na základě výše uvedeného a rovněž při zohlednění zranitelnosti dětí má pracovní skupina zřízená podle článku 29 směrnice 95/46/ES za to, že poskytovatelé reklamních sítí by neměli nabízet kategorie zájmů určené pro poskytování reklamy zaměřené na chování dětí nebo ovlivňování dětí.2)
Přestože směrnice 95/46/ES jednoznačně požadovala, aby byl předem od uživatele získán souhlas (režim opt-in), transpozice této směrnice do českého právního řádu nebyla dostačující. Směrnice 95/46/ES byla v České republice transponována zákonem č. 468/2011 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony, který s účinností od 1. 1. 2012 novelizoval zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů (dále jen „zákon o elektronických komunikacích“). V § 89 odst. 3 zákona o elektronických komunikacích je uvedeno, že každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.
Znění zákona o elektronických komunikacích tedy dál umožňuje ukládání cookies v režimu opt-out, neboť nevyžaduje souhlas uživatele již před uložením cookies na uživatelův počítač.
 
Jaké změny přinese nové nařízení o ochraně osobních údajů
Další změnu a jednoznačný výklad přinese nová právní úprava. Dne 27. 4. 2016 totiž schválil Evropský parlament konečnou podobu Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Nařízení“. Podle čl. 4 odst. 1 tohoto Nařízení se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Recitál 30 zároveň upozorňuje, že fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.
Z výše uvedeného tak vyplývá, že minimálně od účinnosti GDPR budou cookies považovány za osobní údaj. Subjekty využívající cookies se tak stanou správci osobních údajů se všemi povinnostmi, které z tohoto postavení vyplývají. Mimo jiné budou muset hledat některý ze zákonných důvodů pro zpracování údajů nebo získat předem souhlas, který bude muset mít parametry požadované GDPR. Komunikaci s jednotlivci bude nutné vést jednoduše, to znamená jednoduchými jazykovými prostředky, a stručně, komunikace bude muset být snadno dostupná tak, aby nedocházelo k nedorozumění.
Bude proto nutné provést revizi již udělených souhlasů, připravit nový text a zrevidovat i způsoby, jakými jsou souhlasy získávány. Stejně tak budou muset být revidovány zpracovatelské smlouvy se subjekty, které za správce data zpracovávají. Správce by měl být technicky připraven na možné přesuny osobních údajů k jinému správci a na právo zákazníka „být zapomenut“.
S účinností GDPR tak bude z hlediska souhlasu s ukládáním cookies dosaženo stavu, který měl být zaveden již v roce 2012.
Zdroj: Odborný portál DAUC.cz, 2018.
1) KARTNER, M., PROUZA, J.
Právní regulace cookies v České republice
[online]. Dostupné na: https://www.epravo.cz/top/clanky/pravni-regulace-cookies-v-ceske-republice-98406.html.
2) Stanovisko WP29 2/2010 k internetové reklamě zaměřené na chování, přijaté dne 22. 6. 2010.