Právní povaha cookies

V poslední době se nejen u nás, ale i v jiných členských státech Evropské unie, rozvinula diskuse v souvislosti s návrhem nového obecného nařízení o ochraně údajů. Největší pozornosti se přitom dostalo nové definici osobních údajů, dle které pravděpodobně bude možné do osobních údajů zařadit i tzv. cookies.

Návrh diskutovaného nařízení je součástí většího balíčku opatření Evropské unie reagujících zejména na rychlý rozvoj digitálních technologií a masivní shromažďování dat o uživatelích internetu, která jsou stále častěji využívána zejména pro účely marketingu. Mezi jedny z nejhodnotnějších údajů z tohoto pohledu pak patří údaje o chování uživatele na internetu, o jeho zákaznických zvyklostech a zájmech. Převážná většina těchto údajů je získávána právě pomocí cookies. Tento článek se proto zabývá pojmem a právní povahou cookies jak podle současné legislativy, tak z hlediska návrhu nového nařízení, a povinnostmi, které z ní plynou pro provozovatele webových stránek.

Pojem tzv. cookies

Obecně lze cookies definovat jako datové soubory malého rozměru, které jsou při návštěvě webové stránky bez aktivního jednání ze strany uživatele ukládány do prohlížeče zařízení, kterým je v daný okamžik připojen k internetu (počítač, tablet, smartphone apod.). Odtud pak s jejich pomocí dochází ke shromažďování různých dat o uživateli, mezi jinými i dat o jeho chování na internetu. Data získaná pomocí cookies jsou využívána jednak k samotnému poskytnutí internetové služby, resp. k usnadnění jejího dalšího užívání (např. využívání emailu, automatického přihlašování či předvyplnění některých údajů při online nákupu), ale také pro vytváření jakéhosi profilu uživatele internetu, pomocí kterého lze daleko účinněji cílit reklamu.

Cookies lze dělit podle řady kritérií – podle jejich expirace (tj. doby, po kterou je má prohlížeč uchovávat), podle jejich zdroje (na cookies provozovatelů webů a na tzv. cookies třetích stran) a konečně také podle jejich funkce, resp. podle toho, jaká data o uživatelích sbírají.

Podle posledně uvedeného kritéria rozlišujeme dvě skupiny cookies. První představují tzv. session cookies (někdy označované jako mandatorní). Ty jsou nezbytné k funkčnosti webové stránky, dále pro poskytnutí služby, kterou si uživatel sám vyžádal nebo k přenosu zpráv. Session cookies tedy za současného užívání webové služby nelze vyloučit. Lze ovšem rovněž říci, že z hlediska míry zásahu do soukromí uživatele internetu nepředstavují zvláštní riziko a proto je v jejich případě i mírnější stávající evropská legislativa. Druhá skupina z této kategorie cookies pak slouží mimo jiné ke sbírání osobních dat, z nichž lze analyticky dovodit preference a zvyklosti uživatelů internetu. Právě tato skupina cookies pak může představovat určité riziko, neboť za určitých okolností může spolu s dalšími údaji poskytnout poměrně ucelený obrázek o konkrétním uživateli.

Současná právní úprava osobních údajů

Vzhledem k možnosti cookies sbírat i informace související s chováním určité osoby na internetu (např. jaké informace na internetu vyhledává, jaké stránky a jak dlouho na internetu navštěvuje, jaké zboží nakupuje, jaké články čte aj.), panuje obava z možných negativních dopadů jejich využívání na soukromí uživatelů internetu. Stále častěji je proto kladena otázka, zda lze cookies považovat za osobní údaje. Je přitom zejména upozorňováno na skutečnost, že cookies včetně nashromážděných údajů nejsou nijak zabezpečeny.

Ochranu osobních údajů na evropské úrovni v současnosti upravuje příslušná směrnice,[1] která byla do našeho právního řádu promítnuta v zákoně o ochraně osobních údajů.[2] Podle stávající úpravy je osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se pak považuje za určený nebo určitelný, jestliže jej lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Ačkoli současná právní úprava cookies za osobní údaje výslovně neoznačuje, lze je za určitých okolností přesto za osobní údaje považovat. V této souvislosti lze upozornit například na názor Úřadu na ochranu osobních údajů, podle kterého pokud jsou cookies využívány ke shromažďování informací vztahujících se k určené či určitelné fyzické osobě, jedná se o osobní údaje.[3] Je tedy na ně nutno aplikovat zákon o ochraně osobních údajů, a to zejména ty pasáže, které se týkají povinnosti získat tzv. informovaný souhlas uživatele se zpracováním, tj. povinnost poskytnout uživateli jasnou, srozumitelnou a úplnou informaci o rozsahu a účelu užití takto získaných údajů, o způsobu jejich zpracování a o možnosti takové zpracování odmítnout, resp. dalších povinností zpracovatele osobních údajů.

Současná právní úprava cookies

Úpravou cookies na evropské úrovni se v současné době zabývá tzv. e-Privacy směrnice,[4] která byla do českého právního řádu transponována v rámci zákona o elektronických komunikacích.[5]

Uvedená směrnice rozlišuje mezi tzv. session cookies, které lze využívat bez souhlasu uživatele, a ostatními cookies, které lze naopak využívat pouze s jeho souhlasem.[6] Pro všechny cookies bez rozdílu pak platí, že o nich má provozovatel webových stránek vůči svým uživatelům tzv. informační povinnost.

Transpozice směrnice do českého právního řádu nebyla provedena důsledně a česká úprava cookies jde tak v mnohých rozhodných bodech doslova proti jejímu znění. Dle úpravy obsažené v zákoně o elektronických komunikacích je možné veškeré cookies využívat i bez souhlasu uživatele, a to až do jeho výslovného vyjádření, že si jejich další využívání nepřeje.[7] U session cookies pak dokonce není vůbec vyžadována shora zmíněná informační povinnost.

Na nesprávnou transpozici uvedené směrnice do českého právního řádu, která vyznívá bezpochyby v neprospěch uživatelů internetu, v minulosti opakovaně upozorňoval rovněž český Úřad na ochranu osobních údajů. Dle jeho názoru je v rámci eurokonformního výkladu třeba trvat alespoň na důsledném plnění informační povinnosti ve vztahu k uživatelům internetu. Úřad rovněž nabádá k vyšší míře informovanosti provozovatelů webových stránek a vyzývá je v duchu směrnice k dodržování povinnosti získávat souhlas uživatelů v těch případech, kdy se nejedná o využívání tzv. session cookies.

Osobní údaje a cookies dle návrhu tzv. obecného nařízení o ochraně údajů

Od roku 2012 se v rámci Evropské unie řeší balíček reformních opatření souvisejících s ochranou osobních údajů, která reagují na změny v oblasti digitálních technologií. Součástí tohoto balíčku je mimo jiné také tzv. obecné nařízení o ochraně údajů,[8] které by mělo být v konečném znění přijato v roce 2016. Po jeho přijetí bude následovat dvouleté přechodné období, po kterém vstoupí nařízení v účinnost, čímž dojde ke sjednocení právních úprav ochrany osobních údajů ve všech členských státech Evropské unie.

Mezi nejvíce diskutované a kritizované pasáže návrhu nařízení patří článek 4, který podle stávajícího znění považuje za osobní údaje veškeré informace o subjektu údajů, mezi které v rámci jeho definice řadí i „elektronické identifikátory a lokalizační údaje“. Oproti stávajícímu pojetí, kdy dochází za určitých podmínek k podřazení cookies pod osobní údaje na základě výkladu (viz shora uvedený názor Úřadu na ochranu osobních údajů), budou podle navrhovaného znění evropské legislativy cookies za osobní údaje považovány automaticky. Kritici to označují za nesmyslné a obávají se, že nová úprava povede k neúměrnému administrativnímu i technickému zatížení evropských provozovatelů internetových stránek a ke ztrátě jejich konkurenceschopnosti vůči provozovatelům ze třetích zemí. Častým argumentem přitom je, že cookies samy o sobě nemohou uživatele přímo ani nepřímo idenfitikovat, neboť čerpají data z prohlížeče zařízení, které může užívat i více uživatelů.

Jak již bylo zmíněno, stávající podoba nařízení není konečná a existují pozměňovací návrhy dopadající mimo jiné i na znění uvedeného článku 4. Přesto lze z dosavadního procesu projednávání nařízení v rámci Evropské unie usuzovat, že se s jeho přijetím zpřísní podmínky, za nichž bude možné osobní údaje uživatelů internetu zpracovávat. Bezpochyby s tím bude souviset i rozšíření povinností provozovatelů webových stránek. Pokud navíc budou cookies výslovně zahrnuty mezi osobní údaje, budou provozovatelé webových stránek muset změnit svůj dosavadní přístup k jejich užívání. Kromě větší povinnosti informovat uživatele o využívání cookies a získávání výslovného souhlasu lze předpokládat, že bude nutno údajům získaným prostřednictvím cookies zajistit i adekvátní míru ochrany.

Andrea Kopečková,
advokátní koncipientka

VEPŘEK CASKA VLACHOVÁ advokátní kancelář s.r.o.

Husova 242/9
110 00 Praha 1

Tel.: +420 222 220 775
Fax: +420 222 220 804
e-mail: info@vcv.cz

--------------------------------------------------------------------------------
[1] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[2] Zákon č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů.
[3] Viz Informační bulletin. Úřad na ochranu osobních údajů. 1/2015, s. 7.
[4] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. 7. 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací ve znění Směrnice Evropského parlamentu a Rady 2009/136/ES.
[5] Zákon č. 127/2000 Sb. , o elektronických komunikacích.
[6] Tzv. opt-in režim.
[7] Tzv. opt-out režim.
[8] Nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů.

Andrea Kopečková ( VEPŘEK CASKA VLACHOVÁ )

4. 11. 2015

pošli emailem

vytiskni článek