Co Vás zrovna
zajímá.

Změny v oblasti cookies dle novely zákona o elektronických komunikacích

Poslanecká sněmovna dne 15. září 2021 přehlasovala Senát a přijala v původním znění novelu zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále jen „zákon o elektronických komunikacích“).

Novela zákona o elektronických komunikacích přináší významné změny, kdy v tomto článku bychom se chtěli zaměřit na ty v oblasti právní úpravy užívání cookies a zpracování osobních údajů.

Co to jsou soubory cookies?

Cookies jsou krátké textové soubory, které se ukládají při návštěvě webové stránky a při další návštěvě stránky je možné je znovu načíst, proto příští návštěva stejné webové stránky může být pro uživatele snazší a užitečnější. Účelem ukládání souborů cookies je například vytváření cílené reklamy, sledování chování uživatelů, sledování počtu návštěvníků na stránce, zapamatování nastavení reklam atd.

Pojem cookies se používá jako obecný termín, na webových stránkách, ale můžeme rozlišovat také pixel tagy, které umožňují sledovat zařízení uživatele a přizpůsobovat danou webovou stránku, dále také web beacons, fingerprinting a pluginy.

Cookies se dělí na technické neboli nezbytné, bez kterých by webové stránky nemohly fungovat a ostatní, mezi které spadají například cookies marketingové nebo analytické.

K používání technických cookies není ani za principu opt-in nutný souhlas uživatele, ale pro používání ostatních cookies bude souhlas uživatele nezbytný.

Výše uvedené technologie nejsou používané pouze na webových stránkách, ale vyskytují se také v mobilních aplikacích.  Je tedy nutné právně upravit používání nejenom cookies, ale i dalších nástrojů sledování, a to jak na webových stránkách, tak i v aplikacích.

Nynější právní úprava cookies

Zákon o elektronických komunikacích byl dosud založen na tzv. principu opt-out a tato právní úprava bude používána až do 31. prosince 2021. Nyní je uložení souborů do zařízení nebo získávání přístupů k informacím ze zařízení možné, pokud je o tom uživatel informován a je mu poskytnuta možnost odmítnout takové zpracování. To znamená, že k používání souborů cookies postačuje i pasivita uživatele a cookies jsou používány až do doby kdy je uživatel odmítne nebo vypne.

Zákon o elektronických komunikacích vychází ze Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (dále jen „Směrnice e-Privacy“) v jejím znění do roku 2009, která byla do té doby také založena na principu opt-out. Momentálně Směrnice e-Privacy vyžaduje k používání cookies souhlas uživatele (opt-in), pokud se neuplatní jedna ze dvou výjimek: (i) jediným účelem cookies je přenos dat, nebo (ii) cookies jsou nezbytně nutné k poskytnutí služby.

Právní úprava cookies po novele zákona o elektronických komunikacích

Od 1. ledna 2022 bude používání cookies založeno na tzv. principu opt-in. Princip opt-in znamená, že uložení souborů do zařízení nebo získávání přístupů k informacím ze zařízení je možné, pouze pokud uživatel předem udělí prokazatelný souhlas s rozsahem a účelem takového zpracování. Na rozdíl od opt‑outu je tedy vyžadována aktivita uživatele a cookies (kromě nezbytných cookies, bez kterých by webové stránky nemohly fungovat) je možné používat až v případě, že jejich použití uživatel odsouhlasí.

Základem udělování souhlasu se zpracováním cookies by měl být jako dosud tzv. cookie banner (cookies okno či lišta), který informuje uživatele o existenci cookies a nutnosti udělit souhlas pro využití webových stránek. Cookie banner by měl mít několik úrovní, v nichž je možné vybrat s jakými účely zpracování cookies uživatel souhlasí a komu mohou být informace předávány.

Současně s otázkou cookie banneru, či jiného vhodného řešení, je třeba upozornit na to, že cookie banner musí být opravdu efektivně nastaven tak, aby respektoval nastavení dle volby uživatele a funkčně vytvářel evidenci (logy či jiná data) k doložení informování uživatele a zejména k doložení jeho aktivně uděleného souhlasu. Taková řešení nesmějí být vytvořena jen naoko či svými rozměry, funkcemi či vizualizací nutit uživatele k udělení co nejširšího souhlasu či dokonce podmiňovat užití stránky udělením souhlasu.

Souvislost s GDPR a pravidla souhlasu

Novela zákona o elektronických komunikacích se zabývá souhlasem s použitím cookies a má za cíl chránit uživatele před zásahem do jeho soukromé sféry, a to bez ohledu na to, zda se tento zásah vztahuje na osobní nebo jiné údaje.

Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) upravuje následný souhlas k dalšímu zpracování osobních údajů získaných díky cookies jako identifikátorů fyzické osoby. Webové stránky je možné technicky zpracovat tak, aby bylo získání souhlasu s používáním cookies a získání souhlasu k následnému zpracování osobních údajů spojeno do jednoho kroku.

Souhlas s používáním cookies musí naplňovat požadavky dle GDPR, musí tedy být:

  • svobodný, zejména musí být stejně snadné souhlas odebrat jako udělit, musí být snadné ho neudělit a při udělování souhlasu nesmí existovat riziko podvodu, nátlaku nebo jiných negativních důsledků v případě jeho neudělení;
  • určitý, tedy musí mít jasně vymezený rozsah, účel a následky;
  • vědomý a informovaný, přičemž informace musí být získány přehledně a srozumitelně; a
  • explicitní neboli jednoznačný.

Novela zákona o elektronických komunikacích stanoví, že souhlas se zpracováním cookies musí být prokazatelný. V praxi by se při případných kontrolách mohl souhlas prokazovat technickým řešením udělování souhlasů na webových stránkách. Vedení evidence souhlasů není nezbytné a kvůli ochraně osobních údajů ani žádoucí.

Informační složka souhlasu je velmi důležitá a v rámci informování uživatele webu o zpracování jeho osobních údajů prostřednictvím cookies je třeba postupovat pečlivě.

Jak postupovat při aplikaci nové právní úpravy cookies

Nejprve je nutné zmapovat weby a aplikace, které osoba provozuje a zároveň zmapovat veškeré cookies a další nástroje sledování, které jsou při jejich provozování používány.

Dále je potřeba rozhodnout, které z používaných cookies jsou klíčové a je žádoucí je používat i do budoucna a kategorizovat důvody jejich používání.

Nakonec je nutné identifikovat veškeré subjekty, kterým jsou údaje získané z cookies předávány a určit, zda se nejedná o předávání osobních údajů mimo Evropskou unii.

Po prvotním zhodnocení situace, jak je popsáno výše, by mělo následovat ošetření vztahů s osobami, kterým jsou údaje z cookies předávány, což mohou být například správci a zpracovatelé. Zejména je nutné ošetřit předávání údajů mimo Evropskou unii.

Dále je žádoucí vybrat vhodné technické řešení pro získávání souhlasů s cookies, které bude záviset na komplexnosti webových stránek a následně toto technické řešení upravit dle konkrétních potřeb provozovatele a webové stránky. Zajímavým řešením je např. služba Cookiebot (https://www.cookiebot.com/en/).

Poté je nutné připravit textace k získávání souhlasu a vytvořit informační dokument ohledně zpracování cookies, na který bude při udělování souhlasu odkazováno.

Pro přehlednost doporučujeme vytvořit jeden souhrnný informační dokument, ve kterém bude obsažena jak úprava cookies, tak i informace o zpracování osobních údajů na webových stránkách.

Čemu se při vytváření cookie banneru vyhnout – tzv. dark patterns

Jako tzv. dark patterns se označují nastavení, které mají provozovateli webové stránky usnadnit získání souhlasu s používáním cookies a ve většině případů jsou protiprávní.

Mezi dark patterns se řadí následující situace:

  • není možné odmítnout cookies v první vrstvě dotazu,
  • namísto možnosti odmítnout cookies je umístěn odkaz na jinou stránku,
  • souhlas s používáním cookies je předem zaškrtnutý,
  • tvrzení, že jsou cookies zpracovávány za účelem oprávněného zájmu,
  • nepřesná klasifikace cookies (například cookies jsou nepravdivě označeny jako nezbytné),
  • nesnadné odejmutí souhlasu

Závěr

Novela zákona o elektronických komunikacích přinese dlouho očekávané změny v oblasti cookies a uvede český právní řád do souladu s evropskou právní úpravou.

Vzhledem k tomu, že účinnost novely nastane v oblasti cookies již od 1. ledna 2022, doporučujeme přípravu na novou právní úpravu nepodcenit a včas upravit vztahy ohledně cookies se třetími stranami, vyřešit předávání údajů do zahraničí, vybrat vhodné technické řešení pro sběr souhlasů cookies a připravit textace souhlasů na webové stránky.

 

V případě jakýchkoli dotazů týkajících se této problematiky či aktuální právní úpravy Vám jsme k dispozici, neváhejte se na nás obrátit.

 

 

Mgr. Jakub Málek, partner – malek@plegal.cz

Kateřina Roučková, právní asistentka – rouckova@plegal.cz

 

www.peytonlegal.cz

 

29. 10. 2021

 

 

Zpět na články