Od 1. 1. 2022 nabývá účinnosti novela zákona č. 127/2005 Sb., o elektronických komunikacích, které by měli věnovat zvýšenou pozornost všichni provozovatelé webových stránek či mobilních aplikací. Přináší totiž zásadní změny v oblasti udělování souhlasu s používáním cookies. O jaké změny jde a jaký budou mít praktický dopad na internetové podnikání? Na to jsme se zeptali JUDr. Zdeňky Rekové a Mgr. Zuzany Kožnárkové.

Nechcete, aby si na vás cookie monstrum smlslo? Čtěte pozorně a ideálně si nechte poradit od profesionálů.Nechcete, aby si na vás cookie monstrum smlslo? Čtěte pozorně a ideálně si nechte poradit od profesionálů.

Následující text je z pera JUDr. Zdeňky Rekové a Mgr. Zuzany Kožnárkové, jejichž advokátní kancelář se mimo jiné specializuje na oblast GDPR a naší agentuře poskytuje právní podporu.

Co se mění?

Novela znamená významné zpřísnění dosud benevolentních pravidel, kdy nově bude pro používání cookies a obdobných sledovacích technologií třeba aktivního souhlasu uživatele, tzv. opt-in. Zákonodárci novelizací uvádí do souladu naši legislativu se Směrnicí Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), tzv. směrnice ePrivacy.

Právní úprava cookies je obsažena v § 89 odst. 3 Zákona o elektronických komunikacích. Toto zákonné ustanovení dopadá nejen na cookies, ale obecně na jakékoli technologie, které plní podobnou funkci.

Cookies můžeme stručně charakterizovat jako malé textové soubory, které jsou ukládány do zařízení uživatele, přičemž jejich účel může být různý. Mohou sloužit k zajištění technického fungování webové stránky, ale také je lze využívat např. pro statistické, analytické účely. Jejich prostřednictvím lze také získat informace o tom, jak uživatel prochází internetem, jaké stránky si prohlíží, co preferuje, tudíž mohou sloužit i k účelům marketingovým.

Opt-out vs. opt-in

Dosavadní znění Zákona o elektronických komunikacích stanovilo, že je provozovatel webové stránky nebo mobilní aplikace povinen „účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování“. To se do praxe zpravidla promítalo a stále ještě nejčastěji promítá tak, že na webech jsou zobrazovány lišty, které o používání cookies informují. Kromě toho je provozovatel povinen nabídnout uživatelům možnost „takové zpracování odmítnout“. Tento režim je označován jako opt-out a jeho princip spočívá v tom, že cookies jsou používány až to té doby, než uživatel vyjádří svůj nesouhlas, čehož dosáhne změnou nastavení prohlížeče. Tento režim však odporuje shora zmíněné směrnici ePrivacy, která ho již v roce 2009 opustila a zakotvila opt-in souhlas.

Režim opt-in ve své podstatě znamená, že se cookies aktivují až na základě aktivně projeveného souhlasu ze strany uživatele. Tento souhlas by měl udělen tak, aby dostál požadavkům Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení GDPR).

To proto, že na cookies můžeme nahlížet jako na osobní údaje, k jejichž ochraně Nařízení GDPR slouží. Obecně můžeme konstatovat, že pokud je zpracování osobních údajů založeno na souhlasu (který je jedním ze šesti právních titulu zpracování dle čl. 6 Nařízení GDPR), musí souhlas dosahovat určitých požadovaných kvalit. Musí být konkrétním, svobodným, informovaným a jednoznačným projevem vůle uživatele a provozovatel webových stránek musí počítat s tím, že udělený souhlas může být uživatelem kdykoli odvolán. Pravidla pro získání, udělení a využití souhlasu stanovuje Nařízení GDPR ve svém čl. 7, přičemž důraz je kladen především na srozumitelnost a dobrovolnost. 

Kam čert nemůže, nastrčí GDPR. Právě to hraje v novele zákona významnou roli.Kam čert nemůže, nastrčí GDPR. Právě to hraje v novele zákona významnou roli.

Novela zákona prakticky

Jak tedy bude zpřísnění pravidel prakticky dopadat na provozovatele webových stránek? Je třeba si uvědomit, že pasivita uživatele již nebude dostačující a přípustná (až na několik výjimek) a provozovatelé musí důsledně dbát na to, aby proces udělování souhlasu nastavili tak, aby byl v souladu se všemi legislativními požadavky. Předně by měl být souhlas udělen dobrovolně, tzn. nemůže být nezbytnou podmínkou pro další užívání stránek. Jinak řečeno, nelze v uživateli vzbuzovat pocit, že souhlas musí udělit, jinak mu nebude stránka zpřístupněna či bude její užívání nějakým způsobem ztíženo. Zdůrazňujeme, že udělení souhlasu se zpracováním osobních údajů je pro uživatele možnost, nikoli povinnost.

Souhlas by měl být informovaný, tedy uživatel by měl být stručným a jasným způsobem informován o tom, k čemu budou jeho data použita. Měl by být pečlivě seznámen s konkrétním účelem, pro který má souhlas poskytnout. Měl by mít informace o tom, k čemu jednotlivé cookies slouží a na základě toho by se měl rozhodnout, které typy cookies přijme a které nikoli. Souhlas musí být jednoznačný, tedy nelze jej udělit konkludentně tím, že uživatel bude pokračovat v prohlížení webové stránky. Je zapotřebí jednoznačného projevu vůle uživatele. Bude tedy vyžadována aktivita uživatele spočívající v tom, že sám aktivně zaškrtne políčko souhlasu. Tento požadavek by praxe neměla obcházet tím, že příslušné políčko bude již automaticky zaškrtnuto a bude na uživateli, aby zaškrtnutí zrušil, pokud s užíváním cookies nesouhlasí.

Neusněte na vavřínech

Lze tedy doporučit, aby se provozovatelé webových stránek na tyto změny začali připravovat již nyní, neboť na nesprávné vyžadování souhlasu a na nedostatečně informování uživatele lze pohlížet jako na porušení základních zásad zpracování tak, jak je zakotvuje Nařízení GDPR v čl. 5. Porušení pravidel je pochopitelně sankciováno, kdy pravidla pro stanovení výše sankce zakotvuje podrobně čl. 83 Nařízení GDPR.

V této souvislosti také připomínáme, že by provozovatelé webových stránek měli zrevidovat, zda mají vytvořenu stránku, kde jsou návštěvníci v souladu s čl. 13 a č. 14 Nařízení GDPR jasným a srozumitelným způsobem informováni o tom, jak je nakládáno s jejich osobními údaji a kde naleznou další povinné informace týkající se ochrany osobních údajů.