ePrivacy nařízení a GDPR

Na počátku roku 2017 byl publikován návrh Nařízení Evropského parlamentu a Rady o soukromí a elektronických komunikacích (dále jen „Nařízení“) jako součást komplexní Strategie pro jednotný digitální trh. Tento návrh Evropský parlament koncem října předchozího roku schválil.

Nařízení si stanovuje za cíl revidovat a aktualizovat současnou unijní úpravu (konkrétně směrnici 2002/58/ES a její novelizaci směrnicí č. 2009/136/ES, známé i pod populárním označením „cookie zákon“), která dle hodnocení REFIT díky nejednoznačnosti právních pojmů[1] a následným problémům s harmonizací v plném rozsahu nesplnila své stanovené cíle, a přizpůsobit jí technologickému rozvoji v oblasti elektronických komunikací. 

Spolu s  novým obecně závazným nařízením o ochraně osobních údajů (též „GDPR“)[2], ke kterému má Nařízení povahu speciální úpravy a je s ním úzce provázané, přináší do problematiky elektronických komunikací mnoho významných změn. V tomto článku se budeme zabývat především oblastí cookies, plánované změny ale také zahrnují například rozšíření stávajícího unijního rámce elektronické komunikace i na tzv. over-the-top služby, kterými se rozumí „instant messaging“ aplikace typu Skype, WhatsApp a jiné, webové e-mailové služby a služby VoIP (Voice over Internet Protocol), stejně jako rychle se rozvíjející oblast tzv. internetu věcí (Internet of Things, IoT, zjednodušeně přenos informací mezi „smart“ elektronickými zařízeními)

Povaha nové úpravy

Oproti předchozí úpravě, která byla směrnicí (do českého právního řádu promítnutou zákony č. 127/2005 Sb., o elektronických komunikacích a č. 480/2004 Sb., o některých službách informační společnosti),  Nařízení nevyžaduje  implementaci do právního řádu národní úpravou ( jak tomu je u směrnic). Všechny členské státy se tedy budou řídit totožnými pravidly, což povede k jasnému a ucelenému výkladu (např. v níže popsané oblasti udílení souhlasu) a současně budou eliminovány problémy a náklady spojené s harmonizací těchto předpisů. Forma nařízení znamená v neposlední řadě usnadnění provozování podnikání pro společnosti působící ve více členských státech zároveň.

Co jsou to cookies a k čemu se používají?

Pod pojmem cookies rozumíme krátké textové soubory vytvářené webovým serverem a ukládané v počítači prostřednictvím webového prohlížeče[3]. Hlavním účelem cookies je personalizace uživatelského prostředí internetové stránky, protože jejich obsahem jsou údaje o nastavení stránky zvolené uživatelem a umožňují si tak stránce „pamatovat“ akce uživatele v jejím rámci, a to ukládáním jednoduchých dvojic (např. jméno – Petr, příjmení – Novák).

Cookies se dělí na:

• cookies první strany, které jsou vytvářeny přímo navštíveným webem a slouží především k zajištění jeho funkčnosti internetové stránky, a
• cookies třetí strany, které jsou vytvářeny jinými weby, které mají na navštívené stránce umístěný obsah (většinou ve formě reklamy), a které mohou působit i napříč různými doménami.

Dále pak existují:

• dočasné cookies, jejichž platnost vyprší s uzavřením okna prohlížeče a nejčastěji se využívají u internetových obchodů, typicky pro uložení dat o tzv. košíku, a
• trvalé cookies, které fungují i po uzavření prohlížeče. Takto se ukládají například přihlašovací údaje uživatelů.

Dle svého účelu můžeme cookies členit na např. sledovací cookies (zajišťující možnost udržovat jakékoliv přihlášení do účtu v rámci domény), identifikační cookies (umožňující ověření přihlášení uživatele), atd.

Webové stránky nemohou používat cookies bez souhlasu koncového uživatele, pokud se nejedná o cookies, které jsou nezbytně nutné k účelu vykonání služby výslovně požadované uživatelem. Tyto případy jsou z důvodu možnosti hladšího provozu z povinnosti souhlas poskytnout vyňaty. Cookies bez souhlasu lze dále využívat např. k monitoringu návštěvnosti webové stránky.

Pojetí souhlasu

Souhlas byl v původním cookie zákoně definován poměrně nejasně a samotná povaha směrnice dovolovala jistou odchylku a interpretační volnost danou národní úpravou. To mělo za následek různé komplikace a nejasnosti jak na straně vlastníků webových stránek a poskytovatelů webových prohlížečů, tak na straně koncových uživatelů.

Naopak nová úprava v článku 9 Nařízení jasně stanovuje, že definice souhlasu bude odpovídat definici obsažené v GDPR, kdy se souhlasem rozumí „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení“. Zároveň pro souhlas platí, že uživatel musí mít právo souhlas kdykoliv odvolat a toto odvolání souhlasu musí být stejně snadné jako jeho poskytnutí.

Z tohoto pojetí mimo jiné vyplývá, že:

• Pouhou návštěvu webové stránky nelze v žádném případě považovat za projev souhlasu.
• Ani banner ve stylu „Navštívením této stránky vyjadřujete svůj souhlas s používáním cookies,“který je jako reakce na dosavadní legislativu zpravidla využíván, není z hlediska udělení souhlasu dostačujícím.
• Upozornit uživatele na to, aby si v nastavení prohlížeče sám použití cookies zakázal, pokud s jejich poskytováním, resp. ukládáním nesouhlasí, je také nedostatečné.

Obecně by tedy měl být souhlas návštěvníkem webové stránky udělen metodou „opt-in“, tedy aktivním zaškrtnutím pole pro souhlas, a to ještě předtím, než je tedy vůbec zpracování cookies při první návštěvě webové stránky zahájeno. Současně je nutné implementovat možnost „opt-out“.

Nastavení používání cookies

Dle nové úpravy budou uživatelé souhlas s používáním cookies udílet přímo prostřednictvím svých webových prohlížečů. Budou si moci sami nastavit, jaké cookies a v jakém množství chtějí přijímat, přičemž na výběr by měli mít minimálně ze tří možností: (i) přijímat všechny cookies, (ii) přijímat pouze cookies prvních stran nebo (iii) nepřijímat žádné cookies. K učinění této volby by uživatelům měly být poskytnuty všechny nezbytné informace. Tyto informace by neměly uživatele jakkoliv odrazovat od výběru nastavení vyšší ochrany soukromí a měly by zahrnovat popis možných rizik spojených s využíváním cookies.

Pro poskytovatele webových prohlížečů tedy nově vznikne povinnost do software uváděného na trh zabudovat možnost učinit volbu mezi jednotlivými bezpečnostními nastaveními, a pro software, který bude k datu účinnosti Nařízení již instalován, provést změny při první aktualizaci.

Pro uživatele to znamená možnost vyšší míry ochrany jejich osobních údajů, stejně jako omezení jejich digitální stopy, tedy údajů, za jejichž pomoci lze vysledovat jejich pohyb na internetu, pro vlastníky webových stránek to naopak znamená omezení možností personalizace reklamy, která se na internetu objevuje a která se v posledních letech právě díky širokému využití cookies mohla stát velmi lukrativní.

Cookies a GDPR

Některé druhy cookies by se daly považovat za osobní údaj podléhající GDPR, a to vzhledem k velmi široké definici osobního údaje ve smyslu čl. 4 bodu 1) GDPR, který za osobní údaje považuje veškeré informace o identifikované nebo identifikovatelné fyzické osobě, tedy o osobě určené mj. síťovým identifikátorem.

K síťovým identifikátorům citujme například recitál 30 ke GDPR:

„Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.“

Z toho vyplývá, že cookies, které slouží k identifikaci konkrétního zařízení a/nebo uživatele jsou považovány za osobní údaje dle GDPR. 

Toto se týká především téměř všech reklamních a cílených cookies, cookies pro webovou analýzu a funkční služby, jako jsou průzkum a chat nástroje, které zaznamenávají identifikaci uživatele v cookies.

Důsledkem takovéto úpravy jsou také povinnosti spojené s GDPR, tedy zejména soulad zpracování těchto osobních údajů se zásadami tohoto nařízení. Zejména se jedná o tyto zásady:

• Zpracování osobních údajů se souhlasem subjektu údajů nebo na základě zákona, smlouvy či ve veřejném zájmu,
• Shromažďování údajů jen za účelem, který je určitý, výslovně vyjádřený a legitimní,
• Omezené zpracování kategorií údajů pouze nezbytných,
• Přesnost, přenositelnost a aktuálnost zpracovávaných údajů,
• Omezení doby uložení na dobu nepřekračující nezbytnou, resp. stanovenou, a konečně
• Vhodné zabezpečení osobním údajům proti jejich ztrátě nebo neoprávněnému zpracování.

Sankce, které jsou totožné s výší sankcí upravených již v GDPR, a jejichž horní hranice je stanovena jako 10.000.000 EUR, resp. 2% z ročního globálního obratu u podniku, mají zajistit, aby této nové legislativě byla věnována maximální pozornost i ze strany vedení společností, které s cookies pracují ve velkém rozsahu.

Původní plánovaná účinnost Nařízení měla nastat ke dni účinnosti GDPR (tedy 25. května 2018), nyní je však jasné, že tento termín dodržen nebude. Přesný datum nabytí účinnosti není tedy znám; samotný návrh však již prošel Evropským parlamentem a nyní probíhá dohodovací řízení.