Je souhlas s používáním „co­okies“ pro české provozovatele webů skutečně nutný?

26. 11. 2015
Doba čtení: 5 minut

Sdílet

Ilustrační obrázek Autor: www.shutterstock.com, podle licence: Rights Managed
Ilustrační obrázek
Musí český provozovatel webu nutně informovat o rozsahu a účelu zpracování cookies? A jak je to se sankcemi? Ptali jsme se právníků.

Pokud jste provozovateli webu, určitě jste o cookies zvlášť v poslední době mnoho slyšeli. Například o tom, že musíte na svém webu informovat o rozsahu a účelu zpracování cookies, nebo že na každém webu musí být pop-up okno, kde každý návštěvník webu kliknutím vyjádří svůj souhlas s využíváním cookies. Také jste možná zaregistrovali informace o tom, že vám za porušení výše uvedených povinností hrozí sankce anebo to, že se česká právní úprava poněkud liší od té evropské. Nebo vám nedávno přišlo upozornění od společnosti Google, že vám v souvislosti s cookies vznikají nové povinnosti. 

Co z výše uvedených tvrzení je pravdivé a co je jen pouhý mýtus? Jak se česká úprava liší od té evropské? Může vás společnost Google „nutit“ k dodržování nových povinností? A co je nedůležitější, je získání souhlasu návštěvníků s používáním cookies skutečně nutné i pro české provozovatele webů? 

Česká právní úprava 

Ilustrační obrázek
Autor: www.shutterstock.com, podle licence: Rights Managed

Ilustrační obrázek

V České republice je problematika cookies upravena zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů. Tento zákon nastavil pro využívání cookies tzv. opt-out režim. To znamená, že jako provozovatel webu máte povinnost informovat návštěvníky o tom, že využíváte cookies. Tato informační povinnost se ale netýká těch stránek, které ke svému chodu využívají pouze session cookies (jedná se o základní cookies, které zajišťují výhradně chod webu). 

Co se týče získávání předchozího souhlasu od návštěvníka webové stránky, dnes zejména prostřednictvím pop-up okna, tento souhlas jako český provozovatel podléhající českým zákonům získávat nemusíte. Principem opt-out režimu totiž je, že cookies lze využívat bez souhlasu návštěvníka webu do té doby, než návštěvník sám aktivně vyjádří svůj nesouhlas s jejich užíváním. 

Evropská právní úprava 

Pokud nahlédneme do evropské právní úpravy, zjistíme, že situace se má poněkud jinak. Směrnice 2002/58/ES (nazývaná „e-PrivacyDirective“) po novelizaci v roce 2009 přešla z výše popsaného režimu opt-out na režim opt-in. To znamená, že provozovatelé webů musí získat od návštěvníků předchozí informovaný souhlas s využíváním cookies a návštěvníkovi musí být poskytnuty jasné a úplné informace např. o účelu zpracování. Předchozí informovaný souhlas není nutno získat v případě, že jsou využívány pouze session cookies, nebo pokud si uživatel od provozovatele výslovně vyžádal službu, kde je využívání cookies nezbytně nutné.

Psali jsme dříve: Souhlas s ukládáním cookies je v Česku. Jak na to připravit vaše weby?

Informační povinnost (tj. poskytnutí informace o tom, že stránka využívá cookies a účely, k jakým se cookies zpracovávají) musí být splněna u všech druhů cookies (tedy i u těch základních jako session cookies).

Google a cookies 

Na výše zmíněnou legislativní aktivitu Evropské unie zareagovala i společnost Google, a to tak, že od 1. 10. 2015 zavedla novou politiku v oblasti ochrany osobních údajů a využívání cookies. Provozovatelé webů, kteří využívají služeb Googlu (např. Google AdSense nebo Google Analytics), musí nově získat předchozí a výslovný souhlas všech svých návštěvníků s používáním cookies. Pokud jste v poslední době i na českých webových stránkách zaznamenali pop-up okna se žádostí o souhlas s používáním cookies, je to právě zásluhou této nové politiky Googlu. 

Google se ale nezmiňuje, jak by tento souhlas měl vypadat. Pouze odkazuje na národní dozorčí orgány v oblasti ochrany osobních údajů, což je v České republice Úřad pro ochranu osobních údajů. Google se také nezmiňuje o postizích, které za nedodržování těchto svých instrukcí bude ukládat. Sděluje pouze, že neukázněné provozovatele potrestá, nebo s nimi ukončí vzájemnou spolupráci. 

Jak má souhlas vypadat? 

Pokud se rozhodnete souhlas požadovat (nebo pokud to bude v budoucnu povinné i pro české provozovatele webů), musí být tento souhlas jednak výslovný, a dále potom informovaný. Výslovný souhlas znamená, že návštěvník webu musí aktivně „odkliknout“ souhlas s užíváním cookies. Souhlas informovaný potom znamená, že návštěvník musí mít k dispozici všechny potřebné informace, zejména údaje o druzích cookies a účelu jejich zpracování. Tyto informace mohou být i značně rozsáhlé, proto pro ně lze doporučit samostatný oddíl na webu, kam návštěvníky navede hypertextový odkaz. 

Informoval také sesterský server Lupa.cz: Povinné vyžadování souhlasu s uložením cookies dorazilo do Česka 

Současná pop-up okna, která využívají české weby, podmínky výslovného a informovaného souhlasu často nesplňují (například se lze setkat s formulací „Setrváním na tomto webu souhlasíte s využíváním cookies“ – zde chybí prvek výslovného souhlasu; pouhá formulace „Souhlasím s užíváním cookies“ zase postrádá prvek informovanosti; některá okna uvádí naopak pouze informace a potvrzení toho, že jim návštěvník rozumí, ale bez uvedení souhlasu). 

Jak z toho ven a koho tedy poslouchat? 

Pokud jste provozovatelem webu v České republice, postačí, abyste splnili zákonnou povinnost uloženou českými zákony. To znamená, že na viditelném a lehko dostupném místě svého webu umístíte informaci o rozsahu a účelu zpracování cookies. Žádný předchozí souhlas získávat nemusíte.To však platí pouze za předpokladu, že nevyužíváte služeb Googlu, který ve vztahu ke cookies vyžaduje vyšší míru ochrany než české zákony. V dnešní době proto půjde spíše o výjimečnou situaci, protože některé služby Googlu využívá drtivá většina provozovatelů webových stránek. 

Pokud tedy jako provozovatel služeb Googlu využíváte, je vaší smluvní povinností informovaný souhlas návštěvníků webu získat. Využíváním služeb společnosti Google totiž souhlasíte s jejími smluvními podmínkami, tj. z právního hlediska uzavíráte smlouvu, která tuto povinnost nad rámec zákona ukládá. 

Dále je nutno upozornit, že i současná právní situace se může rychle změnit, a proto je potřebné tyto změny sledovat. Aktuálně se očekává vydání nového nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které bude mít přímý účinek samo o sobě (stejně jako český zákon), a bude mít přednost dokonce i před českými zákony. To by znamenalo, že by se čeští provozovatelé webů museli podrobit režimu opt-in se všemi následky, které s sebou tento režim přináší, bez ohledu na to, zda využívají služeb Googlu nebo ne.

Lze tedy doporučit, abyste se již nyní na uplatnění zavedení opt-in režimu připravili. Pokud provozujete jakékoliv webové stránky, vždy byste měli vědět, jaké cookies a k jakým účelům váš web využívá. Mějte také na paměti, že ne každým pop-up oknem svou zákonnou či smluvní povinnost splníte.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).