Cookies, neboli textové soubory, které server umísťuje do počítače uživatele webových stránek a které následně odesílají informace o jeho chování zpět na příslušný server, nacházejí v poslední době široké využití pro tzv. cílenou reklamu i marketing.
V souvislosti s tím se Evropská Unie obává negativních dopadů jejich využívání na soukromí uživatelů internetu a chystá proto zpřísnění právní úpravy ochrany osobních údajů. Dne 15. června 2015 schválila Rada EU tzv. obecný přístup k návrhu nařízení o ochraně údajů, podle něhož mají být pod osobní údaje zahrnuty i cookies. Změna právní regulace bude mít vliv i na povinnosti provozovatelů webových stránek v České republice.
„Činnost člověka na internetu, to, jaké akce podniká a na jaké stránky chodí, by měla nově být součástí ochrany osobních údajů, což do dnešní doby nebyla. To má dopad jak na uživatele, tak především na provozovatele internetových stránek – na jejich povinnosti týkající se správy a nakládání s daty,” říká k problému ochrany osobních dat na internetu Petr Kališ,Managing Partner advokátní kanceláře CHSH Kališ&Partners.
Podle dnes platné legislativy Evropské unie je možné odlišit dva druhy cookies. Mandatorní, které jsou nezbytné k funkčnosti internetových stránek a které lze používat i bez souhlasu uživatele internetu před vstupem na dané stránky, a cookies, které slouží provozovatelům mimojiné ke sběru osobních dat, a které vyžadují předchozí souhlas uživatele internetu k jejich používání. Současná směrnice EU č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací („e-Privacy směrnice“) tak zavazuje členské státy, aby přijaly právní úpravu vyžadující předchozí souhlas s používáním druhé jmenované skupiny cookies.
„Právě tuto směrnici ale podle našeho názoru česká právní úprava nereflektuje nejkvalitněji. Zákon o elektronických komunikacích sice stanoví pro provozovatele internetových stránek povinnost předem prokazatelně informovat o uživatele internetu o rozsahu a účelu zpracování dat získaných pomocí cookies, ale nevyžaduje souhlas uživatele již před uložením cookies na uživatelův počítač. Podle zákona postačuje, aby provozovatel stránek nabídl uživateli možnost používání cookies odmítnout.Provozovatelé internetu v ČR tak mohou zpracovávat informace o uživatelích internetu bez jejich souhlasu,“ dodává k současné úpravě Petr Kališ.
A jak se tedy změní situace po přijetí nařízení EU? Jestliže se bude na cookies nahlížet jako na osobní údaje a na provozovatele webových stránek jako na správce osobních údajů, znamenalo by to nepochybně zpřísnění regulace používání cookies. Již v současné době totiž i česká právní úprava (zákon o ochraně osobních údajů) až na některé výjimky vyžaduje předchozí souhlas dotyčné osobyse zpracováním jejích osobních údajů a rovněž stanovuje další povinnosti pro správce osobních údajů (zejména rozsáhlou informační povinnost vůči subjektu údajů a oznamovací povinnost vůči Úřadu pro ochranu osobních údajů).
Doporučení pro provozovatele webových stránek
„Lze očekávat, že v souvislosti s plánovanými změnami na unijní úrovni bude Úřad pro ochranu osobních údajů trvat na důsledném plnění informační povinnosti, která vyplývá jak z e-Privacy směrnice, tak ze zákona o elektronických komunikacích. Proto by provozovatelé webových stránek využívající cookies měli uživatele řádně informovat o tom, jaké údaje jsou v souvislosti s využitím stánky ukládány na jeho počítači, dále v jakém rozsahu a za jakým účelem jsou zpracovány a také kým jsou zpracovány a především, jakým způsobem lze zpracování údajů odmítnout,” radí provozovatelům webových stránek Petr Kališ.
Zároveň je možné doporučit, aby provozovatelé webových stránek používali cookies v tzv. režimu opt-in, tzn. aby si vyžádali předchozí informovaný souhlas uživatele. Takový souhlas může být udělen například zakliknutím odkazu v pop-up oknu, které se zobrazí při spuštění webových stránek. Znamená to sice další administrativní zátěž pro provozovatele webových stránek, na druhou stranu se tím vyhnou případným sankcím za porušení ochrany osobních údajů.