Novela zákona o elektronických komunikacích zavádí povinnost předchozího souhlasu pro použití cookies
Zpřísňující pravidla, která mění možnost dosavadního režimu vykládaného jako opt-out na opt-in, budou platit od ledna 2022.
Novela ZEK
Poslanecká sněmovna schválila dne 15. září 2021 vládní návrh zákona[1], kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony („novela ZEK“). Novela ZEK přináší kromě jiného i možnost používání cookies pouze s aktivním souhlasem uživatele (až na určité výjimky popsané níže). Udělený souhlas bude muset splňovat požadavky Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, „GDPR“). Zpřísňující pravidla, která mění možnost dosavadního režimu vykládaného jako opt-out na opt-in, budou platit od ledna 2022 a zároveň se novelou ZEK implementuje do českého právního řádu Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace[2]. Novela ZEK nyní míří k podpisu prezidenta.
Co jsou cookies?
Cookies jsou malé datové soubory používané při prohlížení internetu. Jsou to soubory, které si vyměňuje webová stránka s prohlížečem uživatele. Kromě technických funkcí, kdy např. ulehčují fungování webových stránek pro uživatele, mohou plnit i marketingovou, analytickou nebo statistickou funkci. Cookies jsou dle GDPR považovány za osobní údaje. Jak stávající znění zákona o elektronických komunikacích, tak i novela ZEK nedopadá pouze na úpravu cookies, existují rovněž další obdobné technologie schopné komunikovat se zařízením uživatele (např. otisky zařízení koncových uživatelů – device fingerprinting používané k jednoznačnému rozpoznání zařízení koncového uživatele), a na tyto se vztahuje stejný režim jako na cookies.
Současná právní úprava cookies
Dosavadní právní úprava zákona o elektronických komunikacích je kvůli nedokonalé transpozici ePrivacy směrnice[3] (Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, Směrnice o soukromí a elektronických komunikacích) nepřehledná, čímž způsobila různost výkladů a přístupů, což vedlo k nejednotnosti v přístupu ke zpracování cookies napříč webovými stránkami či aplikacemi. Nejasnost vyplývá ze současného znění zákona, které stanoví, že provozovatel webové stránky nebo mobilní aplikace je povinen účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu zpracování cookies a je povinen nabídnout jim možnost takové zpracování odmítnout.
Z tohoto znění ZEK se proto v rozporu s unijním záměrem dovozoval režim opt-out, tedy že je možné (za splnění informační povinnosti) zpracovávat všechny druhy cookies, dokud uživatel svůj souhlas neodvolá. V praxi to znamená, že drtivá většina českých webů nebo aplikací sice cookies lištu se souhlasem obsahuje, avšak ta je častokrát zcela v rozporu s unijními předpisy stavějícími na principu opt-in, kdy provozovatel webu nebo aplikace potřebuje od uživatelů předchozí souhlas s používáním cookies (s některými výjimkami platícími pro tzv. nezbytné nebo technické cookies). I přes kritické stanovisko Evropského sboru pro ochranu osobních údajů ohledně praktik při zpracování a ukládání cookies nejsou proto výjimkou ani stránky s tzv. cookies wall odpírající uživateli plný přístup k obsahu nebo k některým funkcím bez poskytnutí paušálního souhlasu ke zpracování všech druhů cookies nebo tzv. scrolling souhlas, kdy webová stránka avizuje, že dalším prohlížením uživatel souhlasí s ukládáním cookies.
Novela ZEK dopadající na úpravu cookies
Právě schválená právní úprava novely ZEK zpřehlední situaci a sladí českou právní úpravu cookies se zněním směrnice ePrivacy, když jednoznačně vymezuje režim, podle kterého bude od subjektu, který hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů vyžadováno získání předem prokazatelného souhlasu s rozsahem a účelem zpracování cookies.
Souhlas musí zároveň vyhovět požadavkům, které klade na souhlas GDPR. Vyžaduje se svobodný, konkrétní a informovaný souhlas, který je zároveň aktivním souhlasem uživatele, kdy jde o jeho jednoznačný projev vůle. Nebude již proto možné blokovat uživateli přístup ke stránkám nebo mu jinak znepříjemňovat jejich prohlížení za účelem donucení uživatele k souhlasu. Zároveň je potřeba pamatovat na plnění informační povinnosti dle GDPR, která je úzce spjatá s poskytovaným souhlasem. V informaci by mělo být uvedeno, kdo je správcem osobních údajů (cookies), který žádá uživatele o souhlas s jejich zpracováním, pro jaké účely budou údaje zpracovány (pokud je účelů více, důsledně je odlišit), jaké osobní údaje budou zpracovány, dále existence práva souhlas kdykoliv odvolat a další informace vyžadované dle čl. 13 a 14 GDPR. K poskytnutí všech informací je vhodné využít tzv. princip jejich vrstvení neboli granularity, tj. v první vrstvě informací poskytnout ty nejdůležitější z nich – kdo, co, proč – a pro další informace odkázat proklikem na podrobnou informaci ke zpracování osobních údajů.
Doplňujeme, že i po novele ZEK bude platit výjimka pro již zmiňované technické nebo nezbytné cookies, na které se potřeba udělení předchozího souhlasu nevztahuje.
Co dělat nyní?
Ačkoliv byla stanovena delší legisvakanční lhůta a účinnost novely ZEK by měla nastat až od 1. ledna 2022, je vhodné již nyní začít pracovat na revizi současných postupů provozovatelů webů, aplikací či jiných nástrojů sledujících využívání webu nebo personalizaci reklamy apod.
Doporučujeme identifikovat, jaké cookies jsou zpracovány a zda jsou využívány pouze k technickému ukládání, zajištění přenosu zpráv nebo pro poskytování služeb vyžádaných uživatelem. V takovém případě nebude pravděpodobně souhlas s jejich zpracováním ani nadále vyžadován. Není tím však dotčena povinnost řádně uživatele o jejich zpracování informovat dle čl. 13 a 14 GDPR. Ohledně dalších druhů cookies by v souladu s novelou ZEK mělo dojít k nastavení webového rozhraní či aplikace tak, aby byla uživateli poskytnuta první vrstva informací a umožněno vyjádření jeho souhlasu se zpracováním cookies, a to aktivním zaškrtnutím políčka nebo kliknutím na příslušné tlačítko souhlasu. Dále bude potřeba revidovat i zásady ochrany osobních údajů tak, aby splňovaly požadavky novely ZEK a zároveň GDPR.
Upozorňujeme také, že pokud jste v situaci, kdy se v souvislosti s ukládáním a zpracováním cookies zabýváte předáváním osobních údajů do třetích zemí, tj. mimo země EU/EHP, doporučujeme řešit i nástroje pro takovéto předávání.
Závěrem považujeme za vhodné zmínit, že na půdě Evropské unie nyní probíhá legislativní proces nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení zmiňované ePrivacy směrnice (nařízení o soukromí a elektronických komunikacích) (ePrivacy nařízení)[4], v jehož návrhu je umožněno – za určitých podmínek – použití tzv. cookie walls, tj. přístupu na stránku výměnou za osobní údaje_,_ a to navzdory postoji Evropského sboru pro ochranu osobních údajů. Úprava cookies tedy může v důsledku přijetí ePrivacy nařízení ještě doznat změn.
[1] Sněmovní tisk č. 1084/6
[2] https://eur-lex.europa.eu/legal-content/CS/LSU/?uri=uriserv:OJ.L_.2018.321.01.0036.01.CES
[3] https://eur-lex.europa.eu/legal-content/cs/TXT/?uri=CELEX%3A32002L0058
[4] https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=COM:2017:10:FIN
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
