Cookies a požadavky na souhlas
O cookies bylo již napsáno tolik textu, že je ani není třeba speciálně představovat. Ukládání a užívání souborů cookies, a zvláště pak souhlas s nimi, je neustále předmětem výkladových stanovisek i soudních rozhodnutí.
Cookie wall
Nemálo provozovatelů webových stránek používá k získání souhlasu se zpracováním souborů cookies tzv. cookie wall. O co se jedná. Jako cookie wall je označováno okénko, které se návštěvníkovi stránky zobrazí při jeho příchodu na stránku. Okénko blokuje další přístup ke stránce, dokud návštěvník neklikne na souhlas se zpracováním cookies. Dokud souhlas nepotvrdí, je mu přístup na stránku blokován.
Již v loňském roce označil nizozemský dozorový úřad Autoriteit persoonsgegevens používání cookie wallů za nepřípustné z důvodu vynuceného souhlasu.[1] Požadavkům GDPR neodpovídá používání cookie wall ani podle francouzského dozorového úřadu CNIL.[2] Tato stanoviska národních úřadů potvrdil ve svých vodítkách Evropský sbor pro ochranu osobních údajů (dále jen „Sbor“). Podle něj není souhlas svobodný a tedy v souladu s GDPR, pokud je přístup ke službám a funkcionalitám podmíněn souhlasem uživatele s ukládáním informací, nebo k přístupu již uložených informací v jeho koncovém zařízení.[3] Sbor tak potvrdil svůj výklad náležitostí platného souhlasu, podle kterého souhlas, který není udělen skutečně svobodně, tedy bez možnosti volby, není platným souhlasem se zpracováním osobních údajů.
Souhlas a jeho forma
K platnosti souhlasu podle GDPR se zpracováním cookies jako osobních údajů se vyjádřil ve svém rozsudku Planet 29 (C‑673/17) i Soudní dvůr Evropské unie. Podle tohoto soudu není souhlas se zpracováním osobních údajů právoplatně udělen, pokud je ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit. Jinými slovy, ani předem zakliknutý souhlas není platným souhlasem. Souhlas musí být udělen aktivně. Jinak by podle soudu nebylo možné vyloučit, že si uživatel internetových stránek možnosti udělit nebo neudělit souhlas vůbec nevšiml. Souhlas s ukládáním souborů cookies udělený prostřednictvím nastavení prohlížeče, jak je uvedeno v návrhu doporučení Úřadu pro ochranu osobních údajů Doporučení k zpracování cookies a obdobných prostředků sledování,[4] není po rozsudku Planet 49 platně uděleným souhlasem. ÚOOÚ toto své doporučení však promítá i do rozhodovací praxe. Souhlas se zpracováním osobních údajů prostřednictvím cookies pro účely remarketingu je možno udělit i nastavením prohlížeče za předpokladu, že správce osobních údajů splní informační povinnost.[5]
Uživatel internetové stránky by měl mít možnost aktivně souhlasit nejen s ukládáním informací nebo s přístupem k nim, ale tento souhlas by měl být specifikován podle typů cookies. Uživatel by měl mít možnost přijmout všechny typy cookies, nebo všechny typy odmítnout, popř. některé přijmout a jiné odmítnout.[6]
Platným souhlasem se zpracováním osobních údajů prostřednictvím cookies není ani pokračování v používání internetové stránky. Podle výše uvedených vodítek Sboru scrollování nebo projíždění internetové stránky nebo jiné podobné chování nepředstavuje jasný a souhlasný projev vůle. Nadto musí být odmítnutí souhlasu stejně jednoduché jako jeho získání, což by bylo podle Sboru v takovém případě obtížné.
Souhlas s cookies v českém právu
Česká právní úprava je však doposud v rozporu se směrnicí 2002/58/ES o soukromí a elektronických komunikacích založená na principu opt-in, tedy možnosti cookies odmítnout, nikoliv je aktivně povolit. Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je podle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Podle ÚOOÚ nelze nesprávnou transpozici evropské směrnice překlenout ani eurokonformním výkladem.[7]
Pokud bude ale možné cookies charakterizovat jako osobní údaj, bude muset i český provozovatel internetové stránky zpracovávat takové cookies v souladu s GDPR. To znamená, že ke zpracování bude muset existovat zákonný důvod. Pokud provozovatel nebude disponovat jiným zákonným důvodem, bez souhlasu uživatele internetové stránky se neobejde.
[1] Autoriteit persoonsgegevnes. Hoe legt de AP de juridische normen rond cookiewalls uit? Dostupné z: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_ap_cookiewalls.pdf
[2] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif). Dostupné z: https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337
[3] Evropský sbor pro ochranu osobních údajů. Guidelines 05/2020 on consent under Regulation 2016/679. Dostupné z: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
[4] Úřad pro ochranu osobních údajů. Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=42915
[5] Úřad pro ochranu osobních údajů. Protokol o kontrole ze dne 18. 10. 2019. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=37700
[6] Pracovní skupina pro ochranu osobních údajů podle čl. 29. Working Document 02/2013 providing guidance on obtaining consent for cookie Dostupné z: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf
[7] Úřad pro ochranu osobních údajů. Protokol o kontrole ze dne 18.10.2019.
Další články
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
Předkupní právo k nemovitosti
Za jakých podmínek předkupní právo vzniká a jaká jsou jeho specifika? V tomto článku bychom se zaměřili na institut předkupního práva k nemovitostem.
Digitální auditní stopa jako „svědek“ činnosti správního orgánu
Digitalizace veřejné správy postupně mění nejen způsob vedení řízení, ale i samotnou povahu dokazování. Tam, kde dříve hrály hlavní roli listiny, doručenky, úřední záznamy nebo svědecké výpovědi, dnes stále častěji vstupují do hry logy, metadata, časová razítka, změnové historie a workflow záznamy informačních systémů.
