Novela ZEK
Poslanecká sněmovna schválila dne 15. září 2021 vládní návrh zákona[1], kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony („novela ZEK“). Novela ZEK přináší kromě jiného i možnost používání cookies pouze s aktivním souhlasem uživatele (až na určité výjimky popsané níže). Udělený souhlas bude muset splňovat požadavky Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, „GDPR“). Zpřísňující pravidla, která mění možnost dosavadního režimu vykládaného jako opt-out na opt-in, budou platit od ledna 2022 a zároveň se novelou ZEK implementuje do českého právního řádu Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace[2]. Novela ZEK nyní míří k podpisu prezidenta.
Co jsou cookies?
Cookies jsou malé datové soubory používané při prohlížení internetu. Jsou to soubory, které si vyměňuje webová stránka s prohlížečem uživatele. Kromě technických funkcí, kdy např. ulehčují fungování webových stránek pro uživatele, mohou plnit i marketingovou, analytickou nebo statistickou funkci. Cookies jsou dle GDPR považovány za osobní údaje. Jak stávající znění zákona o elektronických komunikacích, tak i novela ZEK nedopadá pouze na úpravu cookies, existují rovněž další obdobné technologie schopné komunikovat se zařízením uživatele (např. otisky zařízení koncových uživatelů – device fingerprinting používané k jednoznačnému rozpoznání zařízení koncového uživatele), a na tyto se vztahuje stejný režim jako na cookies.
Současná právní úprava cookies
Dosavadní právní úprava zákona o elektronických komunikacích je kvůli nedokonalé transpozici ePrivacy směrnice[3] (Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, Směrnice o soukromí a elektronických komunikacích) nepřehledná, čímž způsobila různost výkladů a přístupů, což vedlo k nejednotnosti v přístupu ke zpracování cookies napříč webovými stránkami či aplikacemi. Nejasnost vyplývá ze současného znění zákona, které stanoví, že provozovatel webové stránky nebo mobilní aplikace je povinen účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu zpracování cookies a je povinen nabídnout jim možnost takové zpracování odmítnout.
Z tohoto znění ZEK se proto v rozporu s unijním záměrem dovozoval režim opt-out, tedy že je možné (za splnění informační povinnosti) zpracovávat všechny druhy cookies, dokud uživatel svůj souhlas neodvolá. V praxi to znamená, že drtivá většina českých webů nebo aplikací sice cookies lištu se souhlasem obsahuje, avšak ta je častokrát zcela v rozporu s unijními předpisy stavějícími na principu opt-in, kdy provozovatel webu nebo aplikace potřebuje od uživatelů předchozí souhlas s používáním cookies (s některými výjimkami platícími pro tzv. nezbytné nebo technické cookies). I přes kritické stanovisko Evropského sboru pro ochranu osobních údajů ohledně praktik při zpracování a ukládání cookies nejsou proto výjimkou ani stránky s tzv. cookies wall odpírající uživateli plný přístup k obsahu nebo k některým funkcím bez poskytnutí paušálního souhlasu ke zpracování všech druhů cookies nebo tzv. scrolling souhlas, kdy webová stránka avizuje, že dalším prohlížením uživatel souhlasí s ukládáním cookies.
Novela ZEK dopadající na úpravu cookies
Právě schválená právní úprava novely ZEK zpřehlední situaci a sladí českou právní úpravu cookies se zněním směrnice ePrivacy, když jednoznačně vymezuje režim, podle kterého bude od subjektu, který hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů vyžadováno získání předem prokazatelného souhlasu s rozsahem a účelem zpracování cookies.
Souhlas musí zároveň vyhovět požadavkům, které klade na souhlas GDPR. Vyžaduje se svobodný, konkrétní a informovaný souhlas, který je zároveň aktivním souhlasem uživatele, kdy jde o jeho jednoznačný projev vůle. Nebude již proto možné blokovat uživateli přístup ke stránkám nebo mu jinak znepříjemňovat jejich prohlížení za účelem donucení uživatele k souhlasu. Zároveň je potřeba pamatovat na plnění informační povinnosti dle GDPR, která je úzce spjatá s poskytovaným souhlasem. V informaci by mělo být uvedeno, kdo je správcem osobních údajů (cookies), který žádá uživatele o souhlas s jejich zpracováním, pro jaké účely budou údaje zpracovány (pokud je účelů více, důsledně je odlišit), jaké osobní údaje budou zpracovány, dále existence práva souhlas kdykoliv odvolat a další informace vyžadované dle čl. 13 a 14 GDPR. K poskytnutí všech informací je vhodné využít tzv. princip jejich vrstvení neboli granularity, tj. v první vrstvě informací poskytnout ty nejdůležitější z nich – kdo, co, proč – a pro další informace odkázat proklikem na podrobnou informaci ke zpracování osobních údajů.
Doplňujeme, že i po novele ZEK bude platit výjimka pro již zmiňované technické nebo nezbytné cookies, na které se potřeba udělení předchozího souhlasu nevztahuje.
Co dělat nyní?
Ačkoliv byla stanovena delší legisvakanční lhůta a účinnost novely ZEK by měla nastat až od 1. ledna 2022, je vhodné již nyní začít pracovat na revizi současných postupů provozovatelů webů, aplikací či jiných nástrojů sledujících využívání webu nebo personalizaci reklamy apod.
Doporučujeme identifikovat, jaké cookies jsou zpracovány a zda jsou využívány pouze k technickému ukládání, zajištění přenosu zpráv nebo pro poskytování služeb vyžádaných uživatelem. V takovém případě nebude pravděpodobně souhlas s jejich zpracováním ani nadále vyžadován. Není tím však dotčena povinnost řádně uživatele o jejich zpracování informovat dle čl. 13 a 14 GDPR. Ohledně dalších druhů cookies by v souladu s novelou ZEK mělo dojít k nastavení webového rozhraní či aplikace tak, aby byla uživateli poskytnuta první vrstva informací a umožněno vyjádření jeho souhlasu se zpracováním cookies, a to aktivním zaškrtnutím políčka nebo kliknutím na příslušné tlačítko souhlasu. Dále bude potřeba revidovat i zásady ochrany osobních údajů tak, aby splňovaly požadavky novely ZEK a zároveň GDPR.
Upozorňujeme také, že pokud jste v situaci, kdy se v souvislosti s ukládáním a zpracováním cookies zabýváte předáváním osobních údajů do třetích zemí, tj. mimo země EU/EHP, doporučujeme řešit i nástroje pro takovéto předávání.
Závěrem považujeme za vhodné zmínit, že na půdě Evropské unie nyní probíhá legislativní proces nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení zmiňované ePrivacy směrnice (nařízení o soukromí a elektronických komunikacích) (ePrivacy nařízení)[4], v jehož návrhu je umožněno – za určitých podmínek – použití tzv. cookie walls, tj. přístupu na stránku výměnou za osobní údaje, a to navzdory postoji Evropského sboru pro ochranu osobních údajů. Úprava cookies tedy může v důsledku přijetí ePrivacy nařízení ještě doznat změn.
[1] Sněmovní tisk č. 1084/6
Diskuze k článku ()