Studijní text

Ochrana soukromí v elektronických komunikacích je upravena specifickou právní úpravou, která vůči GDPR působí jako lex specialis. Na úrovni práva EU je pro tuto oblast zdrojem práva především směrnice č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (tzv. ePrivacy směrnice). Tato směrnice a její novelizace, které jsou součástí komplexní úpravy elektronických komunikací (tzv. telekomunikačních balíčků), obsahuje pravidla, která se pokrývají ochranu důvěrnosti přenosu zpráv v elektronických komunikacích, nakládání s provozními a lokalizačními údaji a pravidla pro použití cookies a podobných technologií. A právě na cookies, respektivě obecněji na využívání technologií identifikujících koncové zařízení uživatele se zaměřuje tato přednáška.

Problematika cookies rozhodně není nová. Pracovní skupina WP29 (nyní EDPB) se jí věnovala již ve svém stanovisku z roku 2010, ve kterém pojem výstižně vymezila: „Cookie je krátký alfanumerický text, který poskytovatel sítě ukládá do koncového zařízení subjektu údajů (a později jej odtud znovu získává). V souvislosti s reklamou zaměřenou na chování umožní cookie poskytovateli reklamní sítě poznat návštěvníka, který se vrací na tyto internetové stránky nebo navštěvuje jakékoli jiné internetové stránky, které jsou partnerem reklamní sítě. Takové opakované návštěvy umožní poskytovateli reklamní sítě vytvořit profil návštěvníka, který se bude používat k poskytování personalizované reklamy.“

Relevantní právní úprava přitom přesahuje cookies a vztahuje se i na další podobné technologie, které přispívají k identifikaci a profilování uživatele na základě unikátních charakteristik jeho zařízení. To, do jaké míry se těžiště pozornosti přesouvá od cookies k těmto dalším technologiím a co lze v tomto směru očekávat do budoucna z hlediska praxe i právního rámce je jedním ze hlavních bodů přednášky.

Na úrovni práva EU je problematika cookies relativně stabilně upravena od roku 2009, kdy prošla směrnice č. 2002/58/ES významnou novelou, která přinesla mmj. tzv. opt-in režim souhlasu s cookies (čl. 5 odst. 3 ePrivacy směrnice). To znamená, že uživatel musí před uložením či zpřístupněním cookies nebo podobné technologie vyslovit souhlas, který odpovídá standardu souhlasu podle právní úpravy ochrany osobních údajů (tedy dnes GDPR). Jednoznačně požadavky na souhlas vyjádřil v roce 2019 SDEU v rozhodnutí Planet49. Mimo jiné uvedl, že předzaškrtnuté pole "Souhlasím" není jednoznačně projevený souhlas, což mělo významný dopad na praxi cookie bannerů.

Požadavek souhlasu uživatele se nevztahuje na případy, kde se jedná o nezbytné funkční ukládání údajů, nebo o přístup k nich v zařízení uživatele (tzn. essential cookies), "jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal". Jedná se o poměrně úzkou výjimku, která se nevztahuje na dnes převažující využití těchto technologií v oblasti online marketingu.

V unijním legislativním procesu se stále nachází návrh ePrivacy nařízení, které mělo aktualizovat předmětný právní rámec a nahradit ePrivacy směrnici. Jde o proces, který významně překročil očekávanou délku (původně bylo předpokládané přijetí a použitelnost společně s GDPR). I dnes schází jednoznačná shoda v rámci trialogu (na čemž mnoho nezměnily ani snahy v rámci českého předsednictví Rady), a není tudíž zdaleka jisté kdy a pokud vůbec a v jaké podobě bude ePrivacy nařízení přijato. Naopak unijním legislativním procesem již úspěšně prošel mmj. Akt o digitálních službách, který bude mít dopady i na řešenou problematiku, byť není zatím zřejmé, do jaké míry. V rámci přednášky bude těmto právním rámcům věnována pozornost ve snaze poskytnout plastický obrázek o současném i předvídatelném budoucím stavu relevantní právní úpravy.

Své zajímavosti má i historie české transpozice ePrivacy směrnice do zákona č. 127/2005 Sb. o elektronických komunikacích. Český zákonodárce neprovedl adekvátní transpozici novelizační směrnice č. 2009/136/ES, kterou byl zaveden opt-in režim souhlasu s cookies. Zatímco podpůrné legislativní dokumenty včetně důvodové zprávy obsahovaly přechod na princip opt-in, v textu zákona zůstával stále přítomný princip opt-out. Dle něj nebylo nezbytné, aby uživatelé udělili svůj souhlas předem, ale tento souhlas se předpokládal a pro zákonné užití cookies stačilo dát uživatelům možnost tuto technologii odmítnout. K narovnání s unijní úpravou došlo velmi opožděně až novelou č. 374/2021 Sb. s účinností od 1. 1. 2022. Nyní je tedy již § 89 odst. 3 zákona č. 127/2005 Sb. obsahově souladný se zněním čl. 5 odst. 3 ePrivacy směrnice. Nelze přitom pominout, že v důsledku ÚOOÚ začal princip opt-in plně požadovat po provozovatelích stránek s cookies až po tomto datu.

Cookies mohou obsahovat osobní údaje, ale zároveň o zpracování osobních údajů při jejich nasazení jít nemusí. I v takových případech je však udělení souhlasu pro tzv. non-essential cookies nezbytné. Účelem této úpravy totiž je chránit soukromý (virtuální) prostor uživatele v podobě jeho koncového zařízení před tím, aby do něj někdo bez jeho vědomí a souhlasu zasahoval. Z hlediska ochrany osobních údajů pak působí úprava § 89 ZoEK jako lex specialis a pro ukládání a přístup k těmto non-essential cookies v koncovém zařízení není možné aplikovat jiné právní tituly podle čl. 6 odst. 1 GDPR.

V posledních letech jsou významným aktivizačním prvkem v oblasti právní úpravy cookies a jejího účinného vymáhání iniciativy organizace NOYB, kterou založil Max Schrems, a která se na celoevropské úrovni snaží kultivovat úroveň ochrany osobních údajů a soukromí v online prostředí. Její aktivity přitom vedly v nedávné době k aktivnějšímu přístupu EDPB a národních DPA ve vztahu ke cookies, v roce 2021 byla založena koordinační Cookie Banner Taskforce a v roce 2022 se objevila první rozhodnutí o stížnostech, které NOYB na základě svých činností podala u národních DPA. I proto těmto aktivitám a jejich souvislostem bude věnována přiměřená pozornost na přednášce s Dr. Kaslem.

Výukové video

Doporučená literatura

• EDPB Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679, 4.5.2020
  
• EDPB Report of the work undertaken by the Cookie Banner Taskforce, 18.1.2023
• EDPB Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them, verze 2.0, 24.2.2023
  
• Tomíšek, J. Cookies a GDPR. Právní rozhledy, 2018, č. 20, s. 687-696.
• Tomíšek, J. Souhlasy s cookies a přístupy k ochraně osobníchúdajů. Pravnik. Academy of Sciences of the Czech Republic,Institute of State and Law, 2022, roč. 161, č. 6, s. 561-577.
• Noyb aims to end “cookie banner terror” and issues more than 500 GDPR complaints [online]. noyb.eu.  https://noyb.eu/en/noyb-aims-end-cookie-banner-terror-and-issues-more-500-gdpr-complaints