Cookies a rozsudek Soudního dvora EU ve věci Planet49
Autor: Mgr. Petr Otevřel | Vloženo: 18. 11. 2019 18:32 | Přečteno: 3663XUžívání cookies byla jednou z oblastí, která nebyla jasná ještě krátce před tím, než obecné nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, u nás známějšího pod anglickou zkratkou GDPR (dále jen „Nařízení“), vstoupilo v platnost. Jen několik dnů před tím, než Nařízení nabylo účinnosti, totiž vydal Úřad pro ochranu osobních údajů (ÚOOÚ) návrh doporučení ke zpracování cookies, ve kterém mj. uvedl, že za souhlas lze považovat už stav, kdy uživatel v nastavení prohlížeče umožnil webovské stránce ukládat cookies do koncového zařízení. Jak ovšem vyplývá z rozsudku Soudního dvora EU, takový výklad patrně není udržitelný.
K čemu jsou cookies?
Cookies jsou malé soubory, které webový server odešle do internetového prohlížeče uživatele, který navštívil internetové stránky využívající cookies. Soubory se uloží přímo do počítače dotyčného uživatele.
Účel užití cookies může být různý. Tzv. technické cookies zajišťují hladký chod určité funkcionality internetových stránek, např. cookies umožňující řádnou funkčnost nákupního košíku na e-shopu. Jiným účelem cookies je zpříjemnit uživateli opakované návštěvy internetové stránky, např. cookies si zapamatují jazyková nastavení, velikost písma nebo umožní předvyplnit formulář, protože si data o uživateli pamatují z jeho poslední návštěvy. Tzv. autentizační cookies umožňují, aby zůstal uživatel po určitou dobu přihlášený, např. na e-shopu nebo v administračním rozhraní, jinak by stránky po každé nové návštěvě požadovaly nové přihlášení. Uvedené cookies jsou obvykle pouze dočasné.
Vedle všech těchto funkcí, které jsou pro uživatele jednoznačně pozitivní, je třeba zmínit funkce reklamní a analytické, které jsou pozitivní především pro provozovatele internetových stránek. Cookies dokážou podrobně zmapovat chování uživatele internetových stránek, včetně toho, jaké stránky a v jakou dobu navštívil, odkud na ně přišel, a ukládají rovněž preference uživatele, především jaký obsah/zboží/služby jej zajímají. Tyto informace provozovatelé často předávají inzerentům, popř. se jedná přímo o cookies třetích stran. Následně cílí na uživatele ještě přesnější reklamy a nabídky zboží či služeb. V této souvislosti si lze si představit i širší využití nebo spíše zneužití cookies, protože z chování uživatele lze dovodit i řadu dalších informací, které mají povahu osobních údajů, často dokonce osobních údajů citlivých (např. informace o pravděpodobné náboženské, politické či sexuální orientaci dotyčného).
Vedle dělení cookies na technické a ty ostatní je důležité i rozdělení podle toho, zda jde o cookies „první strany“, které jsou ukládány pomocí skriptu běžícího na doméně provozovatele internetové stránky, nebo zda jde o cookies „třetích stran“ ukládané pomocí skriptů, které jsou natahovány z jiné domény, než na které se uživatel právě nachází. Právě cookies třetích stran jsou využívány pro marketingové účely, typické jsou např. cookies provozovatelů sociálních sítí, která se aktivují použitím tlačítka typu „To se mi líbí“ nebo „Sdílet na …“.
Nutno dodat, že uživatel může sice v nastavení každého internetového prohlížeče zcela deaktivovat možnost ukládat cookies, ale jak vyplývá ze shora uvedeného, tímto si však surfování na internetu hodně znepříjemní a řada stránek nebude fungovat správně. Vyhledání již uložených cookies podle jednotlivých stránek, ze kterých pocházejí, a jejich následný výmaz je sice možný také, ale to by musel uživatel dělat po každé návštěvě a bylo by to časově náročné s tím, že i takový výmaz by mohl znepříjemnit následnou návštěvu daných stránek.
Na druhou stranu vybrané prohlížeče už dnes umožňují jednoduše zablokovat pouze cookies třetích stran, např. v nastavení prohlížeče Safari v části „Soukromí“ stačí mít zatrženou možnost „Bránit ve sledování napříč stránkami“. Podobnou možnost nabízí i ostatní prohlížeče, jako např. Chrome, Mozilla nebo Edge.
Vyjádření souhlasu s cookies
Technická cookies, nezbytná pro řádný chod internetové stránky, může provozovatel využívat bez omezení a tedy i bez souhlasu uživatele.
Ostatní cookies, které sledují činnost uživatele a tyto informace ukládají a zpřístupňují provozovateli stránek, jsou však zpracováním osobních údajů uživatele. Provozovatel internetové stránky, která cookies využívá, tedy potřebuje souhlas dotčeného uživatele s takovým zpracováním (a to souhlas výslovný, vědomý a svobodný, viz čl. 7 Nařízení) a současně musí splnit informační povinnost (čl. 13 a násl. Nařízení).
Toto není žádná novinka, kterou by zavádělo Nařízení, problematiku cookies, skrytých identifikátorů a jiných obdobných nástrojů řešila již směrnice 2002/58/ES o soukromí a elektronických komunikacích. V ČR stále ne zcela vyjasněná však zůstává forma, jakou by měl uživatel udělit provozovateli souhlas s použitím cookies. Na aktuálnosti nabyla tato problematika v souvislosti s Nařízením nikoliv kvůli nějakým podstatným změnám právní úpravy, ale spíše kvůli obecně vyšší publicitě, kterou oblast zpracování osobních údajů „díky“ Nařízení získala.
Doporučení ÚOOÚ
ÚOOÚ vydal dne 22.5.2018 návrh „Doporučení ke zpracování cookies a obdobných prostředků sledování“, ve kterém konstatoval, že uživatel určuje v nastavení svého internetového prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení. „Toto nastavení lze považovat za souhlas se zpracováním osobních údajů. Prohlížeč je nástrojem zprostředkování souhlasu.“ Dále uvedl, že takto uvedený souhlas je paušálním souhlasem, který není nutné dále konkretizovat pro jednotlivý vyhledávač nebo zpravodajský server.
Je možné, že ÚOOÚ vycházel mj. z bodu 32 recitálu (odůvodnění) Nařízení, podle kterého lze souhlas projevit také „volbou technického nastavení pro služby informační společnosti.“ S takto benevolentním výkladem by však SDEU nesouhlasil.
Rozhodnutí Soudního dvora EU ve věci C673/17
Spor se týkal provozovatele spotřebitelských reklamních loterií Planet49 GmbH, který v jedné z nich (na stránkách www.dein-macbook.de) podmiňoval účast v této loterii mj. zadáním PSČ a následně svého jména a adresy prostřednictvím webového formuláře. V rámci formuláře byly uvedeny dva souhlasy se zaškrtávacími políčky, ovšem políčko u druhého souhlasu bylo předem zaškrtnuto. Pokud si toho uživatel nevšimnul a zaškrtnutí nezrušil, tak vyjádřil souhlas s použitím webové analytické služby Remintrex, a s tím, že mu budou po zaregistrování do loterie nainstalovány do prohlížeče soubory cookies, které spol. Planet49 GmbH umožní využívat údaje o prohlížení webu ze strany uživatele, o jeho návštěvách internetových stránek reklamních partnerů a zasílat reklamu zaměřenou na zájmy uživatele. Souhlas obsahoval i odkaz na další informace, včetně informace o tom, že cookies může kdykoliv smazat.
Poté, co spor dospěl až k německému Nejvyššímu soudnímu dvoru, ten řízení přerušil a položil Soudnímu dvoru EU (SDEU) tzv. předběžné otázky, vztahující se k získání souhlasu s užíváním cookies (a tedy i se zpracováním osobních údajů) a také otázky ohledně informační povinnosti.
SDEU nejdříve potvrdil, že v posuzovaném sporu jde o zpracování osobních údajů, protože Planet49 GmbH cookies uložené do prohlížečů registrovaných uživatelů obsahují jedinečné číslo, které se vztahuje ke konkrétnímu uživateli a dochází tak k personalizaci údajů uložených prostřednictvím cookies.
Následně SDEU uvedl, že již zrušená směrnice 95/46/ES (o ochraně fyzických osob v souvislosti se zpracováním osobních údajů) požadovala, aby subjekt údajů (uživatel) udělil souhlas „nezpochybnitelně“. Takový požadavek splňuje dle SDEU pouze aktivní jednání subjektu údajů.
SDEU rozhodoval spor, který započal ještě před nabytím účinnosti Nařízení (GDPR), přesto odpovědi na předběžné otázky zpracoval jak podle právního stavu před nabytím účinnosti Nařízení, tak i podle samotného Nařízení. SDEU proto v odůvodnění odkázal také na bod 32 recitálu Nařízení, podle kterého lze souhlas vyjádřit rovněž formou „zaškrtnutí políčka při návštěvě internetové stránky, volbou technického nastavení pro služby informační společnosti“ nebo jiným jednáním, „které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas“.
S odkazem na shora uvedené SDEU uzavřel, že souhlas se zpracováním osobních údajů prostřednictvím cookies není právoplatně udělen, pokud je ukládání cookies povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí musel uživatel k odmítnutí svého souhlasu zrušit.
Kdy představuje užití cookies zpracování osobních údajů?
Toto je otázka, kterou SDEU řešil v citovaném rozhodnutí jako první. Obecně můžeme vycházet z bodu 30 recitálu Nařízení, podle kterého prostřednictvím síťových identifikátorů, např. adresy internetového protokolu (IP adresa) nebo identifikátorů cookies „mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.“ Jinými slovy nikoliv každá aplikace cookies představuje zpracování osobních údajů, protože i u cookies platí obecná definice osobního údaje, jehož pojmovým znakem je možnost přímo nebo nepřímo identifikovat konkrétní fyzickou osobu.
Pokud ovšem provozovatel získá pomocí cookies IP adresu a případně i další údaje o uživateli (např. adresní či popisné), o zpracování osobních údajů se jedná. Za osobní údaj se přitom považuje i tzv. dynamická IP adresa, jak vyplývá ze staršího rozhodnutí SDEU ve věci Breyer (C-582/14). Z uvedeného vyplývá, že velká část provozovatelů, kteří užívají cookies, tak skutečně zpracovává osobní údaje, ačkoliv řada z nich je přesvědčena o tom, že s žádnými osobními údaji vůbec nedisponují.
Co z toho všeho vyplývá?
V tuto chvíli lze konstatovat, že velká část tzv. cookies lišt, prostřednictvím kterých provozovatelé internetových stránek získávají souhlas s užíváním cookies a zpracováním takto získaných osobních údajů, z pohledu SDEU neodpovídá požadavkům Nařízení. Takto „udělené“ souhlasy by pak musely být považovány za nezákonné. Situace se zdá býti jasná, navíc SDEU posuzoval právní stav ke dni, kdy Nařízení (GDPR) dosud neplatilo a lze říct, že výklad, který nyní SDEU aplikoval, měl být aplikován už celá léta. I v české právní teorii v posledních letech převážil výklad, podle kterého by provozovatelé internetových stránek měli souhlas s užitím cookies v tzv. režimu opt-in (tedy výslovný souhlas), a nikoliv v režimu opt-out (uživatel souhlasí, pokud neodmítnul např. formou odstranění "fajfky" v předem zaškrtnutém políčku).
V tomto smyslu bylo spíše překvapivé, když ÚOOÚ v citovaném návrhu doporučení dovodil souhlas už jen z faktu, že uživatel zcela nevypnul možnost ukládání cookies. ÚOOÚ v doporučení mj. zmínil i § 89 odst. 3 zákona č. zákona 127/2005 Sb., o elektronických komunikacích. Podle tohoto ustanovení „Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout.“ Uvedené ustanovení tedy obsahuje tzv. opt-out princip, což je v naprostém rozporu se směrnicí o soukromí a elektronických komunikacích, která vyžaduje naopak tzv. opt-in princip, tedy aktivní souhlas. Přesto je tato úprava až dosud součástí českého právního řádu, takže bychom naopak mohli dojít k závěru, že předem zaškrtnutá políčka jsou při získávání souhlasu s cookies úplně v pořádku, pokud má uživatel možnost takto „udělený“ souhlas odmítnout. Navíc toto všechno podpořil ÚOOÚ svým výkladem.
Potíž je však v tom, že Nařízení je rovněž součástí českého právního řádu, protože má přímou působnost a v okamžiku vstupu v platnost se stává součástí právního řádu všech členských států EU. Z bodu 32 recitálu Nařízení, ale také z definice souhlasu v čl. 4 odst. 11 Nařízení a celého kontextu úpravy souhlasu se zpracováním osobních údajů přitom vyplývá, že souhlas musí být vyjádřen aktivním a konkrétním projevem vůle.
Vzhledem k citovanému rozhodnutí SDEU ve věci Planet49 je zřejmé, že souhlas se zpracováním osobních údajů udělený v režimu opt-out je nezákonný, a nic na tom nemění úprava českého zákona o elektronických komunikacích ani fakt, že si uživatel nedeaktivuje užívání cookies ve svém prohlížeči.
Po úplnost ještě dodávám, že celá problematika bude v horizontu dvou až tří let upravena v novém nařízení o soukromí a elektronických komunikacích (návrh nařízení ePrivacy, které nahradí stávající směrnici 2002/58/ES), které ještě zdůrazní princip opt-in.
Závěr
Na stránkách ÚOOÚ je stále k dispozici původní návrh doporučení z 22.5.2018, ovšem s poznámkou, že v souvislosti se shora citovaným rozhodnutím bude tento návrh aktualizován. Bude proto zajímavé, jakým způsobem ÚOOÚ doporučení upraví. Je však zřejmé, že řada provozovatelů internetových stránek se řídila výkladem samotného ÚOOÚ (i když mělo jen podobu „návrhu“) a byla v dobré víře, že režim opt-out je jak v souladu s výkladem ÚOOÚ, tak i v souladu s platným zákonem o elektronických komunikacích. Pokud takový provozovatel je schopen pomocí cookies identifikovat jednotlivé uživatele, a tedy zpracovává osobní údaje, měl by provést změnu režimu získávání souhlasu a rovněž by měl vzít na vědomí, že nezákonně získaný souhlas je neúčinný a neopravňuje jej takto získané osobní údaje zpracovávat.
Provozovatelé internetových stránek by proto měli:
- ujasnit si, jaké cookies užívají a jaká je jejich právní povaha (dochází při jejich užití ke zpracování osobních údajů?),
- upravit v cookies lištách tzv. opt-in souhlas, pokud užívají neanonymizovaná analitická, marketingová nebo obdobná cookies, prostřednictvím kterých dochází ke zpracování osobních údajů,
- pamatovat na informační povinnost, která je dle Nařízení opravdu rozsáhlá.
Mgr. Petr Otevřel, otevrel@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem a problematikou zpracování osobních údajů.