UPDATE: Zákon byl definitivně schválen Poslaneckou sněmovnou a odmítl senátní připomínky. Novela teď míří k podpisu prezidenta a měla by vstoupit v účinnost od 1.1.2022.
Pravidla pro cookies se zpřísní! Poslanecká sněmovna minulý týden schválila novelu zákona o elektronických komunikacích, která přináší zásadní změny. Jak nově vyžadovat souhlas s ukládáním cookies?
V Poslanecké sněmovně došlo v rámci třetího čtení ke schválení velmi důležitého zákona, který se týká (nejen) cookies. O problematice cookies bylo napsáno mnoho řádků, ty se však od 1. ledna 2022 pravděpodobně stanou minulostí. Sněmovna totiž ve třetím čtení schválila novelu zákona o elektronických komunikacích, v jejímž rámci dochází k úplnému obratu z hlediska právní úpravy. Problém staré právní úpravy O tom, jak byla daná úprava problematická, jste na stránkách Zpravodaje mohli číst několikrát (například v rámci závěrů z kontrolní činnosti zde). Prvopočátek problému lze datovat k okamžiku, kdy zákonodárce nesprávně implementoval povinnosti vyplývající ze směrnice ePrivacy (stále ještě neplést s nařízením ePrivacy, jež se teprve připravuje), která měla za cíl stanovit konkrétní standard v případě ochrany soukromí v rámci elektronických komunikací, tedy i v rámci ukládání cookies. Směrnice totiž stanovovala princip opt-in, tedy že uložení cookies je zjednodušeně řečeno možné až v okamžiku, kdy k tomu dal uživatel výslovný souhlas. Ostatně tento princip několikrát potvrdila i rozhodovací praxe Soudního dvora Evropské unie (viz například rozhodnutí ve věci Planet49 zde). Pokud bychom však otevřeli dosavadní zákon o elektronických komunikacích (tedy zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů – zákon o elektronických komunikacích) a nalistovali ustanovení § 89 odst. 3, dočetli bychom se v první větě daného ustanovení následující: „Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout.“ Zákon tedy nevyžaduje aktivní souhlas uživatele, respektive návštěvníka webu, ale pro uložení cookies dle litery zákona postačí, pokud mu po poskytnutí relevantních informací umožníme takové uložení odmítnout. Zákon tedy stanovuje takzvaný režim opt-out, což se stalo oříškem pro ÚOOÚ (jak se dočtete ve výše zmíněném článku), neboť nebylo zřejmé, jak navzdory stanoviskům WP29 či rozhodnutím SDEU (jako bylo například rozhodnutí ve věci Planet49) nebo také v rámci pokynů EDPB, k dané problematice během kontrol přistupovat. To by se však mělo změnit. Nová právní úprava Jak zní aktuálně platné a účinné ustanovení, vidíme výše. V rámci nové právní úpravy se navrhuje větu „je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout“ nahradit slovy „získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování“. V rámci důvodové zprávy se k tomuto ustanovení dozvíme, že „tento režim, někdy nazývaný opt-in, vždy platil, byl tady i před GDPR, GDPR tento režim jen důrazně podpořil. Do budoucna se rovněž nepředpokládá jiná forma režimu, resp. opt-out.“ Změny v praxi Jak by se tedy měla změna konkrétně projevit? V současnosti stěží můžeme hovořit o „best practice“, neboť s ohledem na potíže vyjmenované výše k problematice získávání souhlasu každý provozovatel webových stránek přistupoval trochu jinak. Pravděpodobně se shodneme na tom, že nejběžnější případ byl, že uživatel přišel na webové stránky a v rámci lišty ve spodní části stránky se mu zobrazila krátká informace o tom, že stránka používá technologie cookies, a s trochou štěstí se tam vyskytoval i odkaz na dokument s bližším vysvětlením. Tato praxe byla v rozporu s úpravou v rámci směrnice ePrivacy, což bylo mnohokrát potvrzeno během rozhodovací praxe SDEU, ale i v rámci kontrolní činnosti ÚOOÚ, nicméně v ČR byla přinejmenším tolerovaná (viz problematický dokument Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018 zde, ale také závěry z kontrol ÚOOÚ, jenž se posouzení této otázky většinou explicitně vyhnul). Dlužno dodat, že v rámci této praxe docházelo často k porušování smluvních podmínek s poskytovatelem technického řešení, který pro určité typy cookies vyžadoval výslovný souhlas návštěvníka webu (viz například smluvní podmínky společnosti Google zde). Tak či tak, zavedená praxe bude brzo s nejvyšší pravděpodobností minulostí a od 1. ledna 2022 (pokud novelu schválí Senát) bychom měli vyžadovat od návštěvníků webu souhlas, a to mnohdy nejeden. Z GDPR totiž vyplývá princip takzvané granularity souhlasů a oddělitelnosti účelů. Nelze si tedy pro rozličné účely a rozličné cookies vystačit s jediným souhlasem (bez možnosti upravit dílčí souhlas pro jednotlivé účely). Zapracovat bychom měli také na plnění informační povinnosti tak, aby splňovala standardy GDPR (to pak platí i o příjemcích osobních údajů). Co nezbytné cookies? Zákon o elektronických komunikacích nedopadal na všechny cookies a ze své působnosti vylučoval cookies užívané „pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem“ (viz znění § 89 odst. 3 daného zákona). Jedná se o takzvané technické či nezbytné cookies, jejichž úlohou není sledování uživatele samo o sobě, ale nebylo by bez nich prakticky možné například předmětnou webovou stránku uživateli zobrazit. Pro vyloučení pochybností se ale patří uvést, že se jedná o objektivní kategorii cookies, kterou nemůžeme rozšiřovat vlastním výkladem (například že bez remarketingových cookies by naše stránka neměla smysl, a proto jsou takové cookies nezbytné). Co bude dál? Po schválení zákona Poslaneckou sněmovnou ještě musí dojít k dalším schválením ze strany Senátu a následně k podpisu prezidenta a vyhlášení zákona ve Sbírce zákonů. Kladete si otázku, zda je možné, že se dané ustanovení, které řádně implementuje opt-in (a napravuje tak dlouhá léta, kdy byla směrnice implementovaná nedostatečně), ve skutečnosti do českého právního systému nedostane? Taková šance se limitně blíží nule, neboť s předmětným ustanovením v rámci legislativního procesu prozatím nebyly větší komplikace a stejně jako píše důvodová zpráva, „do budoucna se rovněž nepředpokládá jiná forma režimu, resp. opt-out“, což nejpozději s příchodem nařízení ePrivacy bude skutečně potvrzeno (více v článku o ePrivacy zde). Ačkoliv není daná právní úprava platná a její účinnost by měla nastat až 1. ledna 2022, je vhodné využít následující čas k tomu, abychom zrevidovali současné postupy v rámci ukládání cookies a nejprve zjistili, co vše bude nutno napravit a upravit. Doporučujeme sledovat legislativní proces a okamžikem, kdy danou novelu v tomto znění schválí Senát, se pustit do úpravy. Pomůže vám k tomu náš připravovaný článek, kde v otázkách a odpovědích rozebereme jednotlivé aspekty ukládání cookies a společně se tak připravíme na příchod nové změny.
Článek byl publikován v Elektronickém zpravodaji pro pověřence