Situace ohledně souhlasů s ukládáním souborů cookies v České republice snad nemůže být více nepřehledná. Proč ÚOOÚ stále nevydal finální doporučení? Existuje ještě vůbec a má pro nás nějaký význam? Na jednotném přístupu se neshodli ani kontroloři během
letošních kontrol ÚOOÚ. Jak tedy ke cookies správně přistupovat?
ÚOOÚ „zveřejnil“ záhadnou tiskovou zprávu, jež dost možná zamává se současnými poměry ukládání cookies, které Úřad zavedl prostřednictvím návrhu Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018 (dále jen „návrh doporučení“), který je dostupný zde. Pojďme však popořádku.
Obsah návrhu doporučení
Člověk nemusí být pamětník, aby se rozpomenul na jeden z nejdiskutovanějších dokumentů, který ÚOOÚ kdy vydal. Návrh doporučení byl nabídnut veřejnosti k připomínkám dne 22. května 2018, a ačkoli se lhůta pro zaslání připomínek dvakrát posunula, v létě jsme oslavili dvouleté výročí marného čekání, kdy z doporučení zmizí velký šedý nápis „návrh“. Samotný dokument byl poměrně dost kritizován odbornou veřejností – už jen proto, že některé konkrétní návrhy byly v přímém rozporu se závěry stanovisek WP29, konkrétně například WP171, na které se návrh doporučení sám odvolával.
V čem je zakopaný pes
K samotnému návrhu doporučení i důvodům, „proč je všechno špatně“, jsme se ve Zpravodaji v minulosti věnovali několikrát, proto jen velmi rychle zrekapitulujme právní úpravu. Na počátku stojí směrnice ePrivacy (neplést s doposud nepřijatým nařízením ePrivacy), která měla za cíl stanovit určitý standard v případě ochrany soukromí v rámci elektronické komunikace (tedy včetně cookies). Záměrně opomeneme změnu právní úpravy v rámci novelizační směrnice a přejdeme k úkolu, který měl každý zákonodárce v rámci směrnice udělat. Směrnice totiž stanovovala, že pro uložení cookies je nutný tzv. opt-in (tedy aktivní souhlas uživatele).
To, co doporučení z ÚOOÚ uvádí jako dostačující praxi, orgány EU považují za nepřípustnou praktiku
Náš zákonodárce však v rozporu s výše zmíněným šel jinou cestou a přijal v zákoně o elektronických komunikacích (dále jen „ZEK“) řešení opt-out (tedy téměř automatickou možnost ukládat cookies a možnost udělit nesouhlas s jejich uložením). Tato skutečnost byla notoricky známá prakticky všem, ale pro širokou veřejnost to mělo pramalý význam. To se však změnilo s příchodem GDPR.
Všichni si totiž začali klást otázku, jak GDPR dopadá na cookies a zda bychom přece jen neměli opomíjet ZEK a řídit se úpravou, kterou uvádí směrnice. Zjednodušeně řečeno – zda nevyžadovat aktivní souhlas návštěvníka stránky, i když to po nás zákon (byť v rozporu s unijním právem) nevyžaduje.
ÚOOÚ se s tímto (mimo jiné) vypořádal v návrhu doporučení tak, že za souhlas lze v zásadě považovat i nastavení prohlížeče, který umožňuje ukládat cookies třetích stran (proč je to špatně, se dozvíte na straně 14 WP171).
Kontroly v prvním pololetí roku 2020
Nyní již k tomu, jak se ÚOOÚ v rámci provedených kontrol s výše uvedenými problémy vypořádal; konkrétně s rozporem mezi opt-out a opt-in, s konkrétními doporučeními v návrhu doporučení, které byly již v době sepisu v rozporu s tím, co požadovala WP29 (viz WP171), ale i s dalšími novými skutečnostmi, jako je rozhodnutí Soudního dvora EU ve věci Planet49 či nové pokyny EDPB, tedy Pokyny 05/2020 o souhlasu podle nařízení GDPR. ÚOOÚ totiž na základě tzv. „stošestky“ uveřejnil přímo pokyny k daným kontrolám.
Asi by bylo vhodné na začátek upozornit, že hovořit od této chvíle o „názoru ÚOOÚ“ je zavádějící. Na kontrolách se totiž podílelo vícero inspektorů a tzv. kontrolujících osob, a jak už to bývá, komunikace mezi některými pravděpodobně vázne.
Pojďme rovnou k tomu nejdůležitějšímu – jak se ÚOOÚ staví ke „sbírání souhlasu“, tedy k rozdílu mezi opt-in a opt-out? Extrémně zajímavě. Ve dvou kontrolách se totiž ÚOOÚ tímto vůbec nezabýval a uvedl, že kontrolující „nemohou splnit požadavek § 12 odst. h) zákona č. 255/2012 Sb., kdy kontrolující mají kontrolní zjištění s uvedením nedostatků porovnat s předpisy, které byly porušeny“ a „z toho důvodu kontrolující zjištěný stav věcí právně nehodnotí“.
ÚOOÚ tak v těchto dvou případech (čj. UOOU-00381/20-15 a čj. UOOU-00413/20-11) vyhodnotil, že pro rozpor ZEK a směrnice ePrivacy aktuálně existuje „právní vakuum“, které považuje za značně rizikové, „a to zejména s ohledem na nepředvídatelnost posuzování otázky, zda je konkrétní řešení zvolené správcem možné považovat za dostatečné ve smyslu příslušných ustanovení GDPR“.
Co ale v ostatních případech? Zde (opět jen někteří) kontroloři uvedli dlouhý výklad týkající se přímých účinků směrnice a dalšího výkladu (který považujeme s ohledem na reflektování evropské judikatury za velmi zdařilý), nicméně omezili se na skutečnost, že byť je mezi ZEK a směrnicí ePrivacy rozpor, prostě se řídíme ZEK, a tím pádem i návrhem doporučení. Což je vlastně paradoxní, protože pokud bychom se měli řídit jen ZEK, v zásadě nemusíme řešit to, co se píše ve směrnici, a tím pádem ani tím, co je v návrhu doporučení.
Tajná tisková zpráva
A zde to začíná být opravdu zajímavé, alespoň tedy co do obsahu kontrolních protokolů, které se opírají o samotný návrh doporučení. Konkrétně v případě kontroly České televize totiž bylo uchování cookies založeno mimo jiné právě na základě paušálního souhlasu, který spočívá v samotném nastavení prohlížeče uživatelem. Tedy něco, co návrh doporučení skutečně uvedl jako dostačující praxi, ale naopak WP29, EPDB i SDEU těžce odmítal jako nepřípustnou praktiku.
Právě proto je velmi zvláštní, že výše jmenované kontroly, které se nechtěly samotným souhlasem zabývat, samotnou praktiku souhlasu skrz prohlížeč považují za nedostatečnou. Posuďte sami: „Aby tedy souhlas udělený pomocí nastavení prohlížeče splňoval výše uvedené nároky, musel by daný prohlížeč umožňovat povolení cookies pro konkrétní účely, pro něž je jednotliví správci zpracovávají. Standardní nastavení prohlížeče samozřejmě umožňuje blokovat ukládání cookies třetích stran, takové nastavení však v žádném případě nelze považovat za vztahující se k účelu zpracování cookies, ale je nutné ho považovat za nastavení vztahující se primárně ke kategorii příjemců osobních údajů.“
V závěru, který se týká souhlasu, dále ÚOOÚ uvádí: „Vzhledem ke skutečnosti, že kontrolovaná osobapostupuje při zpracování cookies v souladu s Doporučením úřadu z roku 2018, kdy tento stanovil, že paušální souhlas […] je možné považovat za souhlas splňující definiční znaky čl. 4 odst. 11 GDPR, nehodnotili kontrolující naplnění čl. 7 GDPR, tedy podmínky vyjádření souhlasu.“
To však není vše. Pozoruhodný je totiž další kontrolní protokol (čj. UOOU-00413/20-11), kde se hovoří o tiskové zprávě, která však v době psaní tohoto článku není na stránkách ÚOOÚ dostupná. O to zajímavější je její obsah.
Kontrolní orgán totiž cituje tiskovou zprávu, která měla být vydána 14. února 2020 (ačkoli k tomuto dni tam žádná taková není k nalezení), přičemž přímo zásadní informací je, že s ohledem na to, že diskuze o nařízení ePrivacy se objektivně protáhla, „považuje ÚOOÚ za nutné uzavřít veřejnou diskusi nad návrhem doporučení […]. O návrhu odborná veřejnost vedla bouřlivé debaty; část návrhu doporučení přivítala, ale jiná část odmítla. S ohledem na to, že ani v odborné veřejnosti nepanuje shoda, ÚOOÚ nepovažuje za možné podat podrobnější abstraktní výklad.“
Konec návrhu doporučení?
Připadá-li vám to šokující, přečtěte si další citaci tiskové zprávy: „Dokud nebude v ČR existovat nezpochybnitelný zákonný výraz opt-in, ÚOOÚ nemůže ve své konzultační a dozorové praxi vyhovět požadavkům praxe na autoritativní výklad § 89 odst. 3 ZEK, a nezohlednit přístupy doporučení v dokumentech WP-29, nebyla-li potvrzena výkladem ESD nebo nemají-li výslovnou oporu v ZEK a GDPR.“ Pokud tedy stále chováte důvěru v návrh doporučení, následná citace vás bude zajímat: „Proto nezbývá než návrh doporučení […] k dnešnímu dni stáhnout a veřejnou diskuzi ukončit“.
Souhlas musí odpovídat podmínkám GDPR a být v souladu s rozhodnutím Planet49
Ve vztahu k právnímu titulu pak ÚOOÚ v předposlední části tohoto stanoviska udává pravidlo, že je-li právním důvodem souhlas, musí odpovídat podmínkám GDPR a být v souladu s rozhodnutím Planet49. To však je v rozporu s praxí generálního souhlasu prostřednictvím nastavení prohlížeče tak, jak se nadužívalo dodnes.
CO Z VÝŠE UVEDENÉHO VYPLÝVÁ:
1. Sami kontroloři napříč kontrolami uplatňují různé přístupy, čemuž odpovídají i odůvodnění jednotlivých protokolů o kontrole.
2. Někteří kontroloři se otázce opt-in/opt-out nevěnovali s tím, že ji nemohou posoudit (a tudíž ani pokutovat), někteří se naopak odvolávali na soulad ukládání cookies s návrhem doporučení.
3. Tento návrh doporučení měl však být pravděpodobně definitivně pohřben 14. února 2020, alespoň podle stanoviska, které je citováno v jednom kontrolním protokolu.
4. Podle daných informací zaujímá ÚOOÚ přístup, že k této věci spíše nebude vydávat další metodické pokyny (kromě těch, které uvedl přímo v daném stanovisku a které nás skutečně nikam neposouvají) ani se k tematice dál autoritativně vyjadřovat.
Bude ÚOOÚ ukládat sankce?
Po tomto bychom mohli nabýt dojmu, že ÚOOÚ v zásadě nikdy sankce za cookies ukládat nebude, tudíž souhlasy řešit nemusíme. To však nemusí být nutně pravda, neboť:
Předně, s ohledem na nové volby s nejvyšší pravděpodobností dojde k personální obměně většiny kontrolních osob, tudíž je dost možné, že proběhne názorová změna či upřesnění (vzpomeňme si na změnu přístupu ÚOOÚ ve věci Ryneš).
Dle informací ÚOOÚ z tiskové zprávy zkoumá Evropská komise v současnosti transpozici směrnice ePrivacy v jednotlivých členských státech, tudíž může dojít k napadení a následné novelizaci z opt-out na opt-in.
Některé služby pro určité cookies (hlavně remarketing a podobně) vyžadují opt-in bez ohledu na zákonné požadavky (schválně se podívejte do svých smluvních podmínek v případě Google Analytics).
Ne vždy nás zajímá jen česká legislativa a český dozorový úřad – a to zejména v případě, kdy cílíme i na jiné státy, respektive uživatele z cizích států.
Co tedy můžeme očekávat? Minimálně to, že v krátké době po sepsání tohoto článku dojde pravděpodobně k vyjasnění skutečností ohledně tiskové zprávy. Každopádně stojí za to zkontrolovat, jak cookies ukládáme.
Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 3. 9. 2020