Cookies, neboli textové soubory, které server umísťuje do počítače uživatele webových stránek a které následně odesílají informace o jeho chování zpět na příslušný server, nacházejí v poslední době široké využití pro tzv. cílenou reklamu i marketing.
Činnost uživatele na internetu, jaké akce podniká a na jaké stránky chodí, by nově měla být součástí ochrany osobních údajů, což do dnešní doby nebyla.
Evropská unie právě v obavě z negativních dopadů využívání cookies na soukromí uživatelů internetu chystá zpřísnění právní úpravy ochrany osobních údajů.
V půli června schválila Rada EU tzv. obecný přístup k návrhu nařízení o ochraně údajů, podle něhož mají být pod osobní údaje zahrnuty i cookies.
Dopady změn
Změna právní regulace bude mít vliv i na povinnosti provozovatelů webových stránek v České republice. A bude to mít dopad jak na uživatele, tak především na provozovatele internetových stránek – na jejich povinnosti týkající se správy a nakládání s daty.
Podle dnes platné legislativy Evropské unie je možné odlišit dva druhy cookies:
mandatorní, které jsou nezbytné k funkčnosti internetových stránek a které lze používat i bez souhlasu uživatele internetu před vstupem na dané stránky cookies, které slouží provozovatelům mimo jiné ke sběru osobních dat, a které vyžadují předchozí souhlas uživatele internetu k jejich používání.
Současná směrnice EU – tzv. e-Privacy směrnice (jde o směrnici č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací) tak zavazuje členské státy, aby přijaly právní úpravu vyžadující předchozí souhlas s používáním druhé jmenované skupiny cookies.
A právě tuto směrnici česká právní úprava nereflektuje nejkvalitněji.
Zatím bez potřeby souhlasu uživatele
Zákon o elektronických komunikacích stanoví pro provozovatele internetových stránek povinnost předem prokazatelně informovat uživatele internetu o rozsahu a účelu zpracování dat získaných pomocí cookies.
Ale nevyžaduje souhlas uživatele již před uložením cookies na uživatelův počítač. Podle zákona postačuje, aby provozovatel stránek nabídl uživateli možnost používání cookies odmítnout.
Provozovatelé internetu v Česku tak mohou zpracovávat informace o uživatelích internetu bez jejich souhlasu.
Cookies jako osobní údaj
A jak se tedy změní situace po přijetí nařízení EU?
Jestliže se bude na cookies nahlížet jako na osobní údaje a na provozovatele webových stránek jako na správce osobních údajů, znamenalo by to nepochybně zpřísnění regulace používání cookies.
Již v současné době totiž i česká právní úprava (zákon o ochraně osobních údajů) až na některé výjimky vyžaduje předchozí souhlas dotyčné osoby se zpracováním jejích osobních údajů.
Rovněž stanovuje další povinnosti pro správce osobních údajů (zejména rozsáhlou informační povinnost vůči subjektu údajů a oznamovací povinnost vůči Úřadu pro ochranu osobních údajů – ÚOOÚ).
Lze očekávat, že v souvislosti s plánovanými změnami na unijní úrovni bude tento úřad trvat na důsledném plnění informační povinnosti, která vyplývá jak z e-Privacy směrnice, tak ze zákona o elektronických komunikacích.
Povinnost informovat
Proto by provozovatelé webových stránek využívající cookies měli uživatele řádně informovat o tom, jaké údaje jsou v souvislosti s využitím stránky ukládány na jeho počítači. A dále v jakém rozsahu a za jakým účelem jsou zpracovány. A také kým jsou zpracovány a především, jakým způsobem lze zpracování údajů odmítnout.
Zároveň je možné doporučit, aby provozovatelé webových stránek používali cookies v tzv. režimu opt-in, tzn., aby si vyžádali předchozí informovaný souhlas uživatele.
Takový souhlas může být udělen například zakliknutím odkazu v pop-up oknu, které se zobrazí při spuštění webových stránek.
Znamená to sice další administrativní zátěž pro provozovatele webových stránek, na druhou stranu se tím vyhnou případným sankcím za porušení ochrany osobních údajů.