V České republice je problematika cookies (původně regulována evropskou směrnicí Privacy and Electronic Communications Directive z roku 2002, dále jen „směrnice ePrivacy“) konkrétněji upravena zákonem č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (kam byla evropská úprava transponována zákonem č. 468/2011 Sb.), kde je jasně uvedeno, že webová stránka musí informovat uživatele o tom, že jsou zpracovávány (a do počítače uživatele ukládány) cookies. V praxi se toto často řeší pomocí „proužku“, který se na webových stránkách objevuje a který uživatel potvrzuje, pokud souhlasí s tím, že se k němu mohou ukládat příslušné soubory cookies (tedy opt-in režim).

Tím se konečně dostáváme k názvu tohoto textu. Provozovatelé některých webových stránek se totiž rozhodli přístup podmínit potvrzením zpracovávání a ukládání cookies, tedy bez jejich odsouhlasení není uživatel na stránku vůbec vpuštěn. Právě tato praktika se nazývá „cookie wall“ a v březnu 2019 se k ní vyjadřoval příslušný holandský úřad na ochranu osobních údajů (Autoriteit Persoonsgegevens). Svou analýzu pojal ve smyslu rozporu této praktiky se zněním Obecného nařízení o ochraně osobních údajů č. 2016/679 (GDPR). Konkrétně se jednalo o to, že udělovaný souhlas musí být v souladu s GDPR dostatečně určitý, informovaný a svobodně udělený, aby mohl být platný.

Rozpor je zde vidět na první pohled - pokud je souhlasem podmíněn vstup na danou webovou stránku (případně má neudělení souhlasu pro uživatele jiné negativní konsekvence), tak nelze hovořit o tom, že je takový souhlas svobodně udělen. To samozřejmě platí pro všechny nástroje, které uživatele nějakým způsobem monitorují - tedy nejen cookies, ale tzv. tracking pixels (fragment kódu HTML, který se načte, když uživatel navštíví webovou stránku nebo otevře e-mail) a browser fingerprinting (metoda identifikace jednotlivých prohlížečů a sledování online aktivity uživatele).

V praxi je celá situace o to horší, že provozovatelé webových stránek, kteří používají praktiku cookie wall často sdružují informace o různých cookies (např. cookies potřebných pro patřičné fungování webové stránky, cookies sloužících pro analýzu návštěvnosti na dané stránce a v neposlední řadě „reklamní“ cookies třetích stran) do jednoho souhlasu (bez jehož udělení není vstup na webovou stránku povolen) - tedy není možné si vybrat souhlas pouze s některými cookies.

Provozovatelé takových webů se brání, že jejich přístup je v souladu se současnou směrnicí ePrivacy and Electronic Communications Directive z roku 2002, která říká: „Přístup k určitému obsahu webových stránek může být stále podmíněn informovaným přijetím souboru cookie nebo podobného zařízení, pokud je používán pro legitimní účely.“

Z formulace je jasné, že se nejedná o přístup k celé webové stránce ale pouze „určitému obsahu“ a o legitimním účelu by taktéž bylo možné vést diskusi. Navíc platí, že celá směrnice ePrivacy bude brzy nahrazena novým přímo použitelným nařízením ePrivacy.

Vzhledem k tomu, že otázka cookies pálí nejenom provozovatele webových stránek ale i samotné návštěvníky, kteří se obávají vlivu na soukromí, vydal i Český úřad pro ochranu osobních údajů (ÚOOÚ) v květnu 2018 své doporučení ke zpracování cookies a obdobných prostředků sledování, neboť obdržel od veřejnosti četné dotazy týkající se vlivu v té době čerstvě účinného GDPR a nejistoty před schválením výše zmíněného nařízení ePrivacy. Regulátor zde cookies dělí na ty, které jsou nezbytně nutné pro zajištění provozu webových stránek a internetových služeb - pro tyto cookies není nutné získat souhlas uživatele. Ten naopak bude nutný pro všechny ostatní (sem budou patřit zejména různé profilovací a reklamní cookies třetích stran).

Resumé tohoto textu tedy není jednoznačné, názor holandského regulátora je bezesporu první vlaštovkou, která nicméně ještě neprošla testem u Evropského soudního dvora. Obecně z pojetí GDPR a současných návrhů v oblasti znění nařízení ePrivacy je nicméně patrné, že s velkou pravděpodobností se dočkáme časem situace, kdy budou cookie walls a spojování povinných souhlasů pro různé druhy cookies historií. Uživatel by neměl být ve svém záměru vstoupit na webovou stránku vzat jako rukojmí a donucen schválit všechny druhy cookies, ale pouze ty, které jsou nezbytně nutné pro provoz takové webové stránky.

Mgr. Ing. Jan Rataj Autor článku působí jako senior associate ve společnosti DLA Piper

JUDr. Jan Metelka, LL.M Druhý autor článku působí jako junior associate ve společnosti DLA Piper