Vzhledem k tomu, že cookies mimo jiné naplňují definici osobních údajů ve smyslu nařízení EP a Rady (EU) č. 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“), bude muset předmětný souhlas splňovat širokou paletu podmínek a náležitostí.

Změna z režimu „opt-out“ na režim „opt-in“

Cookies jsou malé datové soubory ukládané na zařízení uživatele při návštěvě webové stránky, jenž mimo jiné zvyšují uživatelský komfort, a to především při dalších návštěvách webové stránky, kterou uživatel již dříve navštívil. Pro provozovatele webových stránek ovšem zpravidla není hlavním přínosem sběru cookies zlepšování uživatelského komfortu, ale především sledování chování uživatelů na webu, sledování počtu návštěvníků webu či tvorba cílené reklamy. Sběr cookies je tak z pohledu provozovatelů webu klíčový především z obchodního a marketingového hlediska.

Na základě novely zákona o elektronických komunikacích došlo počátkem letošního roku ke zcela zásadnímu obratu v podmínkách sběru a zpracování cookies. Změna spočívá v tom, že sběr cookies je nově založen na tzv. „opt-in“ principu, a nikoliv již na principu „opt-out“, který se uplatňoval před účinností novely zákona o elektronických komunikacích. Znamená to, že uživatelé webových stránek dnes musí se sběrem a zpracováním cookies poskytnout svůj předchozí výslovný souhlas. Výjimku představují pouze tzv. nezbytná cookies, bez nichž by webové stránky prakticky nemohly fungovat. Zpracování všech ostatních typů cookies (např. statistických, marketingových nebo preferenčních) ovšem dnes už podléhá výslovnému předchozímu souhlasu uživatele.

Náležitosti souhlasu se zpracováním cookies z pohledu GDPR

Provozovatelé webů tak od nového roku musí mít na svých webových stránkách umístěn souhlas se zpracováním cookies (tzv. cookies lištu), na jehož základě budou vybírat od uživatelů souhlas se sběrem a zpracováním cookies a informovat je o existenci cookies a jejich praktické využitelnosti. Nad rámec uvedeného musí souhlas se zpracováním cookies rovněž splňovat veškeré náležitosti kladené nařízením GDPR na souhlas se zpracováním osobních údajů, jelikož zpracováním cookies bude zpravidla docházet i ke zpracování osobních údajů uživatelů (jakožto subjektu údajů). Především bude třeba dodržet požadavky GDPR kladené na svobodu, určitost, vědomost a informovanost uživatele při udílení souhlasu. V neposlední řadě bude třeba dbát na to, aby udělení souhlasu se sběrem cookies bylo zpětně prokazatelné, s ohledem na případnou kontrolu ze strany dozorového orgánu – toto by mělo být vzato v úvahu zejména při volbě technického řešení.

Jak hodnotit přínos novely zákona o elektronických komunikacích?

Je samozřejmě otázkou, do jaké míry lze změnu zákona o elektronických komunikacích považovat za přínosnou. Z pohledu provozovatelů webových stránek totiž došlo nejen k navýšení nákladů na úpravu webových stránek, za účelem doplnění cookies lišty, ale současně se dá očekávat i výrazné snížení objemu sběru např. marketingových, statistických nebo preferenčních cookies. Uživatelé totiž s největší pravděpodobností nebudou mít motivaci „proklikávat se“ cookies lištami a udělovat provozovatelům souhlasy zpracovávat jednotlivé typy cookies. Toto bezesporu může mít negativní dopady na byznys provozovatelů webu s ohledem na případný „re-marketing“, cílenou reklamu nebo sledování návštěvnosti a celkové funkčnosti webových stránek. Provozovatelé webových stránek tedy s novelou přirozeně nemohou být spokojeni.

Zůstává tedy otázkou, zda novela zákona bude přínosem alespoň pro uživatele. Z pohledu ochrany osobních údajů bezesporu ano, jelikož většina uživatelů si nebyla vědoma široké škály možného využití cookies a nyní bude mít mnohem efektivnější a transparentnější možnost volby při udělování souhlasu se zpracováním cookies. Na druhou stranu však zaznívá i řada názorů na straně samotných uživatelů, že jsou pro ně cookies lišty „obtěžující“ a výrazně snižují uživatelský komfort při užívání webu, jelikož prakticky při každé nové návštěvě určité webové stránky je nutné udělovat souhlas se sběrem cookies. Nehledě na to, že i před účinností novely zákona o elektronických komunikacích byla ochrana soukromí v rukou uživatelů, kteří si prostřednictvím nastavení internetového prohlížeče mohli cookies na svém zařízení omezit, nebo zakázat podle potřeby.

Závěr

S ohledem na shora uvedené argumenty se přínos změny režimu sběru cookies dá považovat přinejmenším za diskutabilní, jelikož ani samotní uživatelé, na jejichž ochranu byla změna zákona do právního řádu včleněna, nejsou v názorech na uvedenou změnu jednotní a řada z nich ji z čistě praktických důvodů neváhá kritizovat. Je však stále předčasné činit v tomto směru ukvapené závěry o přínosu novely, která nabyla účinnosti relativně nedávno a je možné, že teprve čas ukáže její reálné dopady.

JUDr. Jiří Matzner, Ph.D., LLM. Zakladatel advokátní kanceláře MATZNER Legal.