Jistě jste v poslední době při brouzdání internetem zaznamenali, že se na řadě webových stránek začaly objevovat informace upozorňující na skutečnost, že web, který si právě prohlížíte, shromažďuje tzv. cookies a zároveň i sdělení, že samotným prohlížením webu s tím souhlasíte.

O co jde? A v případě, že provozujete vlastní web, máte povinnost návštěvníky také informovat?

Co jsou „cookies“?

V doslovném překladu je cookie sušenka. V IT terminologii se však jedná o malý soubor, skládající se obvykle z písmen a číslic, který provozovatel webové stránky, jež navštívíte, prostřednictvím internetového serveru umisťuje do vašeho počítače, a ten pak následně odesílá informace o vašem chování zpět na příslušný server.
 
Na základě toho dokáže provozovatel webové stránky získat informace o způsobu jejího využívání, nebo informace k zaznamenání položek v nákupním košíku v e-shopu, anebo k zachování přihlášení příslušného uživatele k e-mailovému účtu či sociální síti (typicky například situace, kdy nemusíte znovu zadávat uživatelské jméno a heslo).
 
Zní to hrozivě, ale naštěstí cookies neobsahují osobní informace, jejichž prostřednictvím by vás mohl provozovatel webu identifikovat. Pokud by k takovéto situaci však mělo dojít, platí zásada, že se jedná o osobní údaj a ten jako takový můžete provozovateli webu poskytnout pouze dobrovolně, typicky se tak děje nejčastěji sdělením jména a adresy např. do formulářového pole při dokončení objednávky v e-shopu.
 
Zároveň platí, že jakmile osobní údaje poskytujete, měli byste být o této skutečnosti provozovatelem webu informováni a poučeni. Pokud by vás provozovatel webu mohl identifikovat také na základě cookies, je nutné i tyto cookies považovat za osobní údaj a platí tedy pro ně stejná pravidla jako pro práci s osobními údaji. Zásadami práce s osobními údaji se však nebudeme nyní zabývat, na ty se můžeme podívat v některém z příštích článků.
 
Zpět tedy ke cookies. Jejich výhodou tak zůstává především přizpůsobení webové stránky vašim potřebám, a to na základě preferencí zadaných při vaší dřívější návštěvě, ale také obdržení cílené reklamy podle těchto preferencí. Určitě jste si všimli, že jakmile např. navštívíte třeba webovou stránku s rybářskými potřebami, jejich reklamu pak vídáte překvapivě často i na jiných webech, jež zobrazení cizích reklam umožňují.
 
A právě proto, že v současné době se cookies začaly využívat zejména pro tuto cílenou a adresnou reklamu, začala se Evropská unie v této věci obávat negativních dopadů využívání cookies právě na soukromí uživatelů internetu a chystá proto zpřísnění právní úpravy ochrany osobních údajů i ve vztahu ke cookies.
 
Dne 15. června 2015 Rada EU schválila tzv. obecný přístup k návrhu nařízení o ochraně osobních údajů, podle kterého by cookies měly být zahrnuty pod osobní údaje, což by v budoucnu zřejmě vedlo k výraznému omezení cílené reklamy, ale také k dalšímu administrativnímu zatížení provozovatelů webových stránek.

Lze odmítnout sběr informací?

Už víme, co jsou cookies, ale co dál, musím informovat návštěvníky webu, lze nějak odmítnout jejich sběr?
 
V zásadě ano, nejdříve je však potřeba si vymezit rámec, který tuto problematiku upravuje a kde můžeme nalézt odpověď. Tím je tzv. ePrivacy Directive neboli „sušenkový zákon“, jak se přezdívá nařízení Evropské unie o povinném vyžadování souhlasu s uložením cookies. Na ten je ale třeba nahlížet ze dvou úhlů.
 
Evropská Směrnice č. 2009/136/EC novelizující Směrnici č. 2002/58/ES stanovila pravidla pro provozovatele webů, a to povinnost informovat návštěvníka webu o zpracování údajů prostřednictvím cookies a obdržet jeho souhlas s takovým zpracováním ještě před uložením cookies v počítači návštěvníka webové stránky (tzv. opt-in mechanismus). A zároveň také uložila členským státům tuto ePrivacy Directive implementovat do svých vnitrostátních právních řádů.
 
Česká republika implementovala ePrivacy Directive novelou zákona č. 127/2005 Sb., o elektronických komunikacích, nesprávně a ten tak nový opt-in princip vůbec nereflektuje a v podstatě zachovává možnost toto zpracování údajů odmítnout. Jinými slovy, dle momentálně platného českého zákona není potřeba předchozího souhlasu uživatele služby se zavedením cookies.
 
Avšak s ohledem na členství České republiky v Evropské unii nelze opomíjet její právní předpisy, a tak i přes výše uvedené je nutné konstatovat, že i když zmíněná směrnice neplatí přímo, nelze vyloučit přiznání jejího přímého účinku, a proto je nutné, aby i čeští provozovatelé webových stránek zavedli opt-in princip, tedy zajištění informovaného souhlasu s prováděním cookies.
 
S ohledem na výše zmíněné povinnost opt-in nedávno oživil i Google, když přikázal svým uživatelům na webových stránkách tento souhlas požadovat. Mimo jiné také proto, že on sám se sběrem těchto informací pracuje. Od této doby se tak stále častěji objevují na webových stránkách opakované žádosti o udělení souhlasu se zpracováním cookies.

Jak se zařídit, provozujete-li webovou stránku?

Některé cookies lze podle ePrivacy směrnice používat i bez předchozího souhlasu uživatele (tj. s mechanismem opt-out) – jedná se především o tzv. session cookies, které se smažou, jakmile uživatel zavře prohlížeč. Jsou to především nepermanentní cookies, tedy většinou ty, které nesplňují některé z kritérií níže, a v takovém případě tak nemusíte informovaný souhlas (opt-in) na svém webu vyžadovat a není potřeba na svůj web přidávat „EU cookies hlášku“.
 
Kritérium pro zobrazení „EU cookies hlášky“ je, že váš web používá zejména sociální pluginy (např. Facebook) nebo reklamní systém (např. Google AdSense) či měřící analytický nástroj (většinou Google Analytics).
 
U Google Analytics pak v případě, že je specificky nastaven, jde většinou o nastavení některé z inzertních funkcí – remarketing, přehledy zobrazení v obsahové síti a demografické přehledy, nebo pokud jste si nastavili sbírání neanonymních údajů (PII). Třeba tak, že v Událostech ukládáte e-maily nebo jména uživatelů.
 
Přesná definice kritéria k aktivování „EU cookies hlášky“ je obsažena v Kritériu A a Kritériu B v Článku 29 Pracovní skupiny pro ochranu dat.

EU cookies hláška

Pokud tedy musíte „EU cookies hlášku“ na svůj web přidat, měla by ideálně obsahovat sdělení ve smyslu: „Při provozování webové stránky nám pomáhají soubory cookies. Prohlížením tohoto webu s jejich používáním souhlasíte.“ Následně doplněné o tlačítko „Rozumím“ a ideálně odkaz „Více informací“, který přesměruje na stránku s informacemi:

• v jakém rozsahu a za jakým účelem jsou cookies zpracovány – pokud návštěvník webu nesouhlasil či odmítl, cookies by se neměly vytvořit,
• kým jsou cookies zpracovány,
• informovat, že souhlas není napořád, je nutné se optimálně znovu po roce zeptat,
• a především, jakým způsobem lze zpracování údajů odmítnout.

Tímto totiž splníte povinnost řádně návštěvníka webu informovat, jaké údaje jsou v souvislosti s používáním cookies zpracovávány.

Osobní údaje

V souvislosti s výše uvedeným je také dobré zmínit, že problematika cookies úzce souvisí též s ochranou osobních údajů. Bylo by tedy vhodné doplnit obsah stránky po kliknutí na odkaz „Více informací“ v liště „EU cookies hlášky“ vedle informací o sběru cookies také o popis zásad s nakládáním osobních údajů, tedy ideálně souhrnně v tzv. Zásadách o nakládání s citlivými údaji (tedy s osobními údaji a s cookies).

Závěr

Vzhledem k nejasnosti současné české právní úpravy a k evropskému trendu směřujícímu ke zpřísnění ochrany osobních údajů tak nezbývá než doporučit provozovatelům webových stránek, v případě, že si nejsou jisti, zda splňují, či nesplňují zmíněná kritéria, aby cookies používali v režimu opt-in a aby si tedy vyžádali předchozí informovaný souhlas uživatele formou „EU cookies hlášky“.
 
Tento souhlas může být udělen například kliknutím na tlačítko „Rozumím“ v pop-up (vyskakovacím) oknu, které se zobrazí při spuštění webových stránek, jak bylo uvedeno výše. Paralelně s tímto je dobré též předem prokazatelně informovat o rozsahu a účelu zpracování údajů a dat na webu, což lze řešit deklarací v Zásadách o nakládání s citlivými údaji.
 
To vše bude bohužel znamenat pro provozovatele webových stránek další administrativní zatížení, ale na druhou stranu díky tomu nebudou riskovat sankce za případné porušení ochrany osobních údajů.