Zaškrtnuté políčko nestačí. Soudní dvůr EU vydal důležité rozhodnutí o cookies

1. 10. 2019
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Souhlas s uložením cookies prostřednictvím předem zaškrtnutého políčka je podle Soudního dvora Evropské unie nedostatečný.

Pokud uživatel webu dává souhlas s ukládáním a čtením cookies jen prostřednictvím předem zaškrtnutého políčka typu „Souhlasím s ukládáním cookies“, není tento souhlas právoplatný. Ve svém aktuálním verdiktu ve věci C-673/17 o tom rozhodl Soudní dvůr Evropské unie (SDEU). Rozhodnutí nejspíš podstatně změní dosavadní praxi.

Podle SDEU musí být souhlas konkrétní, takže stisknutí tlačítka, že se uživatel třeba chce zúčastnit loterie, „…nestačí k tomu, aby bylo možné se domnívat, že uživatel právoplatně udělil souhlas s umístěním souborů cookies“.

Provozovatel také podle soudu musí uživatele informovat o době platnosti cookies a o tom, zda k nim mohou mít přístup třetí strany.

„To, zda informace uložené nebo prohlížené v zařízení uživatele jsou, nebo nejsou osobními údaji, nemá na tento výsledek vliv. Unijní právo má totiž za cíl chránit uživatele před zásahem do jeho soukromé sféry, zejména pak před rizikem pronikání skrytých identifikátorů nebo jiných podobných nástrojů do zařízení těchto uživatelů bez jejich vědomí,“ dodal soud.

Soud rozhodoval v případu stížnosti německé federace spotřebitelských organizací, která u tamních soudů napadla praxi firmy Planet48. Ta používá v rámci online reklamních loterií předem zaškrtnuté políčko, kterým uživatelé vyjadřují s cookies souhlas. Verdikt ale bude mít nejspíš dopad i na praxi v dalších zemích EU.

V Česku provozovatelé webů dosud souhlas s ukládáním a čtením cookies získávají obvykle velmi jednoduchým způsobem. Podle doporučení tuzemského Úřadu pro ochranu osobních údajů (ÚOOÚ) z roku 2018 totiž může provozovatel získávat souhlas i prostřednictvím nastavení prohlížeče uživatelů (ti v něm totiž mohou určit, jestli jejich prohlížeč bude cookies ukládat, nebo ne). Weby tedy nemusí zobrazovat žádné „cookies lišty“ a podobně.

Verdikt SDEU je ale právně závazný pro všechny členské země, je tak možné, že se český přístup bude muset změnit. ÚOOÚ jsme požádali o stanovisko, až je získáme, do článku je doplníme.

Aktualizace 3. 10. 2019: ÚOOÚ zatím k verdiktu SDEU zveřejnil na svém webu základní informace o rozsudku.

SPIR: žádný přímý dopad na český trh

Podle Sdružení pro internetový rozvoj (SPIR) nebude mít verdikt na český trh patrně přímý dopad. Stanovisko sdružení, které Lupě zprostředkovala mluvčí SPIR Tereza Tůmová, zveřejňujeme v plném znění:

Vycházíme z verdiktu soudního dvora EU (Rozsudek ve věci C-673/17), který rozhodl, že souhlas není právoplatně udělen, pokud je ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit.

V českém prostředí jsou nejčastěji využívány cookies pro reklamní účely, tedy pro tzv. segmentaci uživatelů, kteří jsou na základě velmi obecných charakteristik rozděleni např. do statisícových segmentů, jimž je zobrazována pro tuto skupinu relevantní reklama. Takové využití cookies představuje zcela zanedbatelné riziko pro soukromí. V takovém případě v ČR platí (1) zákon č. 127/2005 Sb., který provozovateli webu ukládá povinnost účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu zpracování údajů a je povinen nabídnout jim možnost takové zpracování odmítnout a (2) za vyjádření souhlasu s užitím cookies lze rovněž považovat nastavení prohlížeče, v němž uživatel ukládání cookies povolil a kde je může také kdykoliv odmítnout.

Z rozsudku SDEU však vyplývá, že Planet49 zpracovávala údaje shromážděné prostřednictvím cookies mnohem invazivnějším způsobem, ID uživatele spojovala s jeho registračními údaji. V takovém případě pak lze chápat proč SDEU rozhodl, že pro zpracovávání takových dat Planet49 potřebuje aktivní souhlas uživatele. Stejně tak předem zaškrtnuté políčko souhlasu je obecně praktika, kterou GDPR nedovoluje, a SPIR na tuto skutečnost také v minulosti v rámci své edukační činnosti zaměřené na implementaci GDPR podniky opakovaně upozorňoval.

Z našeho pohledu tedy tento rozsudek nebude mít na český trh přímý dopad, nicméně ho lze chápat jako indikátor směru, kterým se mohou v budoucnu evropští regulátoři ubírat.

Český reklamní průmysl se už v současnosti vyrovnává s požadavky některých evropských i nadnárodních partnerů, pro které není souhlas s umístěním cookies nastavením prohlížeče dostatečný a vyžadují, aby české firmy doložily standardizované souhlasy podle tzv. Rámce pro transparentnost a souhlas, Transparency and Consent Framework (TCF), který připravila evropská oborová organizace IAB Europe. Už v tuto chvíli můžeme říct, že nastavení Planet49, které bylo ovšem napadeno už v roce 2017, by standard TCF nesplňovalo.

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).