Cookies, neboli textové soubory, které server umísťuje do počítače uživatele webových stránek a které následně odesílají informace o jeho chování zpět na příslušný server, nacházejí v poslední době široké využití pro tzv. cílenou reklamu i marketing.
V souvislosti s tím se Evropská unie nie obává negativních dopadů jejich využívání na soukromí uživatelů internetu a chystá proto zpřísnění právní úpravy ochrany osobních údajů.
„Činnost člověka na internetu, to, jaké akce podniká a na jaké stránky chodí, by měla nově být součástí ochrany osobních údajů, což do dnešní doby nebyla. To má dopad jak na uživatele, tak především na provozovatele internetových stránek - na jejich povinnosti týkající se správy a nakládání s daty,” říká k problému ochrany osobních dat na internetu Petr Kališ, Managing Partner advokátní kanceláře CHSH Kališ&Partners.
Podle dnes platné legislativy Evropské unie je možné odlišit dva druhy cookies. Mandatorní, které jsou nezbytné k funkčnosti internetových stránek a které lze používat i bez souhlasu uživatele internetu před vstupem na dané stránky, a cookies, které slouží provozovatelům mimo jiné ke sběru osobních dat, a které vyžadují předchozí souhlas uživatele internetu k jejich používání.
Současná směrnice EU č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací („e-Privacy směrnice“) tak zavazuje členské státy, aby přijaly právní úpravu vyžadující předchozí souhlas s používáním druhé jmenované skupiny cookies.
„Právě tuto směrnici ale podle našeho názoru česká právní úprava nereflektuje nejkvalitněji. Zákon o elektronických komunikacích sice stanoví pro provozovatele internetových stránek povinnost předem prokazatelně informovat o uživatele internetu o rozsahu a účelu zpracování dat získaných pomocí cookies, ale nevyžaduje souhlas uživatele již před uložením cookies na uživatelův počítač. Podle zákona postačuje, aby provozovatel stránek nabídl uživateli možnost používání cookies odmítnout, mohou tak zpracovávat informace o uživatelích internetu bez jejich souhlasu,“ dodává k současné úpravě Petr Kališ.
A jak se tedy změní situace po přijetí nařízení EU? Jestliže se bude na cookies nahlížet jako na osobní údaje a na provozovatele webových stránek jako na správce osobních údajů, znamenalo by to nepochybně zpřísnění regulace používání cookies.
Již v současné době totiž i česká právní úprava (zákon o ochraně osobních údajů) až na některé výjimky vyžaduje předchozí souhlas dotyčné osoby se zpracováním jejích osobních údajů a rovněž stanovuje další povinnosti pro správce osobních údajů (zejména rozsáhlou informační povinnost vůči subjektu údajů a oznamovací povinnost vůči Úřadu pro ochranu osobních údajů).
„Lze očekávat, že v souvislosti s plánovanými změnami na unijní úrovni bude Úřad pro ochranu osobních údajů trvat na důsledném plnění informační povinnosti, která vyplývá jak z e-Privacy směrnice, tak ze zákona o elektronických komunikacích. Proto by provozovatelé webových stránek využívající cookies měli uživatele řádně informovat, jaké údaje jsou v souvislosti s využitím stánky ukládány na jeho počítači, dále v jakém rozsahu a za jakým účelem jsou zpracovány a také kým jsou zpracovány a především, jakým způsobem lze zpracování údajů odmítnout,” radí Kališ.
Zároveň je možné doporučit, aby provozovatelé webových stránek používali cookies v tzv. režimu opt-in, tzn. aby si vyžádali předchozí informovaný souhlas uživatele. Takový souhlas může být udělen například zakliknutím odkazu v pop-up oknu, které se zobrazí při spuštění webových stránek. Znamená to sice další administrativní zátěž pro provozovatele webových stránek, na druhou stranu se tím vyhnou případným sankcím za porušení ochrany osobních údajů.