Vážené dámy, vážení pánové,
v souvislosti s celým probíhajícím procesem zpřísňování podmínek ochrany soukromí v EU a konkrétně v souvislosti s evropskou směrnicí 2009/136/ EC, která mj. aktualizuje i evropskou směrnici 2002/58/ EC upravující ochranu soukromí v elektronických komunikacích vydala včera v Bruselu tzv. Skupina 29, která je složena ze zástupců dozorových orgánů v oblasti ochrany soukromí v rámci EU stanovisko týkající se cookies.
K tomuto poznamenávám několik shrnujících bodů a příslušné texty Vám případně rád zašlu:
1) Zákon o elektronických komunikacích platný v ČR zatím pro získávání údajů z koncových zařízení uživatelů (např. prostřednictvím cookies) stanoví režim opt-out, tj. postačuje uživatele o tomto získávání údajů informovat a umožnit mu dané získávání a další využívání údajů (tj. např. prostřednictvím uložení cookies) odmítnout.
2) Evropská legislativa přistupuje díky výše zmíněně směrnici 2009/136/ EC k dané problematice režimem opt-in, tj. nestačí pouhé informování uživatelů o získávání údajů z jejich koncových zařízení s možností takové získávání odmítnout, ale vyžaduje se aktivní informovaný souhlas, který má stejný charakter jako souhlas používaný při zpracování osobních údajů dle zákona č. 101/2000 Sb., o ochraně osobních údajů. Z této povinnosti jsou některé výjimky, kterým se právě včerejší stanovisko Skupiny 29 věnuje. Souhlas není nutný v případě, kdy jsou cookies (případně jiné technické nástroje) využívány pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem. Příkladem cookies, u kterých nebude vyžadován souhlas jsou např. tzv. multimedia player session cookies, která jsou uživateli instalována proto, aby přehrál video, či audio obsah na webu, dále např. cookies týkající se uzpůsobení stránek pro uživatele – např. zvolená jazyková mutace stránek. Stejně tak budou z nutnosti souhlasu vyjmuty i cookies sloužící k autentizaci uživatele (např. při vstupu do on-line bankovnictví).
Doporučení: Pokud v rámci vašich webových aktivit využíváte nástroj „cookies“ (či nástroj obdobný) k jiným účelům než jsou nezbytné technické funkce, na které dopadají výjimky uvedené ve stanovisku Skupiny 29 ze včerejšího dne – přikládám v příloze (a příklady uvádím i výše), tak je třeba před tím, než začnete z koncového zařízení uživatele shromažďovat údaje prostřednictvím cookies či jiných technických nástrojů, vyžádat si prokazatelný souhlas uživatele, který bude splňovat podmínky zákona č. 101/2000 Sb., tj. zejména souhlas bude obsahovat informaci, kdo bude správcem získaných údajů, jaký bude jejich rozsah a zejména jaký bude účel jejich využití a dále dobu (dozorové orgány v rámci EU se zatím staví k době platnosti souhlasu tak, že by neměl přesahovat jeden rok a uživatel by měl mít možnost kdykoli další využívání cookies v rámci konkrétních webových stránek odmítnout). Smysl a podstata celé této právní úpravy směřuje zejména k těm cookies, která jsou do koncových zařízení uživatelů instalována za účelem využívat získané informace pro cílenou reklamu. V tomto případě tedy doporučuji mít souhlas vždy!
Hezký den,
Petr Kůta