fb
IT Systems 4/2019 IT právo 20. 5. 2019 9:05

Novinky v pojetí cookie walls

cookie wallsNa úvod jen pár slov, co se skrývá pod tajemným pojmem „cookie wall“, který není příliš známým, přestože se s ním v praxi setkáváme až příliš často. Čtenářům IT Systems snad nemusíme podrobně představovat samotné cookies, ale pro jistotu připomeňme, že jde o drobné soubory, které ukládají informace o návštěvníkovi webových stránek - jaké stránky navštěvuje, jaké informace vyhledává, jak dlouhou dobu na daném webu stráví apod. Při každé další návštěvě téhož serveru pak prohlížeč tato data posílá zpět serveru. Tyto informace jsou posléze využívány za širokým spektrem účelů - zejména pak pro reklamu a pro různé statistické vyhodnocování uživatelského chování. Pro úplnost je ještě dobré poznamenat, že cookies existuje mnoho druhů a můžeme je dělit na cookies provozovatele takové webové stránky a cookies třetích stran, dále podle doby jejich expirace a samozřejmě podle toho, jaká data sbírají.

V České republice je problematika cookies (původně regulována evropskou směrnicí Privacy and Electronic Communications Directive z roku 2002, dále jen „směrnice ePrivacy“) konkrétněji upravena zákonem č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (kam byla evropská úprava transponována zákonem č. 468/2011 Sb.), kde je jasně uvedeno, že webová stránka musí informovat uživatele o tom, že jsou zpracovávány (a do počítače uživatele ukládány) cookies. V praxi se toto často řeší pomocí „proužku“, který se na webových stránkách objevuje a který uživatel potvrzuje, pokud souhlasí s tím, že se k němu mohou ukládat příslušné soubory cookies (tedy opt-in režim).

Tím se konečně dostáváme k názvu tohoto textu. Provozovatelé některých webových stránek se totiž rozhodli přístup podmínit potvrzením zpracovávání a ukládání cookies, tedy bez jejich odsouhlasení není uživatel na stránku vůbec vpuštěn. Právě tato praktika se nazývá „cookie wall“ a v březnu 2019 se k ní vyjadřoval příslušný holandský úřad na ochranu osobních údajů (Autoriteit Persoonsgegevens). Svou analýzu pojal ve smyslu rozporu této praktiky se zněním Obecného nařízení o ochraně osobních údajů č. 2016/679 (GDPR). Konkrétně se jednalo o to, že udělovaný souhlas musí být v souladu s GDPR dostatečně určitý, informovaný a svobodně udělený, aby mohl být platný.

Rozpor je zde vidět na první pohled - pokud je souhlasem podmíněn vstup na danou webovou stránku (případně má neudělení souhlasu pro uživatele jiné negativní konsekvence), tak nelze hovořit o tom, že je takový souhlas svobodně udělen. To samozřejmě platí pro všechny nástroje, které uživatele nějakým způsobem monitorují - tedy nejen cookies, ale tzv. tracking pixels (fragment kódu HTML, který se načte, když uživatel navštíví webovou stránku nebo otevře e-mail) a browser fingerprinting (metoda identifikace jednotlivých prohlížečů a sledování online aktivity uživatele).

Pozn. šéfredaktora:

Způsob, jakým EU reguluje prostředí internetu, je nevhodný, zcela nepřiměřený a v důsledku naprosto nefunkční. Způsobuje újmu jak poskytovatelům internetových služeb, tak i samotným uživatelům. Obtěžující varování před cookies jsou toho jasným důkazem. Existují totiž snadno dostupné prostředky, kterými mohou uživatelé webových služeb podle vlastní svobodné vůle chránit na internetu své soukromí, aniž by museli před vstupem na každou webovou stránku překonávat cookie wall. Cestou k ochraně soukromí a zvýšení bezpečnosti na internetu je informovat a vzdělávat, nikoli nařizovat, omezovat a zakazovat.
 

V praxi je celá situace o to horší, že provozovatelé webových stránek, kteří používají praktiku cookie wall často sdružují informace o různých cookies (např. cookies potřebných pro patřičné fungování webové stránky, cookies sloužících pro analýzu návštěvnosti na dané stránce a v neposlední řadě „reklamní“ cookies třetích stran) do jednoho souhlasu (bez jehož udělení není vstup na webovou stránku povolen) - tedy není možné si vybrat souhlas pouze s některými cookies.

Provozovatelé takových webů se brání, že jejich přístup je v souladu se současnou směrnicí ePrivacy and Electronic Communications Directive z roku 2002, která říká: „Přístup k určitému obsahu webových stránek může být stále podmíněn informovaným přijetím souboru cookie nebo podobného zařízení, pokud je používán pro legitimní účely.“

Z formulace je jasné, že se nejedná o přístup k celé webové stránce ale pouze „určitému obsahu“ a o legitimním účelu by taktéž bylo možné vést diskusi. Navíc platí, že celá směrnice ePrivacy bude brzy nahrazena novým přímo použitelným nařízením ePrivacy.

Vzhledem k tomu, že otázka cookies pálí nejenom provozovatele webových stránek ale i samotné návštěvníky, kteří se obávají vlivu na soukromí, vydal i Český úřad pro ochranu osobních údajů (ÚOOÚ) v květnu 2018 své doporučení ke zpracování cookies a obdobných prostředků sledování, neboť obdržel od veřejnosti četné dotazy týkající se vlivu v té době čerstvě účinného GDPR a nejistoty před schválením výše zmíněného nařízení ePrivacy. Regulátor zde cookies dělí na ty, které jsou nezbytně nutné pro zajištění provozu webových stránek a internetových služeb - pro tyto cookies není nutné získat souhlas uživatele. Ten naopak bude nutný pro všechny ostatní (sem budou patřit zejména různé profilovací a reklamní cookies třetích stran).

Resumé tohoto textu tedy není jednoznačné, názor holandského regulátora je bezesporu první vlaštovkou, která nicméně ještě neprošla testem u Evropského soudního dvora. Obecně z pojetí GDPR a současných návrhů v oblasti znění nařízení ePrivacy je nicméně patrné, že s velkou pravděpodobností se dočkáme časem situace, kdy budou cookie walls a spojování povinných souhlasů pro různé druhy cookies historií. Uživatel by neměl být ve svém záměru vstoupit na webovou stránku vzat jako rukojmí a donucen schválit všechny druhy cookies, ale pouze ty, které jsou nezbytně nutné pro provoz takové webové stránky.

Mgr. Ing. Jan Rataj
Autor článku působí jako senior associate ve společnosti DLA Piper
JUDr. Jan Metelka, LL.M
Druhý autor článku působí jako junior associate ve společnosti DLA Piper

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1