Hrozba medializací, aneb jestli mi tu reklamaci neuznáte, dám to na Facebook. Co na to právo?

Záruka za jakost u vyměněné či opravené věci

Reklama na výrobky cílící na zdraví

Stanovisko Spolku pro ochranu osobních údajů k právní úpravě cookies v České republice od začátku roku 2022

Cookies – jak budou nově fungovat?

Hrozba medializací, aneb jestli mi tu reklamaci neuznáte, dám to na Facebook. Co na to právo?

Není to nijak neobvyklé a mnozí to jistě již zažili – dostali jsme se do styku s nepoctivým dodavatelem, který nechce vyhovět našim (přinejmenším podle nás) oprávněným nárokům. V takovém případě jistě už nejednoho napadlo pohrozit takovému dodavateli, že o jeho nepoctivých praktikách se „brzo dozví celý svět“. Takovou hrozbu navíc v dnešní době není ani nijak obtížné splnit. Na sociálních sítích nebo jinde na internetu zvládne publikovat už téměř každý a dosah takových příspěvků nemusí být zanedbatelný, zvlášť pokud se najde dostatek dalších, dotyčným dodavatelem poškozených zákazníků, kteří takový příspěvek dále sdílí svým kontaktům.

Jak se ale na takové jednání dívá právo? Můžeme očerněním dodavatele v našem jednání s ním hrozit, a co se naopak může stát nám, když s takovou hrozbou přijdeme, nebo ji už dokonce uskutečníme?

V rovině soukromého práva záleží v prvé radě na tom, zda vystupujeme jako zákazník spotřebitel nebo jako zákazník podnikatel. Pozice zákazníka podnikatele je znatelně horší. Oproti dodavateli zpravidla není slabší smluvní stranou a předpokládá se u něj jistá míra odbornosti při jeho podnikatelské činnosti. Z toho vyplývá, že by si měl své dodavatele předem prověřit, vědět, co od nich může očekávat a v případě potíží se bránit především právní cestou. Medializace nepoctivého chování dodavatele ze za těchto okolností snadněji dostane do rozporu s právními předpisy, a to především s těmi o nekalé soutěži. V této souvislosti lze připomenout, že mezi soutěžiteli může být za určitých okolností zakázaným nekalosoutěžním jednáním i rozšiřování pravdivých informací o podnikání jiného soutěžitele, pokud takové jednání může takovému soutěžiteli přivodit újmu, viz definici tzv. zlehčování v § 2984 občanského zákoníku. Stejně tak je protiprávní i neoprávněný zásah do dobré pověsti člověka, či právnické osoby. Hrozba medializací pak může sama o sobě také naplnit definici nekalosoutěžního jednání (je-li činěna v obchodním styku, v rozporu s dobrými mravy soutěžitele a je-li způsobilá přivodit postiženému soutěžiteli újmu), popřípadě může jít o tzv. bezprávnou výhružku zakládající neplatnost právního úkonu a právo na náhradu škody a to zejména tehdy, když se hrozí něčím, co vyhrožující není oprávněn učinit, nebo vyhrožuje tím, co by sice byl oprávněn učinit, avšak prostřednictvím výhrůžky si vynucuje něco, k čemu být použita nesmí.

Je samozřejmě otázkou, zda je každé kritické vyjádření o výrobcích a službách určitého podnikatele nekalosoutěžním jednáním či neoprávněným zásahem do dobré pověsti a namístě je samozřejmě odpověď, že nikoli. Například uvedení kritické recenze na webových stránkách k tomu určených, jejíž obsah je pravdivý a ke kritice využívá přiměřených výrazových prostředků, pravděpodobně nebude v rozporu s dobrými mravy soutěže, a tudíž o zakázané nekalosoutěžní jednání nepůjde a stejně tak nepůjde ani o neoprávněný zásah do dobré pověsti. Zda šlo v daném případě o přiměřenou kritiku nebo o protiprávní jednání ovšem může rozhodnout pouze soud po zvážení všech okolností konkrétního případu a namístě je tedy opatrnost předtím, než se rozhodneme takovou informaci publikovat nebo publikací hrozit.

Spotřebitelé mají svou pozici lepší v tom, že se na normy práva nekalé soutěže ohlížet nemusí. I oni se však mohou veřejnou kritikou dodavatele dopustit například poškození dobré pověsti člověka či právnické osoby a to zejména tehdy, je-li kritika nepravdivá nebo vedena nepřiměřenými prostředky.

V trestněprávní rovině pak hrozba medializací může být posouzena zejména jeho trestný čin vydírání. Ten spáchá, kdo jiného násilím, pohrůžkou násilí nebo pohrůžkou jiné těžké újmy nutí, aby něco konal, opominul nebo trpěl (§ 175 trestního zákoníku). Existuje již několik rozhodnutí (viz např. rozhodnutí Ústavního soudu IV. ÚS 1097/18 ze dne 11. 12. 2018), podle nichž poškození dobré pověsti publikací zpráv v médiích může za určitých okolností být právě tou „jinou těžkou újmou“, a ten, kdo jí hrozí, může tedy tento trestný čin spáchat. Záleží však jako vždy na okolnostech. Důležité bude zejména, zda ten, kdo hrozí, byl skutečně dotyčným dodavatelem poškozen (tedy jeho nárok vůči dodavateli je oprávněný) a zda prostředky k tomu zvolené nejsou nepřiměřené vzhledem k cíli, který má být dosažen. I zde je vždy třeba mít na paměti, že právní řád pro případ neshody mezi dodavatelem a odběratelem v první řadě počítá s podáním příslušné žaloby a nikoli s dehonestací dodavatele na internetu. Na druhou stranu je ale také platí, že právo na veřejnou kritiku nepoctivých podnikatelů je důležitou součástí svobody projevu v demokratické společnosti a uchyluje se k ní zpravidla právě ten, kdo má vůči takovému podnikateli nějaký svůj neuspokojený nárok – jinak by k takové kritice nebyl důvod. Je zřejmý rozdíl mezi zveřejněním věcné a přiměřené kritiky a spuštěním rozsáhlé dehonestační mediální kampaně vůči dotyčnému podnikateli např. na sociálních sítích, pak je ale celá řada případů takzvaně mezi tím. Nalezení hranice mezi těmito protichůdnými zájmy je opět úkolem soudu v konkrétním případě a nemusí být vždy jednoduché.

Výše uvedené lze zřejmě shrnout tak, že pokud už někdo zamýšlí svému dodavateli hrozit medializací, nebo už dokonce přikročit k realizaci takové hrozby, měl by si v první řadě jist, že jeho nárok, jehož se takto snaží domoci, je skutečně oprávněný a prostředky, kterými hrozí, nebo které realizuje, jsou přiměřené daným okolnostem. V pochybnostech je třeba volit spíše zdrženlivější přístup, protože hranice mezi přípustnou kritikou a neoprávněným poškozením dobré pověsti je neostrá a často obtížně předvídatelná. Totéž platí i o hrozbě veřejnou kritikou, resp. medializací (dle našeho názoru) nepoctivého jednání, kde k sobě hrozba oprávněným výkonem práva na svobodu projevu a trestný čin vydírání mohou mít leckdy blíže, než si myslíme.

Michal Matějka
Partner

PRK Partners s.r.o. advokátní kancelář

Jáchymova 2

110 00 Praha 1

Tel.:    +420 221 430 111

Fax:    +420 224 235 450

e-mail:    prague@prkpartners.com

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Michal Matějka (PRK Partners)

28. 12. 2021

---

Záruka za jakost u vyměněné či opravené věci

Předmětem tohoto příspěvku je nastínění možných úskalí situace, kdy dojde k vyřešení reklamace v záruční době opravou, výměnou nebo novou instalací části díla. V takovém případě je nutné se vypořádat s otázkou, zda se na takto nově opravenou, vyměněnou či nainstalovanou věc vztahuje nová záruční doba a v jakém rozsahu.

Zákon č. 89/2012 Sb., občanský zákoník, v platném znění (dále jen „OZ“) upravuje problematiku záruky za jakost díla v ustanovení § 2619 OZ. Podle tohoto platí, že záruční doba týkající se díla počíná běžet předáním díla. Současně platí, že pro záruku poskytnutou zhotovitelem objednateli se obdobně použijí ustanovení o kupní smlouvě, podobně jako v případě práv z vad díla, která jsou upravena v ustanovení § 2615 a násl. OZ. Na záruku za jakost díla se tak vztahují ustanovení § 2113 až 2129 OZ. Z tohoto důvodu jsou rovněž dále smluvní strany označeny nejen jako objednatel a zhotovitel, ale rovněž jako kupující a prodávající.

Dle ustanovení § 2113 OZ se zárukou za jakost prodávající zavazuje, že věc bude po určitou dobu způsobilá k použití pro obvyklý účel nebo že si zachová obvyklé vlastnosti. V souladu s ustanovením § 2117 OZ pro oznámení vady a pro uplatnění práva z vadného plnění se vychází z úpravy práva z vadného plnění při prodeji zboží v obchodě dle ustanovení § 2099 a násl. OZ.

Co se týče práv kupujícího/objednatele vyplývajících z vadného plnění prodávajícího/zhotovitele, je nutné rozlišit, zda je vadné plnění podstatným porušením smlouvy dle ustanovení § 2016 OZ či nepodstatným porušením smlouvy upraveným v ustanovení § 2107 OZ.

Je-li vadné plnění podstatným porušením smlouvy, má objednatel právo (i) na odstranění vady dodáním nové věci bez vad nebo dodáním chybějící věci, (ii) na odstranění vady opravou věci, (iii) na přiměřenou slevu z ceny nebo (iv) na odstoupení od smlouvy. V souladu s ustanovením § 2106 odst. 2 OZ objednatel sdělí zhotoviteli, jaké právo si zvolil, při oznámení vady nebo bez zbytečného odkladu po oznámení vady. Provedenou volbu nemůže objednatel změnit bez souhlasu zhotovitele s tím, že toto neplatí, žádal-li objednatel opravu vady, která se ukáže jako neopravitelná. Neodstraní-li zhotovitel vady v přiměřené lhůtě či oznámí-li objednateli, že vady neodstraní, může objednatel požadovat místo odstranění vady přiměřenou slevu z kupní ceny nebo může od smlouvy odstoupit. Nezvolí-li objednatel své právo včas, má práva jako při nepodstatném porušení smlouvy.

Je-li vadné plnění nepodstatným porušením smlouvy, má objednatel právo na (i) odstranění vady anebo na (ii) přiměřenou slevu z ceny díla. Dokud objednatel neuplatní právo na slevu z ceny díla nebo neodstoupí od smlouvy, může zhotovitel dodat to, co chybí, nebo odstranit právní vadu. Jiné vady může zhotovitel odstranit podle své volby opravou věci nebo dodáním nové věci s tím, že volba nesmí objednateli způsobit nepřiměřené náklady. Neodstraní-li zhotovitel vadu věci včas nebo vadu věci odmítne odstranit, může objednatel požadovat slevu z ceny díla anebo může od smlouvy odstoupit. Provedenou volbu nemůže v souladu s ustanovením § 2106 odst. 3 OZ objednatel změnit bez souhlasu zhotovitele.

Jak bylo výše uvedeno, pokud vadné plnění představuje podstatné porušení smlouvy, je objednatel oprávněn mimo jiné dodání nové věci, resp. součásti věci bez vad. OZ však nestanoví, zda se jedná pouze a toliko o první převzetí věci, resp. první dodání díla či jakékoli pozdější převzetí nově dodané věci v rámci uplatnění práv z vadného plnění.

Do 1. 1. 2014, tedy za účinnosti zákona č.40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „SOZ“) platilo (v případě koupě zboží v obchodě), že dojde-li v důsledku uplatnění práva z odpovědnosti za vady k výměně vadné věci, začne běžet záruční doba znova od okamžiku jejího převzetí (§ 627 odst. 2 SOZ). Totéž platilo i o výměně součástky.

Na základě úpravy SOZ tak mohl kupujícímu ze zákona vzniknout nárok na téměř „nekonečné“ opravy na náklady prodávajícího, resp. práva nekonečně se obnovující v případě výměny věci, resp. její součástky. A vzhledem k tomu, že byl tento princip znám z SOZ pro koupi zboží v obchodě, bylo obvyklé jej v obdobném rozsahu sjednávat i pro další podobné situace, tedy pro díla v režimu SOZ či v režimu obchodněprávní úpravy.

OZ obdobnou úpravu neobsahuje. Rozsudek Nejvyššího soudu České republiky 33 Cdo 416/2020 ze dne 29. října 2020 uvádí, že: „zákonná povinnost z vadného plnění se váže k závazku prodávajícího zajistit, aby mohl kupující po určitou dobu (……………..) věc bezvadně užívat, a neváže se tedy na věc samotnou. Doba k uplatnění práva z vady stanovená v § 2165 o. z., tj. …………………… od převzetí, nezačíná běžet znovu, je-li zjednání nápravy vadného plnění provedeno formou výměny věci nebo její součásti. Zákonná povinnost z vadného plnění se totiž váže k závazku prodávajícího zajistit, aby mohl kupující po určitou dobu (dvaceti čtyř měsíců) věc bezvadně užívat, a neváže se tedy na věc samotnou.“.

V předmětné kauze šlo to, že žalobce jako objednatel uzavřel se žalovanou jako zhotovitelkou smlouvu o dílo, v níž se žalovaná zavázala zhotovit ve smlouvě specifikovaný zápustný bazén a dodat a namontovat do žlábku bazénu i dva kusy LED pásků, které tvořily součást bazénu. Hotové dílo žalovaná žalobci předala a žalobce v záruční lhůtě reklamoval dodané LED osvětlení bazénu. Následně žalovaná žalobci sdělila, že reklamované LED osvětlení bylo staženo z prodeje kvůli jeho nefunkčnosti a v souladu s dohodou se žalobcem, mu žalovaná vyměnila stávající LED osvětlení bazénu za nové LED osvětlení jiného typu. Další reklamaci LED osvětlení bazénu, kterou žalobce u žalované uplatnil, žalovaná zamítla s tím, že byla uplatněna po uplynutí záruční doby.

Prvoinstanční soud vyložil ustanovení § 2165 odst. 1 OZ s přihlédnutím k předchozí právní úpravě a z ní vyplývající praxe tak, že odstraněním vady výměnou věci začíná od převzetí nové věci běžet i nová lhůta pro uplatnění práva z odpovědnosti za vady.

Soud odvolací ustanovení § 2165 odst. 1 OZ vyložil zcela opačně tak, že záruční doba od převzetí se vztahuje výhradně k věci samé, tj. předmětu smlouvy o dílo s tím, že případná vada součásti díla nezakládá běh nové záruční doby k vyměněné součásti, nesjednají-li si smluvní strany jinak.

Nevyšší soud následně dospěl ke stejnému závěru jako soud odvolací, totiž, že již neplatí, že výměnou věci začne běžet nová záruční doba, jak tomu bylo za předchozí právní úpravy dle SOZ. V této souvislosti naopak uzavřel, jak již bylo výše uvedeno, že zákonná povinnost z vadného plnění se váže k závazku prodávajícího zajistit, aby mohl kupující věc (v tomto případě dílo) bezvadně užívat po určitou dobu, a neváže se tedy na věc samotnou.

Přestože uvedené závěry Nejvyššího soudu je možné považovat za prodávajícím/zhotovitelům nakloněné, nelze s jistotou konstatovat, že případné další rozhodnutí Nejvyššího soudu nebude zcela v opačném pojednání, a to např. i s ohledem na fakt, že předmětný rozsudek se týkal „pouze zákonné“ záruční doby dle ustanovení 2165 odst. 1 OZ.

Proto nelze než doporučit, aby si smluvní strany ve smlouvě přesně a jasně ujednaly, jakým způsobem se uplatní smluvní záruční lhůta na nově opravené, vyměněné nebo nově nainstalované části díla (součásti díla) v rámci řádného uplatnění práva z odpovědnosti za vady (záruky za jakost) z původního smluvního vztahu. Jak na straně objednatele, tak na straně zhotovitele je vždy nejdůležitější jasná představa o podmínkách smluvního vztahu. Ideální by se mohlo zdát řešení, kdy na nově opravenou, vyměněnou nebo nově dodanou část díla by se vztahovala určitá záruční doba počínající běžet dnem její opravy, výměny, resp. instalace. A současně pak z důvodu v úvodu tohoto příspěvku zmíněné nekonečné záruky, resp. záruky nekonečně se obnovující v případě výměny věci, resp. její součástky, je možné doporučit smluvně ujednat maximální záruční lhůtu pro takto opravené, vyměněné, resp. nainstalované věci počínající běžet např. předáním díla samotného.

Závěrem lze tedy shrnout, že přestože Nejvyšší soud vydal dne 29. října 2020 rozsudek sp. zn. 33 Cdo 416/2020, ve kterém judikuje, že neplatí, že výměnou věci začne běžet nová záruční doba, nelze než doporučit smluvním stranám při sjednávání smluvních podmínek upravit jasná a přesná pravidla, a pro záruční dobu na takto vyměněné, nově dodané či nainstalované součástky stanovit např. maximální záruční dobu běžící od samotného předání díla. Samozřejmě za předpokladu, že takové ujednání bude v souladu s filozofií obou stran.

Mgr. Iva Wenzel,
trvale spolupracující advokát

MT Legal s.r.o., advokátní kancelář

Jugoslávská 620/29

120 00 Praha 2

Tel.: +420 222 866 555

Fax:  +420 222 866 546

e-mail: info@mt-legal.com

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Mgr. Iva Wenzel (MT Legal)

27. 12. 2021

---

Reklama na výrobky cílící na zdraví

Již více než půl roku obohacuje právní řád České republiky nový paragraf 5n zákona č. 40/1995 Sb. o regulaci reklamy, který se týká reklamy výrobků cílících na zdraví. Jakkoliv není pochyb o tom, že jeho předkladatelé (dvojice poslanců formou pozměňovacího návrhu) měla ty nejlepší úmysly, v praxi nový paragraf pouze rozšířil řadu nejasných zákazů, jejichž obsah musejí odpovědní občané a firmy nejprve složitou interpretací dovozovat, a poté jim nezbývá než trnout, zda za mnoho let soudy v řízení o pokutách jejich právní názor potvrdí či nikoliv. V tomto článku si proto dovoluji předložit vlastní výklad uvedeného paragrafu, podaný dle mých nejlepších zkušeností z oboru právní regulace reklamy, ale samozřejmě stále právně nezávazný.

Nový paragraf 5n zákona č. 40/1995 Sb. o regulaci reklamy se nazývá „Reklama na výrobky cílící na zdraví“ a již tím vytváří výkladový problém, protože nesprávně užitá dvojí větná vazba umožňuje název chápat jako „reklama … cílící na zdraví“ anebo „ … výrobky cílící na zdraví“.  Naštěstí jazykovědci znají  podpůrné pravidlo, dle kterého v takovém případě platí bližší spojení, takže správně výklad je ten, že paragraf se týká „reklamy výrobků, které cílí na zdraví“. Z názvu vyplývá, že celý paragraf se týká pouze reklamy výrobků cílících na zdraví, netýká se reklamy služeb cílících na zdraví, netýká se ani jakékoliv reklamy cílící na zdraví. „Výrobky cílící na zdraví“ jsou přitom takové výrobky, které lidé v rozhodující míře kupují kvůli jejich přímému vlivu na zdraví. Příklady: Léčebný kámen z Nepálu je výrobkem cílícím na zdraví, zatímco thajská masáž není výrobkem cílícím na zdraví, protože se jedná o službu. Jízdní kolo není výrobkem cílícím na zdraví, protože podstatné množství zákazníků jej kupuje kvůli přepravě. Tělocvičná pomůcka (rotoped, míč apod.) není výrobkem cílícím na zdraví, protože rozhodující množství zákazníků jej kupuje kvůli cvičení či posilování, jenž nepředstavuje přímý vliv na zdraví, ale může mít takový vliv jen nepřímý, následný.

Prvý odstavec § 5n stanoví: „Zakazuje se reklama na výrobek cílící na zdraví, který není léčivým přípravkem, ani zdravotnickým prostředkem, ani diagnostickým zdravotnickým prostředkem in vitro, ani potravinou pro zvláštní lékařské účely, která naznačuje, že výrobek je léčivým přípravkem, zdravotnickým prostředkem, diagnostickým zdravotnickým prostředkem in vitro nebo potravinou pro zvláštní lékařské účely“. Toto ustanovení zjevně představuje obecný a mnohokrát na jiných místech našeho právního řádu opakovaný zákaz klamavé reklamy či zavádějící prezentace výrobků. S posuzováním klamavosti již mají právníci, působící v oblasti reklamy, bohaté zkušenosti, a nejspíše tak nebude činit interpretační problémy. Důležité je, že i hodnocený text užívá pojem „naznačuje“ a zahrnuje tak situace, kdy reklama cosi zakázaného neříká přímo, ale pouze vyvolává klamavý dojem. Pokud by tak například reklama Léčivého kamene z Tibetu ukazovala přikládání kamene osobami v bílých pláštích, pak – aniž by to explicitně uváděla – vyvolávala by zakázaný klamný dojem, že se jedná o lék či zdravotnický prostředek užívaný lékaři.

Další odstavec ale již přináší značné výkladové problémy, když stanoví: „Reklama na výrobek, který není léčivým přípravkem, zdravotnickým prostředkem, diagnostickým zdravotnickým prostředkem in vitro, potravinou pro zvláštní lékařské účely nebo jiným výrobkem, u něhož tento zákon stanoví jinak, nesmí (a) naznačovat, že používáním výrobku se zlepší nebo zachová zdravotní stav toho, kdo jej užívá, (b) naznačovat, že nepoužitím výrobku může být nepříznivě ovlivněn zdravotní stav osob, (c) doporučovat výrobek s odvoláním na doporučení vědců, zdravotnických odborníků nebo osob, které jimi nejsou, ale které by díky svému skutečnému nebo předpokládanému společenskému postavení mohly podpořit používání výrobku“.

Zde se totiž náhle otevírá otázka pro praxi velmi významná, totiž na jaké výrobky se vlastně tato velmi podstatná restrikce a velké omezení reklamní svobody vztahuje a na jaké se nevztahuje.  Podle mého právního názoru správná odpověď na tuto otázku začíná především tím, že i u tohoto odstavce platí, že se v rámci logiky celého paragrafu týká pouze „výrobků cílících na zdraví“, byť tato tři slůvka zde zákonodárci hned v úvodu vypadla.

Odstavec se tedy vůbec netýká služeb; výrobků, které necílí na zdraví; výslovně uvedených druhů výrobků a konečně dalších výrobků, u kterých „zákon stanoví jinak“. Za „další výrobky, u kterých zákon stanoví jinak“, lze podle mého názoru považovat ty výrobky, které mají vlastní specifickou právní úpravu jak v otázce naznačování zdravotního účinku v reklamě, tak ohledně doporučování autoritami. U těchto výrobků proto nadále platí pouze tato jejich vlastní specifická právní úprava reklamy.  K „dalším výrobkům, u kterých zákon stanoví jinak“, patří potraviny včetně doplňků stravy, jejichž reklama včetně doporučování autoritami je komplexně upravena zejména v Nařízení č. 1924/2006) – reklamy potravin včetně doplňků stravy se tedy tento odstavec vůbec netýká. Naopak, k výrobkům, kterých se uvedený odstavec týká, zejména patří kosmetické výrobky, které přímo cílí na zdraví, protože ty žádnou úpravou ohledně zdravotního účinku ani autorit v reklamě nedisponují, a dále k nim patří veškeré průmyslové výrobky, přímo cílící na zdraví.

Převedeno do řeči praktických příkladů lze dovodit, že reklama thajských masáží může popisovat jejich zdravotní efekt a odvolávat se na doporučení autorit, protože je službou, nikoliv výrobkem; naopak reklama Léčivého kamene z Tibetu nesmí naznačovat léčebný či preventivní účinek ani se nesmí odvolávat na doporučení autority, protože se jedná o výrobek cílící na zdraví, na který nové ustanovení plně dopadá. Reklama běžeckých bot, jízdních kol či jiných sportovních pomůcek může popisovat jejich zdravotní přínos a  odvolávat se na doporučení autority, protože se jedná o výrobky, který necílí primárně na zdraví, když  rozhodující množství zákazníků jej kupuje kvůli pohodlnému běhu, dopravě či posilování. Zato reklama kosmetického produktu cílícího na zdraví (jako je ochranný krém na opalování) nesmí naznačovat jeho léčebný či preventivní účinek ani se nesmí odvolávat na doporučení autorit, protože se jedná o výrobek cílící na zdraví; a naopak, reklama kosmetického produktu, který necílí na zdraví (jako je prostý tělový krém), může popisovat jeho zdravotní přínos a  odvolávat se na doporučení autority, protože se jedná o výrobek, který necílí na zdraví. V podstatné kategorii potravin, zahrnující také doplňky stravy, pak platí, že jejich reklama může popisovat jejich zdravotní efekt či užívat doporučení autorit, protože na ní této odstavec vůbec nedopadá, smí tak ovšem činit pouze za podmínek jejich vlastní specifické právní úpravy, tj. zejména Nařízení č. 1924/2006.

Je jistě dobré, když  sami poslanci hledí řešit nějaký nešvar, třeba právě reklamní klamání. Bez poctivé jazykové přípravy, testování a oponentury ale mohou podobné dobře míněné paragrafy přinést více potíží než užitku.

JUDr. Filip Winter,
advokát

AK Winter & spol.

Tel.: + 420 774 602 087
e-mail: filip.winter@akwinter.cz

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

JUDr. Filip Winter

28. 12. 2021

---

Stanovisko Spolku pro ochranu osobních údajů k právní úpravě cookies v České republice od začátku roku 2022

Toto stanovisko vyjadřuje názor Spolku pro ochranu osobních údajů[1] na změny v oblasti ukládání údajů nebo získávání přístupu k údajům uloženým v koncových zařízeních uživatelů (dále jen „cookies“), které vyvolává zákon č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZEK“) ve znění novelizujícího zákona č. 374/2021 Sb. (dále jen „novela“).

Stávající právní úprava cookies je v České republice provedena v rámci ZEK, jenž transponuje Směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (dále jen „směrnice ePrivacy“).

V současnosti jsou v § 89 odst. 3 ZEK stanoveny obecné podmínky, při jejichž splnění je možné ukládat údaje do zařízení uživatele nebo získat přístup k údajům v zařízení uložených. Mezi tyto podmínky patří povinnost informovat uživatele o tom, že dochází k použití cookies a povinnost poskytnout uživateli možnost takové používání cookies odmítnout. Jedná se tedy o režim opt-out.[2] Tento režim však nereflektuje aktualizovanou úpravu z roku 2009 obsaženou v čl. 5 odst. 3 směrnice ePrivacy, ve kterém byl zakotven režim opt-in, dle něhož je použití cookies podmíněno získáním předchozího informovaného souhlasu uživatele. Musí se tedy jednat o aktivní a předem udělený souhlas, na jehož základě mohou být cookies následně použity.

Novela tak přináší velkou změnu, která ovlivní prakticky všechny provozovatele webových stránek a mobilních či jiných aplikací v České republice. Ti budou nuceni přejít z režimu opt-out na režim opt-in, který novela zakotvuje a jenž je v souladu s evropskou právní úpravou, a to již od 1. 1. 2022.

Toto stanovisko vychází z názorů Spolku a doporučení a pokynů jednotlivých národních dozorových úřadů, a tedy reflektuje zejména tyto dokumenty. Nezabývá se primárně standardy jednotlivých subjektů, jako je např. organizace IAB. Provozovatel webové stránky by měl ovšem vždy rozlišovat, zda získává souhlas pouze pro sebe nebo také pro další subjekty, které mohou mít např. své vlastní specifické standardy či požadavky.

Působnost právní úpravy

Jakkoliv je v názvu i dále v textu tohoto stanoviska používán pojem cookies, jedná se pouze o jednu z řady technologií, na které novela dopadá. Právní úprava je totiž technologicky neutrální a reguluje obecně všechny případy, kdy dochází k ukládání informací do koncového zařízení uživatele (např. do stolního počítače, tabletu nebo mobilního telefonu) nebo k přistupování k informacím, které jsou v takovém zařízení již uloženy.

Vedle cookies tak jde i o další technologie (např. local storage, session storage), které na popsaných principech fungují, a to podle názorů dozorových úřadů[3] včetně tzv. „device fingerprinting“.[4] Tato technologie je založena na čtení informací ze zařízení uživatele a k rozlišování jednotlivých koncových zařízení používá informace, které webový prohlížeč spuštěný v koncovém zařízení sdílí se vzdáleným serverem. Jde například o informace o operačním systému a jeho verzi, rozlišení obrazovky, jazykové preferenci nebo časovém pásmu. Dle stanoviska WP29 je i „device fingerprinting“ nutné považovat za získání přístupu k informacím pocházejícím z koncového zařízení uživatele, a proto se také na tuto technologii bude od 1. 1. 2022 vztahovat režim opt-in.

Autoři tohoto stanoviska budou dále v textu pro zjednodušení používat i pro tyto další technologie souhrnné označení „cookies“.

Ukládání a čtení cookies ve vztahu ke zpracování osobních údajů

V praxi velice často dochází ke směšování problematiky používání cookies a zpracování osobních údajů. Je tomu tak zejména proto, že cookies mohou být jedním ze zdrojů zpracování osobních údajů a zpracování osobních údajů na použití cookies často navazuje. Přestože spolu obě témata úzce souvisejí, každé z nich podléhá samostatné právní regulaci.

Zatímco zpracování osobních údajů je regulováno primárně GDPR,[5] tak ukládání a čtení cookies je upraveno ve směrnici ePrivacy a její české adaptaci, tj. v ZEK. Směrnice ePrivacy a ZEK chrání koncová zařízení jako součást soukromí uživatele. Souhlas udělený uživatelem pak umožňuje narušení této ochrany soukromí a přistupování k informacím v těchto koncových zařízeních nebo ukládání informací do nich. A to bez ohledu na to, zda se tyto informace týkají konkrétního přímo či nepřímo identifikovatelného  člověka, tj. bez ohledu na to, zda se jedná o osobní údaje či nikoliv.[6]

Souhlas s využitím cookies a souhlas s navazujícím zpracováním osobních údajů je však podle autorů tohoto stanoviska možné vyjádřit jedním právním jednáním. Platí to za předpokladu, že bude tento souhlas dostatečně informovaný a bude splňovat i další požadavky uvedené v GDPR. V opačném případě by totiž bylo nutné získávat v některých případech dva samostatné souhlasy, což by mohlo vést k nežádoucím a matoucím situacím, kdy by například uživatel vyslovil souhlas s uložením cookies, ale již nepovolil následné zpracování z nich získaných osobních údajů nebo naopak. Náležitostem souhlasu se podrobně věnuje následující kapitola.

Získávání souhlasu s ukládáním a čtením cookies

Novela ZEK s datem účinnosti od 1. 1. 2022 zavádí výše uvedený opt-in režim, na jehož základě musí provozovatelé webové stránky získat předchozí prokazatelný souhlas uživatele s rozsahem[7] a účelem zpracování. Výjimkou z povinnosti získání aktivního souhlasu jsou tzv. nezbytné cookies, které jsou podrobněji popsány níže.

Požadavky na souhlas jsou ukotveny v čl. 2 písm. f) transponované směrnice ePrivacy, jež ve vztahu ke konkrétním náležitostem souhlasu odkazuje na GDPR.[8] Souhlas s použitím cookies dle novely tedy musí splňovat i požadavky podle GDPR.

Souhlas dle GDPR musí být svobodný, což znamená, že uživatel musí mít skutečnou volbu souhlas udělit či nikoliv.[9] Stanovisko Evropského sboru pro ochranu osobních údajů (dále jen „EDPB“) dále specifikuje, že by poskytnutí služby nemělo být podmiňováno udělením souhlasu a uživatel by neměl mít pocit, že mu v případě jeho neudělení či odvolání hrozí újma. Vynucování souhlasu prostřednictvím zablokování přístupu ke stránce (např. prostřednictvím tzv. cookie walls), pokud ho uživatel neudělí, nebo jiné způsoby výrazného snížení uživatelského komfortu, které mají za cíl přinutit uživatele k udělení souhlasu, také nejsou dle EDPB[10] v souladu s GDPR.[11]

O „částečných“ cookie walls lze do jisté míry hovořit v případě pop-up oken, která se objeví při příchodu na webovou stránku a uživatel má kvůli nim na stránku zakrytý pohled nebo se stránkou nemůže dále interagovat, dokud souhlas neudělí nebo dokud jeho udělení neodmítne, případně pop-up okno nezavře pomocí křížku, je-li mu tato volba nabídnuta (toto téma je blíže rozebráno níže). Dle názoru Spolku jsou takové „částečné“ cookie walls obecně přípustné za předpokladu splnění ostatních zákonných náležitostí, jelikož uživatel má možnost odmítnout udělení souhlasu, resp. nemusí vůbec vyjádřit souhlas či nesouhlas. Vždy je ovšem nutné zvážit zvolené konkrétní technické řešení, charakter poskytované služby, zejména s důrazem na služby veřejného sektoru.[12] Podle názoru Spolku však za částečnou cookie wall nelze považovat tzv. cookie banner, který nezakrývá podstatnou část stránky a umožňuje uživateli se stránkou bez větších problémů nadále pracovat.

GDPR klade požadavky současně také na konkrétnost souhlasu. V takovém případě uživatel uděluje souhlas pouze k vybraným specifikovaným účelům zpracování. Má-li docházet ke zpracování pro různé účely (např. statistika a marketing), k čemuž v souvislosti s cookies často dochází, měla by být uživateli nabídnuta možnost udělit souhlas pro každý z definovaných účelů zvlášť.[13] V tomto případě hovoříme o tzv. granularitě souhlasu, která je podrobněji rozebrána níže. Pokud by se provozovatel nepokusil získat souhlas pro každý účel odděleně, nebyl by souhlas dostatečně svobodný[14] ani konkrétní.[15] Přípustné je ovšem získání souhlasu pro více účelů jedním úkonem (stisknutím jednoho tlačítka), pokud uživatel měl možnost zvolit, pro jaké vymezené účely souhlas poskytuje.

Dále by souhlas dle ZEK i GDPR měl být informovaný. K naplnění tohoto požadavku musí být uživatel před udělením souhlasu seznámen alespoň s totožností správce, rozsahem a s účely zpracování získaných údajů a také s právem souhlas kdykoliv odvolat.[16] Zároveň musí být informován o době funkčnosti souborů cookies, jakož i o možnosti přístupu třetích osob k těmto souborům cookies.[17],[18] S ohledem na obvyklou praxi na trhu doporučují autoři tohoto stanoviska informaci o používaných cookies vedle cookie banneru uvádět také v patičce internetových stránek pod odkazem s názvem „Cookies“ či podobným názvem. V rámci mobilních aplikací je třeba zvolit přiměřený způsob informování (s ohledem na omezený prostor na obrazovce mobilního zařízení[19]).

Udělení souhlasu by mělo být také jednoznačným projevem vůle. Z tohoto důvodu není možné souhlas dovozovat z jiného chování uživatele, které nesměřuje bezprostředně k vyjádření takového souhlasu. Typickým příkladem takového chování je situace, kdy si uživatel prohlíží po určitou dobu webové stránky nebo se posouvá do určité části stránky (tzv. skroluje) bez toho, aniž by učinil jiný aktivní krok bezprostředně směřující k jasnému udělení souhlasu.

V neposlední řadě by souhlas měl být odvolatelný a takové odvolání by dle čl. 7 odst. 3 GDPR mělo být stejně jednoduché jako udělení. Z praktického hlediska by se mělo jednat o jednoduchou možnost vyvolat stejný nebo obdobný dialogový prvek (např. banner či pop-up okno), jaký byl použit pro udělení souhlasu, a v něm změnit dřívější volbu. O právu souhlas odvolat by měl být uživatel informován. Důsledkem odvolání souhlasu je pak nemožnost dále používat cookies a zpracovávat jejich prostřednictvím získané osobní údaje.

Možnost zavřít (skrýt) dialogový prvek pro udělení souhlasu (banneru či pop-up okna) bez vyjádření volby (souhlasu či nesouhlasu) může, ovšem také nemusí, provozovatel webové stránky uživateli umožnit. Nejčastěji tak bude činěno pomocí křížku v rohu dialogového okna nebo jiného grafického prvku. Kliknutí na křížek nelze vykládat jako udělení souhlasu, ale není nezbytné jej vykládat ani jako vyjádření nesouhlasu. Nejde totiž o jednoznačný projev vůle uživatele, ale spíše o odklad učinění konkrétní volby. Dialog pro udělení souhlasu tak může být uživateli zobrazen znovu při další návštěvě webové stránky, čímž mu je opětovně poskytnuta možnost projevit svoji vůli.

Existují výjimky z povinnosti získávání aktivního souhlasu. Ty se uplatní pro tzv. nezbytné cookies, tj. cookies „nezbytné pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací,“ a cookies, jejichž použití je „nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“[20]

Mezi nezbytné cookies, jež spadají do zákonem stanovených výjimek, lze zařadit ty, bez kterých by přenos sdělení vůbec nebyl možný a jejichž jediný účel je zajištění přenosu informací, tj. typicky zajištění fungování webové stránky[21] (např. cookies používané internetovým obchodem pro zachování informace o vložení zboží do nákupního košíku).[22] Mezi nezbytné cookies se řadí také cookies, které slouží k zapamatování uživatelova rozhodnutí o udělení či neudělení souhlasu.[23]

Mezi nezbytné cookies obvykle naopak nepatří cookies, které slouží pouze k usnadnění přenosu informací,[24] tj. k usnadnění fungování webové stránky nebo zajištění jejích dodatečných funkcí, které si uživatel nevyžádal (např. cookies nezbytné pro zapamatování preferencí uživatele přesahující dobu trvání relace či několika málo hodin, pokud uživatel nebyl při volbě nastavení informován o tom, že se dané nastavení ukládá na delší dobu).[25] Stejně tak mezi nezbytné cookies nepatří ty, které slouží k měření návštěvnosti webové stránky nebo k analýze chování jejích uživatelů, byť by získaná data sloužila pouze pro optimalizaci webu.[26]

Je třeba upozornit, že i u nezbytných cookies je v případě, kdy je jejich využití spojeno se zpracováním osobních údajů, nutné dodržovat zásadu minimalizace doby uložení údajů podle GDPR a je třeba nastavit vhodně dobu jejich trvání tak, aby byla přiměřená k jejich účelu.[27]

Novela neobsahuje přechodná ustanovení týkající se časově omezeného používání cookies uložených v režimu opt-out. Na tuto situaci je ovšem možné analogicky aplikovat situaci vzniklou v souvislosti s nabytím účinnosti GDPR a použitelností souhlasů udělených podle předchozí právní úpravy. Souhlas získaný podle předchozí právní úpravy je dle bodu č. 171 GDPR platný pouze, pokud by jeho udělení obstálo i ve světle podmínek uvedených v GDPR.

Výše zmíněné vede k závěru, že pokud předchozí souhlas nesplňuje všechny podmínky stanovené novelou a s ní souvisejících právních předpisů jako je směrnice ePrivacy a GDPR, bude nezbytné získat souhlas nový, pokud chce provozovatel webové stránky dále ukládat a číst data z cookies v zařízení uživatele.[28] Toho lze dosáhnout například prostřednictvím pop-up okna, cookie banneru nebo jiného vhodného řešení.

Granularita souhlasu

Granularita označuje míru členění souhlasu na jednotlivé účely zpracování či využití cookies, pro něž se uděluje souhlas. Podle míry granularity souhlasu osoba udělující souhlas může samostatně rozhodovat o více či méně jednotlivých složkách této aktivity (účelech, operacích zpracování, příjemcích údajů apod.). Z hlediska granularity souhlasu lze v rámci udělování souhlasu s uložením a čtením cookies typicky rozlišovat varianty per-purpose, per-provider a per-service.

Varianta per-purpose znamená, že uživatel může rozhodovat o jednotlivých účelech, pro které je souhlas udělován. Účely, které jsou v rámci per-purpose typicky rozlišovány, jsou:

• analytika a statistika;
• marketing;
• usnadnění, případně preferenční či dodatečné funkce.

Vedle těchto účelů pak bývá často uváděna kategorie nezbytných cookies, o kterých však uživatel nemůže rozhodovat, protože jsou nezbytné pro fungování webové stránky a není třeba pro jejich ukládání a čtení získávat souhlas.

Varianta per-provider znamená, že uživatel může rozhodovat o jednotlivých třetích stranách, které v rámci webové stánky budou do jeho zařízení cookies ukládat a číst je (např. se může rozhodnout, že neudělí souhlas pro cookies ukládané společností Facebook, ale pro cookies ukládané společností Google souhlas udělí). S ohledem na obecný požadavek granularity per-purpose je i při variantě per-provider třeba zachovat možnost rozhodovat o jednotlivých účelech ukládání a čtení cookies. Pokud tedy cookies jedné třetí strany slouží k různým účelům, je třeba uživateli poskytnout možnost o nich rozhodovat samostatně.

Varianta per-service znamená, že uživatel může rozhodovat o jednotlivých službách poskytovaných třetími stranami. Tato varianta se v praxi do značné míry překrývá s variantou per-provider, avšak může být v konkrétních případech ještě podrobnější. Jeden poskytovatel totiž může poskytovat více různých služeb. I v případě souhlasu per-service, obdobně jako u varianty per-provider, je třeba odlišovat cookies sloužící k různým účelům, a je tedy třeba umožnit uživateli o nich rozhodovat samostatně.

Úřad pro ochranu osobních údajů se dosud nevyjádřil k tomu, jakou variantu souhlasu považuje za nejvíce souladnou s požadavky právní úpravy. S ohledem na to jsou dále v textu rozebrána názorová stanoviska zahraničních dozorových úřadů.

Francouzský[29], dánský[30] a irský[31] dozorový úřad spolu s EDPB[32] zastávají názor, že uživatelé mají mít možnost udělit souhlas pro každý jednotlivý účel zpracování zvlášť, tj. varianta per-purpose.

Španělský dozorový úřad pak konkrétně uvádí: „El grado de granularidad en el panel a la hora de mostrar la selección de cookies deberá valorarlo el editor del sitio web. Si bien es aconsejable que se tengan en cuenta las siguientes reglas: Como mínimo, deberían agruparse las cookies por su finalidad (por ejemplo, el usuario podría elegir aceptar las cookies analíticas y no así las publicitarias comportamentales).“ [33] a „At the very least, cookies must be grouped by purpose (so that, for example, users may choose to accept analytics cookies and not behavioural advertising cookies).“[34] Míra granularity je tedy dle těchto úřadů na provozovateli, ale soubory cookies by měly být seskupeny přinejmenším podle jejich účelu, což poskytuje uživateli možnost udělit souhlas jednotlivě.

Řecký dozorový úřad v této souvislosti referuje na souhlas dle kategorií sledovacích nástrojů, když uvádí: „It is permitted to provide information using multiple layers, as long as the user’s consent is sought after the user has been specifically informed at least of the categories of trackers used.“[35] Belgický dozorový úřad pak odkazuje na typy souborů cookies.[36]

Dle dozorového úřadu Velké Británie: „It also means consent should be unbundled from other terms and conditions (including giving separate granular consent options for different types of processing) wherever possible,“[37] z čehož vyplývá, že aby byl souhlas svobodný, je nezbytné možnosti souhlasu rozdělit dle druhu zpracování údajů. Stejně tak německá Datenschutzkonferenz tvořená německými dozorovými úřady navrhuje granularitu souhlasu dle jednotlivých operací zpracování.[38]

Italský dozorový úřad pak dle svých pokynů nechává kritéria granularity na provozovateli webové stránky, přičemž mezi možná kritéria řadí funkcionalitu, třetí strany a kategorie cookies.[39]

Povinnost rozdělit souhlas dle účelu zpracování, tedy per-purpose, potvrzuje také bod č. 43 odůvodnění GDPR, dle kterého lze předpokládat, že souhlas není svobodný, pokud není možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů,[40] i čl. 6 odst. 1 písm. a) GDPR, který uvádí, že souhlas musí být udělen pro jeden či více konkrétních účelů a bod č. 32 odůvodnění GDPR pak uvádí: „Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely.“

Přestože se názory dozorových úřadů na úroveň granularity souhlasu požadovanou směrnicí ePrivacy liší (tj. zda by souhlas měl být granulární pouze na úrovni per-purpose nebo také na úrovni per-provider či per-service), většina dozorových úřadů se shoduje na požadavku na granularitu ve variantě per-purpose (podle účelů ukládání a čtení cookies). V případě, kdy jsou cookies používány pro různé účely, by měl uživatel webové stránky mít možnost rozhodovat o jednotlivých účelech samostatně a (ne)udělit souhlas jen pro některé z nich.

Možnost udělit souhlas s jednotlivými účely lze poskytnout až v druhé vrstvě, která se objeví až po rozkliknutí příslušného cookie banneru nebo jiného řešení, které se uživateli zobrazí při vstupu na webovou stránku. V rámci této druhé vrstvy mohou být uživateli zobrazeny jednotlivé účely zpracování a možnost udělit nebo odmítnout udělit samostatné souhlasy. Je tak přípustné použití jednoho tlačítka pro vyjádření souhlasu se všemi používanými cookies, pokud je uživatel transparentně informován o důsledcích kliknutí na takové tlačítko a o tom, že ve druhé vrstvě může provést nastavení ve vztahu k jednotlivým základním účelům.

Výše uvedené potvrzují také dříve zmíněné pokyny italského[41], francouzského[42] a španělského[43] dozorového úřadu. Řecký dozorový úřad uvádí: „It is permitted to provide information using multiple layers, as long as the user’s consent is sought after the user has been specifically informed at least of the categories of trackers used,“[44] z čehož lze také dovodit, že granularita souhlasu může být uživateli nabídnuta v druhé informační vrstvě, pokud byl již v první informační vrstvě o účelech (kategoriích) zpracování alespoň v základní podobě informován. Tato povinnost vyplývá i z bodu č. 42 odůvodnění GDPR.

Požadavek na granularitu souhlasu je tedy naplněn i v případě, kdy možnost podrobného výběru účelů poskytnuta až v rámci druhé vrstvy. V rámci první vrstvy by ovšem měla být obsažena základní informace o účelech zpracování. Současně by bylo dle názoru Spolku vhodné v takových případech zvážit, zda by v první vrstvě neměla být umožněna (v odůvodněných případech) i volba pro pokračování bez uložení jakýchkoliv (nikoliv nezbytných) cookies, například prostřednictvím tlačítka „Pouze nezbytné cookies“.

Doba platnosti souhlasu

Další problematikou, kterou právní úprava cookies pro provozovatele webových stránek přináší, je určení doby platnosti uživatelem uděleného souhlasu. A stejně tak i určení doby, po jejímž uplynutí může provozoval opětovně požádat o souhlas s použitím cookies, pokud uživatel udělení souhlasu odmítl.

GDPR, směrnice ePrivacy ani ZEK výslovně neomezují platnost získaného souhlasu ani nestanoví platnost uděleného „nesouhlasu“. Souhlas může být udělen maximálně na dobu, po kterou trvá účel zpracování, s nímž byl uživatel seznámen (může však být udělen i na kratší dobu). To by mohlo vést k závěru, že souhlas není třeba obnovovat, zvlášť pokud uživatel souhlasí s použitím všech cookies, anebo naopak k tomu, že je možné od uživatele žádat udělení souhlasu v podstatě okamžitě poté, co jeho udělení odmítl. V prvním případě, tedy v otázce nutnosti obnovovat souhlas, se domníváme, že ve skutečnosti by postačovalo pravidelně uživatele upozorňovat na to, že dochází ke zpracování jeho údajů tak, aby si byl této skutečnosti vědom. Ve druhém případě, kdy by uživatel byl žádán opakovaně o udělení souhlasu, je situace složitější, protože by mohl být nepřímo nucen častým zobrazováním banneru se žádostí o souhlas takový souhlas udělit.[45]

Dozorové úřady se nicméně shodují na tom, že doba platnosti souhlasu by měla být omezená na přiměřenou dobu a opětovné zobrazování dialogu pro získání souhlasu nesmí být příliš časté, aby nebylo pro uživatele nepřiměřeně obtěžující. Takové jednání by totiž opět narušovalo jeden ze základních požadavků na souhlas, kterým je požadavek na jeho svobodné udělení (viz výše).

To ostatně zdůrazňuje i italský dozorový úřad, který ve svých pokynech uvádí, že možnost opakovaného zobrazování dialogu pro souhlas je omezená, a to i v případě, kdy uživatel odmítl souhlas udělit. Souhlas dle názoru italského regulátora nesmí být vyžadován znovu až na případy, kdy:

• se významně změnila jedna nebo více okolností zpracování;
• provozovatel není schopný sledovat předchozí souhlas (např. uživatel smazal cookies uložené v jeho zařízení);
• od posledního zobrazení cookie banneru uplynulo alespoň 6 měsíců.[46]

Podobně, avšak o něco obecněji, se vyjádřil dozorový úřad Velké Británie, který ve vztahu k obnovení souhlasu s použitím cookies sice nestanovil konkrétní dobu, kdy má být uživateli znovu zobrazena příslušná volba, ale uvedl, že je na provozovateli, aby určil, kdy se bude souhlas nebo odmítnutí obnovovat a kdy volby ohledně cookies expirují. Opětovné zobrazování by ovšem nemělo narušovat činnost uživatele při používání stránky, ať už souhlas udělil či odmítl udělit.[47] Naproti tomu řecký dozorový úřad uvádí, že doba pro znovu zobrazení cookie banneru musí být stejná v případě udělení i neudělení souhlasu, nestanovuje ovšem konkrétní časový údaj.[48]

Dle doporučení francouzského dozorového úřadu je vhodné, aby souhlas i odmítnutí byly zaznamenávány takovým způsobem, aby uživatelé po určitou dobu nebyli znovu dotazováni. Délku uchovávání, tj. respektování učiněné volby uživatele, je třeba posuzovat dle konkrétního případu.[49] Doba by měla zohledňovat kontext a rozsah původního souhlasu a vhodné příležitosti pro obnovu. Dále uvádí, že obecně je vhodné uchovávat souhlas i odmítnutí po dobu 6 měsíců. [50] Stejně tak irský dozorový úřad uvádí, že souhlas by neměl být starší než 6 měsíců, delší dobu by musel provozovatel objektivně zdůvodnit.[51]

Pokyny španělského dozorového úřadu[52],[53] odkazují na WP29 a EDPB[54] a doporučují obnovovat souhlas v pravidelných intervalech, aby nebylo nutné pokaždé uživatele žádat o souhlas nový, souhlas by neměl být starší než 24 měsíců.

Pro úplnost dodáváme, že dle návrhu doporučení českého dozorového úřadu by platnost jednotlivých cookies (jako jejich technická vlastnost) neměla být delší než 13 měsíců a stejnou dobu vztahuje také na platnost souhlasu.[55] Stejnou dobu uvádí i organizace IAB.[56]

Z výše uvedeného plyne, že neexistuje jednoznačný závěr o tom, jak dlouho je možné spoléhat na udělený souhlas, případně po jak dlouhé době lze uživateli opětovně zobrazit možnost k jeho udělení. Dozorové úřady se nicméně shodují, že by provozovatelé webových stránek neměli uživatele obtěžovat příliš častým zobrazováním výzev k udělení souhlasu s používáním cookies. Pokud již dozorové úřady navrhují nějakou maximální dobu, tak ta se obecně pohybuje mezi 6 až 24 měsíci. Platí však, že čím déle je volba uchovávána, tím závažnější důvod by měl mít provozovatel pro její stanovení v uvedené délce.

Dle názoru Spolku lze obecně za zcela legitimní považovat dobu mezi 12 až 14 měsíci, po kterou je souhlas platný, byť nelze vyloučit ani delší dobu, pokud bude řádně odůvodněna. Tato doba totiž stále umožňuje generování ročních přehledů.  V případě odmítnutí používání cookies lze uvažovat i o kratší době pro znovu zobrazení cookie lišty, například v řádu týdnů, a to s přihlédnutím k frekvenci používání stránky ze strany uživatelů, aby, jak již bylo výše rozebráno, nedocházelo k příliš častému zobrazování cookie banneru. Již zmiňovaná cookie, která slouží k zapamatování uživatelova rozhodnutí, je považována za technicky nezbytnou a nevztahuje se na ni povinnost získání aktivního souhlasu s jejím uložením.

Získávání souhlasu pro více webových stránek

Provozovatel často mívá více webových stránek na různých doménách, pro něž získává jeden souhlas, aby se proces získávání souhlasu ulehčil a zefektivnil. K tomu využívají někteří provozovatelé tzv. cross-domain souhlas, což znamená, že souhlas, který byl uživatelem udělen na jedné webové stránce, se aplikuje také na dalších webových stránkách stejného provozovatele.

Španělský dozorový úřad se na toto téma vyjádřil a uvedl, že takový postup je možný a provozovatel může od uživatelů požadovat udělení souhlasu k používání cookies na všech jím provozovaných webových stránkách, jejichž prostřednictvím jsou poskytovány služby.[57] V případě získávání takového souhlasu je nezbytné splnění informační povinnosti, v rámci které budou uživateli poskytnuty informace o tom, pro jaké domény jednoho provozovatele je takový souhlas udělován. Současně by mělo jít pouze o takové webové stránky, které vykazují podobné charakteristiky v souvislosti se službou, která je poskytována uživateli na základě jeho žádosti.[58]

Výše uvedené platí pro případy, kde se jedná o jednoho provozovatele více webových stránek. Dále GDPR, novela ani směrnice ePrivacy obecně nevylučují možnost, aby jeden subjekt získal souhlas i pro další subjekty, tedy aby jeden provozovatel získával souhlas i pro další provozovatele a jejich domény. WP29 ve svém stanovisku tuto možnost připouští, když uvádí, že souhlas s umístěním cookies a využitím informací pro zasílání cílené reklamy zahrnuje „následná čtení tohoto cookie, ke kterým dochází pokaždé, když uživatel navštíví partnerské internetové stránky poskytovatele reklamní sítě, který původně umístil toto cookie.“[59]

Z pohledu Spolku je ovšem třeba přistupovat obezřetně k případům, kdy uživatel jedné webové stránky jedním souhlasem uděleným na jedné webové stránce (doméně či subdoméně) udělí souhlas potenciálně pro vyšší desítky[60] až stovky jiných provozovatelů či webových stránek (domén) provozovaných různými provozovateli, zejména pokud by se jednalo o stránky nacházející se v různých státech. Při získávání takového souhlasu by mohlo být obtížné dodržet veškeré požadavky, které GDPR na souhlas klade, především požadavky na konkrétnost a informovanost. Řešením této problematiky by mohl být souhlas, který bude oddělený od běžných cookie bannerů a bude například udělován na samostatné stránce, kde budou podrobněji vysvětleny jeho dopady, včetně aktualizovaného seznamu všech zapojených partnerů.[61] Provozovatel, který shromažďuje souhlasy takovým způsobem, by měl také v souvislosti s legitimním očekáváním zohlednit okruh adresátů takto získaného souhlasu, např. pokud se bude jednat o získávání souhlasu na stránce určené primárně pro zájemce o sport a tento souhlas by se měl vztahovat i na webové stránky stejného provozovatele určené zahrádkářům, každá stránka tedy míří na jinou cílovou skupinu a okruh adresátů se s největší pravděpodobností bude lišit a při udělování souhlasu by uživatel měl být o jeho šíři zvláště informován.

Od této situace je ovšem třeba odlišit případ, kdy uživatel na jedné stránce uděluje souhlas pro užití cookies vícero standardizovaným reklamním nástrojům pro tuto konkrétní stránku či pro tohoto konkrétního provozovatele (či pro omezené množství provozovatelů jiných stránek, viz výše). I zde je však třeba velmi dbát na řádné splnění informační povinnosti. V případě využití standardizovaných nástrojů, jako je IAB Transparency and Consent Framework 2.0, doporučujeme vždy pečlivě vybírat, jakým reklamním sítím provozovatel stránky umožní souhlas získávat a nepovolovat vždy paušálně všechny do úvahy přicházející provozovatele reklamních sítí.

Předávání údajů do zahraničí v souvislosti s nástroji využívajícími cookies

GDPR obsahuje právní úpravu pro zpracování osobních údajů v Evropském hospodářském prostoru (dále jen „EHP“), ve kterém dovoluje jejich volný pohyb. V kapitole V GDPR jsou obsažena pravidla pro předávání osobních údajů mimo EHP, dle kterých nesmí být narušena úroveň ochrany zaručená GDPR.

K zajištění odpovídající úrovně ochrany musí mít správce nebo zpracovatel předávající osobní údaje mimo EHP (dále jen „předávající subjekt“) důkladně zmapovaný proces předávání a musí ověřit, že ochrana osobních údajů ve třetí zemi nebude narušena.

V souvislosti s používáním cookies je třeba zmínit, že významní poskytovatelé marketingových a analytických nástrojů využívajících cookies mají sídlo v USA (např. Google, Facebook), resp. jejich použití obecně často vede k předání údajů do třetích zemí. V této souvislosti je tak nutné podrobně posoudit i podmínky předávání do třetí země, kterou je mimo jiné a nejčastěji právě USA, a to zejména s ohledem na závěry rozsudku Soudního dvora EU C-311/18 (Schrems II).

Správci a zpracovatelé, kteří hodlají tyto nástroje používat, by měli důkladně zmapovat, na základě jakého právního základu mohou být osobní údaje do třetí země předány (zpravidla půjde o standardní smluvní doložky, které jsou součástí obchodních podmínek daného poskytovatele). Současně by měl správce nebo zpracovatel posoudit, jaký je právní řád v cílové třetí zemi a případně zda vedle těchto doložek přijal poskytovatel i další dodatečná opatření směřující k ochraně údajů a zda tato opatření považuje za dostatečná s ohledem na charakter předávaných dat.

Při posuzování ochrany v dané zemi musí předávající subjekt zohlednit, zda je pravděpodobné, že zpravodajské služby dané země budou usilovat o přístup k údajům, a to jak s jeho vědomím, tak i bez něj.[62] Provozovatel by měl také zohlednit zkušenosti ostatních předávajících subjektů ze stejného odvětví nebo týkající se stejného předávání, s žádostmi o přístup k údajům. Absence předchozích žádostí ovšem nemůže být sama o sobě rozhodující faktor pro rozhodnutí o použitelnosti nástroje pro předávání dle čl. 46 GDPR.[63]

Povaha předávaných údajů, dodatečná opatření či jiné záruky a veškeré další relevantní skutečnosti týkající se předávání do třetí země by měly být nadto podrobně popsány v tzv. Data Transfer Impact Assessment (DTIA), neboli posouzení vlivu na ochranu osobních údajů v souvislosti s jejich předáním do třetí země mimo EHP.

Cookies využívané orgány veřejné správy

Úprava čl. 5 odst. 3 směrnice ePrivacy a § 89 odst. 3 ZEK dopadá na každý subjekt, který hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních. Tato úprava tedy plně dopadá i na orgány veřejné správy a jimi provozované webové stránky či mobilní aplikace, prostřednictvím kterých dochází ke zpracování cookies (a dalších online identifikátorů).

Spolek pro ochranu osobních údajů

Hellichova 1/458
118 00  Praha 1

tel.:    +420 730 677 644
e-mail:    spolek@ochranaudaju.cz

___________________________________
[1] Nejedná se o závazný výklad zákona. Stanovisko může obsahovat názory a doporučení, které nemusí být akceptovány příslušnými orgány veřejné správy.
[2] Podle většinového názoru odborné veřejnosti.
[3] WP29. Stanovisko č. 9/2014 k uplatňování směrnice 2002/58/ES na otisky zařízení ze dne 25. listopadu 2014. Dostupné >>> zde.
[4] Je však třeba upozornit, že text směrnice ePrivacy, zejména v porovnání s návrhy budoucího nařízení ePrivacy, není v tomto smyslu zcela jednoznačný.
[5] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[6] „Tato ochrana se vztahuje na veškeré informace uložené na tomto koncovém zařízení, bez ohledu na to, zda se týkají osobních údajů či nikoliv, a má za cíl zejména, jak vyplývá z tohoto bodu odůvodnění, chránit uživatele před rizikem pronikání skrytých identifikátorů nebo jiných podobných nástrojů do koncového zařízení těchto uživatelů bez jejich vědomí.“ Viz bod 70 rozsudku SDEU ze dne 1. října 2019 ve věci C-673/17 (Planet49). Dostupné >>> zde.
[7] Je třeba upozornit, že požadavek na získání souhlasu s „rozsahem“ zpracování je poněkud nejasný. Směrnice ePrivacy primárně požaduje souhlas s užitím síťových identifikátorů, resp. s přístupem k informacím uloženým v koncovém zařízení, přičemž uživatel musí být informován o tom, za jakým účelem budou informace získané díky těmto síťovým identifikátorům, případně získané z koncového zařízení, užívány.
[8] Směrnice ePrivacy odkazuje na zrušenou směrnici 95/46/ES, přičemž v souladu s čl. 94 odst. 2 GDPR se odkazy na tuto zrušenou směrnici považují za odkazy na GDPR.
[9] Viz bod č. 42 odůvodnění GDPR.
[10] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 7 a násl. Dostupné >>> zde.
[11] Tento závěr není ovšem přijímán zcela bez výhrad.
[12] To může být zejména problematické u těch subjektů, na které se vztahuje zákon č. 99/2019 Sb. o přístupnosti internetových stránek a mobilních aplikací a o změně zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů.
[13] Viz bod č. 43 odůvodnění GDPR.
[14] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 12-13. Dostupné >>> zde.
[15] Tamtéž. Str. 14-15.
[16] Viz bod č. 42 odůvodnění GDPR.
[17] Viz rozsudek SDEU ze dne 1. října 2019 ve věci C-673/17 (Planet49). Bod 75. Dostupné >>>zde.
[18] Blíže k informační povinnosti viz také EDPB. Pokyny č. 8/2020 k cílení na uživatele sociálních médií ze dne 13. dubna 2021. Bod 72 a násl. Dostupné >>> zde.
[19] V tomto ohledu je tak nezbytné responzivním způsobem přizpůsobit konkrétní zobrazení cookie lišty v rámci samotné mobilní aplikace.
[20] Viz § 89 odst. 3 ZEK.
[21] WP29. Stanovisko č. 4/2012 k výjimce z požadavku na souhlas s cookies ze dne 7. června 2012. Str. 3. Dostupné >>> zde.
[22] Tamtéž. Str. 5. Také dle Information Commissioner’s Office. Cookies and similar technologies. Dostupné >>> zde.
[23] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 5. Dostupné >>> zde. „Irrespective of whether trackers are accepted or rejected, the reappearance of the pop-up window, in order to ask the user again (about the use of trackers), must be made after the same period of time. This means that the duration of the user’s choice must be the same either the user accepts or rejects trackers. The use of trackers to remember this choice is deemed technically necessary.“
[24] WP29. Stanovisko č. 4/2012 k výjimce z požadavku na souhlas s cookies ze dne 7. června 2012. Str. 4. Dostupné >>> zde.
[25] Tamtéž. Str. 8-9.
[26] Návrh nařízení ePrivacy, které by mělo směrnici ePrivacy i relevantní úpravu ZEK v budoucnu nahradit, s takovou výjimkou pro vlastní analytické nástroje ve znění aktuálním v době vydání tohoto stanoviska počítá.
[27] WP29. Stanovisko č. 4/2012 k výjimce z požadavku na souhlas s cookies ze dne 7. června 2012. Str. 5. Dostupné >>> zde.
[28] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 34. Dostupné >>> zde.
[29] Commission nationale de l’informatique et des libertés. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs. Str. 7. Dostupné >>> zde: „25. Afin de s’assurer du caractère libre du consentement donné, la Commission recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte. 26. Toutefois, la Commission estime que cela ne fait pas obstacle à la possibilité de proposer aux utilisateurs de consentir de manière globale à un ensemble de finalités, sous réserve de présenter, au préalable, aux utilisateurs l’ensemble des finalités poursuivies.“
[30] Datatilsynet. Behandling af personoplysninger om hjemmesidebesøgende. Str. 12. Dostupné >>> zde: „En tjeneste kan omfatte flere behandlingsoperationer til mere end et formål. Et væsentligt element i vurderingen af, om et samtykke er frivilligt, er derfor også princippet om ”granularitet” Hvis en dataansvarlig ønsker at behandle personoplysninger til flere formål, skal de registrerede frit kunne vælge, hvilke formål de ønsker at give samtykke til.“
[31] An Coimisiún um Chosaint Sonraí. Guidance Note: Cookies and other tracking technologies. Str. 9. Dostupné >>> zde: „The user’s consent must be specific to each purpose for which you are processing their data, it must be freely given and unambiguous and it requires a clear, affirmative action on the part of the user. Silence or inaction by the user cannot constitute their consent to any processing of their data.”
[32] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 12. Dostupné >>> zde: „A service may involve multiple processing operations for more than one purpose. In such cases, the data subjects should be free to choose which purpose they accept, rather than having to consent to a bundle of processing purposes. In a given case, several consents may be warranted to start offering a service, pursuant to the GDPR.“
[33] Agencia Española de Protección de Datos. Guía sobre el uso de las cookies. Str. 22. Dostupné >>> zde.
[34] Agencia Española de Protección de Datos. A Guide on the use of cookies. Str. 25. Dostupné >>> zde.
[35] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 4. Dostupné >>> zde.
[36] Autorité de protection des données. Cookies et autres traceurs. Dostupné >>> zde: „Si le responsable d’un site Internet ou d’une application mobile sollicite votre consentement pour plusieurs types de cookies, vous devez avoir le choix de donner (ou de refuser) votre consentement pour chaque type de cookies, voire, dans une deuxième strate d’information, pour chaque cookie individuellement.“
[37] Information Commissioner’s Office. What is valid consent? Dostupné >>> zde.
[38] Datenschutzkonferenz. Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien. Str. 10. Dostupné >>> zde: „Wenn bei Websites durch vorgeschaltete Abfragen eine Einwilligung eingeholt wird, müssen die einzelnen Verarbeitungsvorgänge daher gesondert anwählbar sein.“
[39] Garante per la protezione dei dati personali. Guidelines on the use of cookies and other tracking tools, Kapitola 7. 1 bod (v). Dostupné >>> zde: „a link to an additional dedicated area where the user can select, individually, the functionalities, the so-called third parties – whose list must be kept up-to-date whether they can be reached through ad-hoc links or via links to the websites of intermediaries representing them – and the cookies – possibly grouped into homogeneous categories – to which the user chooses to consent. If cookies are grouped into homogeneous categories and the list of the third parties changes as reflected by the links placed in this area, i.e., if additional third parties are included in the said list, it shall be for the first party (i.e., the website operator) to accurately select them and carry out the necessary supervision to ensure that the inclusion of these new entities and the resulting processing operations continue to be in line with the grouping by homogeneous categories.“
[40] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 12-13. Dostupné >>> zde.
[41] Garante per la protezione dei dati personali. Guidelines on the use of cookies and other tracking tools, Kapitola 7. 1 bod (v). Dostupné >>> zde.
[42] Commission nationale de l’informatique et des libertés. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs. Str. 7. Dostupné >>> zde: „28. Pour permettre aux personnes de choisir finalité par finalité, il est possible d’inclure un bouton, sur le même niveau d’information que les liens ou boutons permettant de tout accepter et de tout refuser, permettant d’accéder au choix finalité par finalité. A titre d’exemple, un bouton « personnaliser mes choix » ou « décider par finalité » permettrait d’indiquer clairement cette possibilité. Les utilisateurs pourraient se voir également proposer d’accepter ou de refuser finalité par finalité directement sur le premier niveau d’information. “
[43] Agencia Española de Protección de Datos. Guía sobre el uso de las cookies. Str. 21. Dostupné >>> zde:  „La opción “Aceptar” podrá sustituirse por términos equivalentes, tales como “Aceptar y continuar”, “OK” o “Aceptar y cerrar”. Del mismo modo, y también a título de ejemplo, la opción “Configurar” podrá sustituirse por términos como “Opciones”, “Más opciones”, “Otras opciones” o “Configuración de privacidad”. Estas opciones serán admisibles siempre que se haya informado con claridad de las consecuencias de la elección respecto de la aceptación o configuración de las cookies. El enlace o botón para administrar preferencias debe llevar al usuario directamente al panel de configuración, sin que tenga que desplazarse.“
[44] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 4. Dostupné >>> zde.
[45] Zde lze také odkázat na problematiku tzv. dark patterns, byť podle názoru Spolku je třeba k tomu, kdy se již jedná o dark patterns, přistupovat zdrženlivě.
[46] Garante per la protezione dei dati personali. Guidelines on the use of cookies and other tracking tools, Kapitola 6. 2. Dostupné >>> zde.
[47] Information Commissioner’s Office. How do we comply with the cookie rules? Dostupné >>> zde: „You therefore need to decide an appropriate interval between when you require users to select their preference (whether that is consent or rejection), and also decide when that preference expires (after which point users are given the option again). At the same time, PECR isn’t intended to inconvenience or unduly disrupt the experience of your users. You are not expected to repeatedly require your users to specify their preference as a matter of course, whether that results in consent for non-essential cookies or refusal.“
[48] Hellenic Data Protection Authority. Guidance on the use of cookies (and similar technologies). Str. 5. Dostupné >>> zde: „Irrespective of whether trackers are accepted or rejected, the reappearance of the pop-up window, in order to ask the user again (about the use of trackers), must be made after the same period of time. This means that the duration of the user’s choice must be the same either the user accepts or rejects trackers. The use of trackers to remember this choice is deemed technically necessary.“
[49] Commission nationale de l’informatique et des libertés. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs. Str. 10-11. Dostupné >>> zde: „37. De manière générale, la Commission recommande que le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience.“
[50] Tamtéž. Str. 11: „38. Par ailleurs, dans la mesure où le consentement peut être oublié par les personnes qui l’ont manifesté à un instant donné, la Commission recommande aux responsables de traitement de renouveler son recueil à des intervalles appropriés. Dans ce cas, la durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs. 39. Au regard de ces éléments, la Commission considère, de manière générale, que conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.“
[51] An Coimisiún um Chosaint Sonraí. Guidance Note: Cookies and other tracking technologies. Str. 11. Dostupné >>> zde:  „If such a third-party tool is used to keep a record of a user’s consent to the use of cookies, you must also keep a record of that consent as part of your record of processing activities in accordance with Article 30 of the GDPR. You should limit the length of time such consent is valid for no longer than six months, after which time the user must be prompted to give their consent again.“
[52] Agencia Española de Protección de Datos. Guía sobre el uso de las cookies. Str. 29. Dostupné >>> zde:  „El CEPD, en sus directrices sobre el consentimiento, recomienda como mejor práctica la renovación del consentimiento a intervalos apropiados. Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.“
[53] Agencia Española de Protección de Datos. A Guide on the use of cookies. Str. 34. Dostupné >>> zde: „The WP29, in their guidelines on consent endorsed by the EDPB, recommends to renew consent at regular intervals as the best practice. This entity considers good practice that consent granted by users to use a specific cookie is valid for a period no longer than 24 months. During this time, users’ preferences may be stored so they are not asked to set them up again every time they visit the relevant page.“
[54] EDPB. Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 ze dne 4. května 2020. Str. 20. Dostupné >>> zde.
[55] Úřad pro ochranu osobních údajů. Doporučení ke zpracování cookies a obdobných prostředků sledování. Str. 4. Dostupné >>> zde.
[56] IAB Europe. Transparency & Consent Framework Policies. Chapter II, sec. 5. Dostupné >>> zde.
[57] Agencia Española de Protección de Datos. A Guide on the use of cookies. Str. 33. Dostupné >>> zde.
[58] Tamtéž. Str. 33–34.
[59] WP29. Stanovisko 2/2010 k internetové reklamě zaměřené na chování ze dne 22. června 2010. Str. 17. Dostupné >>> zde.
[60] V rozsudku SDEU ze dne 1. října 2019 ve věci C-673/17 (Planet49) se SDEU zabýval případem, kdy byl souhlas získáván pro 57 subjektů, aniž by tuto skutečnost výslovně považoval za nemožnou (neproveditelnou).
[61] Viz analogicky ÚOOÚ. Často kladené otázky k zákonu č. 480/2004 Sb. Otázka č. 12. Dostupné >>> zde.
[62] EDPB. Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Str. 14. Dostupné >>> zde.
[63] Tamtéž. Str. 19.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

Spolek pro ochranu osobních údajů

21. 12. 2021

---

Cookies – jak budou nově fungovat?

S počátkem roku 2022 se zásadně mění pravidla pro provozování prakticky všech webových stránek. Dosavadní volněji nastavené principy se totiž značně zpřísní. V následujícím článku se mohou zejména provozovatelé internetových serverů informovat, na co se bude třeba připravit.

Úvod

Při návštěvě oblíbeného webu, plnění nákupního košíku na e-shopu nebo během čtení článku na zpravodajském serveru uživatelé vůbec nepocítí, že se v pozadí něco děje. Ve skutečnosti je však takřka každá jejich aktivita sledována a zaznamenávána. Dochází ke sběru velkého množství dat prostřednictvím tzv. „cookies“.

Co jsou to cookies?

V obecném slova smyslu jsou cookies prostě koláčky. Ve světě informačních technologií pod tímto pojmem ovšem rozumíme malé textové soubory, které server posílá prohlížeči, jenž je ukládá na počítač uživatele. Při každé další návštěvě serveru mu prohlížeč zasílá zpět data. Díky tomu je možné navzájem rozlišovat jednotlivé uživatele, získávat informace o jejich chování (např. jaké navštěvují stránky, jak často, co vyhledávají apod.) a následně je využívat k cílené reklamě, pro statistické účely apod. Jinými slovy, díky cookies je např. server schopný si při dalším prohlížení webu zapamatovat, jaké zboží jste vložili do košíku. Dále také, které odkazy jste na něm již rozklikli. To se obvykle projeví např. vybledlým zbarvením konkrétního odkazu. Je díky nim možné přizpůsobovat nabídku zboží, tedy nabízet jen to, co zákazník chce a neobtěžovat ho něčím, o co zájem nemá. Dokonce lze jejich prostřednictvím upravovat reklamu napříč různými weby. Pokud jste si tedy na e-shopu prohlíželi např. oblečení, dost pravděpodobně se vám při následné návštěvě zpravodajského portálu budou objevovat reklamní bannery s dalším šatstvem.

Název „cookies“ potom vychází z anglosaského zvyku nabízet návštěvám koláčky za účelem navození příjemné atmosféry. Přeneseně v tomto významu nabízejí provozovatelé navštívených serverů svým uživatelům právě možnost přizpůsobit jejich obsah tak, aby jim co nejvíce vyhovoval.

Dosavadní právní úprava

Do 31. 12. 2021 jsou cookies založeny na tzv. „opt-out“ principu. To znamená, že při příchodu na web se již automaticky předpokládá souhlas se zpracováním cookies, pokud je o tom uživatel informován. Cookies lze tedy zpracovávat, dokud uživatel aktivně neprojeví nesouhlas, což mu musí být zároveň umožněno.

Nově však v tomto ohledu dochází k zásadní změně.

Nová právní úprava

Od 1. 1. 2022 se začíná uplatňovat nová zásada „opt-in“. Předchozí předpokládaný souhlas uživatele se zpracováním cookies již nebude dostačující. Celé schéma se naopak prakticky převrací. Při příchodu na web se tedy bude předpokládat nesouhlas se zpracováním. O tom, že jsou cookies zpracovávány, bude třeba uživatele vyrozumět a umožnit mu svobodnou volbu. Cookies bude možné zpracovávat teprve až po udělení aktivního souhlasu. Jedinou výjimkou budou ryze technické cookies, jež zajišťují správnou funkčnost webu.

Co prověřit a jak na správnou cookies lištu?

Jak by se tedy mělo postupovat, aby bylo vše v pořádku? V první řadě je třeba provést jakousi analytickou fázi, která sestává z následujících kroků:

1. Zmapovat web a všechny aplikace, které jsou na webu využívány.
2. Provést revizi veškerých cookies a podobných nástrojů.
3. Rozhodnout, které funkce jsou klíčové a co má být nadále používáno.
4. Kategorizace účelů používání (tzn. zda daný nástroj slouží např. k měření návštěvnosti, analytice, marketingu apod.).
5. Identifikovat všechny subjekty, ať už ty, které jsou původci cookies (pokud se nejedná o vlastní cookies předmětného serveru), anebo ty, jimž jsou získané údaje následně předávány.

Po analýze by měla následovat implementační fáze, jež zahrnuje následující:

1. Ošetřit vztahy se všemi subjekty.
2. Vybrat technické řešení pro získání souhlasů.
3. Připravit informační texty.
4. Implementovat řešení na web.

Souhlasy se zpracováním cookies se nejčastěji získávají přes vyskakovací informační lištu. Správná lišta by měla být hlavně co nejjednodušší a srozumitelná pro laika. Měla by obsahovat informaci o tom, že server cookies zpracovává a alespoň odkaz s podrobnějšími informacemi ohledně cookies a jednotlivých účelů zpracování. Udělovaný souhlas uživatele by měl být:

• explicitní (tedy jednoznačný);
• svobodný (nesmí existovat riziko nátlaku, podvodu apod.);
• určitý (účel, rozsah a následky musejí být jasně vymezeny);
• informovaný (doprovodné informace musejí být přehledné a srozumitelné);
• jeho udělení by mělo být stejně snadné jako neudělení (tzn. že pokud bude na liště např. tlačítko „Povolit vše“, mělo by zde být též „Povolit jen nezbytné“, aby mohl uživatel cookies zakázat na stejný počet kliknutí, jako kdyby je povoloval).

Provozovatel serveru by měl být také schopen získání souhlasu prokázat. Vedení evidence však není vhodné, a to zejména kvůli komplikacím z důvodu povinnosti ochrany osobních údajů. Lze tedy doporučit zabezpečit prokazování získání souhlasů zvoleným technickým řešením.

Závěr

Nová pravidla si vyžádají nutnost úpravy cookies prakticky na všech webech. Lze jistě doporučit připravit se na ně co nejdříve. Současně lze předpokládat, že nové principy budou pro provozovatele řady serverů znamenat velký zásah do dosavadních marketingových politik. Přizpůsobit novým regulím nebude třeba jen informační lištu a mechanismus získávání a uchovávání souhlasů, ale často i doprovodné informační texty. V tomto ohledu rozhodně není radno inspirovat se na jiných webech, neboť z praxe je známo, že zhruba až 90 % všech webů již dosud nemělo cookies ošetřeny odpovídajícím způsobem. V případě kontroly ze strany úřadu by tak mohly hrozit zbytečné sankce. Každý web je navíc jiný a má své specifické potřeby, které je třeba správně vystihnout. Při přizpůsobování serverů novým pravidlům lze proto velmi doporučit konzultaci s odborníky v oblasti práva.

JUDr. Vladimír Lajsek, Ph.D.
Z/C/H Legal v.o.s., advokátní kancelář

Národní 973/41
110 00  Praha 1

Tel.:    +420 225 020 500
Fax:    +420 225 020 555
e-mail:    office@zchlegal.cz

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

JUDr. Vladimír Lajsek, Ph.D. (Z/C/H Legal)

22. 12. 2021