SDEU významně specifikoval povinnosti při používání souborů cookies

Soudní dvůr Evropské unie se začátkem října vyjádřil k předběžné otázce německého Spolkového soudního dvora ve věci C-679/17 na výklad unijního práva ochrany soukromí v elektronických komunikacích a poměrně významně zpřesnil povinnosti provozovatelů webových stránek používajících soubory cookies. Soud přímo odpověděl na trojici otázek a uvedl na pravou míru jak vztah mezi ochranou soukromí a ochranou osobních údajů, tak i zpřesnil obsah obligatorní informační povinnosti.

Německá federace spotřebitelských organizací žalovala německou společnost Planet 49 za formu souhlasu a další nakládání s osobními údaji, které používala na svých webových stránkách. Ta totiž při přihlašování uživatelů ke své internetové reklamní loterii, používala před-zaškrtnuté políčko, ve kterém uživatelé „souhlasili“ jak s ukládáním dat do koncových zařízení (mobily, notebooky, apod.), tak i se čtením dat z těchto zařízení a s následným předáváním takto zpracovaných informací sponzorům a dalším partnerům Planet 49.

Konkrétně se ve vysvětlivce u daného zaškrtávacího políčka uvádělo: „Souhlasím s tím, že u mne bude použita webová analytická služba Remintrex. V důsledku toho pořadatel reklamní loterie (společnost Planet49), po zaregistrování do reklamní loterie nainstaluje soubory cookies, které mu pomocí Remintrexu umožní využívat údaje o mém prohlížení webu a o návštěvách internetových stránek reklamních partnerů a zasílat reklamu zaměřenou na mé zájmy. Soubory cookies mohu kdykoli smazat. Bližší informace naleznete zde.“ Hypetextový odkaz pod slovem „zde“ pak vedl k vysvětlující stránce, kde ve zhruba pěti odstavcích bylo vysvětleno, že soubory cookies budou do koncového zařízení uloženy za účelem efektivnějšího cílení reklamy, která pomocí identifikátoru uloženého do vašeho zařízení funguje tak, že pokud navštívíte některou z webových stránek reklamních partnerů Planet 49, pak bude automaticky zaznamenáváno, že jste tuto stránku navštívil, o jaké výrobky jste se zajímal a zda došlo k jejich koupi. Na konci pak byla ještě obecná informace o možnosti odstranění těchto souborů skrze funkcí „Nápověda“ v prohlížeči.

V první instanci zemský soud ve Frankfurtu nad Mohanem žalobě částečně vyhověl, načež se Planet 49 odvolala k vyššímu zemskému soudu, který judikoval opak a dal za pravdu Planet 49. Až Spolkový soudní dvůr, ke kterému podala federace spotřebitelů kasační opravný prostředek usoudil, že výsledek sporu závisí na výkladu ustanovení čl. 5 odst. 3 a čl. 2 písm. f) směrnice 2002/58/ES ve spojení s čl. 2 písm. h) směrnice 95/46/ES, jakož i čl. 6 odst. 1 písm. a) nařízení 2016/679 a podal čtyři předběžné otázky SDEU:

1. a) Je před-zaškrtnuté políčko právoplatně uděleným souhlasem dle čl. 5 odst. 3 směrnice 2002/58/ES?
2. Je použití čl. 5 odst. 3 směrnice 2002/58/ES rozdílné, pokud se v případě uložených nebo prohlížených informací jedná o osobní údaje?
3. Byl za okolností dle otázky 1), udělen právoplatný souhlas také dle nařízení 2016/679?
4. Jaké informace musí poskytovatel služby podle čl. 5. odst. 3 směrnice 2002/58/ES poskytnout uživateli? Náleží mezi ně doba funkčnosti souborů cookies a otázka, zda mají k souborům cookies přístup třetí osoby?

SDEU v této věci rozhodl velice jednoznačně, když judikoval, že před-zaškrtnuté políčko není dostatečný projev vůle kvůli absenci akce, tedy požadavku aktivního souhlasu, což je ve shodě s historickým vývojem předmětného ustanovení,[1] vyjádřením generálního advokáta v bodě 60 jeho stanoviska, a také v souladu s ustáleným názorem odborné veřejnosti.[2] Je přitom lhostejné zda se jedná o nároky na souhlas se zásahem do soukromí dle směrnice 2002/58/ES či o nároky na souhlas se zásahem do zpracování osobních údajů dle nařízení 2016/679, jelikož jsou nároky na oba souhlasy totožné.[3]

Druhá otázka pod písmenem b) pak opět směřovala k povinnostem souvisejícím s kombinací právní úpravy ochrany soukromí a ochrany osobních údajů a sice, zda je použití ustanovení čl. 5 odst. 3 rozdílné, pokud se v případě informací uložených do koncového zařízení jedná o osobní údaje. Tato problematika je velice zajímavá, jelikož existuje v praxi hned několik přístupů, jak související právní povinnosti z obou odvětví vzájemně interpretovat. Nejlogičtější východisko je však to, které klade důraz na účel obou právních odvětví a říká, že pokud právo ochrany soukromí v elektronických komunikacích chrání uživatele jako osobu a jeho tzv. osobní/soukromý „prostor“, který bychom mohli přirovnat k prostoru vlastní ložnice, nebo prostoru uvnitř dámské kabelky, pak logicky chráníme tyto „prostory“ obecně proti jakémukoliv narušení bez ohledu na jeho atributy. Naopak ochrana osobních údajů je ochranou odosobnělou, která chrání nikoliv osoby, ale jejich osobní údaje, které si zejména v prostoru internetu žijí vlastním životem. Právo ochrany osobních údajů je tak vlastně nástrojem, jak ochránit tyto osobní údaje, které se od osob oddělily natolik, že už je osoba není schopna kontrolovat. Z tohoto důvodu byl zaveden tento veřejnoprávní nástroj regulace, který stanoví možnosti jak původní subjekt údajů, od něhož se osobní údaje oddělily, může znovu se svými osobními údaji disponovat.

Ve světle výše uvedeného SDEU správně odlišil, že čl. 5 odst. 3 směrnice 2002/58/ES „ukládání informací“ a “získávání přístupu k již uloženým informacím“ z koncového zařízení je právě tím narušením soukromého prostou, které nerozlišuje ani nekvalifikuje, co do našeho prostoru zasahuje, a proto je irelevantní, zda jsou informace, které jsou ukládané či čtené z našeho zařízení zároveň osobními údaji. Záleží pouze na faktu, že je do privátního prostoru koncového zařízení zasahováno, jelikož se ochrana dle čl. 5 odst. 3 směrnice 2002/58/ES, slovy SDEU: „vztahuje na veškeré informace uložené na koncovém zařízení, bez ohledu na to, zda se týká osobních údajů či nikoliv…“ a cílem je zejména: „chránit uživatele před rizikem pronikání skrytých identifikátorů nebo jiných podobných nástrojů do koncového zařízení“.

Tyto dva body rozhodnutí SDEU jsou sice velice zajímavé, ale pro praxi bude možná nejdůležitější třetí bod rozhodnutí, který odpovídá na otázku, jaké informace musí webová stránka používající cookies poskytnout uživateli. Obsah sdělení uživateli by totiž podle názoru generálního advokáta měl obsahovat jasné a úplné informace, které uživateli umožní jednoduše rozpoznat důsledky souhlasu, který by mohl udělit a zajistit, aby byl takový souhlas udělen s plnou znalostí věci. Jako vodítko konkrétního obsahu informační povinnosti mezi výše uvedenými obecnými pojmy lze použít čl. 10 směrnice 95/46/ES, na který odkazuje jak čl. 5 odst. 3 směrnice 2002/58/ES, tak i čl. 13 nařízení 2016/679. Ten totiž mezi informace, které musí být subjektu poskytnuty zařazuje vždy totožnost správce a účel zpracování, plus veškeré další doplňující informace, jako jsou příjemci nebo kategorie příjemců údajů či míra v jaké jsou tyto doplňující údaje nutné pro zajištění řádného zpracování údajů vůči subjektu údajů s ohledem na zvláštní okolnosti, za kterých jsou osobní údaje shromažďovány. Nově však SDEU v tomto rozsudku přidal mezi povinně zveřejňované informace pro splnění povinnosti dle čl. 5 odst. 3 směrnice 2002/58/ES také dobu funkčnosti souborů cookies a možnost, zda k souborům cookies mají přístup třetí osoby. To znamená, že v každé politice cookies vysvětlující používání cookies a podobných technologií webovou stránkou, by měla vždy zaznít také informace o tom, zda jsou soubory cookies sdíleny s třetími osobami a na jak dlouhou dobu jsou soubory do koncového zařízení nahrány. Proto je třetí část výroku SDEU tak důležitá pro internetovou praxi, protože vlastně znamená že každý, kdo na svých webových stránkách používá soubory cookies, by měl zkontrolovat, zda se výše uvedené informace v jeho informační stránce skutečně vyskytují a případně je urychleně opravit. V případě totiž, že vyjmenované informace nejsou ve sdělení uživatelům obsaženy, hrozí pak správcům sankce.

Mgr. Jakub Klodwig, koncipient

MT Legal s.r.o., advokátní kancelář

[1] Původní směrnice o soukromí a elektronických komunikacích 2002/58/ES z července 2002 provedená do českého zákona o elektronických komunikacích č. 127/2005/ES Sb. zakotvovala režim opt-out. Novelizací směrnice v roku 2009 byla zvýšena požadovaná úroveň ochrany z opt-out režimu na režim opt-in. Byť některé státy tuto směrnici řádně neimplementovaly, lze pozorovat trend zvyšování nároků na ochranu soukromí v elektronických komunikacích.

[2] KLODWIG, Jakub. Ochrana soukromí v kontextu koncových zařízení uživatelů [online]. Brno, 2019 [cit. 2019-10-09]. Dostupné z: <https://is.muni.cz/th/u6bwf/>. Diplomová práce. Masarykova univerzita, Právnická fakulta. Vedoucí práce Jakub Míšek.; Pokyny pro souhlas podle nařízení 2016/679, ze dne 28. 11 2017; SCHWARZ, Volodymyr. GDPR a přímý marketing [online]. Praha, 2018 [cit. 2019-10-09]. Dostupné z: <https://www.epravo.cz/top/clanky/gdpr-a-primy-marketing-107161.html >; etc.

[3] WP29, Opinion 15/2011 on the definition of consent, ze dne 13. 7. 2011. s. 3.