Transparentnost je základ
Provozovatelé webových stránek jsou povinni návštěvníky informovat o skutečnostech, které zákon považuje za natolik důležité, že musí být všem sdělovány bez ohledu na to, zda je skutečně zajímají. Bez poskytnutí relevantních informací například nelze udělit řádný souhlas se zpracováním osobních údajů. Uživatel, zejména spotřebitel či subjekt údajů, se také může jen obtížně domáhat dalších práv, pokud neví, že takovými právy disponuje, nebo že se může dít něco, co je v rozporu s jeho zájmy.
Informační povinnost týkající se používání cookies nebo dalších analytických nástrojů vyplývá jak ze zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (dále jen „ZEK“), tak i z nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto informací (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“).
Bohužel ani jeden z těchto předpisů specificky neříká o čem, v jakém rozsahu, ani jak konkrétně se informační povinnosti z ochrany osobních údajů a ochrany soukromí v elektronických komunikacích doplňují a jak informace poskytnout skutečně přehledně a zbytečně je nekomplikovat.
Cílem tohoto článku je obě právní úpravy analyzovat a poradit, jak v praxi plnit informační povinnost v souladu s oběma předpisy, ale zároveň efektivně, přehledně a tak jednoduše, jak je to jen možné.
Jak informovat o cookies podle ÚOOÚ
Ke způsobu plnění informační povinnosti se naposledy vyjádřil Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) ve svém návrhu Doporučení ke zpracování cookies a obdobných prostředků od 25. května 2018 (dále jen „návrh Doporučení). Ta je v případě identifikace uživatele v koncovém zařízení, ať již provozovatelem aplikace či webové stránky, dvojí:
Informační povinnost v režimu ochrany soukromí je stanovena v čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikacích (dále jen „Směrnice o soukromí a elektronických komunikacích“) a implementována v českém § 89 odst. 3 ZEK. Informační povinnost se přitom objevovala jak ve starší verzi zákona v režimu opt-out, tak i po novelizace účinné od roku 2022 v režimu opt-in. V obou přístupech je totiž nezbytné poučit uživatele o tom, že budou ukládána nebo minimálně čtena data z jeho koncového zařízení a pak s nimi bude dále nakládáno.
Informační povinnost týkající se zpracování osobních údajů je upravena i v GDPR. Konkrétně v článcích 13 a 14, v závislosti na tom odkud byly osobní údaje získány. Informace v rozsahu dle čl. 13 GDPR je nutné poskytnout, pokud jsou osobní údaje získávány přímo od dotčené osoby, subjekty údajů. Článek 14 se pak uplatní tehdy, když správce, v našem případě provozovatel webu, údaje získává nepřímo, od jiného správce.
V případě čtení dat z koncového zařízení prostřednictvím identifikačních metod, kdy jsou osobní údaje získány přímo od subjektu údajů, je relevantní právě čl. 13 GDPR. Ten vymezuje rozsah informací o zpracování osobních údajů minimálně takto:
totožnost a kontaktní údaje správce a jeho případného zástupce;
kontaktní údaje případného pověřence pro ochranu osobních údajů;
účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
případné příjemce nebo kategorie příjemců osobních údajů;
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
Další informace o zpracování online získaných dat
Zde uvedený výčet je mnohem obsáhlejší, než jen „rozsah a účel zpracování“, které vyžaduje § 89 odst. 3 ZEK pro cookies a podobné technologie. A to se jedná pouze o minimum poskytovaných informací, ke kterým čl. 13. odst. 2 GDPR doplňuje ještě další skutečnosti, které je, podle okolností případu, také vhodné poskytovat. V případě, že navíc bude následné zpracování osobních údajů probíhat na základě souhlasu (což lze předpokládat), tak Evropský sbor pro ochranu osobních údajů doporučuje informovat uživatele alespoň v tomto rozsahu:
totožnost správce;
účel každé operace zpracování, pro kterou je souhlas požadován;
jaké údaje (typy údajů) budou shromažďovány a používány;
existence práva souhlas odvolat;
případně informace o využití údajů pro automatizované rozhodování; a
o možných rizicích předávání údajů v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk.
V tomto kontextu ÚOOÚ v návrhu Doporučení radí provozovatelům do sdělovaného obsahu zařadit také informaci o příjemcích, kterým budou osobní údaje zpřístupněny včetně alespoň odkazu na jejich webové stránky.
Řešením je granularita
V součtu se jedná o relativně velké množství informací, které by nebylo praktické na uživatele vychrlit a očekávat jejich přečtení. V praxi proto informační povinnost rozdělujeme, jak to ostatně i GDPR umožňuje, na úvodní informace, tzv. první vrstvu, a další, sekundární, informace, tzv. druhou vrstvu, které si uživatel může zobrazit v případě zájmu o bližší detail.
Ke splnění úvodní informace slouží zpravidla pop-up okna nebo tzv. cookies lišty, které se na webové stránce zobrazí při jejich prvním načtení. Jejich součástí je často i požadavek na udělení souhlasu. Další sekundární informace lze pak nalézt v tzv. „Cookies policy“ nebo „Privacy policy“, což je zpravidla vlastní webová stránka domény nižší úrovně, kde jsou, nebo by měly být, srozumitelně a s použitím jednoduchého jazyka vysvětleny všechny relevantní aspekty použití identifikačních metod a souvisejícího zpracování osobních údajů minimálně v rozsahu uvedeném výše.
Informační povinnost dle Soudního dvora EU
K otázce informační povinnosti se v říjnu 2019 vyjádřil také Soudní dvůr Evropské unie (dále jen "SDEU") ve věci C-673/17 – Planet49. V tomto rozsudku soud významně zpřesnil povinnosti provozovatelů webových stránek používajících metody identifikace online.
Obsah sdělení uživateli by podle SDEU měl obsahovat jasné a úplné informace, které uživateli umožní jednoduše rozpoznat důsledky souhlasu, který by mohl udělit. Je však také otázkou, jaké informace musí být obsaženy již v první vrstvě jako primární informace (např. přímo v cookies liště) a jaké postačuje uvést v Privacy policy, tedy ne při sběru souhlasu, ale až ve vrstvě druhé.
Samotná skutečnost že SDEU nespecifikoval, ve které vrstvě se informace musí objevit, vypovídá spíše o tom, že není obecnou povinností tyto informace uvádět již v první vrstvě. Tomuto výkladu svědčí také fakt, že čím více informací je v první informační vrstvě obsaženo, tím větší nároky jsou kladeny na uživatele a na jejich pozornost, jelikož tím spíše si uživatelé nebudou tyto informace číst.
Je třeba dbát na to, aby poskytované informace byly přehledné, snadno dostupné, a tedy i dávkované podle míry vhodného detailu. Za dobrou praxi tudíž rozhodně nelze považovat zobrazování úvodního textu v první úrovni, který uživatele zavalí podrobnými informacemi, mezi kterými bude uživatel jen obtížně hledat podstatné informace.
První vrstva informací
Co by mezi informacemi, které uživatel o zpracování dat dostane nejdříve, nemělo chybět? Mezi úvodními informacemi by měl být vždy uveden alespoň:
název správce,
účel a
rozsah zpracování.
Důvodem je, že bez těchto základních informací není možné platně udělit souhlas. Vzhledem k tomu, že rozsah zpracování je poměrně abstraktní požadavek, který lze splnit různými způsoby, je vhodné uvést příklad rozumného množství informací o účelu a rozsahu zpracování tak aby byla splněna zákonná informační povinnost a současně, aby nebyl poskytovaný text excesivní.
Příkladem nedostatečně popsaného účelu je například: „Vaše osobní údaje použijeme pro výzkumné účely.“ V tomto případě není specifikováno, o jaký druh výzkumu se jedná, jaké osobní údaje budou zpracovávány ani k čemu výzkum slouží. Naopak jako příklad dobré praxe lze označit následující popis: „Osobní údaje o Vaší aktivitě na webové stránce ABC.cz budeme zpracovávat za účelem analýzy a případné úpravy ABC.cz tak, aby byly intuitivnější a uživatelsky přívětivější.“
V takovém případě bude na rozdíl od prvního případu zřejmé, jaké údaje bude webová stránka zpracovávat a jaký typ analýzy na nich bude správce provádět. činnosti, se kterou je uživatel tázán, zda souhlasí.
Kromě účelu a rozsahu zpracování lze v první vrstvě uvést i další vhodné informace. Obvykle však lze považovat za dostatečné, pokud se objeví alespoň v druhé vrstvě informační povinnosti, představované zpravidla dokumentem typu Privacy Policy.
Druhá vrstva informací
Mezi ostatní povinné informace, které je nutné uvést, patří:
totožnost a kontaktní údaje správce,
informace o příjemcích osobních údajů nebo alespoň kategorie příjemců,
právní základ zpracování,
existence práva souhlas odvolat,
informace o případném využití údajů pro automatizované rozhodování včetně profilování,
informace o možných rizicích předávání údajů v důsledku absence rozhodnutí o odpovídající ochraně,
kontaktní údaje případného pověřence pro ochranu osobních údajů,
oprávněné zájmy správce, pokud je zpracování založeno na čl. 6 odst. 1 písm. f) GDPR
úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající úrovni pravidel pro ochranu osobních údajů.
Je nutno informovat o době uchování cookies?
SDEU v rozsudku Planet 49 mj. uvedl, že „…informace, které musí poskytovatel služeb poskytnout uživateli internetových stránek, zahrnují dobu funkčnosti souborů cookies, jakož i možnost, aby k těmto souborům cookies měly přístup třetí osoby.“
S uvedenými závěry i použitými argumenty lze bezpochyby souhlasit, avšak je potřeba zkoumat, jaký měl tento rozsudek dopad na výčet povinně zveřejňovaných informací. Informace o možnostech třetích osob k osobním údajům přistupovat lze totiž podřadit pod již existující kategorii uvedenou pod č. 4. obsahující: „informace o příjemcích osobních údajů nebo alespoň kategorie příjemců“. Informace o možnostech třetích osob k osobním údajům přistupovat by tak již podle stávající právní úpravy měly být uživatelům dle čl. 14 odst. 1 písm. e) GDPR dostupné.
Informace o době funkčnosti souborů cookies či jiných metod online identifikace z dosavadního výčtu povinně uváděných informací dosud přímo nevyplýval. Požadavek se ale objevuje v čl. 13 odst. 2 písm. a) GDPR, mezi dalšími informacemi, které má správce osobních údajů uvést, pokud si vyhodnotí, že je uvedení takového údaje nezbytné z hlediska zajištění spravedlivého a transparentního zpracování. Tento požadavek se rovněž objevuje v recitálu 23 a 26 Směrnice o soukromí a elektronických komunikacích.
Je proto dobře, že SDEU dobu funkčnosti identifikátorů do výčtu výslovně zařadil, čímž fakticky přispěl k přesunutí tohoto údaje ze čl. 13 odst. 2 do odst. 1 GDPR. Po rozsudku Planet49 lze proto do výše uvedeného výčtu doplnit:
doba funkčnosti identifikační metody.
Výše uvedené znamená, že v každé Privacy policy vysvětlující používání cookies či jiných identifikačních metod webovou stránkou, by měla zaznít také informace o tom, zda jsou soubory cookies sdíleny s třetími osobami a na jak dlouhou dobu jsou soubory do koncového zařízení nahrány.
Právě proto je třetí část výroku rozsudku SDEU ve věci Planet49 důležitá pro internetovou praxi. V důsledku totiž znamená že každý, kdo na svých webových stránkách používá alespoň soubory cookies, by měl zkontrolovat, zda se výše uvedené informace v jeho informační stránce skutečně vyskytují a pokud ne, tak by je měl doplnit. V případě totiž, že vyjmenované informace nejsou ve sdělení uživatelům obsaženy, hrozí pak provozovatelům webové stránky sankce za porušení GDPR až 20.000.000 EUR nebo až 4 % z celkového ročního obratu skupiny podniků.
