15.12.2021
Náš spolek připravil stanovisko, v němž vyjádřil své názory k právní úpravě cookies od 1.1.2022.
Plné znění stanoviska zpracovaného po vypořádané interní diskuzi členů naleznete na našich stránkách.
Toto stanovisko vyjadřuje názor Spolku pro ochranu osobních údajů na změny v oblasti ukládání údajů nebo získávání přístupu k údajům uloženým v koncových zařízeních uživatelů (dále jen „cookies“), které vyvolává zákon č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZEK“) ve znění novelizujícího zákona č. 374/2021 Sb. (dále jen „novela“).
Stávající právní úprava cookies je v České republice provedena v rámci ZEK, jenž transponuje Směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (dále jen „směrnice ePrivacy“).
V současnosti jsou v § 89 odst. 3 ZEK stanoveny obecné podmínky, při jejichž splnění je možné ukládat údaje do zařízení uživatele nebo získat přístup k údajům v zařízení uložených. Mezi tyto podmínky patří povinnost informovat uživatele o tom, že dochází k použití cookies a povinnost poskytnout uživateli možnost takové používání cookies odmítnout. Jedná se tedy o režim opt-out.
Tento režim však nereflektuje aktualizovanou úpravu z roku 2009 obsaženou v čl. 5 odst. 3 směrnice ePrivacy, ve kterém byl zakotven režim opt-in, dle něhož je použití cookies podmíněno získáním předchozího informovaného souhlasu uživatele. Musí se tedy jednat o aktivní a předem udělený souhlas, na jehož základě mohou být cookies následně použity.
Novela tak přináší velkou změnu, která ovlivní prakticky všechny provozovatele webových stránek a mobilních či jiných aplikací v České republice. Ti budou nuceni přejít z režimu opt-out na režim opt-in, který novela zakotvuje a jenž je v souladu s evropskou právní úpravou, a to již od 1. 1. 2022. Toto stanovisko vychází z názorů Spolku a doporučení a pokynů jednotlivých národních dozorových úřadů, a tedy reflektuje zejména tyto dokumenty.
Nezabývá se primárně standardy jednotlivých subjektů, jako je např. organizace IAB. Provozovatel webové stránky by měl ovšem vždy rozlišovat, zda získává souhlas pouze pro sebe nebo také pro další subjekty, které mohou mít např. své vlastní specifické standardy či požadavky.