Vážení,
dovolujeme si Vás touto cestou informovat o tom, že Úřad pro ochranu osobních údajů („ÚOOÚ“) zveřejnil na svých internetových stránkách www.uoou.cz protokol o kontrole, jejímž předmětem bylo dodržování povinností správce osobních údajů v souvislosti s využíváním cookies pro remarketing. Závěry přijaté ÚOOÚ ve zveřejněném kontrolním protokolu č.j. UOOU-00438/19-20 jsou důležité zejm. v souvislosti s nejnovějším vývojem judikatury Soudního dvora EU („SDEU“), neboť v tomto konkrétním případě ÚOOÚ potvrdil, že souhlas se zpracováním osobních údajů prostřednictvím cookies využitých k remarketingu je možno udělit nastavením prohlížeče, pokud je dostatečně plněna informační povinnost.
SDEU počátkem října tohoto roku vydal rozhodnutí k výkladu unijního práva týkajícího se ochrany soukromí v souvislosti s elektronickou komunikací - konkrétně k otázce, zda se dá považovat odsouhlasení formuláře, v němž je již předem zaškrtnuté políčko se souhlasem s ukládáním souborů cookies, za platně udělený souhlas. SDEU rozhodl, že souhlas, který uživatel internetových stránek dává k umístění a prohlížení souborů cookies na svém zařízení, musí být aktivním úkonem ze strany uživatele. Podle předmětného rozhodnutí tedy nesmí docházet k situacím, kdy by se uživatel musel aktivně bránit ukládání cookies např. zrušením označení předem zaškrtnutého políčka s poskytnutím souhlasu v konkrétním formuláři. SDEU rovněž uvedl, že je nutné umožnit uživateli rovnou i volbu „Nesouhlasím s ukládáním cookies“.
V kontextu shora popsaného rozhodnutí SDEU je třeba říci, že ÚOOÚ dosud zjevně zastával, s ohledem na návrh doporučení „Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018“ zveřejněné na www.uoou.cz, v dané otázce stanovisko odlišné. V tomto zveřejněném návrhu doporučení totiž ÚOOÚ uvedl, že pokud uživatel v nastavení svého internetového prohlížeče cookies nezakáže, tak se má za to, že dal souhlas s jejich ukládáním (ve smyslu GDPR).
S ohledem na výše uvedené tak bylo tak otázkou, jak se ÚOOÚ bude nadále k otázce souhlasu s ukládáním cookies v rámci své rozhodovací praxe stavět. Odpověď na tuto otázku pak nastínil předmětný zveřejněný protokol o kontrole, ve kterém ÚOOÚ potvrdil (zdánlivě navzdory rozhodnutí SDEU) svůj stávající postoj, konkrétně takto:
„ÚOOÚ došel k tomu, že získávání osobních údajů (cookies) kontrolovanou osobou se děje v souladu s požadavky § 89 odst. 3 zákona č. 127/2005 Sb., neboť kontrolovaná osoba informuje uživatele o rozsahu a účelu jejich zpracování a rovněž jim nabízí možnost takové zpracování odmítnout, přičemž tyto podmínky naplňuje kontrolovaná osoba tím, že postupuje v souladu s čl. 12 – 14 nařízení (EU) 2016/679. Podstatná je dle ÚOOÚ uvedená informace v zápatí webových stránek uvádějící, že při poskytování služeb jsou využívány soubory cookies a používáním webových stránek uživatel s tímto vyjadřuje souhlas. Nadto jsou pak uživatelé webových stránek v dokumentu Zásady cookies informováni, že cookies lze odmítnout v nastavení internetového prohlížeče, resp. je možné nastavit užívání jen některých cookies souborů, přičemž v dokumentu jsou uvedeny odkazy na jednotlivé internetové prohlížeče, resp. webové stránky, na nichž je možné nastavení cookies provést. Dále je předána informace o možnosti vymazat cookies, které byly již dříve uloženy do zařízení. Pro případy, kdy je uživatel přihlášen k využívání služeb v rámci svého uživatelského účtu (Facebook, Google), poskytuje dokument formou jednotlivých odkazů další informace o využívání cookies těmito třetími stranami a též o možnosti vypnutí personalizace reklam. Z hlediska článků 13 a 14 nařízení (EU) 2016/679 je pak rozhodný dokument Zásady ochrany osobních údajů, jímž je kontrolovaná osoba definována jako správce osobních údajů a uvedeny jsou její kontaktní údaje. Předána je základní informace o využívání cookies (přičemž bližší informace jsou uvedeny v dokumentu Zásady cookies), a to včetně uvedení účelu personalizace zobrazování reklam. Z hlediska doby zpracování osobních údajů je expirace cookies uvedena opět v dokumentu Zásady cookies. Zásady ochrany osobních údajů obsahují informace o právech subjektů údajů dle nařízení (EU) 2016/679 vč. práva podat stížnost u dozorového úřadu. V obou dokumentech jsou uvedeny informace relevantní pro situace, kdy je přístup k zákaznickému účtu uskutečňován prostřednictvím služeb Facebooku či Googlu.“
Každopádně je třeba dodat (k čemuž odkazoval výše uvedený termín „zdánlivě“), pro pochopení kontextu UOOÚ projeveného názoru, že tento postoj je odůvodněn nedostatečnou transpozicí novelizované směrnice 2002/58/ES ze strany České republiky. ÚOOÚ totiž v protokolu o kontrole dále uvedl:
„Dle názoru kontrolujících Česká republika nedostatečným způsobem transponovala novelizovanou směrnici 2002/58/ES, neboť po změně režimu z OPT-OUT na OPT-IN, nadále český zákonodárce pracuje s režimem OPT-OUT, tedy s režimem, kdy správce osobních údajů má možnost zpracovávat osobní údaje subjektů údajů automaticky (za splnění podmínky řádného informování) a pouze realizovat následně vyjádřené přání subjektů údajů o nezpracování jejich osobních údajů. Jak však již bylo uvedeno výše, současná podoba směrnice je vystavěna na režimu OPT-IN, tedy na režimu, kdy správce osobních údajů je povinen nejdříve získat souhlas subjektů údajů a teprve po jeho udělení má možnost jejich osobní údaje obsažené v cookies souborech zpracovávat.“
Situaci přístupu ÚOOÚ budeme i nadále sledovat stejně tak jako vývoj k návrhu znění ePrivacy.
S pozdravem
Petra Vodáková