Cookies a požadavky na souhlas

2020-09-08, JUDr. Eva Fialová, LL.M., Ph.D.


Cookie wall               

Nemálo provozovatelů webových stránek používá k získání souhlasu se zpracováním souborů cookies tzv. cookie wall. O co se jedná. Jako cookie wall je označováno okénko, které se návštěvníkovi stránky zobrazí při jeho příchodu na stránku. Okénko blokuje další přístup ke stránce, dokud návštěvník neklikne na souhlas se zpracováním cookies. Dokud souhlas nepotvrdí, je mu přístup na stránku blokován. 

Již v loňském roce označil nizozemský dozorový úřad Autoriteit persoonsgegevens používání cookie wallů za nepřípustné z důvodu vynuceného souhlasu.[1] Požadavkům GDPR neodpovídá používání cookie wall ani podle francouzského dozorového úřadu CNIL.[2]  Tato stanoviska národních úřadů potvrdil ve svých vodítkách Evropský sbor pro ochranu osobních údajů (dále jen „Sbor“). Podle něj není souhlas svobodný a tedy v souladu s GDPR, pokud je přístup ke službám a funkcionalitám podmíněn souhlasem uživatele s ukládáním informací, nebo k přístupu již uložených informací v jeho koncovém zařízení.[3] Sbor tak potvrdil svůj výklad náležitostí platného souhlasu, podle kterého souhlas, který není udělen skutečně svobodně, tedy bez možnosti volby, není platným souhlasem se zpracováním osobních údajů. 

Souhlas a jeho forma

K platnosti souhlasu podle GDPR se zpracováním cookies jako osobních údajů se vyjádřil ve svém rozsudku Planet 29 (C‑673/17) i Soudní dvůr Evropské unie. Podle tohoto soudu není souhlas se zpracováním osobních údajů právoplatně udělen, pokud je ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit. Jinými slovy, ani předem zakliknutý souhlas není platným souhlasem. Souhlas musí být udělen aktivně. Jinak by podle soudu nebylo možné vyloučit, že si uživatel internetových stránek možnosti udělit nebo neudělit souhlas vůbec nevšiml. Souhlas s ukládáním souborů cookies udělený prostřednictvím nastavení prohlížeče, jak je uvedeno v návrhu doporučení Úřadu pro ochranu osobních údajů Doporučení k zpracování cookies a obdobných prostředků sledování,[4] není po rozsudku Planet 49 platně uděleným souhlasem. ÚOOÚ toto své doporučení však promítá i do rozhodovací praxe. Souhlas se zpracováním osobních údajů prostřednictvím cookies pro účely remarketingu je možno udělit i nastavením prohlížeče za předpokladu, že správce osobních údajů splní informační povinnost.[5]

Uživatel internetové stránky by měl mít možnost aktivně souhlasit nejen s ukládáním informací nebo s přístupem k nim, ale tento souhlas by měl být specifikován podle typů cookies. Uživatel by měl mít možnost přijmout všechny typy cookies, nebo všechny typy odmítnout, popř. některé přijmout a jiné odmítnout.[6]

Platným souhlasem se zpracováním osobních údajů prostřednictvím cookies není ani pokračování v používání internetové stránky. Podle výše uvedených vodítek Sboru scrollování nebo projíždění internetové stránky nebo jiné podobné chování nepředstavuje jasný a souhlasný projev vůle. Nadto musí být odmítnutí souhlasu stejně jednoduché jako jeho získání, což by bylo podle Sboru v takovém případě obtížné.   

Souhlas s cookies v českém právu

Česká právní úprava je však doposud v rozporu se směrnicí 2002/58/ES o soukromí a elektronických komunikacích založená na principu opt-in, tedy možnosti cookies odmítnout, nikoliv je aktivně povolit. Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je podle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Podle ÚOOÚ nelze nesprávnou transpozici evropské směrnice překlenout ani eurokonformním výkladem.[7]

Pokud bude ale možné cookies charakterizovat jako osobní údaj, bude muset i český provozovatel internetové stránky zpracovávat takové cookies v souladu s GDPR. To znamená, že ke zpracování bude muset existovat zákonný důvod. Pokud provozovatel nebude disponovat jiným zákonným důvodem, bez souhlasu uživatele internetové stránky se neobejde. 


[1] Autoriteit persoonsgegevnes. Hoe legt de AP de juridische normen rond cookiewalls uit? Dostupné z: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_ap_cookiewalls.pdf

[2] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rectificatif). Dostupné z: https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337

[3] Evropský sbor pro ochranu osobních údajů. Guidelines 05/2020 on consent under Regulation 2016/679. Dostupné z: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

[4] Úřad pro ochranu osobních údajů. Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=42915

[5] Úřad pro ochranu osobních údajů. Protokol o kontrole ze dne 18. 10. 2019. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=37700

[6] Pracovní skupina pro ochranu osobních údajů podle čl. 29. Working Document 02/2013 providing guidance on obtaining consent for cookie Dostupné z: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf

[7] Úřad pro ochranu osobních údajů. Protokol o kontrole ze dne 18.10.2019.