Právní úprava cookies je de facto mrtvé právo
Shrnutí: Neplnění právních požadavků na souhlas s ostatními cookies je v pořádku, pokud má provozovatel webu nezávislou analytiku či marketing, jež neumožňuje potenciální identifikaci uživatele. Pokud má globální analytiku či napojení na ní, měl by podmínky právní úpravy cookies raději plnit, včetně požadavku na možnost odmítnutí ostatních cookies stejně snadno jako jejich přijetí.
Zdůvodnění právní úpravy cookies
Cookies jsou datové soubory ukládané navštívenými weby do zařízení (PC, Telefon) uživatelů. Dělí se na nezbytné pro poskytnutí služby (např.funkčnost košík v eshopu), v praci nazývané „důležité“ a ostatní (nejčastěji marketingové, analytické). Pro posledně uvedené je k uložení u uživatele souhlas předem.
V právním řádu ČR cookies vágně zakotvuje § 89/3 zákona č. 127/2005 Sb. o elektronických komunikacích, v aktuálním znění.
Recitál 25 preambule směrnice 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) ve znění pozdějších předpisů:
Uživatelé musí mít možnost odmítnout, aby „cookies“ nebo podobné nástroje byly ukládány do jejich koncových zařízení. Toto je obzvláště důležité v případě, kdy uživatelé odlišní od původního uživatele mají přístup ke koncovému zařízení, a tudíž i k veškerým údajům uchovávaným v takovém zařízení, které obsahují i citlivé informace o soukromí.
Nesmyslnost právní úpravy cookies
Každý webový prohlížeč obsahuje historii prohlížení. To lze označit za skutečnost všeobecně známou či alespoň intuitivně známou. Historii prohlížených stránek neukládá provozovatel webu, ale sám prohlížeč na koncovém zařízení. Provozovatel webu k této historii na rozdíl od cookies nemá přístup.
Je-li, jak uvádí preambule směrnice, předmětem ochrany uživatele koncového zařízení to, aby jiní uživatelé, jež mají k zařízení přístup, neviděli, co si dotčený prohlížel (např. rodiče syna koukajícího na erotické stránky), právní úprava cookies je k ničemu. Stejně vedle nich vždy bude i ta historie prohlížených stránek. Navíc technicky je to ošetřeno i lépe a EU se zde sanáží zametat dokonale čistý dvorek. Výmaz dat s prohlížeče je totiž prohlížeči nabízen komplexně – historie prohlížených stránek, cookies, obrázky aj. Navíc, jak říkám, že se záznamy v PC nějakým způsobem logují, ví intuitivně každý. Dále je to uchování logů na serverech poskytovatelů internetu a serverů či virtuálních serverů eshopů. Tyto logy mohou být uchovávány v zásadě jen se souhlasem uživatele, ale i z důvodu chráněného zájmu poskytovatele internetu či serveru (např. ochrana před útočníky). Takže fakticky serverové logy a IP návštěvníka a časem přístupu archivuje každý server. Tyto logy nelze ne rozdíl od cookies a historie vymazat. Ale též nejsou napojen na globální analytiku a jejich data v zásadě bez asistence úřadů, policie či hackerů nelze spárovat s konkrétním uživatelem.
Lišta cookies souhlasu je tak pouze zdržování a znepříjemňování pobytu návštěvníků na webu. Fakticky je ale vzhledem k výše nijak nechrání. Porušení povinnosti provozovatele webu vyžadovat souhlas s uložením cookies by tak soud měl považovat za přestupek, jenž sice naplnil formálně znaky skutkové podstaty příslušeného přestupku, avšak s nulovou společenskou nebezpečností. Nešlo by tedy o přestupek samo o sobě.
Pro kontext uvedu, že jsem člověk práva. Nejen dvojitý doktor práv a inženýr ekonomie, ale i člověk, jež na rozdíl od běžné a mnohdy i odborné populace vidí a podporuje přínosy evropské regulace. Regulace EU občanům ČR dává mnohem víc než dotace (ochrana majetků, procesů, efektivity, práv). Člověk, který měl 15 let na starosti regulaci trhů , vypořádání a evidenci investičních nástrojů ČR v České národní bance.
Zde se ale ta regulace nepovedla. I proto na ní 95% webu napůl kašle, neboť neumožňují odmítnutí ostatních cookies na stejné úrovni jako jejich přijetí. Tento požadavek jsem neprověřoval. Shodně jaj uvadí příslušný orgán dohledu i právní komentáře. Bude patrně dovoditelný na úrovni prováděcích či výkladových materiálu EU. Dohledový orgán je v tomto případě masivního porušování práva EU a ČR správně tolerantní. Jde tak fakticky s výjimkou globalizoaných cookies dále o mrtvé právo EU.
Nebezpečí skrývající se v „globalizovaných“ cookies. Návrh de Lege Ferenda
S cookies je ale spojen jiný problém. A to je provázanost analytických cookies s dalšími nástroji sběru údajů o uživateli. Např. eshop jako většina eshopů užívá Google Ads či Goole Analytics a zapne k tomu sledování konverzí. Google je schopen dle Gmailu, Youtube a dalších služeb přesně identifikovat konkrétního uživatele, který v obchodě nakoupil a co přesně nakoupil. Nemusí to být jen boty či mýdlo, ale drahá kabelka, lék, erotická hračka a pod. citlivé věci. Google má sice nastavené policy tato data neextrahovat a užívá je jen za účelem obchodu. Pokud ale bude chtít, má je fakticky k dispozici, přinejmenším v reálném čase, dokud je neanonymizuje.
U těchto globalizovaných cookies tedy právní úprava cookies dává smysl. Nastavuje to špatně – řeší se nesmyslně ukládání do zařízení uživatele, kdy se má řešit ochrana osobních údajů. Ale aspoň trochu se uživateli snaží naznačit – Pozor: Zde je něco, co by Tě mohlo bolet.
Úřadu pro ochranu osobních údajů se nelze divit, že s tím nic nedělá. Ta právní úprava je tak špatná, že by to nejprve měli dát do kupy na úrovní EU. Navíc racio úpravy ve smyslu výše je posunuté natolik, že ani u globalizovaných cookies by možná ÚOOÚ případnou sankci za daný přestupek neobhájil při správní žalobě.
Google Analytics dokonce zakázaly Rakousko, Itálie, Francie a naposled Dánsko z důvodu předávání dat do USA, kde je ochrana osobních údajů na nižší úrovni než v EU, přičemž ani nová verze GA4 (od 2021) nevyhovuje.
Návrh de lege ferenda:
Úprava cookies by se měla vztahovat jen na globalizované cookies a cookies s potenciálem identifikace konkrétního uživatele 3. stranou (odlišnou od eshopu či provozovatele uživatelem vyžádané služby).
JUDr. Ing. Vladimír Koranda, Ph.D. redaktor
Související články:
Heureka nutí obchody předávat citlivá zákaznická data v rozporu se zákonem a GDPR