1.188
Novinky v zákoně o elektronických komunikacích
Mgr. Mgr. Radana Burešová
Dne 15. září 2021 Poslanecká sněmovna definitivně schválila novelu zákona č. 127/2005 Sb., o elektronických komunikacích, která přináší zásadní změny pro provozovatele internetových stránek, zejména e-shopů.
Provozovatelů e-shopů se dotknou zejména změny v oblasti tzv. cookies, které nabydou účinnosti 1. ledna 2022. Obchodníků, kteří využívají telemarketing, se dotkne i omezení používání údajů ze seznamů účastníků pro marketingové účely, které nabyde účinnosti prvním dnem třetího kalendářního měsíce následujícího po vyhlášení novely zákona ve Sbírce zákonů.
NahoruZměny týkající se cookies
Cookies jsou krátké textové soubory, které jsou ukládány do zařízení koncových uživatelů, a to z různých důvodů. Některé jsou po technické stránce nezbytné pro řádné fungování webových stránek, jiné zvyšují uživatelský komfort díky možnosti předvyplnění formulářů, např. adresy. Pro provozovatele internetových stránek jsou však velice zajímavé zejména kvůli analýze využívání jejich stránek a možnosti zobrazování personalizované reklamy.
Primárně jsou cookies upraveny ve směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), která byla v tomto ohledu s účinností od 1. ledna 2012 změněna směrnicí 2009/136/ES.
Původně směrnice ohledně cookies zavedla tzv. režim opt-out. V tomto režimu je možno cookies ukládat do zařízení uživatele (PC, mobilní telefon) i bez jeho souhlasu, a to až do doby, než vyjádří svůj nesouhlas. Od roku 2012 však směrnice na evropské úrovni zavedla režim opt-in, v jehož rámci lze cookies až na výjimky ukládat pouze na základě předchozího souhlasu uživatele.
Směrnice 2002/58/ES byla do českého práva provedena novelou zákona č. 127/2005 Sb., o elektronických komunikacích účinnou od 1. 1. 2012, a to v podobě, která již tehdy neodpovídala (pozměněné) směrnici. Novelizační směrnici 2009/136/ES tedy do českého právního řádu se značným zpožděním provádí až aktuální novela zákona o elektronických komunikacích.
Po novele bude příslušné ustanovení zákona o elektronických komunikacích, tedy jeho § 89 odst. 3 ZEK, znít takto:
"Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem."
Vzhledem k tomu, že přinejmenším některé "údaje uložené v koncových zařízeních účastníků nebo uživatelů" jsou osobními ve smyslu obecného nařízení o ochraně osobních údajů (GDPR), musí souhlas vyžadovaný novelizovaným § 89 odst. 3 ZEK splňovat požadavky, které na souhlas klade GDPR.
NahoruInformovaný souhlas
Takový souhlas má být především svobodný, konkrétní, informovaný a jednoznačný (bod 32 odůvodnění GDPR). Za informovaný lze souhlas považovat v případě, že byly uživateli zařízení (subjektu údajů) poskytnuty informace uvedené v článku 13 GDPR. Takové informace jsou po vstupu GDPR v platnost běžnou součástí webových stránek.
Nově tedy, pokud tomu tak již není, je bude nutné doplnit o informace o používání cookies, a to včetně údajů o subjektech, kterým jsou předávány údaje získané na základě jejich používání (tzv. příjemci osobních údajů). Prakticky vždy je takovým příjemcem některá ze skupiny společností Google nebo Facebook, a to s ohledem na značné rozšíření jejich analytických a reklamních nástrojů (např. "Nástroje Facebooku pro firmy").
Poskytnout je třeba i informace o tom, zda jsou údaje předávány subjektům mimo Evropskou unii, což je opět aktuální v souvislosti s Googlem i Facebookem. Vždy je třeba ověřit, která ze společností dané skupiny příslušné služby poskytuje a využívá tak osobní údaje získané jejich prostřednictvím, tedy zda se jedná o některou pobočku se sídlem v EU (např. Facebook Ireland), nebo o americké či jiné společnosti skupiny.
NahoruDobrovolný souhlas
Dobrovolný není zejména souhlas, který byl získán za pomoci tzv. cookie walls, čímž se rozumí takové nastavení internetových stránek, které neumožní jejich používání nebo je umožní pouze v omezeném rozsahu, dokud uživatel neudělí souhlas k používání cookies, a to často buď bez rozlišení jejich účelu, nebo ke všem účelům. Používání cookies na základě takto získaného souhlasu bude od ledna 2022 protiprávní, protože takto vynucený souhlas bude neplatný a cookies tedy budou ukládány bez souhlasu.
Kromě toho uživatel musí mít možnost rozhodnout, pro jaké účely cookies povolí. Musí být tedy možné, aby některé povolil a jiné (např. reklamní) nikoli. Z tohoto hlediska je zpravidla rozlišováno několik druhů cookies:
1. Cookies, které jsou z technického hlediska nezbytné k fungování elektronických komunikací, a cookies, které jsou ukládány v souvislosti s poskytnutím služby, kterou si uživatel vyžádal (např. pro účely vyplnění objednávkového formuláře v e-shopu) – k používání těchto cookies není souhlas vyžadován, je ale nutné informovat o nich. V praxi jsou tyto druhy cookies sice většinou uvedeny v přehledu cookies, k jejichž používání se vyžaduje souhlas, ale s upozorněním, že jsou z výše uvedených důvodů nezbytné a souhlas se k nim nevyžaduje, popř. s předem zaškrtnutým a nezrušitelným souhlasem (který ovšem není právně relevantní).
2. Analytické/statistické cookies – umožňují provozovateli analyzovat využívání jeho stránek a zlepšovat jeho služby (často za pomoci nástrojů Googlu nebo Facebooku, viz výše).
3. Cookies zvyšující uživatelský komfort – např. "předvyplňováním" objednávkových formulářů.
4. Reklamní cookies – sloužící pro účely personalizované reklamy, většinou jsou k tomuto účelu opět využívány nástroje Googlu nebo Facebooku.
Aby byl souhlas s využíváním cookies skutečně informovaný, je vhodné u jednotlivých účelů jejich používání stručně uvést, k čemu slouží (viz např. výše) a uvést odkaz k seznamu příjemců osobních údajů, v němž jsou rozlišeny subjekty z EU a z třetích zemí. Veškeré informace i text souhlasu musí být formulovány jasně, jednoduše a srozumitelně.
Uživatel by měl mít možnost:
a) přijmout všechny cookies, nebo
b) je všechny odmítnout, nebo
c) některé přijmout a některé odmítnout.
Vždy platí, že souhlas není nutno poskytnout k ukládání cookies uvedených výše v bodě 1. Udělení, či neudělení souhlasu musí provozovatel vždy respektovat. Souhlas je také…