Díl 3: Digitální omnibus – konec cookies lišt?

Uživatelé na ně klikají každý den. Často automaticky, bez čtení a bez rozmyslu. Vyskakovací cookies lišty se staly jedním z nejkritizovanějších prvků dnešního internetu. Evropská komise teď v návrhu Digitálního omnibusu slibuje, že omnibus přinese praktické řešení pro dlouhodobý problém „únavy z udělování souhlasů“ (consent fatigue) a pro nákladné vyskakovací cookies lišty. Ale skutečně nás nová úprava zbaví vyskakovacích lišt? A budou moci provozovatelé webových stránek měřit návštěvnost i bez souhlasů? Na to se podíváme v tomto článku.

Sjednocení regulace cookies

Umísťování cookies za účelem získávání informací ze zařízení uživatele je dnes upraveno čl. 5 směrnice o soukromí a elektronických komunikacích (ePrivacy Directive). Nicméně následné zpracování těchto údajů pak spadá pod obecné nařízení o ochraně osobních údajů (GDPR). Tento dvojkolejný režim nejenže komplikuje právní prostředí, ale také vede k roztříštěnému dohledu, neboť pro každý předpis jsou příslušné různé dozorčí orgány.

Digitální omnibus usiluje o odstranění této nejednotnosti. Návrh stanovuje, že na zpracování osobních údajů získaných prostřednictvím cookies, ale také na podmínky udělení souhlasu za účelem přístupu k osobním údajům, se úplatní pouze jediný právní předpis – GDPR.

V nařízení GDPR se tato změna projeví přidáním stěžejních článků 88a a 88b.

1) Článek 88a GDPR: zpracování osobních údajů v koncovém zařízení

Omnibus doplňuje do GDPR nový článek 88a, který se zaměřuje na zákonnost ukládání a přístupu k informacím v zařízení uživatele. Článek vymezuje úzký okruh situací, kdy lze uchovat údaje a získat k nim přístup i bez explicitního souhlasu.

Základním principem zůstává nezbytnost souhlasu uživatele, avšak bez něj lze údaje zákonně zpracovávat pro následující účely:

• provedení přenosu elektronické komunikace po síti,
• poskytnutí služby, kterou si uživatel výslovně vyžádal,
• zachování nebo obnovení bezpečnosti služby, pokud požadováno subjektem údajů nebo koncovým zařízením,
• vytvoření agregovaných informací o využívání služby pro účely interního měření (např. měření návštěvnosti).

Poslední uvedená výjimka z nezbytnosti souhlasu se vztahuje pouze na agregované informace, které provádí správce online služby výhradně pro svou vlastní potřebu. Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor pro ochranu údajů (EIOÚ) ve svém Společném stanovisku vyžadují, aby bylo upřesněno, že měření publika musí probíhat výhradně obecným způsobem, tj. musí se jednat o anonymní informace, přičemž takto shromážděné informace nesmí být dále zpracovány pro jiný účel, kombinovány s údaji z jiných služeb ani sdíleny s třetími stranami. Stanovisko rovněž zdůrazňuje potřebu objasnit, zda může měření publika provádět vedle samotného správce také zpracovatel jednající jeho jménem.

Běžně využívané analytické a měřící nástroje třetích stran, jako je například Google Analytics, které fungují napříč různými platformami a službami, tedy takto úzce vymezenou výjimku pro sběr agregovaných informací za současného znění návrhu spíše nesplňují. Jejich využití bude nadále podléhat požadavku na souhlas uživatele.

Dále návrh zavádí povinnost umožnit uživatelům odmítnout cookies jednoduchým a srozumitelným způsobem pomocí tlačítka na jedno kliknutí. Tato úprava by měla zamezit rozbalovacím cookies lištám, ve kterých musí uživatelé postupně odklikávat jednotlivé souhlasy. Takové rozbalovací lišty často vedou k udělovaní neinformovaných souhlasů, neboť se uživatelé pouze chtějí dostat co nejrychleji k požadovanému obsahu webové stránky.

Poslední významnou úpravu v čl. 88a představuje tzv. „cooling-off period“. V případě, že uživatel souhlas udělí, správce nesmí již požadovat nový souhlas, dokud se může oprávněně spoléhat na souhlas již uvedený.

Alternativně, pokud uživatel udělit souhlas odmítne, tak správce nesmí opakovaně žádat o souhlas pro stejný účel po dobu nejméně šesti měsíců. Jak bude pojem „stejný účel“ vykládán bude rozhodující pro aplikaci tohoto ustanovení.

2) Článek 88b GDPR: automatizované a strojově čitelné označení volby

Druhým pilířem je článek 88b, který míří na technickou stránku vyjadřování uživatelských preferencí ohledně cookies. Cílem tohoto článku je, aby uživatel mohl své preference (souhlasy či odmítnutí) nastavit pouze jednou, přímo ve svém webovém prohlížeči. Takové preference by se následně automaticky sdělily navštíveným webovým stránkám ve strojově čitelné podobě. Správci údajů, zde typicky provozovatelé webových stránek, budou povinni takovou nastavenou preferenci respektovat. Z této povinnosti jsou však vyňati poskytovatelé mediálních služeb, kteří mohou nadále žádat uživatele o souhlas bez ohledu na nastavené uživatelské preference.

Klíčovou roli v tomto procesu mají poskytovatelé webových prohlížečů, kteří musí zajistit technické prostředky pro nastavení takových uživatelských preferencí. Návrh digitálního omnibusu přináší výjimku z této povinnosti pro malé a střední podniky (SMEs), nicméně společné stanovisko EDPB a EIOÚ toto vyjmutí SMEs z povinností kritizují. Nad rámec zahrnutí SMEs do těchto povinností, EDPB a EIOÚ také navrhují, aby se povinnost zajištění automatizovaných preferencí vztahovala i na poskytovatele mobilních a počítačových operačních systémů. Toto rozšíření povinných subjektů by mělo zajistit, že automatizované preference půjdou uplatnit i na jiné platformy nežli webové stránky, např. mobilní aplikace.

Znamená to skutečně zjednodušení regulace cookies?

Ačkoliv návrh Digitálního omnibusu výslovně reaguje na problém tzv. consent fatigue, jeho praktické dopady na existenci cookies lišt jsou omezenější, než by se mohlo na první pohled zdát. Důvodem je mimo jiné přetrvávající nejasnost regulačního rámce, na kterou ve svém společném stanovisku upozorňují také EDPB a EIOÚ.

Digitální omnibus sice začleňuje pravidla pro ukládání a přístup k osobním údajům v koncovém zařízení do režimu nařízení GDPR, neosobní údaje však i nadále zůstávají regulovány směrnicí ePrivacy. Tato dualita může opět vytvářet právní nejistotu. Poskytovatelé služeb budou muset posuzovat nejen účel zpracování dat, ale také samotnou povahu údajů. Jak upozorňují EDPB a EIOÚ rozlišení mezi osobními a neosobními údaji uloženými v koncovém zařízení nemusí být vždy jednoznačné, což může vést k rozdílným výkladům i k pokračujícímu výkonu dohledu více regulačních orgánů.

Digitální omnibus tak pravděpodobně nepovede k úplnému odstranění cookies lišt, ale spíše k jejich postupné proměně. Vedle tradičních souhlasových cookies lišt mohou vznikat hybridní řešení, které budou kombinovat automatické preference uživatele v prohlížeči s informačními oznámeními tam, kde bude nadále nezbytné plnit další regulatorní požadavky.

I přesto digitální omnibus představuje důležitý krok směrem k přehlednější a uživatelsky přívětivější úpravě cookies, avšak jeho případná implementace bude vyžadovat technické modernizace a trpělivost uživatelů.

Více o Digitálním omnibusu

Tento článek je součástí cyklu věnovaného Digitálnímu omnibusu. V prvním díle tohoto cyklu jsme vás seznámili s kontextem Digitálního omnibusu a vybranými změnami, které jsou relevantní pro vývoj a provoz AI. Druhý díl se následně věnoval změnám v pravidlech zpracování osobních údajů.