Vedle skutečnosti, že samotné použití cookies a dalších sledovacích technologií podléhá režimu § 89 odst. 3 ElKom, je třeba vést v patrnosti, že cookies velmi často slouží ke sběru a následnému zpracování osobních údajů. Hranici mezi případy, kdy je cookie pouze technickým nástrojem, a kdy je použita ke zpracování osobních údajů, přitom může být obtížné stanovit.
Na jedné straně spektra stojí případy, kdy cookies slouží k technickým účelům, např. k rozkládání zátěže mezi internetovými servery. V takovém případě se do cookie zpravidla zapisují informace nezbytné k přiřazení internetového prohlížeče uživatele ke konkrétnímu serveru. V takových situacích zpravidla data zapisovaná do a čtená z příslušné cookie nevypovídají nic o osobě uživatele a jejich využití nelze považovat za zpracování osobních údajů.
Na druhé straně spektra stojí způsoby využití cookies, u kterých je dnes běžně přijímáno, že zpracování osobních údajů představují – tím je např. sběr údajů o chování konkrétního přihlášeného uživatele webové stránky za účelem zobrazení přizpůsobené nabídky produktů a služeb (tzv. personalizace webu), ale také např. sledování nepřihlášených návštěvníků webu za účelem analýzy návštěvnosti pomocí nástrojů, jako je Google Analytics.
Mezi těmito dvěma extrémy pak stojí případy, u kterých je sporné, zda je za zpracování osobních údajů považovat. Příkladem jsou reklamní systémy pracující na principu cílení reklamy podle chování uživatele. Provozovatel takového reklamního systému zpravidla nemá jednoduchou možnost ztotožnit konkrétního uživatele, kterému je reklama zobrazována. WP29 v tomto směru uvádí, že
„reklamy zaměřené na chování… často zahrnují zpracování osobních údajů“.
Hranice, kdy funkce reklamního systému považovat za zpracování osobních údajů a kdy nikoli, však zůstává nadále neostrá. Samotné argumenty, které WP29 předkládá a které zaznívají v akademických diskusích, jsou převážně teleologického charakteru. Nejde o to, že by profil v reklamním systému bylo možné ve všech případech za použití prostředků, „o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí“, spojit se jmenovitě určenou osobou, ale o to, že profil je složen z informací o chování konkrétního uživatele a slouží k ovlivnění jeho chování. Bližší diskuse o tom prakticky vysoce relevantním tématu však překračuje meze tohoto článku.
Obecně však lze konstatovat, že v praxi nastávají případy, kdy využití cookies bude jednoznačně představovat zpracování osobních údajů, a z toho důvodu bude při příslušném využití cookies třeba naplnit požadavky nejen zákona o elektronických komunikacích, ale také GDPR. Proto jsou požadavky GDPR na nakládání s údaji získanými pomocí cookies blíže rozebrány v dalším výkladu.
1. Právní základ zpracování
Návrh Doporučení v bodě 11 písm. b) uvádí, že
„je nutno jasně formulovat účel zpracování údajů získaných prostřednictvím cookies a odvozeně od toho důvod zpracování cookies ve vztahu k subjektu údajů“ a „podle čl. 6 odst. 1 GDPR rozhodnout, o jaký právní základ se jedná“, přičemž „pro údaje získané z cookies se využijí zejména písm. a), b) a f)“.
Aplikace čl. 6 odst. 1 písm. b) GDPR, který umožňuje zpracovávat osobní údaje pro potřeby uzavření a plnění smlouvy, činí v praxi nejmenší problémy. Uplatní se např. tehdy, pokud jsou mezi jednotlivými zobrazeními webové stránky uchovávány na serveru údaje o tom, jaké zboží si uživatel vložil do košíku, nebo jaké údaje o sobě zadal v předchozím kroku objednávky.
Problematická je v praxi hranice mezi aplikací čl. 6 odst. 1 písm. a) a f) GDPR, tedy hranice mezi režimem souhlasu a oprávněného zájmu. Oprávněný zájem provozovatele webu, převažující nad právy a svobodami uživatele, bude typicky existovat u zpracování, na kterém má provozovatel webu vážný zájem (např. zabezpečení webu), současně je zpracování předvídatelné pro uživatele a představuje limitovaný zásah do jejich práv a svobod – do této kategorie podle mého názoru spadá např. měření návštěvnosti nástroji, jako je Google Analytics (bez použití jeho reklamních funkcí).
Předvídatelnost zpracování, a tudíž váhu oprávněného zájmu, může dále podpořit transparentní informování (např. pomocí již diskutované informační lišty) a snadná možnost zpracování odmítnout (v rámci příslušného webu, nikoli jen v nastavení prohlížeče). Tímto způsobem lze podle mého názoru dosáhnout možnosti provádět personalizaci nabídek dle chování uživatele v rámci konkrétního webu (např. zobrazení nabídek na dříve prohlížené produkty apod.) na základě oprávněného zájmu.
Souhlas pak budou vyžadovat zpracování, kde neexistuje dostatečně silný zájem příslušného správce osobních údajů, nebo zpracování není pro uživatele dostatečně předvídatelné. Typicky se bude jednat o sledování uživatelů napříč webovými stránkami či zařízeními, např. v rámci remarketingu a real time biddingu. Tento závěr potvrzují pokyny WP29 k profilování, které uvádí, že pro správce osobních údajů by bylo složité
„ospravedlnit využívání oprávněných zájmů jako právního základu pro intruzivní profilování a sledování pro marketingové nebo reklamní účely, např. ty, které zahrnují sledování jednotlivců na více webových stránkách, místech, zařízeních, službách nebo zahrnují obchodování s daty“.
Těžko lze navíc v tomto směru ignorovat skutečnost, že někteří poskytovatelé marketingových nástrojů přímo vyžadují, aby jejich klienti sbírali od uživatelů svých webů souhlasy, pokud na nich má být příslušný nástroj nasazen – např. produkty jako Google Ads (dříve známý jako Google Ad Words) podléhají politice Google pro získávání souhlasů uživatelů z EU (EU User Consent Policy), která sběr souhlasu vyžaduje. Použití remarketingových funkcí Google Ads bez souhlasu uživatele dokonce Google uvádí mezi příklady porušení svých podmínek.
Otázkou však zůstává, jaká má být v online prostředí podoba souhlasu se zpracováním osobních údajů. Doporučení Úřadu neposkytuje v tomto směru vhodná vodítka. Ve světle požadavků na souhlas se zpracováním osobních údajů, rozebraných výše v části III.1, lze v tomto kontextu stěží dovozovat, že souhlas s tímto typem zpracování lze udělit nastavením internetového prohlížeče. Na druhou stranu nutnost sběru souhlasu např. kliknutím na tlačítko ve vyskakovacím okně znamená zásadní narušení použitelnosti webových stránek a obtěžování uživatele, proti kterému se Úřad vymezuje.
Za pragmatické řešení, u něhož však v současnosti není zcela jisté, zda před dozorovými úřady v budoucnu obstojí, proto považuji tzv. soft opt-in, tedy udělení souhlasu jednoznačnou akcí uživatele na webu, např. kliknutím na libovolný odkaz, pokud je uživatel předem poučen (např. v informační liště), že taková akce se považuje za souhlas, a je mu dána možnost souhlas neudělit (např. vypnutím příslušné funkce zahrnující zpracování osobních údajů v nastavení stránky před zahájením příslušného zpracování osobních údajů).
Cestu tomuto řešení otevírá pracovní dokument WP208, který uvádí, že za souhlas je v tomto kontextu možné považovat – vedle kliknutí na tlačítko v určité oblasti – také jakékoli jiné aktivní chování, u kterého může provozovatel webových stránek učinit jednoznačný závěr, že představuje určitý a informovaný souhlas. Je otázkou, jak toto řešení obstojí ve světle pokynů WP259 k souhlasu, které uvádí, že prosté pokračování v používání webové stránky není jednáním, ze kterého lze dovozovat souhlas s nabídnutým způsobem zpracování osobních údajů. WP29 však tento striktní limit relativizuje následným příkladem, který poukazuje na to, že souhlas nelze udělit např. posouváním v rámci příslušné webové stránky. Otevřeným tématem do budoucna proto zůstává, zda informované kliknutí na odkaz způsobující přechod na jinou stránku webu ještě spadne do kategorie „běžné používání webu“, nebo nikoli.
2. Správce a zpracovatel
Úřad dále v bodě 11 písm. h) návrhu Doporučení upozorňuje, že je třeba smluvně ošetřit předávání osobních údajů třetím stranám, tedy zpracovatelům a dalším správcům. Bohužel však Úřad neuvádí, které smluvní partnery (např. dle typu poskytované služby) lze typicky při využití cookies považovat za samostatné správce, které za společné správce a které za zpracovatele.
Relativně jednoznačně lze říci, že zpracovateli ve vztahu k datům z cookie jsou dodavatelé služeb analýzy návštěvnosti, např. Google ve vztahu ke službě Google Analytics. K roli zpracovatele se však hlásí také provozovatelé reklamních nástrojů (např. Google ve vztahu ke službě Campaign Manager, dříve známé jako DoubleClick Campaign Manager, či Display & Video 360, dříve známé jako DoubleClick Bid Manager. Podřazení provozovatelů některých reklamních nástrojů pod roli zpracovatele může být problematické s ohledem na jejich podíl na určení účelů a prostředků zpracování předávaných osobních údajů.
Pokud jde o poskytovatele služeb zajišťujících komunikaci mezi inzerentem, resp. vydavatelem a reklamní burzou (ad exchange) v rámci real time biddingu (tzv. supply side platform a demand side platform, SSP a DSP služby), zde je dle mého názoru potenciálně možné roli zpracovatele akceptovat, pokud daný poskytovatel jedná ryze dle pokynů svého zákazníka (vydavatele, resp. inzerenta), drží odděleně data jednotlivých zákazníků a sám získaná data (získaná např. z výzev k podání nabídky) nepoužívá pro vlastní účely. Naopak pokud jde o provozovatele reklamní burzy (ad exchange), popř. reklamní sítě, zde je již podíl na určení účelu zpracování i jeho prostředků dle mého názoru příliš velký na to, aby bylo takový subjekt možné akceptovat jako zpracovatele, a bude nutné jej považovat za správce osobních údajů. Je to reklamní burza, resp. reklamní síť, která rozhoduje o rozsahu i konkrétním způsobu využití osobních údajů, stejně jako o rozsahu jejich příjemců. Současně reklamní burza či síť přiděluje identifikátory uživatelům a fakticky sleduje jejich chování.
V každém případě, pokud je možné konkrétní subjekt považovat za zpracovatele osobních údajů, je třeba vůči němu nastavit smluvní úpravu v souladu s čl. 28 odst. 3 GDPR, tedy zejména vymezit předmět zpracování, upravit bezpečnost, nastavit součinnost při plnění relevantních povinností správce a zajistit správci přiměřená auditní práva.
Výše uvedenému tvrzení, že provozovatel reklamní burzy, resp. reklamní sítě, bude typicky správcem osobních údajů, odpovídá rovněž to, jak některé své služby kvalifikuje Google. Ten se ve vztahu ke službě Google Ads (dříve Ad Words) a službě Google Ad Manager (dříve známé jako DoubleClick Ad Exchange) považuje za samostatného správce osobních údajů.
Úřad v návrhu Doporučení požaduje, aby se samostatným správcem byla uzavřena dohoda stanovící alespoň povinnost smluvního partnera postupovat v souladu s GDPR a zákonem o elektronických komunikacích. Tento požadavek nemá přímou oporu v textu GDPR ani zákona o elektronických komunikacích, navíc není zcela jasné, jaký by takto obecná dohoda měla mít přínos pro ochranu práv a svobod dotčených osob. Požadavek na uzavření smlouvy mezi zúčastněnými správci stanoví GDPR pro případ, že jde o správcovství společné.
Hranici mezi rolí společného a samostatného správce přitom může být ve vztahu k reklamním systémům obtížné určit. Stanovisko WP171 poukazuje na skutečnost, že i když vydavatelé internetového obsahu na své webové stránky umisťují reklamu a při tomto postupu přímo nepředávají osobní údaje reklamní síti, spouští předání údajů této síti internetovým prohlížečem uživatele. Tím dle WP29 vydavatelé
„napomáhají takovému předání a spoluurčují účel, za kterým je prováděno, tj. pro poskytování reklamy vytvořené na míru návštěvníkům“, a z těchto dů̊vodů̊ mají „určitou odpovědnost za tyto kroky jako správci údajů̊“.
Na druhou stranu WP29 ve stejném stanovisku dále uvádí:
„Kromě toho,… vydavatelé budou společnými správci, jestliže budou shromažďovat a předávat osobní údaje svých návštěvníků, jako je jejich jméno, adresa, věk, místo atd., poskytovateli reklamní sítě̌.“
Je tak otázkou, zda tuto formulaci vnímat tak, že ve výše uvedeném případě, kdy k předání takových údajů nedochází, se o postavení společných správců nejedná.
Jelikož však WP29 ve stanovisku č. 1/2010 k pojmů̊m „sprá́vce“ a „zpracovatel“ („WP169“) výslovně uvádí, že
„podle podmínek spolupráce mezi vydavatelem a provozovatelem reklamní sítě, pokud např. vydavatel umožní předání osobních údajů provozovateli reklamní sítě, včetně přesměrování uživatele na internetové stránky provozovatele reklamní sítě, mohou být společnými správci souboru zpracování vedoucích k reklamě zaměřené na chování́“,
byl by takový výklad nepřiměřeně zužující.
V patrnosti je třeba vést i smysl příslušné úpravy, který WP29 vyjadřuje tak, že
„ve všech případech (společní) správci zajistí, aby složitost a technické aspekty systému reklamy zaměřené na chování nebránily v nalezení vhodných způsobů plnění povinností správců a zajištění práv subjektů údajů“.
Široké vnímání institutu společných správců podporují nedávná rozhodnutí SDEU ve věcech Wirtschaftsakademie Schleswig-Holstein a Jehovan todistajat.
Z toho důvodu se domnívám, že vydavatelé budou při běžném využití reklamních sítí společnými správci osobních údajů s provozovateli reklamních sítí a burz, kterým předávají data, popř. na ně přesměrovávají své uživatele. Praktickým důsledkem bude potřeba uzavřít s příslušnými provozovateli smlouvu vymezující odpovědnost jednotlivých stran v souladu s čl. 26 odst. 1 GDPR informovat o obsahu takové dohody subjekty údajů ve smyslu čl. 26 odst. 2 GDPR.
Z hlediska rozdělení odpovědnosti by taková dohoda měla dle mého názoru reflektovat efektivní možnost zajištění jednotlivých povinností správce. V praxi to znamená odpovědnost vydavatele za získání souhlasu subjektu údajů a odpovědnost reklamní sítě či reklamní burzy za výkon práv subjektu údajů. Takto odpovědnost alokuje rovněž WP29.
Domnívám se, že v tomto kontextu nemusí být postavení společných správců pro zúčastněné strany problematické, přesto se k němu otevřeně hlásí jen malý počet subjektů. Příkladem může být reklamní síť Criteo, která deklaruje, že je společným správcem se svými zákazníky, které zavazuje k informování a sběru souhlasů.
3. Další požadavky
Vedle výše popsaných požadavků na právní základ, informování a ošetření vztahů se třetími stranami upozorňuje Úřad v návrhu Doporučení také na další povinnosti související se zpracováním osobních údajů získaných pomocí cookies – konkrétně povinnost minimalizovat rozsah a dobu zpracování osobních údajů a povinnost provést posouzení vlivu.
Ve vztahu k minimalizaci rozsahu zpracování Úřad v bodě 11 písm. h) návrhu Doporučení požaduje, aby
„v rámci rozhraní pro sdílení profilů mezi jednotlivými reklamními systémy byly skutečně předávány pouze nezbytně potřebné informace,“
a odkazuje na stanovisko WP171. Jelikož se toto stanovisko minimalizací rozsahu předávaných údajů nezabývá, je význam tohoto doporučení nejasný, zvláště v kontextu technologií, jako je real time bidding, kde jsou předávána data o návštěvníkovi webové stránky širokému okruhu subjektů.
Požadavky Úřadu ohledně doby zpracování jsou výrazně jednoznačnější – cookies se dle bodu 11 písm. i) návrhu Doporučení mají mazat v krátké lhůtě, nejpozději do 13 měsíců od jejich posledního využití. Jelikož provozovatel webové stránky není objektivně schopen vymazat cookie ze zařízení uživatele, je třeba tento požadavek vztáhnout k platnosti příslušné cookie. Maximální dobu platnosti 13 měsíců pak návrh Doporučení označuje jako „průmyslový standard“, odkazuje však pouze na doporučení francouzského dozorového úřadu pro ochranu osobních údajů Commission nationale de l'informatique et des libertés.
Domnívám se, že Úřad by ve finálním textu Doporučení měl odkázat na jiný zdroj, ze kterého by bylo možné dovodit skutečně široké přijetí tohoto pravidla mezi provozovateli webových stránek (pokud jde skutečně o průmyslový standard). Současně se domnívám, že takto striktní vymezení lhůty je zavádějící, a to s ohledem na způsoby použití cookies méně zasahující do soukromí uživatele, jako je analýza návštěvnosti. Průmyslový standard může existovat ve vztahu ke sledování uživatele pomocí cookies pro účely reklamy, nemusí však pokrývat jiné scénáře jejich použití. Za vhodnější bych tak považoval diferencovaná doporučení dle účelu, druhu a způsobu užití cookies. V neposlední řadě by pak Doporučení mělo dávat jasná vodítka nejen k platnosti samotné cookie, ale také k přiměřené době zpracování získaných osobních údajů.
Poslední zmiňovaná povinnost, tedy posouzení vlivu na ochranu osobních údajů (tzv. data protection impact assessment, DPIA), kterou se Úřad zabývá v bodě 11 písm. f) návrhu Doporučení, se obecně aplikuje na zpracování, u nichž je pravděpodobné, že budou mít za následek vysoké riziko pro práva a svobody dotčených osob. Dle Úřadu bude taková situace nastávat typicky tehdy,
„když jsou cookies používány pro systematické a rozsáhlé vyhodnocování osobních aspektů, založené na automatizovaném zpracování“.
Toto vymezení je však stále relativně obecné a není tak zcela zřejmé, jaké konkrétní situace je mohou ve vztahu ke cookies typicky naplňovat. Domnívám se, že půjde např. o komplexnější případy personalizace nabídek v rámci webové stránky s vysokou návštěvností. V takových případech totiž provozovatel pro účely přizpůsobení obsahu sleduje uživatele a vyhodnocuje jejich zájem o zobrazovaný obsah zpravidla mimo jiné na základě odvozených osobnostních charakteristik.
Návrh Doporučení Úřadu specificky nehovoří o povinnosti informovat o prováděném zpracování osobních údajů, přičemž důvodem je značný překryv s informováním o použití cookies. V tomto kontextu se proto uplatní doporučení navržena výše v části III.2, pouze je třeba na informační stránce uvést obsah požadovaný čl. 13 GDPR, tedy zejména specifikovat účel zpracování a poučit uživatele o jeho právech.