[Právní rozhledy 20/2018, s. 687]

Cookies a GDPR

Cookies jsou nezbytnou složkou fungování dnešních webových stránek, některé způsoby jejich použití však mohou ohrožovat soukromí uživatelů. Je proto třeba rozlišovat rizikovost příslušného způsobu použití cookies a podle toho zajistit informování o cookies, popř. možnost je odmítnout nebo souhlas uživatele s jejich použitím. Toto rozlišení by mělo reflektovat i doporučení Úřadu pro ochranu osobních údajů.

Mgr. et Mgr. Ing. Jan Tomíšek, Praha^*

I. Úvodem

V úterý 22. 5. 2018, takřka v předvečer účinnosti obecného nařízení o ochraně osobních údajů („GDPR“),¹ předložil Úřad pro ochranu osobních údajů („Úřad“) k veřejné konzultaci návrh Doporučení́ k zpracování́ cookies a obdobných prostředků̊ sledování́ od 25. 5. 2018 („Doporučení“).²

Cílem tohoto článku je analyzovat platnou právní úpravu nakládání s cookies a obdobnými technologiemi v České republice, reagovat v tomto kontextu na návrh Doporučení a navrhnout, jak by měli provozovatelé webových stránek postupovat při používání cookies a obdobných technologií pro zajištění souladu s platnou právní úpravou. Článek se s ohledem na hloubku výše nastíněného tématu blíže nevěnuje nově připravované právní úpravě v podobě nařízení ePrivacy.³

II. Cookies a další nástroje sledování na internetu

Cookies jsou krátké soubory textových dat ukládané webovými stránkami do zařízení uživatele (typicky se cookies ukládají do internetového prohlížeče). Obecně mají cookies podobu páru klíč-hodnota (např. „languge = cs“), lze jim však nastavit i další parametry. Jedním z nich je platnost (expirace), která určuje dobu, po kterou bude od svého uložení příslušná cookie zasílána spolu s požadavky na daný web.⁴

Cookies proto slouží primárně k vytvoření stavové komunikace na webu – při prvním spojení s určitou webovou stránkou se do cookie zapíše unikátní identifikátor dané série spojení (tzv. session ID), který je pak při následujících připojeních zaslán příslušné webové stránce. Ta podle něj rozpozná, že určité spojení navazuje na spojení již dříve realizovaná⁵ (např. že stránku s určitým produktem v internetovém obchodě požaduje prohlížeč uživatele, který v předchozím spojení vložil jiné zboží do svého košíku).

Vedle toho však cookies mohou sloužit mnoha dalším účelům. Běžné je rozšíření „stavové“ funkce cookies o preference uživatele – např. se do cookie může zapsat údaj o tom, jakou jazykovou verzi webové stránky si uživatel zvolil, pokud stránka umožňuje výběr jazyka. Identifikace uživatele mezi jednotlivými přístupy je užitečná i pro měření návštěvnosti určité webové stránky a analýzu chování jejích návštěvníků.

Vedle těchto relativně běžných a předvídatelných účelů lze ovšem cookies použít také ke sledování chování uživatelů napříč webovými stránkami. Při přístupu na určitou webovou stránku se do prohlížeče uživatele běžně stahuje i obsah z jiných webů – může se jednat o obrázky, videa či webové skripty. Při stahování tohoto obsahu jsou zasílány požadavky na tyto externí weby, které v rámci daných požadavků získávají možnost číst a zapisovat cookies do zařízení uživatele, i když uživatel nepřistupuje vědomě na daný externí web. Takové cookies zapsané jiným webem, než který uživatel právě prochází, zpravidla nazýváme cookies třetích stran.⁶

Pokud je určitý web schopen zajistit, že se jeho obsah načítá na řadě jiných webů, získává příležitost uživateli, který tyto jiné weby prochází, na začátku jeho cesty uložit do zařízení cookie s unikátním kódem a na základě tohoto kódu následně sledovat, jak uživatel těmito weby prochází. Příkladem nástroje, který lze tímto způsobem využít, jsou reklamní bannery reklamní sítě zobrazované na velkém počtu webů nebo nástroje pro sdílení obsahu na sociálních sítích, rovněž integrované do řady webů. Konkrétním účelem, pro který se sledování pomocí cookies napříč weby využívá, je pak zpravidla cílená internetová reklama.

Ke sledování uživatelů při procházení webových stránek je však možné vedle cookies použít také řadu dalších technologií. Širší soubor nástrojů označovaných jako web beacons nebo web trackers nespočívá v ukládání obsahu do zařízení uživatele (resp. ne takového obsahu, který by přetrval po přechodu na jinou webovou stránku). Příslušná data jsou získána pomocí kódu, který se při načítání webové stránky spustí v zařízení uživatele, sesbírá relevantní informace o uživateli a vyžádá si obsah z externího webu (typicky průhledný obrázek o rozměrech 1 x 1 pixel, který zůstane pro uživatele neviditelný). V rámci tohoto požadavku pak přenese získané informace na cílový web.

Tyto web trackery také mohou mít zvláštní funkci v podobě zapisování a načítání tzv. supercookies nebo evercookies․ Použití těchto sledovacích technik spočívá v uložení unikátního kódu do úložišť internetového prohlížeče, která nejsou běžně mazána v případě, kdy uživatel vymaže cookies. Pokud uživatel cookies ze svého prohlížeče vymaže, umožňují evercookies v některých případech uživatele znovu spárovat s předchozími návštěvami a pomocí skriptu v jeho prohlížeči příslušnou sledovací cookie obnovit.

Údaje, které web tracker zasílá na webový server, mohou zahrnovat informace o operačním systému, internetovém prohlížeči, jazyku, rozlišení obrazovky, podpoře Adobe Flash nebo podpoře fontů.⁷ Využit může být také nástroj pro kreslení grafiky přímo v internetovém prohlížeči (tzv. canavas), kdy je jeho pomocí nakreslen obrazec a ten je zpětně čten.⁸ Tyto údaje jsou zpravidla ve své kombinaci s vysokou mírou spolehlivosti schopny identifikovat konkrétní zařízení, proto se technika jejich sběru označuje jako sběr „otisků“ zařízení – device fingerprinting.⁹

III. Právní úprava nakládání s cookies

1. Opt-out, nebo opt-in?

Nakládání s cookies upravuje v prostředí právního řádu ČR § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů („ElKom“). Stanoví, že při použití sítě elektronických komunikací

„k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů“ je třeba „tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování“ a „nabídnout jim možnost takové zpracování odmítnout“.

Tato povinnost se přitom dle § 89 odst. 3 ElKom nevztahuje na

„technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací“ a na ukládání a přístupy „nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem“.

Z hlediska scénářů relevantních pro tento článek lze příslušné ustanovení zjednodušeně vyložit následovně. Pokud určitá cookie není nezbytná pro fungování konkrétní webové stránky, musí provozovatel webové stránky o použití takové cookie uživatele informovat (vč. účelu jejího použití) a umožnit mu její použití pro daný účel odmítnout.

Ustanovení § 89 odst. 3 ElKom transponuje čl. 5 odst. 3 ePrivacy směrnice.¹⁰ Až do jeho novely směrnicí 2009/136¹¹ požadoval tento článek rovněž, aby

„dotčený účastník či uživatel byl jasně a úplně informován v souladu se směrnicí 95/46/ES, mimo jiné o účelech zpracování,“ a bylo mu „správcem údajů nabídnuto právo odmítnout takové zpracování“.

Po novele směrnicí 2009/136 však čl. 5 odst. 3 ePrivacy směrnice stanoví, že

„uchovávání informací nebo získávání přístupu k již uchovávaným informacím v koncovém zařízení účastníka nebo uživatele“ má být povoleno „pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování“.

Novela ePrivacy směrnice tak změnila režim pro použití jiných než nezbytných cookies z informování a možnosti odmítnout (tzv. opt-out) na režim předchozího souhlasu (tzv. opt-in). Návrh Doporučení lze přitom podle mne vykládat tak, že dle názoru Úřadu byl v ČR v souladu čl. 5 odst. 3 ePrivacy směrnice rovněž zaveden režim opt-in. Předně návrh Doporučení odkazuje na transpozici směrnice 2009/136 do českého právního řádu, dále pak blíže rozebírá mechanismus udělování souhlasu, a naopak v žádném bodě neuvádí, jak by měla být uživateli nebo účastníkovi nabízena možnost jiné než technické cookies odmítnout.

Konkrétně v bodě 5 návrh Doporučení uvádí, že novelizovaný čl. 5 odst. 3 byl do zákona o elektronických komunikacích transponován zákonem č. 468/2011 Sb. Porovnáním znění § 89 odst. 3 ElKom před a po účinnosti zákona č. 468/2011 Sb. však dospějeme k tomu, že z tohoto odstavce byla v souladu se směrnicí 2009/136 vypuštěna pouze dvě slova a tím zúžena výjimka pro nezbytné cookies. Ve vztahu k zavedení požadavku na souhlas žádná změna provedena nebyla.

Z toho důvodu se domnívám, že do českého právního řádu nebyl režim opt-in pro jiné než nezbytné cookies zaveden.¹² Ani požadavek eurokonformního výkladu podle mého názoru neumožňuje překlenout skutečnost, že čl. 5 odst. 3 novelizované ePrivacy směrnice nebyl do českého právního řádu řádně transponován.

Proto je pro použití jiných než nezbytných cookies do a ze zařízení uživatele nutné pouze uživatele o takových cookies informovat a nabídnout mu možnost je odmítnout (režim opt-out). S ohledem na čl. 5 odst. 3 ePrivacy směrnice a požadavek eurokonformního výkladu je však toto pravidlo nutné vykládat v maximální možné míře s ohledem na to, aby uživatel získal kontrolu nad daným procesem použití cookies.

Ve světle tohoto závěru se pak jeví jako poněkud nadbytečná analýza provedená v bodě 7 návrhu Doporučení, kde se uvádí, že uživatel internetu

„určuje v nastavení svého PC, resp. v nastavení prohlížeče, zda má prohlížeč umožnit webovské stránce ukládat cookies do koncového zařízení“, a že „toto nastavení lze považovat za souhlas se zpracováním osobních údajů“.

Je přitom patrno, že tímto souhlasem je míněn souhlas s použitím jiných než nezbytných cookies.

I kdybychom připustili, že v ČR je pro použití jiných než nezbytných cookies souhlas vyžadován, domnívám se, že závěr o možnosti udělení souhlasu nastavením internetového prohlížeče není v souladu s pokyny a stanovisky Pracovní skupiny pro ochranu údajů zřízené podle čl. 29 („WP29“).¹³ V aktuálních pokynech k souhlasu dle nařízení 2016/679 („WP259“) a rovněž v předchozím stanovisku č. 15/2011 k definici souhlasu („WP187“), uvádí WP29, že platný souhlas dle ePrivacy směrnice (a tedy případně i dle zákona o elektronických komunikacích, a to s ohledem na požadavek eurokonformního výkladu) musí splňovat parametry souhlasu dle směrnice 95/46, resp. nově dle GDPR.¹⁴

Směrnice 95/46 definovala souhlas se zpracováním osobních údajů jako

„svobodný, výslovný a vědomý projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování“.¹⁵

GDPR k této definici přidává požadavek, aby souhlas byl projevem „jednoznačným“ a byl učiněn „prohlášením či jiným zjevným potvrzením“.¹⁶ Dle WP187 a WP259 je k naplnění těchto parametrů nezbytné, aby osoba, která souhlas uděluje, měla možnost jej bez újmy neudělit, byla seznámena s totožností správce a účelem, pro který souhlas poskytuje,¹⁷ a učinila tak aktivním krokem schvalujícím zpracování jejích osobních údajů k danému účelu.

Ačkoli návrh Doporučení v bodě 8 uvádí, že nastavení prohlížeče splňuje tyto požadavky, nepředkládá pro toto tvrzení žádné argumenty. Ve stanovisku č. 2/2010 k internetové reklamě zaměřené na chování („WP171“) přitom WP29 uvádí, jaké parametry by muselo mít nastavení prohlížeče, aby jím bylo možné udělit platný souhlas dle směrnice 95/46. Těmito parametry jsou blokace cookies třetích stran ve výchozím nastavení prohlížeče a zprostředkování dostatečně specifických informací o účelu cookies, pokud mají být uživatelem v konkrétním případě povoleny.¹⁸

Jakkoli dnes řada internetových prohlížečů ve výchozím režimu nepovoluje cookies třetích stran, druhý požadavek v současnosti nenaplňuje žádný z běžných prohlížečů. I kdyby tak byl souhlas s použitím jiných než nezbytných cookies v ČR nezbytný, nebylo by dle mého názoru možné jej udělit ponecháním internetového prohlížeče v původním nastavení povolujícím použití cookies bez specifikace účelu.

Výše uvedená analýza je však z mého pohledu užitečná při výkladu praktických požadavků § 89 odst. 3 ElKom, tedy identifikaci, jak má být správně implementována možnost opt-outu z cookies. I zde se totiž nabízí možnost tvrdit, že uživatel může kdykoli odmítnout cookies (případně alespoň cookies třetích stran) v nastavení svého internetového prohlížeče. Domnívám se však, že ve světle formulace § 89 odst. 3 ElKom, dle kterého má provozovatel webové stránky „nabídnout“ možnost odmítnutí cookies, a ve světle požadavku na eurokonformní výklad daného ustanovení, nelze ani v tomto ohledu bezezbytku spoléhat na nastavení internetového prohlížeče.

Absolutní vypnutí cookies v nastavení internetového prohlížeče může uživateli výrazně ztížit používání internetu, protože zablokuje rovněž funkci technických cookies. Vypnutí cookies třetích stran pak může narušit některé legitimní funkcionality webových stránek, jako jsou tlačítka pro sdílení obsahu na sociálních sítích. Domnívám se proto, že možnost vypnutí cookies v prohlížeči by bylo možné akceptovat jako způsob odmítnutí pouze ve vztahu ke způsobům využití cookies, které představují minimální zásah do soukromí uživatele. Příkladem mohou být vlastní cookies příslušné webové stránky, které slouží k analýze návštěvnosti.

WP29 ve stanovisku č. 4/2012 k výjimce z požadavku na souhlas s cookies („WP194“) uvádí, že takové cookies nelze považovat za nezbytné pro poskytnutí funkcionalit webové stránky, ale že je nepravděpodobné, aby

„představovaly pro ochranu ú́dajů nebezpečí́, omezují́-li se striktně na účely souhrnný́ch statistik první strany a jsou-li používány internetovými stránkami, které již o těchto cookies poskytují přehledné informace v rámci své politiky v oblasti ochrany ú́dajů, jakož i odpovídající zá́ruky tý́kající se ochrany údajů“.¹⁹ Ty „by měly zahrnovat uživatelský nená́ročný mechanismus, s jehož pomocí se lze jakémukoli sběru údajů vyhnout, a srozumitelné mechanismy anonymizace, které se použijí pro další shromažďované identifikovatelné informace, jako jsou IP adresy“.²⁰

WP29 proto navrhuje, aby v budoucí právní úpravě byla pro takové cookies stanovena výjimka obdobně jako pro cookies nezbytné.

S ohledem na toto nízké riziko pro uživatele podle mne ve vztahu k vlastním cookies pro měření návštěvnosti postačí možnost jejich odmítnutí jejich vypnutím v internetovém prohlížeči. V ostatních případech, kde využití cookies představuje větší zásah do soukromí uživatele, zejména v případě využití cookies k předání osobních údajů reklamním sítím a burzám v rámci tzv. remarketingu²¹ či real time biddingu,²² by dle mého názoru měla možnost odmítnutí příslušných cookies nabízet přímo příslušná webová stránka. Přitom se domnívám, že není nezbytné a vhodné umožňovat odmítnutí na úrovni jednotlivé cookie nebo jednotlivé třetí strany, které jsou na základě dané cookie předávány osobní údaje, ale naopak vhodnější je rozhodnutí na úrovni jednotlivého účelu zpracování, v obdobné granularitě, jako by pro dané účely byl získáván souhlas.

2. Informování o cookies

Bez ohledu na to, zda je potřeba pro uložení a čtení cookies souhlas, nebo postačí možnost je odmítnout, podmínkou obou přístupů je transparentní informování o použití cookies. Úřad v bodě 9 návrhu Doporučení uvádí, že

„popisu zpracování osobních údajů, včetně cookies, je vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako Cookies“.

S tím lze jistě souhlasit, jakkoli se domnívám, že vhodné označení stránky může být rovněž „Zásady ochrany osobních údajů“ nebo podobné a není třeba mít samostatnou podstránku výhradně ke cookies.

Úřad však dále na stejném místě uvádí, že

„užití pouze vyskakujícího okna nebo lišty nelze vždy doporučit, protože obtěžují uživatele“.

S tímto názorem se rovněž ztotožňuji, domnívám se však, že způsob jeho formulace vytváří prostor pro chybnou interpretaci. Na první pohled by se totiž dala příslušná část návrhu Doporučení vykládat tak, že lišty či vyskakovací okna nejsou vhodné a potřebné v žádném případě. Ze zvoleného obratu, že použití těchto nástrojů „nelze vždy doporučit“, lze však ve skutečnosti dovodit, že dle Úřadu mohou existovat případy, kdy je použití těchto nástrojů vhodné, pouze je nedoporučuje používat paušálně.

V souladu s tím i stanovisko WP171 uvádí, že nejvhodnějším způsobem, jak ve vztahu ke cookies splnit informační povinnost, je poskytnutí základních informací

„přímo na obrazovce, a to interaktivním, snadno viditelným a srozumitelným způsobem“.²³

Rovněž pracovní dokument č. 2/2013 poskytující doporučení k získávání souhlasu s cookies („WP208“) požaduje ve vztahu ke cookies

„jasné, srozumitelné a viditelné oznámení o používání souborů cookie v době a na místě, kde se požaduje souhlas, např. na webové stránce, kde uživatel zahájí relaci prohlížení (vstupní stránka)“.²⁴

Jakkoli se tento pracovní dokument vztahuje k souhlasu s cookies, který, jak jsem výše uvedl, není dle mého názoru v ČR nezbytný, s ohledem na eurokonformní výklad stávající úpravy cookies je podle mě třeba k němu přihlédnout.

Z toho důvodu se domnívám, že návrh Doporučení je třeba vykládat tak, že lišta není vhodná zejména v případech, kde zásah do soukromí uživatele je minimální – jedná se zejména o cookies sloužící k měření návštěvnosti, které již byly probírány v části III.1 tohoto článku. Případná informační lišta (kterou považuji za vhodnější než vyskakovací okno) by pak podle mého názoru měla být pouze doplňkem zmiňované informační podstránky a je podle mne namístě ji použít při nasazení remarketingu či real time biddingu, kde využití cookies představuje pro soukromí uživatele riziko výrazně větší. V takových případech by lišta měla zejména odkazovat na, dle mého mínění v takových případech nezbytnou, možnost odmítnutí cookies používaných k příslušnému účelu v ramci dané webové stránky.

3. Na jaké technologie se úprava vztahuje?

Výše jsem provedl analýzu, jaké požadavky klade § 89 odst. 3 ElKom na použití cookies v ČR. Na tomto místě je však vhodné podotknout, že ačkoli z hlediska technologií, jež jsou předmětem tohoto článku, dopadá § 89 odst. 3 ElKom primárně na cookies, do jeho působnosti spadají rovněž další diskutované technologie, jako jsou web trackery a významná část postupů device fingerprintingu. Rovněž návrh Doporučení v bodě 2 hovoří o

„používání cookies, počítačových souborů, které mimo jiné umožňují jednoznačně rozpoznat přístroj, a jiných obdobných prostředků používaných k rozlišení koncových zařízení uživatelů (jedná se např. o otisky zařízení, angl. device fingerprinting)“.

Dále jsou však v návrhu Doporučení zmiňovány již pouze cookies.

Důvodem širší aplikace § 89 odst. 3 ElKom je nutnost jeho výkladu v kontextu § 89 ElKom jako celku, zejména jeho odst. 1, který směřuje k zajištění důvěrnosti elektronických komunikací. Účelem § 89 odst. 3 ElKom je tak zejména vyloučit neautorizovaný přístup k datům uloženým v zařízení uživatele používaném pro přístup k sítím elektronických komunikací, jako jsou seznam kontaktů a textové zprávy v mobilním telefonu. Zákaz neoprávněného ukládání pak směřuje zejména k vyloučení instalace sledovacího softwaru a jiných obdobných druhů škodlivého softwaru do zařízení uživatele či účastníka,²⁵ včetně ochrany účastníků a uživatelů před neoprávněným sledováním prostřednictvím cookies.²⁶

Fungování web trackeru spočívá v uložení určitého údaje (typicky skriptu, nebo jiného souboru) do zařízení uživatele. Při device fingerprintingu pak příslušný sledovací nástroj velmi často přistupuje k údajům, které příslušné zařízení nevysílá navenek do sítě elektronických komunikací a pro jejich získání je třeba přístup k příslušnému zařízení. Ačkoli tedy příslušné údaje nejsou v zařízení uživatele uloženy v běžném slova smyslu (jako jsou uloženy např. textové zprávy v mobilním telefonu), jedná se typicky o vlastnosti operačního systému nebo jiného softwaru, který v daném zařízení uložen je. Proto je dle mého názoru nutné § 89 odst. 3 ElKom s ohledem na jeho účel vykládat tak, že se vztahuje i na device fingerprinting.

Tento závěr potvrzuje rovněž Prohlášení Evropského sboru pro ochranu osobních údajů k revizi nařízení o soukromí a elektronických komunikacích a jejímu dopadu na ochranu jednotlivců s ohledem na soukromí a důvěrnost jejich komunikací. Uvádí, že

„nejen cookies, ale každá sledovací technologie již podléhá souhlasu uživatele nebo podléhá některé z výjimek uvedených v ePrivacy směrnici“ .²⁷

4. Kdy opt-out není třeba řešit?

Jak již bylo zmíněno výše v části III.1, povinnost provozovatele webové stránky nabídnout možnost odmítnutí cookies dle § 89 odst. 3 ElKom se nevztahuje na cookies

„nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem“.

Problémy v praxi může činit otázka, jaké cookies jsou skutečně nezbytné pro potřeby poskytování služby informační společnosti (tj. nezbytné pro fungování webu). Podrobně se této otázce věnuje stanovisko WP194, dle něhož jsou nezbytnými cookies typicky následující kategorie cookies:

–	umožňující zachování údajů vložených na web mezi jednotlivými zobrazeními jeho stránek, např. cookies umožňující zachování zboží vloženého do nákupního košíku v internetovém obchodě;
–	sloužící k zajištění funkce přihlášení; díky unikátnímu kódu vloženému po přihlášení uživatele do příslušné cookie nemusí uživatel zadávat opakovaně heslo při každém zobrazení jednotlivých stránek webu v rámci jedné návštěvy; nespadají sem však cookies sloužící k dlouhodobému „zapamatování přihlášení“;
–	sloužící ke zvýšení bezpečnosti webové stránky, kterou uživatel používá;
–	umožňující funkčnost mediálních přehrávačů;²⁸
–	sloužící k rozkládání zátěže mezi jednotlivé internetové servery, na kterých je web provozován; do cookie se pak zpravidla zapisuje přiřazení uživatele ke konkrétnímu serveru, se kterým má prohlížeč uživatele komunikovat;
–	pro přizpůsobení uživatelského rozhraní, sloužící k uložení nastavení provedených uživatelem, např. co se týká zvoleného jazyka, či počtu výsledků vyhledávání, zobrazovaných na jednotlivé stránce webu;
–	sloužící ke sdílení obsahu pomocí sociálních sítí (např. tlačítko „To se mi líbí“ apod.), pouze však ve vztahu k uživatelům, kteří jsou v rámci dané sociální sítě přihlášeni.²⁹

Ve vztahu ke všem těmto kategoriím cookies však platí, že za nezbytné je považováno pouze jejich využití k výše uvedeným účelům. Pokud je např. cookie sloužící k zajištění funkce přihlášení současně použita pro sledování k marketingovým účelům, je třeba aplikovat režim opt-out.

WP29 naopak upozorňuje, že za nezbytné nelze považovat cookies:

–	používané pro sledování uživatele pomocí nástrojů sdílení na sociálních sítích; nástroje jako tlačítko „To se mi líbí“ tak mohou ke sledování a cílení reklamy sloužit pouze v režimu opt-out;
–	pro reklamu třetích stran, včetně cookies použí́vaných pro vyúčtování reklamy, detekce podvodného klikání, průzkumů a analýzy trhu, zdokonalování produktů a ladění (debugging);³⁰
–	pro analýzu návštěvnosti webu; jak již bylo diskutováno výše v části III.1, je nepravděpodobné, aby tyto cookies při vhodném nastavení představovaly zásah do soukromí uživatele.

Z praktického hlediska je třeba podotknout, že výklad obsažený ve stanovisku WP194 je značně striktní. WP29 ve vztahu k téměř všem výše uvedeným kategoriím cookies např. uvádí, že jejich platnost by měla být pouze po dobu, než uživatel zavře svůj internetový prohlížeč (po tzv. dobu trvání relace). Tím by pod režim opt-out byly podřazeny rovněž cookies sloužící např. k dlouhodobému uložení obsahu košíku nepřihlášeného návštěvníka internetového obchodu. Takovou funkci lze dle mého názoru považovat za běžnou součást funkcionalit webu zajišťující možnost jej efektivně používat např. i v případě, kdy uživatel na mobilním zařízení musí restartovat internetový prohlížeč apod. Současně zde nespatřuji relevantní zásah do soukromí uživatele, neboť informace v rámci daného účelu nejsou použity pro cílení reklamy ani sdíleny se třetími stranami, proto takový výklad WP29 považuji za nepřiměřený. Stejně tak se domnívám, že podřazovat pod režim opt-out cookies sloužící např. k detekci podvodného klikání nebo k vyúčtování poplatků za reklamu, na kterou uživatel kliknul, je rovněž nepřiměřené. Jakkoli zde údaje získané z cookeis mohou být sdíleny se třetími stranami, účelem zpracování zde opět není cílení reklamy nebo jiná obdobná aktivita, navíc půjde o sdílení mezi úzkým okruhem subjektů (reklamní síť a zadavatel konkrétní reklamy).

IV. Zpracování osobních údajů pomocí cookies

Vedle skutečnosti, že samotné použití cookies a dalších sledovacích technologií podléhá režimu § 89 odst. 3 ElKom, je třeba vést v patrnosti, že cookies velmi často slouží ke sběru a následnému zpracování osobních údajů. Hranici mezi případy, kdy je cookie pouze technickým nástrojem, a kdy je použita ke zpracování osobních údajů, přitom může být obtížné stanovit.

Na jedné straně spektra stojí případy, kdy cookies slouží k technickým účelům, např. k rozkládání zátěže mezi internetovými servery. V takovém případě se do cookie zpravidla zapisují informace nezbytné k přiřazení internetového prohlížeče uživatele ke konkrétnímu serveru. V takových situacích zpravidla data zapisovaná do a čtená z příslušné cookie nevypovídají nic o osobě uživatele a jejich využití nelze považovat za zpracování osobních údajů.

Na druhé straně spektra stojí způsoby využití cookies, u kterých je dnes běžně přijímáno, že zpracování osobních údajů představují – tím je např. sběr údajů o chování konkrétního přihlášeného uživatele webové stránky za účelem zobrazení přizpůsobené nabídky produktů a služeb (tzv. personalizace webu), ale také např. sledování nepřihlášených návštěvníků webu za účelem analýzy návštěvnosti pomocí nástrojů, jako je Google Analytics.

Mezi těmito dvěma extrémy pak stojí případy, u kterých je sporné, zda je za zpracování osobních údajů považovat. Příkladem jsou reklamní systémy pracující na principu cílení reklamy podle chování uživatele. Provozovatel takového reklamního systému zpravidla nemá jednoduchou možnost ztotožnit konkrétního uživatele, kterému je reklama zobrazována. WP29 v tomto směru uvádí, že

„reklamy zaměřené na chování… často zahrnují zpracování osobních údajů“.³¹

Hranice, kdy funkce reklamního systému považovat za zpracování osobních údajů a kdy nikoli, však zůstává nadále neostrá. Samotné argumenty, které WP29 předkládá a které zaznívají v akademických diskusích, jsou převážně teleologického charakteru. Nejde o to, že by profil v reklamním systému bylo možné ve všech případech za použití prostředků, „o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí“,³² spojit se jmenovitě určenou osobou, ale o to, že profil je složen z informací o chování konkrétního uživatele a slouží k ovlivnění jeho chování.³³ Bližší diskuse o tom prakticky vysoce relevantním tématu však překračuje meze tohoto článku.

Obecně však lze konstatovat, že v praxi nastávají případy, kdy využití cookies bude jednoznačně představovat zpracování osobních údajů, a z toho důvodu bude při příslušném využití cookies třeba naplnit požadavky nejen zákona o elektronických komunikacích, ale také GDPR. Proto jsou požadavky GDPR na nakládání s údaji získanými pomocí cookies blíže rozebrány v dalším výkladu.

1. Právní základ zpracování

Návrh Doporučení v bodě 11 písm. b) uvádí, že

„je nutno jasně formulovat účel zpracování údajů získaných prostřednictvím cookies a odvozeně od toho důvod zpracování cookies ve vztahu k subjektu údajů“ a „podle čl. 6 odst. 1 GDPR rozhodnout, o jaký právní základ se jedná“, přičemž „pro údaje získané z cookies se využijí zejména písm. a), b) a f)“.

Aplikace čl. 6 odst. 1 písm. b) GDPR, který umožňuje zpracovávat osobní údaje pro potřeby uzavření a plnění smlouvy, činí v praxi nejmenší problémy. Uplatní se např. tehdy, pokud jsou mezi jednotlivými zobrazeními webové stránky uchovávány na serveru údaje o tom, jaké zboží si uživatel vložil do košíku, nebo jaké údaje o sobě zadal v předchozím kroku objednávky.

Problematická je v praxi hranice mezi aplikací čl. 6 odst. 1 písm. a) a f) GDPR, tedy hranice mezi režimem souhlasu a oprávněného zájmu. Oprávněný zájem provozovatele webu, převažující nad právy a svobodami uživatele, bude typicky existovat u zpracování, na kterém má provozovatel webu vážný zájem (např. zabezpečení webu), současně je zpracování předvídatelné pro uživatele a představuje limitovaný zásah do jejich práv a svobod³⁴ – do této kategorie podle mého názoru spadá např. měření návštěvnosti nástroji, jako je Google Analytics (bez použití jeho reklamních funkcí).³⁵

Předvídatelnost zpracování, a tudíž váhu oprávněného zájmu, může dále podpořit transparentní informování (např. pomocí již diskutované informační lišty) a snadná možnost zpracování odmítnout (v rámci příslušného webu, nikoli jen v nastavení prohlížeče).³⁶ Tímto způsobem lze podle mého názoru dosáhnout možnosti provádět personalizaci nabídek dle chování uživatele v rámci konkrétního webu (např. zobrazení nabídek na dříve prohlížené produkty apod.) na základě oprávněného zájmu.

Souhlas pak budou vyžadovat zpracování, kde neexistuje dostatečně silný zájem příslušného správce osobních údajů, nebo zpracování není pro uživatele dostatečně předvídatelné. Typicky se bude jednat o sledování uživatelů napříč webovými stránkami či zařízeními, např. v rámci remarketingu a real time biddingu.³⁷ Tento závěr potvrzují pokyny WP29 k profilování, které uvádí, že pro správce osobních údajů by bylo složité

„ospravedlnit využívání oprávněných zájmů jako právního základu pro intruzivní profilování a sledování pro marketingové nebo reklamní účely, např. ty, které zahrnují sledování jednotlivců na více webových stránkách, místech, zařízeních, službách nebo zahrnují obchodování s daty“.³⁸

Těžko lze navíc v tomto směru ignorovat skutečnost, že někteří poskytovatelé marketingových nástrojů přímo vyžadují, aby jejich klienti sbírali od uživatelů svých webů souhlasy, pokud na nich má být příslušný nástroj nasazen – např. produkty jako Google Ads (dříve známý jako Google Ad Words) podléhají politice Google pro získávání souhlasů uživatelů z EU (EU User Consent Policy), která sběr souhlasu vyžaduje.³⁹ Použití remarketingových funkcí Google Ads bez souhlasu uživatele dokonce Google uvádí mezi příklady porušení svých podmínek.⁴⁰

Otázkou však zůstává, jaká má být v online prostředí podoba souhlasu se zpracováním osobních údajů. Doporučení Úřadu neposkytuje v tomto směru vhodná vodítka. Ve světle požadavků na souhlas se zpracováním osobních údajů, rozebraných výše v části III.1, lze v tomto kontextu stěží dovozovat, že souhlas s tímto typem zpracování lze udělit nastavením internetového prohlížeče. Na druhou stranu nutnost sběru souhlasu např. kliknutím na tlačítko ve vyskakovacím okně znamená zásadní narušení použitelnosti webových stránek a obtěžování uživatele, proti kterému se Úřad vymezuje.⁴¹

Za pragmatické řešení, u něhož však v současnosti není zcela jisté, zda před dozorovými úřady v budoucnu obstojí, proto považuji tzv. soft opt-in, tedy udělení souhlasu jednoznačnou akcí uživatele na webu, např. kliknutím na libovolný odkaz, pokud je uživatel předem poučen (např. v informační liště), že taková akce se považuje za souhlas, a je mu dána možnost souhlas neudělit (např. vypnutím příslušné funkce zahrnující zpracování osobních údajů v nastavení stránky před zahájením příslušného zpracování osobních údajů).

Cestu tomuto řešení otevírá pracovní dokument WP208, který uvádí, že za souhlas je v tomto kontextu možné považovat – vedle kliknutí na tlačítko v určité oblasti – také jakékoli jiné aktivní chování, u kterého může provozovatel webových stránek učinit jednoznačný závěr, že představuje určitý a informovaný souhlas.⁴² Je otázkou, jak toto řešení obstojí ve světle pokynů WP259 k souhlasu, které uvádí, že prosté pokračování v používání webové stránky není jednáním, ze kterého lze dovozovat souhlas s nabídnutým způsobem zpracování osobních údajů.⁴³ WP29 však tento striktní limit relativizuje následným příkladem, který poukazuje na to, že souhlas nelze udělit např. posouváním v rámci příslušné webové stránky.⁴⁴ Otevřeným tématem do budoucna proto zůstává, zda informované kliknutí na odkaz způsobující přechod na jinou stránku webu ještě spadne do kategorie „běžné používání webu“, nebo nikoli.

2. Správce a zpracovatel

Úřad dále v bodě 11 písm. h) návrhu Doporučení upozorňuje, že je třeba smluvně ošetřit předávání osobních údajů třetím stranám, tedy zpracovatelům a dalším správcům. Bohužel však Úřad neuvádí, které smluvní partnery (např. dle typu poskytované služby) lze typicky při využití cookies považovat za samostatné správce, které za společné správce a které za zpracovatele.

Relativně jednoznačně lze říci, že zpracovateli ve vztahu k datům z cookie jsou dodavatelé služeb analýzy návštěvnosti, např. Google ve vztahu ke službě Google Analytics.⁴⁵ K roli zpracovatele se však hlásí také provozovatelé reklamních nástrojů (např. Google ve vztahu ke službě Campaign Manager, dříve známé jako DoubleClick Campaign Manager, či Display & Video 360, dříve známé jako DoubleClick Bid Manager⁴⁶. Podřazení provozovatelů některých reklamních nástrojů pod roli zpracovatele může být problematické s ohledem na jejich podíl na určení účelů a prostředků zpracování předávaných osobních údajů.⁴⁷

Pokud jde o poskytovatele služeb zajišťujících komunikaci mezi inzerentem, resp. vydavatelem a reklamní burzou (ad exchange) v rámci real time biddingu (tzv. supply side platform a demand side platform, SSP a DSP služby), zde je dle mého názoru potenciálně možné roli zpracovatele akceptovat, pokud daný poskytovatel jedná ryze dle pokynů svého zákazníka (vydavatele, resp. inzerenta), drží odděleně data jednotlivých zákazníků a sám získaná data (získaná např. z výzev k podání nabídky) nepoužívá pro vlastní účely. Naopak pokud jde o provozovatele reklamní burzy (ad exchange),⁴⁸ popř. reklamní sítě, zde je již podíl na určení účelu zpracování i jeho prostředků dle mého názoru příliš velký na to, aby bylo takový subjekt možné akceptovat jako zpracovatele, a bude nutné jej považovat za správce osobních údajů.⁴⁹ Je to reklamní burza, resp. reklamní síť, která rozhoduje o rozsahu i konkrétním způsobu využití osobních údajů, stejně jako o rozsahu jejich příjemců. Současně reklamní burza či síť přiděluje identifikátory uživatelům a fakticky sleduje jejich chování.

V každém případě, pokud je možné konkrétní subjekt považovat za zpracovatele osobních údajů, je třeba vůči němu nastavit smluvní úpravu v souladu s čl. 28 odst. 3 GDPR, tedy zejména vymezit předmět zpracování, upravit bezpečnost, nastavit součinnost při plnění relevantních povinností správce a zajistit správci přiměřená auditní práva.

Výše uvedenému tvrzení, že provozovatel reklamní burzy, resp. reklamní sítě, bude typicky správcem osobních údajů, odpovídá rovněž to, jak některé své služby kvalifikuje Google. Ten se ve vztahu ke službě Google Ads (dříve Ad Words) a službě Google Ad Manager (dříve známé jako DoubleClick Ad Exchange) považuje za samostatného správce osobních údajů.⁵⁰

Úřad v návrhu Doporučení požaduje, aby se samostatným správcem byla uzavřena dohoda stanovící alespoň povinnost smluvního partnera postupovat v souladu s GDPR a zákonem o elektronických komunikacích. Tento požadavek nemá přímou oporu v textu GDPR ani zákona o elektronických komunikacích, navíc není zcela jasné, jaký by takto obecná dohoda měla mít přínos pro ochranu práv a svobod dotčených osob. Požadavek na uzavření smlouvy mezi zúčastněnými správci stanoví GDPR pro případ, že jde o správcovství společné.

Hranici mezi rolí společného a samostatného správce přitom může být ve vztahu k reklamním systémům obtížné určit. Stanovisko WP171 poukazuje na skutečnost, že i když vydavatelé internetového obsahu na své webové stránky umisťují reklamu a při tomto postupu přímo nepředávají osobní údaje reklamní síti, spouští předání údajů této síti internetovým prohlížečem uživatele. Tím dle WP29 vydavatelé

„napomáhají takovému předání a spoluurčují účel, za kterým je prováděno, tj. pro poskytování reklamy vytvořené na míru návštěvníkům“, a z těchto dů̊vodů̊ mají „určitou odpovědnost za tyto kroky jako správci údajů̊“.⁵¹

Na druhou stranu WP29 ve stejném stanovisku dále uvádí:

„Kromě toho,… vydavatelé budou společnými správci, jestliže budou shromažďovat a předávat osobní údaje svých návštěvníků, jako je jejich jméno, adresa, věk, místo atd., poskytovateli reklamní sítě̌.“⁵²

Je tak otázkou, zda tuto formulaci vnímat tak, že ve výše uvedeném případě, kdy k předání takových údajů nedochází, se o postavení společných správců nejedná.

Jelikož však WP29 ve stanovisku č. 1/2010 k pojmů̊m „sprá́vce“ a „zpracovatel“ („WP169“) výslovně uvádí, že

„podle podmínek spolupráce mezi vydavatelem a provozovatelem reklamní sítě, pokud např. vydavatel umožní předání osobních údajů provozovateli reklamní sítě, včetně přesměrování uživatele na internetové stránky provozovatele reklamní sítě, mohou být společnými správci souboru zpracování vedoucích k reklamě zaměřené na chování́“,⁵³

byl by takový výklad nepřiměřeně zužující.

V patrnosti je třeba vést i smysl příslušné úpravy, který WP29 vyjadřuje tak, že

„ve všech případech (společní) správci zajistí, aby složitost a technické aspekty systému reklamy zaměřené na chování nebránily v nalezení vhodných způsobů plnění povinností správců a zajištění práv subjektů údajů“.⁵⁴

Široké vnímání institutu společných správců podporují nedávná rozhodnutí SDEU ve věcech Wirtschaftsakademie Schleswig-Holstein⁵⁵ a Jehovan todistajat.⁵⁶

Z toho důvodu se domnívám, že vydavatelé budou při běžném využití reklamních sítí společnými správci osobních údajů s provozovateli reklamních sítí a burz, kterým předávají data, popř. na ně přesměrovávají své uživatele. Praktickým důsledkem bude potřeba uzavřít s příslušnými provozovateli smlouvu vymezující odpovědnost jednotlivých stran v souladu s čl. 26 odst. 1 GDPR informovat o obsahu takové dohody subjekty údajů ve smyslu čl. 26 odst. 2 GDPR.

Z hlediska rozdělení odpovědnosti by taková dohoda měla dle mého názoru reflektovat efektivní možnost zajištění jednotlivých povinností správce. V praxi to znamená odpovědnost vydavatele za získání souhlasu subjektu údajů a odpovědnost reklamní sítě či reklamní burzy za výkon práv subjektu údajů. Takto odpovědnost alokuje rovněž WP29.⁵⁷

Domnívám se, že v tomto kontextu nemusí být postavení společných správců pro zúčastněné strany problematické, přesto se k němu otevřeně hlásí jen malý počet subjektů. Příkladem může být reklamní síť Criteo, která deklaruje, že je společným správcem se svými zákazníky, které zavazuje k informování a sběru souhlasů.⁵⁸

3. Další požadavky

Vedle výše popsaných požadavků na právní základ, informování a ošetření vztahů se třetími stranami upozorňuje Úřad v návrhu Doporučení také na další povinnosti související se zpracováním osobních údajů získaných pomocí cookies – konkrétně povinnost minimalizovat rozsah a dobu zpracování osobních údajů a povinnost provést posouzení vlivu.

Ve vztahu k minimalizaci rozsahu zpracování Úřad v bodě 11 písm. h) návrhu Doporučení požaduje, aby

„v rámci rozhraní pro sdílení profilů mezi jednotlivými reklamními systémy byly skutečně předávány pouze nezbytně potřebné informace,“

a odkazuje na stanovisko WP171. Jelikož se toto stanovisko minimalizací rozsahu předávaných údajů nezabývá, je význam tohoto doporučení nejasný, zvláště v kontextu technologií, jako je real time bidding, kde jsou předávána data o návštěvníkovi webové stránky širokému okruhu subjektů.

Požadavky Úřadu ohledně doby zpracování jsou výrazně jednoznačnější – cookies se dle bodu 11 písm. i) návrhu Doporučení mají mazat v krátké lhůtě, nejpozději do 13 měsíců od jejich posledního využití. Jelikož provozovatel webové stránky není objektivně schopen vymazat cookie ze zařízení uživatele, je třeba tento požadavek vztáhnout k platnosti příslušné cookie. Maximální dobu platnosti 13 měsíců pak návrh Doporučení označuje jako „průmyslový standard“, odkazuje však pouze na doporučení francouzského dozorového úřadu pro ochranu osobních údajů Commission nationale de l'informatique et des libertés.⁵⁹

Domnívám se, že Úřad by ve finálním textu Doporučení měl odkázat na jiný zdroj, ze kterého by bylo možné dovodit skutečně široké přijetí tohoto pravidla mezi provozovateli webových stránek (pokud jde skutečně o průmyslový standard). Současně se domnívám, že takto striktní vymezení lhůty je zavádějící, a to s ohledem na způsoby použití cookies méně zasahující do soukromí uživatele, jako je analýza návštěvnosti. Průmyslový standard může existovat ve vztahu ke sledování uživatele pomocí cookies pro účely reklamy, nemusí však pokrývat jiné scénáře jejich použití. Za vhodnější bych tak považoval diferencovaná doporučení dle účelu, druhu a způsobu užití cookies. V neposlední řadě by pak Doporučení mělo dávat jasná vodítka nejen k platnosti samotné cookie, ale také k přiměřené době zpracování získaných osobních údajů.

Poslední zmiňovaná povinnost, tedy posouzení vlivu na ochranu osobních údajů (tzv. data protection impact assessment, DPIA), kterou se Úřad zabývá v bodě 11 písm. f) návrhu Doporučení, se obecně aplikuje na zpracování, u nichž je pravděpodobné, že budou mít za následek vysoké riziko pro práva a svobody dotčených osob.⁶⁰ Dle Úřadu bude taková situace nastávat typicky tehdy,

„když jsou cookies používány pro systematické a rozsáhlé vyhodnocování osobních aspektů, založené na automatizovaném zpracování“.⁶¹

Toto vymezení je však stále relativně obecné a není tak zcela zřejmé, jaké konkrétní situace je mohou ve vztahu ke cookies typicky naplňovat. Domnívám se, že půjde např. o komplexnější případy personalizace nabídek v rámci webové stránky s vysokou návštěvností. V takových případech totiž provozovatel pro účely přizpůsobení obsahu sleduje uživatele a vyhodnocuje jejich zájem o zobrazovaný obsah zpravidla mimo jiné na základě odvozených osobnostních charakteristik.

Návrh Doporučení Úřadu specificky nehovoří o povinnosti informovat o prováděném zpracování osobních údajů, přičemž důvodem je značný překryv s informováním o použití cookies. V tomto kontextu se proto uplatní doporučení navržena výše v části III.2, pouze je třeba na informační stránce uvést obsah požadovaný čl. 13 GDPR, tedy zejména specifikovat účel zpracování a poučit uživatele o jeho právech.

V. Závěry a doporučení

Výše jsem provedl analýzu požadavků, které klade na použití cookies a dalších sledovacích technologií platná právní úprava v ČR, představovaná zejména § 89 odst. 3 ElKom a GDPR, a to ve světle jak Doporučení Úřadu, tak stanovisek WP29. Současně jsem v řadě bodů vyjádřil odlišný názor, než na danou problematiku předkládá Úřad či WP29. Závěrem proto shrnuji, jak by dle mého názoru měli provozovatelé webových stránek v ČR nakládat s cookies a obdobnými technologiemi pro naplnění požadavků platné právní úpravy a současně respektování jejího smyslu a účelu.

Jak jsem uvedl v části III.1, domnívám se, že v ČR nebyl zaveden pro cookies režim opt-in vyžadovaný aktuální podobou ePrivacy směrnice, ale zůstal zachován režim opt-out, který ePrivacy směrnice vyžadovala v minulosti. Tento režim v praxi znamená, že provozovatelé webu mají povinnost o použití cookies uživatele informovat a nabídnout mu možnost cookies odmítnout. Tuto možnost by přitom dle mého názoru měla nabízet příslušná webová stránka, a to na úrovni konkrétního účelu použití cookies – nelze v tomto směru spoléhat na možnost obecného odmítnutí cookies v nastavení internetového prohlížeče. Výjimkou je z mého pohledu použití cookies pro analýzu návštěvnosti, kde s ohledem na malý zásah do soukromí považuji za dostatečné odmítnutí na úrovni internetového prohlížeče.

Z hlediska informování o cookies se pak domnívám, že v případech intenzivnějších zásahů do soukromí, jako je použití cookies pro cílenou reklamu v rámci remarketingu a real time biddingu, by na takové použití měl být uživatel upozorněn lištou nebo vyskakovacím oknem.

Tato pravidla se přitom vztahují na použití nejen cookies, ale také veškerých dalších sledovacích technologií, které jsou založeny na ukládání a čtení dat ze zařízení uživatele, jako jsou web trackery, evercookies a device fingerprinting. Na druhou stranu se však výše popsaný režim nevztahuje na cookies a obdobné technologie, které jsou nezbytné pro fungování webu, např. dočasné uložení dat při procházení mezi jeho stránkami nebo pro zajištění funkce přihlášení a zajištění bezpečnosti obecně. S ohledem na rizika pro soukromí uživatele se přitom domnívám, že by tato výjimka pro nezbytné cookies měla být vykládána šířeji, než doporučuje WP29, a to tak, aby zahrnovala např. použití cookies pro dlouhodobé uložení obsahu košíku nepřihlášeného návštěvníka internetového obchodu, pro dokumentaci a vyúčtování internetové reklamy či detekci falešných prokliků.

V praxi se pak k výše uvedeným požadavkům velmi často připojí další požadavky kladené GDPR, a to z důvodu častého využití cookies pro sběr a zpracování osobních údajů. V takovém případě je především třeba určit účel příslušného zpracování osobních údajů a najít pro něj adekvátní právní základ. V případě, že jsou cookies nezbytné pro realizaci kontraktačního procesu nebo poskytování služby, je tímto právním základem plnění smlouvy.

V praxi však činí obtíže především rozlišení případů, kdy právním základem může být oprávněný zájem, a kdy je nutný souhlas uživatele. Oprávněným zájmem provozovatele webové stránky je dle mého názoru např. analýza návštěvnosti, ale také personalizace nabídek v rámci webové stránky (např. dle dříve prohlížených produktů v internetovém obchodě). Naopak za hranou oprávněného zájmu je dle mého předání osobních údajů reklamním sítím a burzám za účelem cílení reklamy. V takových případech je dle mého názoru nezbytný souhlas se zpracováním osobních údajů.

Z hlediska informování se pak podle mne požadavky GDPR na informování do značné míry překrývají s požadavky zákona o elektronických komunikacích, GDPR klade bližší požadavky na obsah poskytovaných informací.

Vedle požadavků na právní základ a informování bude třeba smluvně ošetřit vztahy se třetími stranami, kterým jsou osobní údaje předávány nebo které pro provozovatele webu osobní údaje shromažďují. V případě využití služeb třetí strany v rámci měření návštěvnosti bude taková třetí strana zpravidla zpracovatelem. Stejně tak může být zpracovatelem třetí strana umožňující vydavatelům a inzerentům přístup k reklamním burzám a sítím. Se zpracovatelem je třeba uzavřít písemnou smlouvu splňující požadavky čl. 28 GDPR.

Správcem osobních údajů bude naopak typicky reklamní síť a reklamní burza, přičemž se domnívám, že vydavatel umisťující na svůj web reklamu této burzy či sítě bude vůči ní v postavení společného správce. Praktickým důsledkem je nutnost uzavřít smlouvu vymezující odpovědnost jednotlivých stran za ochranu osobních údajů a o obsahu této smlouvy informovat uživatele.

Cookies by také měly mít přiměřeně nastavenou dobu své platnosti, přičemž ji dle mého názoru nelze stanovit obecně; bude se vždy odvíjet od konkrétního účelu použití cookies a okolností daného případu.

V případě, že zpracování osobních údajů založené na cookies bude představovat riziko pro ochranu soukromí jednotlivce (dle mého názoru půjde zejména o případy komplexní personalizace nabídek na webové stránce), bude pro takové zpracování potřebné provést posouzení vlivu na ochranu osobních údajů.

Kombinace všech požadavků může být ve výsledku různá podle konkrétního případu použití cookies. Shrnutí požadavků na modelové případy použití cookies poskytuje následující tabulka:

Způsob použití cookies	Možnost odmítnout cookies	Informování	Právní základ zpracování osobních údajů
Technické účely nezbytné v rámci dané webové stránky (např. rozložení zátěže mezi servery)	Není nutná	Není nutné	Nepůjde zpravidla o zpracování osobních údajů
Uchování obsahu nákupního košíku v internetovém obchodě	Není nutná	Samostatná informační stránka	Nezbytnost pro plnění smlouvy
Analýza návštěvnosti webové stránky	V prohlížeči	Samostatná informační stránka	Oprávněný zájem
Personalizace nabídek v rámci webu	Na konkrétní webové stránce	Lišta nebo vyskakovací okno	Oprávněný zájem
Předání údajů reklamním sítím a burzám pro cílení reklamy	V rámci konkrétní webové stránky	Lišta nebo vyskakovací okno	Souhlas

Výše uvedené závěry ohledně použití cookies a jiných obdobných technologií by měl dle mého názoru Úřad reflektovat ve finální podobě Doporučení, a to včetně doplnění ukázek aplikace příslušných pravidel na praktické příklady.

Poznámky pod čarou:

Autor je externím doktorandem na Ústavu práva a technologií Právnické fakulty MU a současně působí na pozici associate v advokátní kanceláři ROWAN LEGAL. Článek nevyjadřuje názory žádné ze jmenovaných institucí. Autor děkuje za podnětné připomínky k tomuto textu Mgr. MgA Jakubu Míškovi.

Vznik článku byl podpořen z projektu specifického výzkumu Masarykovy univerzity MUNI/A/1015/2017.

Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Srov. Úřad pro ochranu osobních údajů. Doporuč̌ení́ k zpracová́ní cookies a obdobný́ch prostř̌edků̊ sledová́ní od 25. kvě̌tna 2018. 22. 5. 2018. https://www.uoou.cz/ [cit. 6. 7. 2018].

Jedná se o návrh nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích). Srov. např. Council of the European Union – Austrian Presidency. Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications). 10. 7. 2018. https://iapp.org/ [cit. 17. 7. 2018].

Srov. Barth, A. HTTP State Management Mechanism. Duben 2011. https://tools.ietf.org/ [cit. 6. 7. 2018].

Srov. tamtéž.

Srov. Pracovní skupina pro ochranu údajů zřízená podle čl. 29. Stanovisko č̌. 4/2012 k vý́jimce z pož̌adavku na souhlas s cookies, s. 5; 7. 6. 2012 [cit. 25. 7. 2018]. Všechny dokumenty WP29 viz na http://ec.europa.eu/.

Srov. Nikiforakis, N. et al. Cookieless monster: Exploring the ecosystem of web-based device fingerprinting, in Security and privacy (SP), 2013 IEEE symposium on. IEEE, 2013, s. 543.

Srov. Acar, G. et al. The web never forgets: Persistent tracking mechanisms in the wild, in Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014, s. 674–689.

Srov. Nikiforakis, N. et al., op. cit. sub 7, s. 541.

Směrnice Evropského parlamentu a Rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací.

Směrnice Evropského parlamentu a Rady 2009/136/ES.

Ke stejnému závěru dospívá Míšek, J. Souhlas se zpracováním osobních údajů za časů Internetu. Revue pro právo a technologie, 2014, č. 9, s. 3–74 (s. 55–66). https://journals.muni.cz/ [cit. 7. 7. 2018].

WP29 byla orgánem, který před účinností GDPR sdružoval hlavy všech dozorových úřadů pro ochranu osobních údajů z celé Evropské unie a vydával stanoviska k výkladu směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, zrušené a nahrazené GDPR. S účinností GDPR se WP29 transformovala na Evropský sbor pro ochranu osobních údajů. Jelikož však GDPR zachovává principy a základní pojmy zrušené směrnice, je velká část stanovisek WP29 relevantní i po účinnosti GDPR.

Srov. WP29. Stanovisko č. 15/2011 k definici souhlasu, s. 30; 13. 7. 2011; WP29. Pokyny k souhlasu dle Nařízení 2016/679, s. 4; 10. 4. 2018 [cit. 6. 7. 2018].

Srov. čl. 2 písm. h) směrnice 95/46. Ve vztahu k pojmu „výslovný“ je český překlad směrnice nepřesný, anglický text používá pojem „specific“, tedy „určitý“.

Srov. čl. 4 bod 11 GDPR.

Srov. též recitál 42 GDPR.

Srov. WP29. Stanovisko č. 2/2010 k internetové reklamě zaměřené na chování, s. 15. 22. 6. 2011 [cit. 6. 7. 2018].

Srov. WP29. Stanovisko č̌. 4/2012 k vý́jimce z pož̌adavku na souhlas s cookies, s. 11; 7. 6. 2012 [cit. 25. 7. 2018].

Srov. tamtéž.

Remarketing inzerentům umožňuje cílit internetovou reklamu nikoli na obecně definovanou skupinu uživatelů, ale na konkrétní uživatele, kteří v minulosti navštívili jejich webovou stránku. Pro tento účel zpravidla vkládá inzerent do své webové stránky kód, který volá obsah z webu reklamní sítě a současně specifikuje, z jaké webové stránky požadavek přichází. Tím dojde ke spárování konkrétního uživatele, resp. jeho zařízení s danou webovou stránkou, popř. uložení sledovací cookie dané sítě do zařízení uživatele (pokud se v zařízení uživatele ještě nenachází). Srov. např. Remarketing. Nápověda Google Ads. 2018. https://www.google.com/ [cit. 26. 7. 2018].

Real time biddingem se rozumí aukce reklamního prostoru v reálném čase a samostatně pro každou jednotlivou impresi. Webová stránka vydavatele vytvoří impresi a předá nabídku skrze reklamní síť reklamní burze. Ta rozešle inzerentům informaci o webové stránce, na které je imprese dostupná, a také o uživateli, kterému je zobrazována, a to způsobem umožňujícím spárovat identitu uživatele s jeho případnými předchozími návštěvami na webu inzerenta. Na základě těchto informací mohou inzerenti vyhodnotit atraktivitu imprese z hlediska cílů jejich reklamní kampaně a zaslat burze svou cenovou nabídku. Obdržené nabídky jsou vyhodnoceny, imprese je prodána nejvyšší nabídce a vydavateli je skrze reklamní síť předána informace o reklamě vítězného inzerenta, kterou má zobrazit. Celý tento proces se zpravidla odehraje během cca 100 milisekund. Srov. Yuan, S., Wang, J., Zhao, X. Real-time bidding for online advertising. Proceedings of the Seventh International Workshop on Data Mining for Online Advertising. 2013, s. 1–8. doi:10.1145/2501040.2501980.

Srov. WP171, s. 18, překlad JT. Domnívám se, že český překlad stanoviska je zde nepřesný, anglická verze uvádí „providing a minimum of information directly on the screen, interactively, easily visible and understandable, would be the most effective way to comply with this principle“.

Srov. WP29. Working Document 02/2013 providing guidance on obtaining consent for cookies, s. 3; 2. 10. 2013 [cit. 16. 7. 2018]. Překlad JT.

Srov. Borgesius, F. J. Z. Personal data processing for behavioural targeting: which legal basis? International Data Privacy Law, 2015, roč. 5, č. 3, s. 172. Srov. též recitál 24 ePrivacy směrnice.

Srov. recitály 24 a 25 ePrivacy směrnice.

Evropský sbor pro ochranu osobních údajů. Statement of the EDPB on the revision of the ePrivacy Regulation and its impact on the protection of individuals with regard to the privacy and confidentiality of their communications. 5. 5. 2018. https://edpb.europa.eu/ [cit. 16. 7. 2018].

Význam těchto cookies upadá díky podpoře přehrávání audia a videa přímo v rámci jazyka HTML pro kódování webových stránek a ustupujícího využívání technologie Adobe Flash pro tento účel.

Srov. WP194, s. 6–9.

Srov. tamtéž, s. 9–11.

Srov. WP171, s. 9.

Toto kritérium je dle GDPR relevantní při posouzení identifikovatelnosti fyzické osoby. Srov. recitál 26 GDPR.

Srov. WP171, s. 9. Pro detailní diskusi srov. Borgesius, F. J. Z. Singling out people without knowing their names–behavioural targeting, pseudonymous data, and the new data protection regulation. Computer Law & Security Review, 2016, roč. 32, č. 2, s. 256–271.

Srov. recitál 47 GDPR. Dále srov. WP29. Stanovisko č. 6/2014 k pojmu oprávněných zájmů správce údajů podle čl. 7 směrnice 95/46/ES. 9. 4. 2014 [cit. 25. 7. 2018].

Nástroj Google Analytics umožňuje kromě měření návštěvnosti také přímo generovat seznamy návštěvníků webové stránky, na které má být cílena reklama. Srov. Create and edit audiences. Analytics Help. 2018. https://support.google.com/ [cit. 16. 7. 2018]. Tato funkce bude již podléhat souhlasu, jak je patrno z dalšího výkladu.

Možnost ovlivnit tímto způsobem vyvažování oprávněného zájmu zmiňuje WP29. Stanovisko č̌. 6/2014, cit. sub 34, s. 42.

K potřebnosti souhlasu pro behaviorální online marketing obecně srov. Borgesius, F. J. Z., op. cit. sub 25.

Srov. WP29. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, s. 15; 6. 2. 2018 [cit. 16. 7. 2018]. Překlad JT.

Srov. EU user consent policy. Google company. 2018. https://www.google.com/ [cit. 16. 7. 2018].

Srov. Advertising Policies Help. Google. 2018. https://support.google.com/ [cit. 16. 7. 2018].

Jakkoli např. Google tento způsob sběru souhlasu svým zákazníkům doporučuje a rovněž poskytuje rozsáhlý seznam třetích stran, kterým jsou osobní údaje standardně zpřístupňovány při využití jeho reklamních nástrojů. Srov. Pomáháme majitelům stránek a inzerentům se získáním souhlasu. Google. 2018. https://www.cookiechoices.org [cit. 16. 7. 2018]; a Ad technology providers. Display & Video 360 Help. 2018. https://support.google.com/ [cit. 26. 7. 2018].

Srov. WP208, s. 4.

Srov. WP259, s. 17.

Srov. tamtéž.

Google se k tomuto postavení hlásí. Srov. Google Ads Data Protection Terms: Service Information. Google. 2018. https://privacy. google.com/ [cit. 16. 7. 2018].

Srov. tamtéž.

Určení účelu a prostředků zpracování je definičním znakem správce osobních údajů. Srov. čl. 4 bod 7 GDPR.

Taková burza zpravidla propojuje stovky reklamních sítí.

Pro rozlišení, zda půjde o samostatného či společného správce, viz níže.

Srov. Google Ads Data Protection Terms: Service Information. Google. 2018; a Google Ads Controller-Controller Data Protection Terms. Google. 12. 10. 2017. https://privacy.google.com/ [cit. 16. 7. 2018].

Srov. WP171, s. 12. Jakkoli v r. 2010 nebyl koncept společného správce natolik ustálen jako dnes (díky jeho zakotvení v čl. 26 GDPR), byl již v té době rozpracován ze strany WP29. Srov. WP29. Stanovisko č̌. 1/2010 k pojmů̊m „sprá́vce“ a „zpracovatel“, s. 17; 16. 2. 2010 [cit. 16. 7. 2018].

Srov. WP29. Stanovisko č̌. 1/2010, tamtéž.

Srov. tamtéž, s. 22.

Srov. tamtéž. Srov. též WP171, s. 12.

Srov. rozsudek SDEU z 5. 7. 2018, C-210/16, Unabhängiges Landeszentrum fü̈r Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH, zejm. bod 39.

Srov. rozsudek SDEU z 10. 7. 2018, C-25/17, Tietosuojavaltuutettu v. Jehovan todistajat – uskonnollinen yhdyskunta, zejm. bod 75.

Srov. WP169, s. 22. Srov. též WP171, s. 12.

Srov. GDPR: What You Need to Know. Criteo. 12. 3. 2018; srov. též TERMS AND CONDITIONS – CRITEO SERVICE, čl. 9. Criteo. 22. 4. 2016. Obojí viz na http://www.criteo.com/ [cit. 16. 7. 2018].

Srov. Commission nationale de l'informatique et des libertés. Cookies: CNIL extends monitoring beyond website publishers. 27. 7. 2016. https://www.cnil.fr/.

Srov. čl. 35 odst. 1 GDPR.

Srov. bod 11 písm. f) návrhu Doporučení.

Poznámky pod čarou:
*	Autor je externím doktorandem na Ústavu práva a technologií Právnické fakulty MU a současně působí na pozici associate v advokátní kanceláři ROWAN LEGAL. Článek nevyjadřuje názory žádné ze jmenovaných institucí. Autor děkuje za podnětné připomínky k tomuto textu Mgr. MgA Jakubu Míškovi. Vznik článku byl podpořen z projektu specifického výzkumu Masarykovy univerzity MUNI/A/1015/2017.
1	Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
2	Srov. Úřad pro ochranu osobních údajů. Doporuč̌ení́ k zpracová́ní cookies a obdobný́ch prostř̌edků̊ sledová́ní od 25. kvě̌tna 2018. 22. 5. 2018. https://www.uoou.cz/ [cit. 6. 7. 2018].
3	Jedná se o návrh nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích). Srov. např. Council of the European Union – Austrian Presidency. Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications). 10. 7. 2018. https://iapp.org/ [cit. 17. 7. 2018].
4	Srov. Barth, A. HTTP State Management Mechanism. Duben 2011. https://tools.ietf.org/ [cit. 6. 7. 2018].
5	Srov. tamtéž.
6	Srov. Pracovní skupina pro ochranu údajů zřízená podle čl. 29. Stanovisko č̌. 4/2012 k vý́jimce z pož̌adavku na souhlas s cookies, s. 5; 7. 6. 2012 [cit. 25. 7. 2018]. Všechny dokumenty WP29 viz na http://ec.europa.eu/.
7	Srov. Nikiforakis, N. et al. Cookieless monster: Exploring the ecosystem of web-based device fingerprinting, in Security and privacy (SP), 2013 IEEE symposium on. IEEE, 2013, s. 543.
8	Srov. Acar, G. et al. The web never forgets: Persistent tracking mechanisms in the wild, in Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014, s. 674–689.
9	Srov. Nikiforakis, N. et al., op. cit. sub 7, s. 541.
10	Směrnice Evropského parlamentu a Rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací.
11	Směrnice Evropského parlamentu a Rady 2009/136/ES.
12	Ke stejnému závěru dospívá Míšek, J. Souhlas se zpracováním osobních údajů za časů Internetu. Revue pro právo a technologie, 2014, č. 9, s. 3–74 (s. 55–66). https://journals.muni.cz/ [cit. 7. 7. 2018].
13	WP29 byla orgánem, který před účinností GDPR sdružoval hlavy všech dozorových úřadů pro ochranu osobních údajů z celé Evropské unie a vydával stanoviska k výkladu směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, zrušené a nahrazené GDPR. S účinností GDPR se WP29 transformovala na Evropský sbor pro ochranu osobních údajů. Jelikož však GDPR zachovává principy a základní pojmy zrušené směrnice, je velká část stanovisek WP29 relevantní i po účinnosti GDPR.
14	Srov. WP29. Stanovisko č. 15/2011 k definici souhlasu, s. 30; 13. 7. 2011; WP29. Pokyny k souhlasu dle Nařízení 2016/679, s. 4; 10. 4. 2018 [cit. 6. 7. 2018].
15	Srov. čl. 2 písm. h) směrnice 95/46. Ve vztahu k pojmu „výslovný“ je český překlad směrnice nepřesný, anglický text používá pojem „specific“, tedy „určitý“.
16	Srov. čl. 4 bod 11 GDPR.
17	Srov. též recitál 42 GDPR.
18	Srov. WP29. Stanovisko č. 2/2010 k internetové reklamě zaměřené na chování, s. 15. 22. 6. 2011 [cit. 6. 7. 2018].
19	Srov. WP29. Stanovisko č̌. 4/2012 k vý́jimce z pož̌adavku na souhlas s cookies, s. 11; 7. 6. 2012 [cit. 25. 7. 2018].
20	Srov. tamtéž.
21	Remarketing inzerentům umožňuje cílit internetovou reklamu nikoli na obecně definovanou skupinu uživatelů, ale na konkrétní uživatele, kteří v minulosti navštívili jejich webovou stránku. Pro tento účel zpravidla vkládá inzerent do své webové stránky kód, který volá obsah z webu reklamní sítě a současně specifikuje, z jaké webové stránky požadavek přichází. Tím dojde ke spárování konkrétního uživatele, resp. jeho zařízení s danou webovou stránkou, popř. uložení sledovací cookie dané sítě do zařízení uživatele (pokud se v zařízení uživatele ještě nenachází). Srov. např. Remarketing. Nápověda Google Ads. 2018. https://www.google.com/ [cit. 26. 7. 2018].
22	Real time biddingem se rozumí aukce reklamního prostoru v reálném čase a samostatně pro každou jednotlivou impresi. Webová stránka vydavatele vytvoří impresi a předá nabídku skrze reklamní síť reklamní burze. Ta rozešle inzerentům informaci o webové stránce, na které je imprese dostupná, a také o uživateli, kterému je zobrazována, a to způsobem umožňujícím spárovat identitu uživatele s jeho případnými předchozími návštěvami na webu inzerenta. Na základě těchto informací mohou inzerenti vyhodnotit atraktivitu imprese z hlediska cílů jejich reklamní kampaně a zaslat burze svou cenovou nabídku. Obdržené nabídky jsou vyhodnoceny, imprese je prodána nejvyšší nabídce a vydavateli je skrze reklamní síť předána informace o reklamě vítězného inzerenta, kterou má zobrazit. Celý tento proces se zpravidla odehraje během cca 100 milisekund. Srov. Yuan, S., Wang, J., Zhao, X. Real-time bidding for online advertising. Proceedings of the Seventh International Workshop on Data Mining for Online Advertising. 2013, s. 1–8. doi:10.1145/2501040.2501980.
23	Srov. WP171, s. 18, překlad JT. Domnívám se, že český překlad stanoviska je zde nepřesný, anglická verze uvádí „providing a minimum of information directly on the screen, interactively, easily visible and understandable, would be the most effective way to comply with this principle“.
24	Srov. WP29. Working Document 02/2013 providing guidance on obtaining consent for cookies, s. 3; 2. 10. 2013 [cit. 16. 7. 2018]. Překlad JT.
25	Srov. Borgesius, F. J. Z. Personal data processing for behavioural targeting: which legal basis? International Data Privacy Law, 2015, roč. 5, č. 3, s. 172. Srov. též recitál 24 ePrivacy směrnice.
26	Srov. recitály 24 a 25 ePrivacy směrnice.
27	Evropský sbor pro ochranu osobních údajů. Statement of the EDPB on the revision of the ePrivacy Regulation and its impact on the protection of individuals with regard to the privacy and confidentiality of their communications. 5. 5. 2018. https://edpb.europa.eu/ [cit. 16. 7. 2018].
28	Význam těchto cookies upadá díky podpoře přehrávání audia a videa přímo v rámci jazyka HTML pro kódování webových stránek a ustupujícího využívání technologie Adobe Flash pro tento účel.
29	Srov. WP194, s. 6–9.
30	Srov. tamtéž, s. 9–11.
31	Srov. WP171, s. 9.
32	Toto kritérium je dle GDPR relevantní při posouzení identifikovatelnosti fyzické osoby. Srov. recitál 26 GDPR.
33	Srov. WP171, s. 9. Pro detailní diskusi srov. Borgesius, F. J. Z. Singling out people without knowing their names–behavioural targeting, pseudonymous data, and the new data protection regulation. Computer Law & Security Review, 2016, roč. 32, č. 2, s. 256–271.
34	Srov. recitál 47 GDPR. Dále srov. WP29. Stanovisko č. 6/2014 k pojmu oprávněných zájmů správce údajů podle čl. 7 směrnice 95/46/ES. 9. 4. 2014 [cit. 25. 7. 2018].
35	Nástroj Google Analytics umožňuje kromě měření návštěvnosti také přímo generovat seznamy návštěvníků webové stránky, na které má být cílena reklama. Srov. Create and edit audiences. Analytics Help. 2018. https://support.google.com/ [cit. 16. 7. 2018]. Tato funkce bude již podléhat souhlasu, jak je patrno z dalšího výkladu.
36	Možnost ovlivnit tímto způsobem vyvažování oprávněného zájmu zmiňuje WP29. Stanovisko č̌. 6/2014, cit. sub 34, s. 42.
37	K potřebnosti souhlasu pro behaviorální online marketing obecně srov. Borgesius, F. J. Z., op. cit. sub 25.
38	Srov. WP29. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, s. 15; 6. 2. 2018 [cit. 16. 7. 2018]. Překlad JT.
39	Srov. EU user consent policy. Google company. 2018. https://www.google.com/ [cit. 16. 7. 2018].
40	Srov. Advertising Policies Help. Google. 2018. https://support.google.com/ [cit. 16. 7. 2018].
41	Jakkoli např. Google tento způsob sběru souhlasu svým zákazníkům doporučuje a rovněž poskytuje rozsáhlý seznam třetích stran, kterým jsou osobní údaje standardně zpřístupňovány při využití jeho reklamních nástrojů. Srov. Pomáháme majitelům stránek a inzerentům se získáním souhlasu. Google. 2018. https://www.cookiechoices.org [cit. 16. 7. 2018]; a Ad technology providers. Display & Video 360 Help. 2018. https://support.google.com/ [cit. 26. 7. 2018].
42	Srov. WP208, s. 4.
43	Srov. WP259, s. 17.
44	Srov. tamtéž.
45	Google se k tomuto postavení hlásí. Srov. Google Ads Data Protection Terms: Service Information. Google. 2018. https://privacy. google.com/ [cit. 16. 7. 2018].
46	Srov. tamtéž.
47	Určení účelu a prostředků zpracování je definičním znakem správce osobních údajů. Srov. čl. 4 bod 7 GDPR.
48	Taková burza zpravidla propojuje stovky reklamních sítí.
49	Pro rozlišení, zda půjde o samostatného či společného správce, viz níže.
50	Srov. Google Ads Data Protection Terms: Service Information. Google. 2018; a Google Ads Controller-Controller Data Protection Terms. Google. 12. 10. 2017. https://privacy.google.com/ [cit. 16. 7. 2018].
51	Srov. WP171, s. 12. Jakkoli v r. 2010 nebyl koncept společného správce natolik ustálen jako dnes (díky jeho zakotvení v čl. 26 GDPR), byl již v té době rozpracován ze strany WP29. Srov. WP29. Stanovisko č̌. 1/2010 k pojmů̊m „sprá́vce“ a „zpracovatel“, s. 17; 16. 2. 2010 [cit. 16. 7. 2018].
52	Srov. WP29. Stanovisko č̌. 1/2010, tamtéž.
53	Srov. tamtéž, s. 22.
54	Srov. tamtéž. Srov. též WP171, s. 12.
55	Srov. rozsudek SDEU z 5. 7. 2018, C-210/16, Unabhängiges Landeszentrum fü̈r Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH, zejm. bod 39.
56	Srov. rozsudek SDEU z 10. 7. 2018, C-25/17, Tietosuojavaltuutettu v. Jehovan todistajat – uskonnollinen yhdyskunta, zejm. bod 75.
57	Srov. WP169, s. 22. Srov. též WP171, s. 12.
58	Srov. GDPR: What You Need to Know. Criteo. 12. 3. 2018; srov. též TERMS AND CONDITIONS – CRITEO SERVICE, čl. 9. Criteo. 22. 4. 2016. Obojí viz na http://www.criteo.com/ [cit. 16. 7. 2018].
59	Srov. Commission nationale de l'informatique et des libertés. Cookies: CNIL extends monitoring beyond website publishers. 27. 7. 2016. https://www.cnil.fr/.
60	Srov. čl. 35 odst. 1 GDPR.
61	Srov. bod 11 písm. f) návrhu Doporučení.

I. Úvodem

II. Cookies a další nástroje sledování na internetu

III. Právní úprava nakládání s cookies

IV. Zpracování osobních údajů pomocí cookies

V. Závěry a doporučení

Souvislosti k PR 20/2018 s. 687

Související předpisy (1)

Dokumenty EU (2)

Poslat odkaz