Novela zákona o elektronických komunikacích a shromažďování souborů cookies

Dne 18. října 2021 byla ve sbírce zákonů vyhlášena novela zákona o elektronických komunikacích. Schválená novela se mimo jiného dotýká i právní úpravy užívání souborů cookies. Novela nově zavádí tzv. princip opt-in, resp. je nově potřeba aktivního souhlasu uživatele se shromažďováním souborů cookies.

Do této doby se používal tzv. princip opt-out. Tento princip znamenal, že provozovatel webu tak mohl ke shromažďování cookies přistupovat s relativní volností. Limitace pro provozovatele byl pouze aktivní nesouhlas návštěvníka webu. To znamená, že uživatel musel dát aktivní nesouhlas k tomu, aby „jeho“ cookies nebyly provozovatelem shromažďovány. Pakliže tak neučinil, provozovatel webu mohl tyto soubory cookies shromažďovat.

Od 1.1.2022 dochází ale k významné změně. Již neplatí tzv. princip opt-out, ale tzv. princip opt-in. Nyní již není třeba aktivního nesouhlasu uživatele, ale naopak je třeba jeho aktivního souhlasu. To ve své podstatě znamená, že uživatel musí udělit svůj aktivní souhlas k tomu, aby provozovatel webu mohl shromažďovat cookies soubory z jeho zařízení. Princip tzv. opt-in režimu byl zamýšlen Směrnicí Evropského parmalentu a Rady od samého začátku. Vlivem nedokonalé transpozice ePrivacy směrnice (Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, Směrnice o soukromí a elektronických komunikacích) byla zapříčiněna nepřehlednost ustanovení, což vedlo k různým výkladům a přístupům a v úplném konci k nejednotnosti v přístupu ke zpracování cookies.

Problematické bylo především znění ustanovení § 89 odst. 3 zákona č. 127/2005 Sb., zákon o elektronických komunikacích ve znění od 2.8.2021 – 31.12.2021, které stanovilo, že „každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout“.  Právě z tohoto znění se v rozporu s původně zamýšleným unijním záměrem dovozoval princip tzv. opt-out.

Po novelizaci výše zmíněné ustanovení stanoví, že „každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování“. I nadále však zůstává výjimka pro tzv. technické nebo nezbytné cookies, na které se potřeba předchozího aktivního souhlasu nevztahuje.

Souhlas uživatele musí splňovat požadované znaky stanovené GDPR. Musí tedy být svobodný, aktivní, informovaný, konkrétní a předchozí.

Pokud máte k výše zmíněné problematice dotazy, neváhejte se obrátit na advokátní kancelář.