Cookies, neboli textové soubory, které server umísťuje do počítače uživatele webových stránek a které následně odesílají informace o jeho chování zpět na příslušný server, nacházejí v poslední době široké využití pro tzv. cílenou reklamu i marketing. V souvislosti s tím se Evropská Unie obává negativních dopadů jejich využívání na soukromí uživatelů internetu a chystá proto zpřísnění právní úpravy ochrany osobních údajů. Dne 15. června 2015 schválila Rada EU tzv. obecný přístup k návrhu nařízení o ochraně údajů, podle něhož mají být pod osobní údaje zahrnuty i cookies. Změna právní regulace bude mít vliv i na povinnosti provozovatelů webových stránek v České republice.
„Činnost člověka na internetu, to, jaké akce podniká a na jaké stránky chodí, by měla nově být součástí ochrany osobních údajů, což do dnešní doby nebyla. To má dopad jak na uživatele, tak především na provozovatele internetových stránek - na jejich povinnosti týkající se správy a nakládání s daty,” říká k problému ochrany osobních dat na internetu Petr Kališ,Managing Partner advokátní kanceláře CHSH Kališ&Partners.
Podle dnes platné legislativy Evropské unie je možné odlišit dva druhy cookies. Mandatorní, které jsou nezbytné k funkčnosti internetových stránek a které lze používat i bez souhlasu uživatele internetu před vstupem na dané stránky, a cookies, které slouží provozovatelům mimojiné ke sběru osobních dat, a které vyžadují předchozí souhlas uživatele internetu k jejich používání. Současná směrnice EU č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací („e-Privacy směrnice“) tak zavazuje členské státy, aby přijaly právní úpravu vyžadující předchozí souhlas s používáním druhé jmenované skupiny cookies.
„Právě tuto směrnici ale podle našeho názoru česká právní úprava nereflektuje nejkvalitněji. Zákon o elektronických komunikacích sice stanoví pro provozovatele internetových stránek povinnost předem prokazatelně informovat o uživatele internetu o rozsahu a účelu zpracování dat získaných pomocí cookies, ale nevyžaduje souhlas uživatele již před uložením cookies na uživatelův počítač. Podle zákona postačuje, aby provozovatel stránek nabídl uživateli možnost používání cookies odmítnout.Provozovatelé internetu v ČR tak mohou zpracovávat informace o uživatelích internetu bez jejich souhlasu,“ dodává k současné úpravě Petr Kališ.
A jak se tedy změní situace po přijetí nařízení EU? Jestliže se bude na cookies nahlížet jako na osobní údaje a na provozovatele webových stránek jako na správce osobních údajů, znamenalo by to nepochybně zpřísnění regulace používání cookies. Již v současné době totiž i česká právní úprava (zákon o ochraně osobních údajů) až na některé výjimky vyžaduje předchozí souhlas dotyčné osobyse zpracováním jejích osobních údajů a rovněž stanovuje další povinnosti pro správce osobních údajů (zejména rozsáhlou informační povinnost vůči subjektu údajů a oznamovací povinnost vůči Úřadu pro ochranu osobních údajů).