Blog

E-privacy proti GDPR: sledování i bez souhlasu?

Součástí boje Evropské unie za větší ochranu osobních údajů má být vedle nařízení GDPR i nařízení e-Privacy. Jak už označení napovídá, předmětem e-Privacy má být ochrana našeho soukromí v elektronickém světě. Jedním z aspektů této ochrany jsou i pravidla pro nakládání se soubory cookies.

Ačkoli původním plánem EU bylo mít e-Privacy účinné zároveň s GDPR, bezmála šest měsíců po účinnosti GDPR nemáme e-Privacy nejen účinné, ale neznáme ani jeho finální znění. V současné době probíhá pod vedením Rakouska jednání členských států o jejich verzi nařízení, se kterým půjdou do jednání s Evropským parlamentem a komisí. Pozornost je však e-Privacy vhodné věnovat už nyní, i když se cesta k jeho konečnému znění zdá ještě dlouhá. Zatím poslední verze e-Privacy se objevila před několika dny a vedle mnoha jiných změn obsahuje zcela nový přístup ke cookies na webových stránkách, jejichž provoz je financován z reklamy umístěné na webu. Efektivita a s tím související cena webové reklamy přitom závisí zejména na jejím přesném cílení na určité kategorie uživatelů. Identifikace kategorie, do které určitý návštěvník stránky patří, probíhá právě prostřednictvím cookies uložených v počítači návštěvníka.

Obecný přístup dosavadního pracovního znění e-Privacy k práci s cookies spočívá v rozdělení cookies do dvou kategorií: cookies nutné k provozu webu či poskytnutí služby a cookies, která takto nutná nejsou. Zásadním rozdílem těchto kategorií je, že k používání nutných cookies není třeba souhlasu návštěvníka webu. K užití cookies, která nutná nejsou, je zapotřebí získat souhlas uživatele. Mezi typické nutné cookie patří např. to, které zajišťuje, že si e-shop pamatuje, co jste vložili do nákupního košíku nebo jaký jste si nastavili jazyk stránky. Na který výrobek jste se v e-shopu dívali, aby se vám poté mohla zobrazit relevantní reklama, je funkcí těch cookies, která k provozu webu rozhodně nezbytná nejsou.

Nově je navrhováno, že v případě webů, které se financují z reklamy, není k užívání cookies obecně třeba souhlasu. Nebylo by tak třeba souhlasu i pro případy cookies, která např. sledují chování návštěvníků webu. Podle návrhu by postačilo, pokud by byl uživatel informován a akceptoval by takové použití webových funkcionalit. Lze předpokládat, že za akceptaci by se považovalo i prosté pokračování v návštěvě stránek. Takové řešení však jednoznačně neodpovídá souhlasu podle GDPR, který musí být mj. výslovný.

Nový návrh e-Privacy tak v případě některých webových stránek staví na jednu úroveň nutná neinvazivní cookies a cookies, která představují závažný zásah do soukromí návštěvníků webu. Tento přístup tak jde jednak zcela proti záměru Evropské unie zvýšit ochranu našeho soukromí v elektronickém světě a rovněž je takový přístup v rozporu s GDPR, když ona sledovací cookies většinou představují právě osobní údaje chráněné dalším evropským nařízení.