„Sušenky“ o vás mohou hodně vypovídat, upozorňuje Úřad na ochranu osobních údajů

Foto: Martin Kovář

Popisek: Počítač, ilustrační foto.

Prohlížíte si webové stránky, nakupujete v e-shopu nebo diskutujete na sociální síti a přitom se do vašeho počítače ukládají tzv. cookies, sušenky. Že je to nesmysl? Ve virtuálním světě internetu nikoli. Cookies, tedy malé datové soubory, se ukládají do adresáře uživatelského souboru a pospojovány mohou nabízet portfolio údajů o uživateli.

Mohou být zneužity ke sledování uživatele

Úřad pro ochranu osobních údajů (ÚOOÚ) se o cookies zajímá nejen proto, že jejich zneužití může vést k narušení soukromí osob, ale také si klade za cíl sladit domácí legislativu týkající se cookies s tou evropskou. V čem jsou cookies nebezpečné pro soukromí uživatelů internetu? Samy o sobě jako nástroj nebezpečné nejsou, protože naopak mohou šetřit čas uživatele a jsou mnohdy nezbytné pro přenos zpráv nebo zajištění určitých služeb.

„Cookies však mohou pro další servery či aplikace nasdílet portfolio údajů o uživateli, třeba informace o tom, co si daný uživatel na konkrétní webové stránce zobrazil či nakoupil, jaké má ve vztahu k obsahu čerpané služby osobní preference, jaké jsou jeho přihlašovací údaje. V případech, kdy jsou podle své povahy způsobilé identifikovat konkrétního uživatele, představují osobní údaj,“ vysvětluje JUDr. Ján Matejka, Ph. D., zástupce ředitele Ústavu státu a práva AV ČR. „Mohou být zneužity ke sledování uživatele, vytvoření jeho profilu obsahujícího informace o tom, jak se na webu dlouhodobě chová, co má rád, případně jaké informace a v jakém počtu obvykle vyhledává.“

Reklama a marketing, ale i krádež identity

Těchto informací se dá i bez vědomí návštěvníka využívat pro cílenou reklamu, statistické vyhodnocování chování návštěvníků a vytváření jejich profilů, tedy k marketingovým a reklamním účelům, což se soukromí uživatelů bezprostředně dotýká. Při zneužití např. přihlašovacích údajů však může dojít až k tzv. krádežím identity.

Podle relevantní evropské právní úpravy, směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, je možno tzv. session cookies (cookies nezbytné k funkčnosti webu nebo služby, kterou si sám uživatel vyžádal) využívat bez souhlasu dotyčného uživatele, ostatní pouze se souhlasem. V případě všech cookies bez ohledu na jejich charakter je nutno plnit informační povinnosti vůči uživateli webových stránek.

Internetový průmysl si dělá, co chce

„Globální internetový průmysl si navykl využívat, libovolně předávat a sdílet informace o uživatelích internetu, aniž by se jich na cokoliv ptal. Z hlediska pravidel soukromí je však přípustné pouze to, aby poskytovatelé internetových služeb zpracovávali informace o svých zákaznících v přiměřeném rozsahu jen pro účel poskytování vyžádaných služeb. Nesmí tedy fakticky ani smluvně dovolit, aby data klientů využívaly třetí strany a poskytovatelé jiných služeb, pokud k tomu lidé předem nedali souhlas,“ upozorňuje RNDr. Igor Němec, předseda Úřadu pro ochranu osobních údajů.

Směrnice o soukromí a elektronických komunikacích byla do českého práva transponována v rámci zákona č. 127/2000 Sb., o elektronických komunikacích. Transpozice se nesla prakticky v opačném duchu, když dle uvedeného zákona lze veškeré cookies využívat i bez souhlasu uživatele, respektive až do jeho aktivního vyjádření, že si jejich další využívání nepřeje (opt-out režim). „Lze říci, že tato směrnice je do českého zákona transponována nepřesně, nedostatečně a v neprospěch uživatele,“ říká Mgr. František Nonnemann, ředitel odboru analýzy a zpracování informací ve veřejném sektoru ÚOOÚ. „Současný stav v České republice neodpovídá evropské právní úpravě a práva uživatelů internetu tak jsou systematicky narušována. Jako regulátor v oblasti ochrany osobních údajů se budeme touto situací zabývat.“

Úředníci jsou testováni

ÚOOÚ se této problematice podrobně věnuje v Bulletinu č. 1/2015, který zveřejnil na svých stránkách. Zástupci Úřadu se v minulých měsících zúčastnili testu nasazení technologie cookies v praxi, který proběhl za účasti osmi zemí v rámci pracovní podskupiny WP29, což je evropský nezávislý dozorový orgán pro ochranu osobních údajů a soukromí složený ze zástupců národních dozorových úřadů. Prostřednictvím skriptu sestaveného britskými odborníky byly zkoumány mj. vybrané české internetové stránky ze tří oblastí - z veřejného sektoru, médií a z komerční oblasti.

Prověřována byla mj. informovanost uživatelů o skutečnosti, jakým způsobem daný server používá technologii cookies. Na českém webu je obecně poskytování informací o cookies nedostatečné. Uživatelům, kteří navštíví danou stránku poprvé, se většinou informace o způsobu využití cookies nepodaří nalézt. To není způsobeno tím, že by byly tyto informace schovány ve složité struktuře webu, ale že se na daných stránkách prostě nevyskytují. Relevantní informace byly nalezeny pouze na pětině testovaných serverů.

Nejlepší projev vůle - nastavit si sám

Podle aktuální evropské legislativy musí proto, aby se dalo samotné nastavení prohlížeče považovat za projev vůle uživatele, existovat jistota, že uživatel je s touto možností obeznámen. Toho je nejlépe dosaženo tehdy, když nastavení prohlížeče provede uživatel sám. Pokud prohlížeč přijímá cookies v základním „továrním“ nastavení, není to možné považovat za souhlas uživatele s použitím cookies (chybí projev vůle). Uživatel navíc často dává nastavením cookies souhlas s jejich použitím dopředu blanketově, bez znalosti účelů zpracování nebo použití předmětné technologie. Takový souhlas tedy není dostatečně vědomý a informovaný, a proto by mohl být neplatný.

Je zřejmé, že českou legislativu čeká úprava, která by reagovala na nový vývoj v informačních technologiích, evropskou směrnici a chránila soukromí uživatelů internetu. Úřad pro ochranu osobních údajů zamýšlí na této téma zahájit veřejnou diskusi.

Je to osobní údaj

„Lze jen podpořit závěr, že k souborům cookies je vhodné přistupovat jako k osobním údajům. Každý provozovatel webu, který používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v počítačích či smartphonech uživatelů, je povinen tyto uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato zákonná povinnost ovšem mnohdy není ze strany provozovatelů nejrůznějších webů plněna,“ varuje Mgr. Lukáš Zelený, vedoucí právního oddělení společnosti dTest.

Partner článku

Vložil: Lucie Bartoš