Jak plnit informační povinnost na webu
- Datum: 02.02.2024
Informační povinnost je jedním ze základních projevů principu transparentnosti. Opakuje se v různých právních úpravách. Od zpracování osobních údajů, přes ochranu soukromí v elektronických komunikacích, až po ochranu spotřebitele.
Transparentnost je základ
Provozovatelé webových stránek jsou povinni návštěvníky informovat o skutečnostech, které zákon považuje za natolik důležité, že musí být všem sdělovány bez ohledu na to, zda je skutečně zajímají. Bez poskytnutí relevantních informací například nelze udělit řádný souhlas se zpracováním osobních údajů. Uživatel, zejména spotřebitel či subjekt údajů, se také může jen obtížně domáhat dalších práv, pokud neví, že takovými právy disponuje, nebo že se může dít něco, co je v rozporu s jeho zájmy.
Informační povinnost týkající se používání cookies nebo dalších analytických nástrojů vyplývá jak ze zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (dále jen „ZEK“), tak i z nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto informací (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“).
Bohužel ani jeden z těchto předpisů specificky neříká o čem, v jakém rozsahu, ani jak konkrétně se informační povinnosti z ochrany osobních údajů a ochrany soukromí v elektronických komunikacích doplňují a jak informace poskytnout skutečně přehledně a zbytečně je nekomplikovat.
Cílem tohoto článku je obě právní úpravy analyzovat a poradit, jak v praxi plnit informační povinnost v souladu s oběma předpisy, ale zároveň efektivně, přehledně a tak jednoduše, jak je to jen možné.
Jak informovat o cookies podle ÚOOÚ
Ke způsobu plnění informační povinnosti se naposledy vyjádřil Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) ve svém návrhu Doporučení ke zpracování cookies a obdobných prostředků od 25. května 2018 (dále jen „návrh Doporučení). Ta je v případě identifikace uživatele v koncovém zařízení, ať již provozovatelem aplikace či webové stránky, dvojí:
Informační povinnost v režimu ochrany soukromí je stanovena v čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikacích (dále jen „Směrnice o soukromí a elektronických komunikacích“) a implementována v českém § 89 odst. 3 ZEK. Je nezbytné poučit uživatele o tom, že data budou ukládána nebo minimálně čtena z jeho koncového zařízení a pak s nimi bude dále nakládáno.
- Informační povinnost týkající se zpracování osobních údajů je upravena i v GDPR. Konkrétně v článcích 13 a 14, v závislosti na tom odkud byly osobní údaje získány. Informace v rozsahu dle čl. 13 GDPR je nutné poskytnout, pokud jsou osobní údaje získávány přímo od dotčené osoby, subjekty údajů. Článek 14 se pak uplatní tehdy, když správce, v našem případě provozovatel webu, údaje získává nepřímo, od jiného správce.
V případě čtení dat z koncového zařízení prostřednictvím identifikačních metod, kdy jsou osobní údaje získány přímo od subjektu údajů, je relevantní právě čl. 13 GDPR. Ten vymezuje rozsah informací o zpracování osobních údajů minimálně takto:
totožnost a kontaktní údaje správce a jeho případného zástupce;
kontaktní údaje případného pověřence pro ochranu osobních údajů;
účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
případné příjemce nebo kategorie příjemců osobních údajů;
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
Další informace o zpracování online získaných dat
Zde uvedený výčet je mnohem obsáhlejší, než jen „rozsah a účel zpracování “, které vyžaduje § 89 odst. 3 ZEK pro cookies a podobné technologie. A to se jedná pouze o minimum poskytovaných informací, ke kterým čl. 13. odst. 2 GDPR doplňuje ještě další skutečnosti, které je, podle okolností případu, také vhodné poskytovat. V případě, že navíc bude následné zpracování osobních údajů probíhat na základě souhlasu (což lze předpokládat), tak Evropský sbor pro ochranu osobních údajů doporučuje informovat uživatele alespoň v tomto rozsahu:
totožnost správce;
účel každé operace zpracování, pro kterou je souhlas požadován;
jaké údaje (typy údajů) budou shromažďovány a používány;
existence práva souhlas odvolat;
případně informace o využití údajů pro automatizované rozhodování; a
o možných rizicích předávání údajů v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk.
V tomto kontextu ÚOOÚ v návrhu Doporučení radí provozovatelům do sdělovaného obsahu zařadit také informaci o příjemcích, kterým budou osobní údaje zpřístupněny včetně alespoň odkazu na jejich webové stránky.
Informační povinnost dle Soudního dvora EU
K otázce informační povinnosti se v říjnu 2019 vyjádřil také Soudní dvůr Evropské unie (dále jen "SDEU") ve věci C-673/17 – Planet49. V tomto rozsudku soud významně zpřesnil povinnosti provozovatelů webových stránek používajících metody identifikace online.
Obsah sdělení uživateli by podle SDEU měl obsahovat jasné a úplné informace, které uživateli umožní jednoduše rozpoznat důsledky souhlasu, který by mohl udělit. Je však také otázkou, jaké informace musí být obsaženy již v první vrstvě jako primární informace (např. přímo v cookies liště) a jaké postačuje uvést v Privacy policy, tedy ne při sběru souhlasu, ale až ve vrstvě druhé.
Samotná skutečnost že SDEU nespecifikoval, ve které vrstvě se informace musí objevit, vypovídá spíše o tom, že není obecnou povinností tyto informace uvádět již v první vrstvě. Tomuto výkladu svědčí také fakt, že čím více informací je v první informační vrstvě obsaženo, tím větší nároky jsou kladeny na uživatele a na jejich pozornost, jelikož tím spíše si uživatelé nebudou tyto informace číst.
Je třeba dbát na to, aby poskytované informace byly přehledné, snadno dostupné, a tedy i dávkované podle míry vhodného detailu. Za dobrou praxi tudíž rozhodně nelze považovat zobrazování úvodního textu v první úrovni, který uživatele zavalí podrobnými informacemi, mezi kterými bude uživatel jen obtížně hledat podstatné informace.
Co by mezi informacemi, které uživatel o zpracování dat dostane nejdříve, nemělo chybět? Odpověď naleznete v plném znění článku na gdpr.cz