Další velká bitva o cookies je na obzoru. Evropská komise představila návrh nařízení, které má nahradit ePrivacy směrnici a upravit, jak mohou provozovatelé komunikačních služeb nakládat s údaji uživatelů. I když Komise v návrhu jen tak mimochodem přiznává, že to s některými požadavky původně přehnala (ano, jde o slavné lišty, že uživatel souhlasí s používáním cookies), žádné uznání omylu nečekejte. Jen stejná ujišťování jako posledně: nová pravidla jsou potřebná, dobře promyšlená a určitě budou fungovat.

Komise každopádně zařadila na „vyšší rychlostní stupeň“: původní ePrivacy směrnici (2002/58/EC, novelizovanou v roce 2009), která dávala členským státům velkou volnost v tom, jak mohly její ustanovení implementovat do svých zákonů, nahrazuje nařízením, které je (respektive bude) rovnou právně závazné. Česko přitom původní směrnici implementovalo poměrně volně. EU v roce 2009 požadovala u cookies tzv. opt-in přístup (provozovatel webu musí získat souhlas uživatele ještě před uložením cookies), ale v českém zákoně o elektronických komunikacích (127/2005 Sb.) se objevila jen povinnost uživatele informovat a nabídnout jim možnost zpracování dat odmítnout (opt-out).

Tuto možnost Česko po přijetí nařízení ztratí – směrnici má nahradit nařízení a nová pravidla mají být jednotná v celé Evropě. Nová regulace má také doplnit už schválené obecné nařízení o ochraně osobních údajů (GDPR, 2016/679), které nabude účinnosti 25. května 2018. Současný návrh samozřejmě ještě není konečný a než vstoupí v platnost, čeká jej dlouhá cesta lemovaná hádkami a lobbováním ze všech stran.

Než se dostaneme k novinkám v oblasti cookies, pojďme se podívat na některé další novinky, které se v návrhu objevily.

„All your data are belong to you“

Nařízení především nově reguluje i ty služby, kterých se dříve netýkalo: komunikační (VoIP i textové) aplikace jako je WhatsApp, Skype, Viber či Facetime nebo webové freemaily. Jejich provozovatelé teď mají mít – podobně jako telekomunikační operátoři – povinnost zaručit důvěrnost komunikace a metadat, která jsou s ní spojena. Přenášená data budou moci volně zpracovávat pouze, pokud je to nutné pro samotné fungování spojení nebo pro odhalování bezpečnostních hrozeb či chyb v přenosu. Ve všech ostatních případech budou ke zpracovávání dat potřebovat výslovný souhlas uživatele. Služba jako například Gmail, která cílí reklamu na základě obsahu e-mailů, by tak k využívání dat musela získat výslovný souhlas uživatelů.

Pravidla se přitom mají týkat všech veřejných služeb, které jsou poskytovány na území Evropské unie (uzavřených sítí, například uvnitř firem, se dotknout nemají). A pokud služba nemá v Evropě zastoupení, má podle Komise ustanovit svého zástupce, který bude sídlit v některém z členských států a komunikovat s regulačními úřady.

Podobné to má být i s metadaty, která jsou s komunikací spojena (spadají sem například údaje o poloze apod.). Uživatelé ale mají mít možnost dát souhlas se zpracováním svých metadat výměnou za poskytnutí specifických služeb – Komise zmiňuje (recitál 18) příklad ochrany proti bezpečnostním hrozbám založené na analýze využívání dat, informacích o poloze a údajích z uživatelova účtu.

Pokud už uživatel souhlas se zpracováním dat či metadat udělí, musí mít možnost jej kdykoli stáhnout a provozovatel jej na toto právo musí jednou za 6 měsíců upozornit (článek 9, odstavec 3):

End-users who have consented to the processing of electronic communications data as set out in point © of Article 6(2) and points (a) and (b) of Article 6(3) shall be given the possibility to withdraw their consent at any time as set forth under Article 7(3) of Regulation (EU) 2016/679 and be reminded of this possibility at periodic intervals of 6 months, as long as the processing continues.

Operátoři protestují

Příležitost využívat metadata tak nově mají dostat i telekomunikační operátoři. I když se jim tak otevírá svět nových obchodních příležitostí, úplně spokojení nejsou. Jejich asociace ETNO a GSMA hned v prohlášení volají po větším zjednodušení pravidel pro zpracování osobních údajů v souladu s GDPR nařízením a po úplném zrovnoprávnění s poskytovateli jiných online služeb (OTT).

„Uživatelé i naše odvětví potřebují jednoduchá a jasná pravidla, ne dvojitý režim s nejasnými hranicemi. V sázce je ohrožení obchodních modelů pro 5G sítě, například v souvislosti s pravidly pro zpracování lokačních dat v připojených autech, IoT zařízeních nebo mobilních aplikacích,“ nezapomínají přidat v poslední době standardně využívanou hrozbu, že zpomalí nasazování 5G sítí, které Komise označila za jednu ze svých priorit.

Součástí návrhu je i regulace služeb založených na sledování zařízení, která mají uživatelé u sebe. Ty se používají například v některých velkých obchodech, které skenují, jaká mobilní zařízení se v jejich prostoru pohybují (identifikovat je mohou přes MAC adresy v místní Wi-fi síti, IMEI telefonů a další indentifikátory, které mobilní zařízení vysílají), a na základě těchto dat pak například optimalizují svůj provoz nebo posílají lidem cílené nabídky. Podle návrhu takové služby nejsou zakázané, ale provozovatel musí prostor, ve kterém je používá, patřičně označit a dát uživatelům informace o tom, k jakému účelu data sbírá a jak se můžou sběru informací vyhnout.

A konečně – nařízení se má týkat také Internetu věcí. Komise v recitálu 12 konkrétně říká, že pod něj spadá i M2M (machine-to-machine) komunikace.

Už žádné lišty?

Návrh samozřejmě zakazuje zpracování dat z koncových zařízení uživatelů (počítačů, tabletů, mobilů apod.) nebo ukládání dat do jejich úložiště (cookies), pokud k němu uživatel nedal souhlas. Výjimkou jsou opět případy, kdy je to nutné pro realizaci samotného přenosu nebo fungování služby samotné a podobně.

A povoleno je to i v případě, že je to nezbytné pro měření návštěvnosti webu – pokud ovšem jde o měření vykonávané provozovatelem služby, na kterou uživatel přišel (článek 8, odstavec 1 d)). Pod tuto výjimku tedy spadají analytické nástroje, jako jsou tzv. cookies prvních stran (first party cookies).

Cookies třetích stran (third party cookies) ovšem výjimku nemají a k jejich ukládání má být nutné souhlas uživatele získat. Komise ovšem konečně uznává, že není možné uživatele zahlcovat proslulými „cookies lištami“ a že se tento souhlas má získávat více „user-friendly“ způsobem. Jak si to ale představuje? Centrálním bodem mají být podle návrhu prohlížeče.

V článku 10 jim Komise navrhuje novou povinnost: mají uživatelům nabízet možnost zakázat ukládání cookies třetích stran či zpracovávání dat už v zařízení uložených. Prohlížeče (a další aplikace umožňující přístup k internetu) mají o této možnosti uživatele informovat už při instalaci a vyžadovat v jejím průběhu, aby si nějaké nastavení soukromí zvolili a dali k němu souhlas. Bez toho by se instalace neměla vůbec dokončit.

Varování před riziky

Komise svůj návrh dále rozvádí v recitálu 23: prohlížeče podle ní mají nabízet několik úrovní ochrany soukromí – od nejvyšší, tedy například „neukládat žádné cookies“, přes střední (např. „neukládat cookies třetích stran“ nebo „ukládat pouze cookies prvních stran“) až po nízké („ukládat všechny cookies“).

Therefore providers of software enabling the retrieval and presentation of information on the internet should have an obligation to configure the software so that it offers the option to prevent third parties from storing information on the terminal equipment; this is often presented as ‘reject third party cookies’. End-users should be offered a set of privacy setting options, ranging from higher (for example, ‘never accept cookies’) to lower (for example, ‘always accept cookies’) and intermediate (for example, ‘reject third party cookies’ or ‘only accept first party cookies’). Such privacy settings should be presented in a an easily visible and intelligible manner.

Uživatel má mít možnost nastavení kdykoli podle libosti změnit nebo si sestavovat seznamy (whitelisty nebo blacklisty) webů, na kterých cookies třetích stran povolí, nebo zakáže. Pravidlům budou muset vyhovět i prohlížeče, které budou mít uživatelé při vstupu nových pravidel v platnost (předpokládá se květen 2018) už nainstalované, a to ve svém následujícím updatu, nejpozději však do srpna 2018.

Jak vypadá nastavení cookies v prohlížeči dnes? Ukázka z Google Chrome

Souhlas s ukládáním cookies třetích stran má být podle Komise svobodný, informovaný a jednoznačný („freely given, specific informed, and unambiguous "- recitál 24). Příklad? Aktivní zakliknutí volby "povolit ukládání cookies třetích stran“ s tím, že uživatel zároveň dostal dostatečné informace, které ke své volbě potřebuje. Ty by zároveň neměly uživatele odrazovat od toho, aby zvolili vyšší úrovně ochrany, dodává Komise. Naopak mají obsahovat informace o rizicích spojených s ukládáním cookies třetích stran, mezi která Komise řadí třeba možnost vytváření profilů uživatelova chování a jejich využívání pro cílení reklamy.

Information provided should not dissuade end-users from selecting higher privacy settings and should include relevant information about the risks associated to allowing third party cookies to be stored in the computer, including the compilation of long-term records of individuals' browsing histories and the use of such records to send targeted advertising.

Z textu návrhu přitom není úplně jasné, zda by už instalované browsery musely podle Komise nejpozději v roce 2018 uživatelům houfně zobrazovat žádosti o souhlas s ukládáním cookies, nebo ne. Tomuto výkladu ale nahrává fakt, že ukládání cookies třetích stran bez souhlasu možné nebude. Prohlížeče by tedy zřejmě musely uživatelům buď automaticky zapnout nejvyšší možnou ochranu, nebo si vyžádat, aby si uživatel nějaký stupeň ochrany zvolil a dal k němu souhlas.

Udělování souhlasu či nesouhlasu prostřednictvím nastavení v prohlížečích může mít zásadní dopad na fungování analytických služeb a reklamních systémů. Dá se čekat, že by lidé pod vlivem výstražného textu v prohlížeči cookies třetích stran zakazovali mnohem častěji než dosud. Komise přitom v recitálu 20 souhlasem uživatele podmiňuje i různé alternativní metody identifikace zařízení, jako je například tzv. fingerprinting.

Evropská asociace reklamního průmyslu IAB si tak ve svém vyjádření postěžovala, že návrh „… v praxi nepochybně poškodí obchodní model postavený na reklamě, aniž by uživatelům přinesl skutečné pokroky v ochraně soukromí.“

Výjimky tu jsou

O souhlas s ukládáním dat (cookies) nebo s přístupem k informacím v koncovém zařízení nemá být podle návrhu nutné žádat jen v situacích, které mají jen velmi nízký nebo žádný dopad na soukromí uživatele.

Komise zmiňuje například cookies, které se ukládají pouze v rámci jedné návštěvy (session) uživatele na webu a ve kterých se ukládá například obsah vyplňovaného formuláře. Výjimkou mohou být také cookies používané k měření návštěvnosti webu – je ale jasné, že Komise tím míní pouze tzv. cookies prvních stran.

Návrh samozřejmě obsahuje i pokuty za porušení povinností. Mají dosahovat až 20 milionů eur nebo 4 % ročního světového obratu provinilé firmy (podle toho, která částka bude vyšší).

Nové nařízení ovšem čeká ještě dlouhá cesta. Návrh musí projít Evropským parlamentem, kde se dá čekat dlouhá a bouřlivá rozprava, a musí také získat souhlas členských států. Komise chce nařízení uvést v platnost k 25. květnu 2018, kdy vstoupí v platnost obecné nařízení o ochraně údajů (GDPR).