Prolomení internetové anonymity aneb Vím, kdo jsi a co máš rád

Čtením tohoto textu souhlasíte se znečišťováním planety, topením štěňátek a čtrnáctidenní návštěvou vaší babičky. Pokud nesouhlasíte, pak tuto webovou stránku opusťte, ale stejně vězte, že jste nám svůj souhlas již dali. Že se vám to nelíbí? Přesně takhle ale funguje praxe českých webových stránek při ukládání cookies do vašeho počítače.

5. 9. 2018 Jakub Klodwig

Bez popisku

Jestliže jste aktivní uživatel internetu a nevíte, co to soubory cookies jsou, kolik jich ve svém počítači máte nebo k jakému účelu slouží, pak tento stav potvrzuje protizákonnou praxi jejich používání. Za velmi krátkou dobu se jich totiž ve vašem prohlížeči nashromáždí desítky. Každá internetová stránka, která soubory cookies používá, by vám měla nejdříve vysvětlit, co to soubory cookies jsou a za jakým účelem je chce do vašeho počítače uložit. Teprve po vašem aktivním souhlasu by vám mohla daný soubor cookies do počítače nahrát. Jak však zjistil průzkum [1], i ty největší české stránky (například seznam.cz) se na nic neptají a mlčky vám již při prvním zobrazení stránky nahrají do počítače řadu souborů cookies.

Co jsou to soubory cookies?

Cookies jsou malé textové soubory sloužící k identifikaci osob na internetu. Webové stránky jsou schopné je uložit do koncových zařízení uživatelů (počítače, mobily, tablety apod.) už při prvním zobrazení stránky. Při dalším průchodu stránka soubor cookies rozpozná a přečte kód, který do něj sama zašifrovala. V kódu mohou být uloženy nejrůznější informace získané o uživateli. Potřebou rozlišovat cookies podle jejich účelu se zabývala i Mezinárodní obchodní komora v Paříži a vytvořila praktické členění vhodné pro další právní kvalifikaci:

  1. Nezbytně nutná cookies (např. e-shopové vkládání do košíku);
  2. Výkonnostní cookies (např. návštěvnost stránky);
  3. Funkční cookies (např. přizpůsobení stránky či poloha zařízení);
  4. Cílené neboli reklamní cookies (např. reakce na reklamu).

Jak vidíme, cookies se používají k nejrůznějším účelům a jsou mnohdy pro uživatele prospěšné, ba dokonce nezbytné. Málokdo ví, že i díky cookies existuje internetové bankovnictví nebo nákupy na e-shopech. Stránky totiž potřebují udržet kontakt s uživatelem při procházení různými webovými stránkami. Pokud by si stránky uživatele neoznačily pomocí cookies, nevěděly by, který uživatel si zboží „vložil do košíku“ či prošel konkrétní fází platby. Nezbytně nutné cookies plní funkci užitečného prostředku, který umožní správný výkon uživatelem kýžené funkce.

Výkonnostní cookies jsou také užitečným prostředkem, tentokrát ale pro webovou stránku. Slouží ke zlepšování výkonu datových stránek, přičemž nikterak nenarušují soukromí uživatele. Pokud se použijí například ke sledování návštěvnosti stránky, pracují na principu virtuálního počítadla. Zaznamená se pouze průchod stránkou, ale nikoliv už další informace o uživateli.

Funkční cookies slouží k modifikaci uživatelského rozhraní webové stránky. Jsou v nich uloženy informace o přizpůsobení stránky potřebám uživatele (velikost písma nebo jiné variabilní prvky). Mohou obsahovat například informaci o geografické poloze uživatele a zobrazovat mu denně relevantní předpověď počasí. Pro řadu uživatelů se ale může jednat o příliš osobní data. Zde se mohou rozcházet názory na přiměřenost zpracování údajů na ose komfortu a soukromí uživatele. [2]

Jindy však cookies působí vyloženě jako špión stránek navštívených v minulosti. Narušují soukromí uživatele a obtěžují ho při prohlížení internetového obsahu. Cílené neboli reklamní cookies obsahují například počet zobrazení reklamy a její úspěšnost z hlediska prokliku. Slouží k cílení reklamy a jsou tedy výrazně v zájmu stránky. V současné době je při inzerci využívá drtivá většina online reklamního průmyslu. [3] V praxi to může znamenat, že když omylem kliknete na banner s reklamou na novou desku Evy a Vaška, bude vás celý internet ještě další týdny zahrnovat nabídkami na kvalitní dechovou muziku.

Právě doba trvání cookies je velmi důležitou proměnnou, kterou lze volně nastavit. Jednoduchost a široký způsob využití činí z cookies skvělý nástroj k překonání anonymity prostředí http [4]. Existuje totiž více možností, jak nastavit dobu trvání, a s tím přichází důležité rozlišování cookies podle jejich trvanlivosti. Zatímco krátkodobější cookies, která nazýváme cookies pro relaci, se automaticky se zavřením prohlížeče mažou, u persistentních cookies tomu tak není. Persistentní cookies mají podstatně delší životnost, která je vázána na pevně určenou časovou hodnotu. Typicky reklamní cookies bývají nastaveny na dlouhé měsíce a roky trvání.

Právní úprava

Ptáte se, kde se zmatek vzal? Jak je možné, že v prostředí českého internetu nerušeně existuje stav, který je protiprávní? Odpověď je jednoduchá. Ryba smrdí od hlavy.

Problematiku cookies upravuje v českém právním řádu § 89 zákona č. 127/2005 Sb., o elektronických komunikacích (neboli ZEK), který implementuje směrnici o soukromí a el. komunikacích (čl. 5 odst. 3) [5]. Po sedmi letech účinnosti se však směrnice novelizovala. Změna spočívala v přechodu od režimu opt-out na režim opt-in. V režimu opt-out mohly stránky ukládat soubory cookies, dokud jim to uživatel nezakázal. Opt-in naopak zakazuje nahrávat cookies do okamžiku výslovného souhlasu uděleného uživatelem. A zde začínají být věci zajímavé.

Český zákonodárce do své důvodové zprávy napsal, že: „získání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je možné pouze se souhlasem“. Tím deklaroval, že chce změnu provést tak, jak mu ukládá směrnice, nicméně v samotném textu § 89 ZEK se v tomto smyslu nezměnilo vůbec nic. Vadu implementace obvykle řeší právní fígl zvaný eurokonformní výklad. Národní ustanovení, která neodpovídají evropské úpravě, máme vykládat tak, aby s ní byla v souladu. I toto šikovné zaklínadlo má však své limity. Stejně jako výslovné „ANO“ nelze ani výkladem změnit na „NE“, tak i opt-out nelze ani eurokonformním výkladem vyložit jako opt-in. [6] Tudíž zkráceně – směrnice je implementovaná špatně a Česká republika porušuje své mezinárodní závazky, k jejichž dodržování se ve své ústavě zavázala.

Jak byste mohli nesouhlasit?

Dá se předpokládat, že nejasná právní úprava režimu opt-in přispěla k nedodržování celé řady dalších požadavků, které jsou kladeny na používání cookies. Kombinace nejasného východiska Úřadu pro ochranu osobních údajů, personální neodbornosti panující v první dekádě jeho působení a nízkých sankcí, které může ukládat, prakticky vedla k jeho profesní impotenci. Není proto divu, že s protiřečící si právní úpravou a bezzubým dozorovým úřadem se problematika cookies v praxi vůbec neřešila. Kdo by se pak zabýval výkladem Čechům ještě vzdálenějších evropských orgánů, jako je WP29 [7], která pro souhlas s cookies požaduje:

  1. Určitost
  2. Načasování
  3. Aktivní projev vůle
  4. Skutečnou volbu [8]

Tedy specifikaci, o jaký konkrétní druh cookies se při požadavku souhlasu jedná, za jakým účelem a po jak dlouhou dobu jsou cookies zpracovávány. Přičemž dle druhého požadavku WP29 nelze akceptovat praxi, kdy jsou cookies uloženy do počítače již při prvním zobrazení, a až následně si uživatel čte hlášku informující o jejich použití. I kdyby dodatečně uživatel souhlas udělil, pouze by mohl chybu konvalidovat. Taková logika je naprosto scestná, protože pak nějaký souhlas nedává smysl, a to ani v konkludentní formě. Konkludentní forma, která je u českých stránek nejčastější (tedy pouze hláška informující, že setrváním na stránce s jejími cookies souhlasíte), tak nedává smysl hned dvakrát, protože zřetelně neobstojí ani před požadavkem aktivního projevu vůle.

Surfováním na českém webu souhlasíte s používáním cookies, zvykněte si. Nikdo se vás neptá, jakých cookies? Po jak dlouhou dobu? Komu se informace budou předávat? Nebo jestli vlastně víte, co to cookies jsou. Český zákonodárce jim nerozumí, dozorový úřad asi taky ne, a pokud ano, dodržování předpisů nevynucuje. A něco jako požadavek „skutečné volby“, kterou (naprosto racionálně) WP29 požaduje? K čemu taky, vždyť u nás přece souhlas není chápán jako výraz volby. To bychom prvně museli mít možnost cookies odmítnout, že?

Ignorantia maxima!

Česká republika nedodržuje své mezinárodní závazky. Česká právní úprava cookies je v přímém rozporu s tou evropskou. České weby právní úpravu cookies neřeší. Pokud ji řeší, řeší ji špatně. Proč by se cookies taky zabývaly, když dozorový úřad dosavadní praxi nesankcionuje?

Českým občanům to nevadí – nerozumí tomu. Ti, co tomu rozumí, spoléhají na zákaz ukládání cookies, jež se dá nastavit v prohlížeči. Dokonalý řetězec ignorace, zdá se. Jenže vězte, že existují i lepší techniky než cookies, proti kterým se technicky bránit nelze (evercookies, flahcookies, fingerprinting…) [9], a pokud se proti nim nebráníme legislativně, pak se nebráníme vůbec.

Jo, a přečtením tohoto textu s tím souhlasíte. 😊

Autor: Jakub Klodwig


[1] KLODWIG, Jakub. Aktuální otázky právní úpravy cookies. Brno 2018. Studentská vědecká odborná činnost. Masarykova Univerzita, Právnická fakulta. s. 45.

[2] KLODWIG, Jakub. Aktuální otázky právní úpravy cookies. Brno 2018. Studentská vědecká odborná činnost. Masarykova Univerzita, Právnická fakulta. s. 17.

[3] Cookies umírají, reklamní branže si ale najde náhradu – Root.cz [online]. [vid. 13. srpna 2018]. Získáno z: https://www.root.cz/clanky/cookies-umiraji-reklamni-branze-si-ale-najde-nahradu.

[4] Hypertext Transfer Protocol je nejpoužívanější internetový protokol, který funguje na principu dotaz → odpověď. Jednotlivé dotazy nejsou z pohledu serveru rozlišitelné, a tedy je označován za bezstavový protokol. To může být výhodné u jednoduchých internetových prezentací, ovšem při programování složitějších webových aplikací jako je „vkládání do košíku“, není dostatečný. Tento nedostatek je řešen pomocí cookies.

[5] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací.

[6] KLODWIG, Jakub. Aktuální otázky právní úpravy cookies. Brno 2018. Studentská vědecká odborná činnost. Masarykova Univerzita, Právnická fakulta. s. 25.

[7] WP29, neboli česky Pracovní skupina založená podle článku 29 směrnice 95/46/ES, je nezávislý evropský poradní orgán složený z vedoucích představitelů národních dozorových úřadů na ochranu osobních údajů. Jejím úkolem je zejména výklad GDPR (Obecného nařízení o ochraně osobních údajů) a vydávání pokynů a doporučení k jednotnému uplatňování GDPR ve členských státech EU. Po účinnosti GDPR se proměnila v Evropský sbor pro ochranu osobních údajů.

[8] PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29. Pracovní dokument č. 2/2013 poskytnutí pokynů pro získávání souhlasu se zpracováním cookies 2. září 2013 [online]. [vid. 13. srpna 2018]. s. 2. Získáno z: https://www.pdpjournals.com/docs/88135.pdf.

[9] Rozšíření blokace cookies uživateli pomocí nastavení v prohlížeči vedlo k vytvoření nových typů cookies, které jsou schopny blokaci překonat různými způsoby. Evercookies jsou schopny se po smazání ihned obnovit. Flashcookies jsou místo do prohlížeče, ukládány do Adobe Flash, který je užíván 98 % uživatelů. Metoda fingerprintingu funguje jako otisk prstů ve virtuálním světě, přičemž za pomoci mnoha proměnných zjištěných z metadat je možné uživatele identifikovat díky jedinečné kombinaci jeho vlastního nastavení.


Více článků

Přehled všech článků

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info