Vyšlo na Lupě, 21.3.2011
Vytištěno z adresy: http://www.earchiv.cz/b11/b0321001.php3

Evropou obchází strašidlo cookies

Ve Velké Británii se už děsí důsledků nové eurodirektivy, která chce zásadně změnit fungování cookies v browserech. U nás jsme celý problém hodili pod stůl.

Evropské unii se již delší dobu nelíbí „vlezlé“ využití cookies v browserech uživatelů. Tedy takové využití tohoto mechanismu, které není nezbytně nutné k fungování nějaké služby (třeba k nakupování v eshopu), ale slouží potřebám zjišťování různých skutečností, týkajících se uživatele browseru. Ať již za účelem přesnějšího a individuálnějšího cílení inzerce, či pro monitorování chování uživatele, zjištění jeho preferencí a zájmů atd. Což už notně zasahuje do oblasti ochrany osobních údajů.

A jelikož Evropská unie je na ochranu osobních údajů čím dál tím přísnější (podle některých názorů až příliš), došlápla si její Komise již před časem právě na cookies. Způsob, jakým tak udělala, jsem popisoval zde na Lupě již vloni, v článku: Zreguluje Evropa cookies v našich browserech?. Proto jen stručně: do nového regulačního rámce telekomunikací se dostalo ustanovení, novelizující dosavadní znění směrnice o zpracování osobních údajů a ochraně soukromí.

Podstatou změny je obrácení principu. Až dosud Evropská unie připouštěla fungování cookies na principu opt-out: uživatel musí být pravdivě a plně informován o tom, proč je nějaké cookie ukládáno do jeho počítače, jakému účelu slouží atd. – a musí mít možnost takovéto praktiky odmítnout.

Výjimku (z povinnosti informovat a možnosti odmítnout) však dosud měly takové cookies, které jsou nutné pro provedení nějakého přenosu, či pouze pro jeho usnadnění, nebo jsou nezbytné pro poskytnutí služby, kterou si uživatel sám vyžádal. Což bylo poměrně benevolentní vymezení výjimky, pod které se dalo schovat prakticky cokoli.

Nově se ale tento princip obrací: uživatel musí nejprve dát souhlas, a teprve pak může být cookie u něj uloženo. Zužuje se i vymezení výjimky: tu mají nadále mít jen takové cookies, které jsou nezbytně nutné. Už nikoli takové, které něco pouze usnadňují.

Navíc jde o úpravu, která se netýká pouze (klasických) browserových cookies: je formulována mnohem obecněji, tak aby pokrývala jakékoli „ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů“. Takže by se měla vztahovat i na jiné mechanismy, například i na „flashové cookies“ (LSO) apod.

Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal."

Za zmínky stojí i konkrétní mechanismus změny právní úpravy: ta je součástí nové evropské direktivy 2009/136/ES z 25. listopadu 2009, konkrétně jejího článku 5, odstavce 3.  Nejde tedy o nařízení, které by se automaticky stalo závazné pro všechny členské země již svým zveřejněním. Místo toho jsou jednotlivé členské země povinny obsah této směrnice tzv. transponovat (zapracovat do své legislativy), obvykle do 18 měsíců od účinnosti směrnice. Což zde znamená do 25. května 2011.

Nicméně, jak už bývá v Evropské unii zvykem, ne vždy se závazný termín podaří stihnout. Nebo spíše: občas se najdou i tací, kteří to přeci jen stihnou.

Ve Velké Británii se už děsí

Konkrétní členskou zemí, která deklaruje, že vše stihne, je Velká  Británie. Byť v tom sama není jednotná.

Počátkem března totiž tamní „informační komisař“ Christopher Graham (Information Officer, funkčně odpovídající předsedovi našeho ÚOOÚ) rozvířil debatu o celé kauze tím, že v jednom rozhovoru pro  média zapochyboval, zda Británie stihne transponovat příslušnou směrnici v termínu. Naznačil, že podle jeho odhadu nedojde k žádné změně dříve než na podzim.

Představitelé ministerstva kultury, pod které zde celá záležitost spadá, jej ale ihned opravili, s tím že evropská směrnice bude ve Velké Británii transponována včas, do 25. května. A to zřejmě doslovným převzetím příslušné pasáže ze směrnice do národní legislativy. Připustili ale, že praktické řešení nebude ještě připraveno, protože na něm resort kultury – společně s producenty browserů – teprve pracuje. Ministerstvo kultury současně vyzvalo komisaře Grahama, aby jeho úřad hned nepokutoval poskytovatele služeb za to, že nebudou ještě jednat v souladu s požadavky nové úpravy, dokud nebude k dispozici potřebné technické řešení.

Celá tato diskuse pak ve Velké Británii otevřela příslovečnou Pandořinu skříňku, když odhalila podstatu celého problému: že vlastně nikdo neví, co přesně evropská směrnice požaduje, a hlavně jak ji naplnit. Což souvisí s tím, že se hledá jeho řešení ve spolupráci s producenty browserů.

Dnes se v Británii o celém problému diskutuje dosti intenzivně, už i v mainstreamových médiích. A již v rovině toho, jak zásadní změny to vnese do dosavadního způsobu fungování celého on-line světa. Protože třeba celý segment on-line reklamy by byl zasažen zcela zásadním způsobem.

Obecně by bylo zasaženo vše, co je postaveno na „nikoli nezbytných“ cookies, a co dnes (v lepším případě) vychází z principu opt-out, když dává (dostatečně znalému) uživateli bránit se. Nově by museli od každého, a to i zcela neznalého, nejprve získat jeho explicitní (a informovaný) souhlas.

Kde je problém?

Podmiňovací způsob, použitý v předchozích větách, je zcela záměrný a dokresluje podstatu celého problému: není totiž vůbec jasné, jak vlastně interpretovat samotný původní požadavek na změnu dosavadní úpravy, obsažený v příslušné evropské směrnici. Když ta říká, že chce změnit dosavadní princip opt-out na princip opt-in, myslí to skutečně tak, že chce místo opt-out zavést opt-in? Nebo to ve skutečnosti vůbec nechce?

Jakkoli to vypadá nesmyslně, na nejasnost si zadělala sama nová směrnice. Ta totiž ve své hlavní části hovoří o zavedení principu opt-in (neboli: vyžaduje předchozí explicitní souhlas). Jenže ve své preambuli (konkrétně v recitálu č. 66), kde k jednotlivým požadavkům dává jakési vysvětlení či komentář, konstatuje že:

Je-li to technicky možné a efektivní, může být v souladu s příslušnými ustanoveními směrnice 95/46/ES souhlas uživatele se zpracováním údajů vyjádřen vhodným nastavením prohlížeče nebo jiné aplikace.

Toto ale ve svém důsledku znamená zachování principu opt-out: dnešní browsery sice umožňují nejrůznější blokování cookies, ale implicitně (od výrobce) jsou nastaveny tak, že nic neblokují. Pokud by to mělo být bráno jako souhlas uživatele, pak skutečně jde o princip opt-out, protože uživatel by vyjadřoval až svůj nesouhlas (případnou změnou implicitního nastavení).

Asi nepřekvapí, že lidé z reklamní branže se tohoto výkladu chytají a argumentují tím, že když dnešní browsery umožňují blokovat cookies, uživatelé vyjadřují svůj souhlas už tím, že toto blokování nevyužijí.

Samozřejmě ale existují i stanoviska, která říkají, že to takto nejde. Například stanovisko pracovní skupiny evropských ochránců osobních údajů k tomuto problému je zcela jednoznačné a říká, že z absence vlastní aktivity (když uživatel nezmění implicitní nastavení svého browseru) rozhodně nelze odvozovat aktivní a informovaný souhlas. Muselo by to prý být opačně: implicitní nastavení browserů by cookies muselo zakazovat, a uživatel by je nejprve musel sám a explicitně povolit. To je prý i smysl předmětného recitálu (č. 66), který říká, že souhlas může být dán i nastavením browseru.

S tím koresponduje i již zmiňovaný postoj britské vlády, která hledá řešení ve spolupráci s producenty browserů: zřejmě v tom směru, aby cookies v nich byly implicitně zakázány. Či aby browsery implicitně fungovaly v režimu „anonymního prohlížení“ (jako to umožňuje například Firefox, ale i řada dalších browserů).

Vedle toho se ale začínají objevovat i první pokusy na straně poskytovatelů on-line služeb. Jako třeba verze YouTube bez cookies, provozovaná na příznačné adrese http://www.youtube-nocookie.com/. Asi zkoušejí, zda i oni dokáží vystačit bez cookies.

Čtenářům Lupy snad není třeba připomínat, že cookies jsou dnes možná nejpoužívanějším mechanismem, umožňujícím sledovat aktivity uživatelů, ale zdaleka nikoli jediným. Ostatně, zde na Lupě o nich před časem hezky psal pan Martin Malý, v článku „Jak vás budou na webu špehovat v novém desetiletí?

A co v ČR?

Zatím ve Velké Británii již bijí na poplach před novou úpravou cookies, v ČR se zdá být klid. Možná i proto, že naše vlastní transpozice nové evropské směrnice, v části týkající se cookies, je „docela zajímavá“.

U nás má tuto transpozici na starosti Ministerstvo průmyslu a obchodu. To již připravilo novelu stávajícího zákona o elektronických komunikacích (zákona č. 127/2005 Sb.), a v listopadu loňského roku ji poslalo do meziresortního připomínkového řízení. Dnes má tuto novelu na stole legislativní rada vlády, která se k ní měla vyjádřit – ale na svém jednání 3. března projednávání návrhu odložila.

Takže se asi již dá vyloučit, že by novela stihla nabýt účinnosti do 25.5.2011, jak po nás požaduje EU (protože zbývá ještě projednání v obou komorách Parlamentu, podpis prezidenta, vydání ve sbírce atd.). Stejně tak nemůže být ještě známo, jak konkrétně transpozice dopadne, neboli jak se příslušný požadavek ohledně cookies nakonec promítne do naší platné legislativy – protože poslanci a senátoři nemusí nechat kámen na kameni.

Podívat se ale můžeme na to, jak se se vším vypořádal ten, kdo transpoziční novelu připravoval, tedy Ministerstvo průmyslu a obchodu. Změna se týká dosavadního § 89 odst. 3, který dnes říká, že:

Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby provedení nebo usnadnění přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

 

Jinými slovy: jde o jednoznačný princip opt-out („nabídne možnost odmítnout“), s výjimkou pro „nezbytné“ a „usnadňující“ cookies.

I důvodová zpráva k novele ve své zvláštní části, kde komentuje změny jednotlivých paragrafů, říká že použití cookies je obecně možné jen se souhlasem účastníků, resp. uživatelů (a že výjimka již nebude platit pro „usnadňující“ cookies):

K § 89 odstavci 3
Ukládání údajů nebo získání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je možné pouze se souhlasem těchto účastníků nebo uživatelů. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby provedení nebo usnadnění přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

Mohlo by se tedy zdát, že vše je jasné – a že i u nás přejdeme z dosavadního opt-out („nabídne možnost odmítnout“) na princip opt-in („ukládání … je možné jen se souhlasem …“). Se všemi nepříjemnými důsledky, které to přináší.

Jenže: nově navrhované znění paragrafu 89, odstavce 3 kupodivu vůbec nemění tu část, která vymezuje dosavadní princip opt-out, a ruší pouze dosavadní výjimku pro „usnadňující“ cookies.

Aby nebylo pochyb, ocitujme si příslušnou pasáž transpoziční novely doslova:

V § 89 odstavci 3 se slova „nebo usnadnění“ zrušují.

Nic víc. Takže základ dosavadní ustanovení, založený na možnosti dodatečného odmítnutí (a tím na principu opt-out) se vlastně vůbec nemění. Na nutnost udělení souhlasu (opt-in) se mění pouze podle důvodové zprávy.

No, svým způsobem je to adekvátní reakce: na sporný požadavek, který ani není jednoznačně formulovaný a může mít potenciálně nedozírné dopady, je zde reagováno ve stejném duchu (způsobem, který je také poněkud sporný).

Je ale samozřejmě otázkou, zda nám novodobí mocipáni v Bruselu budou takovýto přístup tolerovat, nebo zda se budou domáhat přesné transpozice, třeba i cestou tzv. infringement procedure. Byť není úplně jasné, co vlastně sami chtějí.

Stejně tak mi přijde trochu škoda, že se přeci jen neřeší to racionální, co zřejmě stálo za celým původním požadavkem, a to nějak zkrotit stále eskalující a stále více bezskrupulózní špehování uživatelů a jejich aktivit v on-line světě. Z tohoto pohledu mi přijde přeci jen sympatičtější snaha britské vlády dohodnout se s producenty browserů na tom, aby se změnilo jejich implicitní nastavení – a uživatel musel práci s cookies nejprve povolit (místo jejího zakazování).

Jenže aby takovéto řešení mohlo fungovat, musí se nejprve rozlišit „nezbytné“ cookies od těch „zbytných“, tak aby to korespondovalo nejen s výjimkou v právní úpravě, ale i s realitou: aby i laický uživatel mohl při nastavování rozlišovat mezi těmi cookies, které jsou skutečně nezbytné pro fungování těch služeb, které si skutečně vyžádal, a těmi které jsou nezbytné pro někoho jiného, kdo chce sledovat jeho aktivity, zájmy a kdoví co ještě jiného.