Skip to main content

Směrnice o soukromí a elektronických komunikacích (ePrivacy): Vysvětlení evropského cookie zákona

Když lidé mluví o „evropském cookie zákoně", obvykle mají na mysli směrnici ePrivacy — konkrétně článek 5 odst. 3. Zatímco největší pozornost médií si získává GDPR, právě směrnice ePrivacy je předpisem, který přímo upravuje používání cookies a podobných sledovacích technologií. Pochopení této směrnice, jejího vztahu ke GDPR a připravovaného nařízení ePrivacy je nezbytné pro každého, kdo odpovídá za dodržování pravidel o cookies na evropském webu.

Co je směrnice ePrivacy?

Směrnice ePrivacy (oficiálně směrnice 2002/58/ES) byla přijata 12. července 2002 jako součást evropského rámce ochrany soukromí v telekomunikacích. Původně se zaměřovala na soukromí v elektronických komunikacích — pokrývala témata jako důvěrnost komunikací, provozní údaje, spam a identifikaci volajícího.

V roce 2009 byla směrnice významně novelizována směrnicí 2009/136/ES (často nazývanou „směrnice o právech občanů"). Tato novela zavedla požadavek na souhlas s cookies, který známe dnes, a nahradila předchozí režim opt-out modelem opt-in. Před rokem 2009 musely weby uživatele o cookies pouze informovat a dát jim právo je odmítnout. Po roce 2009 se předchozí souhlas stal povinným pro všechny nezbytné cookies.

Na rozdíl od GDPR, které je nařízením (přímo použitelným ve všech členských státech), je směrnice ePrivacy směrnicí (každý členský stát ji musí transponovat do vnitrostátního práva). To znamená, že konkrétní pravidla o cookies se stát od státu liší, přestože základní požadavky jsou stejné.

Článek 5 odst. 3: Pravidlo souhlasu s cookies

Článek 5 odst. 3 směrnice ePrivacy je ustanovením, které přímo upravuje cookies. Ve své novelizované podobě stanoví:

„Členské státy zajistí, aby uchovávání informací nebo získání přístupu k informacím již uchovávaným v koncovém zařízení účastníka nebo uživatele bylo povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu s [směrnicí o ochraně údajů, nyní GDPR], mimo jiné o účelech zpracování."

Toto ustanovení stanoví několik klíčových požadavků:

  1. Rozsah: Vztahuje se na jakékoli uchovávání informací v zařízení uživatele nebo přístup k informacím uloženým v zařízení uživatele. To zahrnuje cookies, ale také local storage, IndexedDB, snímání otisku zařízení (device fingerprinting), sledovací pixely a jakoukoli další technologii, která čte ze zařízení uživatele nebo do něj zapisuje.
  2. Předchozí souhlas: Souhlas musí být získán před uchováním nebo přístupem k informacím — nikoli až poté.
  3. Informovaný souhlas: Uživateli musí být poskytnuty jasné a úplné informace o účelech uchovávání nebo přístupu.
  4. Standard souhlasu: Odkaz na GDPR (původně směrnici o ochraně údajů) znamená, že se uplatní definice a podmínky souhlasu podle GDPR. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný.

Výjimka „nezbytně nutných" cookies

Článek 5 odst. 3 obsahuje ve své druhé větě důležitou výjimku:

„To nebrání technickému uchovávání nebo přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací nebo je-li to nezbytně nutné pro to, aby poskytovatel služby informační společnosti, kterou účastník nebo uživatel výslovně požadují, mohl tuto službu poskytovat."

Tato výjimka pokrývá dvě kategorie cookies, které nevyžadují souhlas:

  1. Cookies nezbytné pro přenos sdělení (např. cookies pro vyrovnávání zátěže).
  2. Cookies nezbytně nutné k poskytnutí služby výslovně požadované uživatelem (např. cookies nákupního košíku, cookies autentizační relace, cookies uživatelských preferencí pro službu, kterou uživatel aktivně používá).

Předchůdce Evropského sboru pro ochranu osobních údajů, Pracovní skupina podle článku 29, poskytl podrobné pokyny k tomu, které cookies se kvalifikují jako nezbytně nutné, ve stanovisku 04/2012. Mezi příklady patří:

  • Výjimka (souhlas není vyžadován): cookies relace pro uživatelský vstup (vícekrokové formuláře), autentizační cookies, cookies nákupního košíku, bezpečnostní cookies (tokeny CSRF), cookies relace multimediálního přehrávače, cookies pro vyrovnávání zátěže, cookies přizpůsobení uživatelského rozhraní (preference jazyka) pro aktuální relaci.
  • Bez výjimky (souhlas vyžadován): analytické cookies (včetně Google Analytics), reklamní cookies, cookies sdílení/sledování na sociálních sítích, trvalé cookies preferencí přesahující rámec relace, jakékoli cookies sledování třetích stran.

Klíčový rozdíl je mezi cookies, které slouží výslovné žádosti uživatele, a cookies, které slouží zájmům provozovatele webu. Cookie jazykové preference nastavená proto, že uživatel klikl na volič jazyka, je nezbytně nutná. Analytická cookie nastavená, aby pomohla provozovateli webu porozumět návštěvnosti, nikoli — přestože ji provozovatel považuje za důležitou.

Jak ePrivacy a GDPR fungují společně

Vztah mezi směrnicí ePrivacy a GDPR je vztahem lex specialis (zvláštní zákon) a lex generalis (obecný zákon). Směrnice ePrivacy je zvláštním zákonem upravujícím soukromí v elektronických komunikacích, zatímco GDPR je obecným rámcem ochrany osobních údajů.

V praxi to znamená:

  • Směrnice ePrivacy upravuje, zda smíte umístit cookie do zařízení uživatele. Vyžaduje souhlas pro nezbytné cookies bez ohledu na to, zda cookie obsahuje osobní údaje.
  • GDPR upravuje, co představuje platný souhlas a jak smíte zpracovávat jakékoli osobní údaje získané prostřednictvím cookies. Poskytuje také rámec pro vymáhání, včetně práva podat stížnost u úřadů pro ochranu osobních údajů a systému značných pokut.

To znamená, že i cookie, která neobsahuje osobní údaje (například náhodně generovaný analytický identifikátor bez vazby na jakékoli jiné údaje), stále vyžaduje souhlas podle směrnice ePrivacy, protože článek 5 odst. 3 se vztahuje na jakékoli uchovávání v zařízení uživatele — nejen na uchovávání osobních údajů.

Naopak, pokud prostřednictvím cookies zpracováváte osobní údaje, musíte dodržet celý rámec GDPR: právní základ, transparentnost, práva subjektů údajů, posouzení vlivu na ochranu osobních údajů a všechny další povinnosti.

Vnitrostátní implementace

Protože směrnice ePrivacy je směrnicí, nikoli nařízením, každý členský stát EU ji transponoval do vnitrostátního práva s určitými odchylkami. Zatímco základní požadavek — souhlas před nezbytnými cookies — je ve všech členských státech konzistentní, existují významné rozdíly v:

  • Intenzitě vymáhání: Francie (CNIL) a Itálie (Garante) byly v oblasti vymáhání pravidel o cookies nejaktivnější, zatímco jiné země zaměřily své zdroje jinam.
  • Konkrétních výjimkách: Některé země přijaly mírně širší nebo užší výklad výjimky „nezbytně nutných" cookies.
  • Analytických cookies: Některé úřady pro ochranu osobních údajů zkoumaly, zda by se správně nakonfigurované nástroje analytiky respektující soukromí (např. anonymizovaná analytika bez sledování napříč weby) mohly kvalifikovat pro základ oprávněného zájmu. Nejvýraznějším příkladem je výjimka francouzského CNIL pro nástroje měření publika za konkrétních podmínek, přestože zůstává kontroverzní.
  • Cookie zdech: Zákonnost cookie zdí (vyžadování souhlasu pro přístup k webu) se liší podle jurisdikce. Nizozemský úřad pro ochranu osobních údajů a EDPB zaujaly proti nim přísný postoj, zatímco francouzská Státní rada je za určitých podmínek shledala přípustnými.

Navrhované nařízení ePrivacy

Evropská komise zveřejnila návrh nařízení ePrivacy v lednu 2017 s cílem nahradit směrnici ePrivacy a sladit pravidla o cookies s GDPR. O více než devět let později zůstává nařízení stále ve fázi vyjednávání, což z něj činí jeden z nejdéle probíhajících legislativních procesů v historii EU.

Klíčové změny v navrhovaném nařízení

Ačkoli konečné znění dosud není dohodnuto, návrh a následné postoje Rady naznačily několik významných změn:

  • Přímá použitelnost: Jako nařízení, nikoli směrnice, by se nařízení ePrivacy uplatňovalo jednotně ve všech členských státech a odstranilo by současnou roztříštěnost.
  • Souhlas na úrovni prohlížeče: Rané návrhy obsahovaly ustanovení umožňující uživatelům nastavit své preference cookies na úrovni prohlížeče namísto reagování na jednotlivé cookie lišty na každém webu. To by dramaticky zjednodušilo uživatelskou zkušenost, přestože technické a politické výzvy jsou značné.
  • Rozšířený rozsah: Nařízení by se rozšířilo i na komunikační služby typu over-the-top (OTT), jako je WhatsApp a Skype, na které se současná směrnice nevztahuje.
  • Jasnější výjimky: Nařízení má za cíl vyjasnit, které typy cookies jsou vyňaty ze souhlasu, a případně rozšířit výjimku o určité typy měření publika.
  • Pravidla pro metadata: Nová ustanovení upravující zpracování metadat komunikací (údaje o poloze, časy připojení) nad rámec toho, co pokrývá současná směrnice.
  • Harmonizované vymáhání: Nařízení by zavedlo jednotný mechanismus vymáhání, pravděpodobně po vzoru principu jednoho kontaktního místa (one-stop-shop) podle GDPR.

Aktuální stav a harmonogram

Na začátku roku 2026 zůstává nařízení ePrivacy ve fázi trialogových jednání mezi Evropským parlamentem, Radou EU a Evropskou komisí. Pokrok byl pomalý kvůli zásadním neshodám v několika bodech, včetně mechanismu souhlasu na úrovni prohlížeče, rozsahu výjimky „nezbytně nutných" cookies a pravidel pro zpracování metadat.

Nejrealističtějším scénářem je, že nařízení nebude dokončeno nejdříve před rokem 2027, s dodatečným přechodným obdobím 12–24 měsíců, než vstoupí v účinnost. Provozovatelé webů by měli i nadále dodržovat současnou směrnici ePrivacy, jak byla transponována do jejich vnitrostátního práva, doplněnou rámcem souhlasu podle GDPR.

Praktické důsledky pro majitele webů

Bez ohledu na regulatorní nejistotu ohledně připravovaného nařízení ePrivacy jsou současná pravidla jasná a aktivně vymáhaná. Majitelé webů by měli:

  1. Považovat současný režim za základní. Požadavek na souhlas s nezbytnými cookies je zavedeným právem v celé EU. Nečekejte s implementací souladu na nařízení ePrivacy.
  2. Blokovat nezbytné cookies před získáním souhlasu. Toto je technicky nejnáročnější aspekt souladu, ale je nezpochybnitelný. Váš mechanismus souhlasu s cookies musí zabránit skriptům v nastavování cookies, dokud uživatel aktivně nesouhlasí.
  3. Uplatnit standard souhlasu podle GDPR. Když směrnice ePrivacy říká „souhlas", myslí tím souhlas podle GDPR: svobodný, konkrétní, informovaný, jednoznačný a projevený jasným kladným úkonem.
  4. Dokumentovat své nezbytně nutné cookies. Veďte jasnou evidenci o tom, které cookies považujete za nezbytně nutné a proč. Buďte připraveni tuto klasifikaci zdůvodnit, pokud ji úřad pro ochranu osobních údajů zpochybní.
  5. Sledovat vnitrostátní vývoj. Protože je směrnice ePrivacy v každé zemi implementována odlišně, zůstaňte informováni o pokynech a činnosti při vymáhání úřadů pro ochranu osobních údajů v zemích, kde se nacházejí vaši uživatelé.
  6. Připravit se na nařízení ePrivacy. Přestože je harmonogram nejistý, směr vývoje je jasný: harmonizovanější pravidla, potenciálně širší mechanismy souhlasu a pokračující důraz na soukromí uživatelů. Vybudování robustního systému správy souhlasu nyní usnadní přechod, až přijde.

Směrnice ePrivacy může být více než dvě desetiletí stará, ale zůstává základním kamenem cookie práva v Evropě. V kombinaci s rámcem souhlasu podle GDPR a aktivními programy vymáhání vnitrostátních úřadů pro ochranu osobních údajů vytváří regulatorní prostředí, kde dodržování pravidel o cookies není volitelné — je to zákonná povinnost se skutečnými finančními důsledky za nedodržení.

Splňuje váš web pravidla pro cookies?

Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.

Skenovat cookies zdarma