Ukládání tzv. cookies do počítačů uživatelů je primárně regulováno na unijní úrovni, přičemž tato regulace je realizována prostřednictvím směrnice Evropské unie (tedy nikoliv prostřednictví nařízení). To znamená, že unijní právo samo o sobě nestanoví přímo povinnosti subjektům práva v jednotlivých členských zemích, ale předpokládá se zapracování (implementace) této regulace do jednotlivých národních právních řádů (viz níže).

V roce 2009 byla přijata směrnice Evropského parlamentu a Rady 2009/136/ES (dále jen „změnová směrnice“), kterou byla novelizována směrnice Evropského Parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (dále jen „směrnice o soukromí a elektronických komunikacích“). Změnová směrnice přinesla mimo jiné také novelizaci ustanovení čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích, jež je problematice ukládání cookies věnováno.

Ustanovení čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích tak od účinnosti změnové směrnice zní následovně. „Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“

Z výše uvedeného tak vyplývá, že v oblasti ukládání tzv. cookies by měl být provozovateli webových stránek uplatňován princip opt-in, a to kromě těch případů, kdy je ukládání tzv. cookies „nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“ Podle našeho názoru tedy v případech, kdy je určitá funkcionalita webové stránky (webové služby) odvislá od nutnosti ukládat cookies, neměl by být předchozí souhlas uživatele s uložením souboru do počítače uživatele nezbytný (nicméně informační povinnost vůči uživateli by měla být splněna).

Jak bylo zmiňováno výše, obecný rámec této právní úpravy by měl být proveden ve všech členských zemích EU. Novelizované ustanovení čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích však do českého právního řádu zatím implementováno nebylo. Konkrétně se jedná o ustanovení § 89 odst. 3 zákona o elektronických komunikacích (zákon č. 127/2005 Sb., ve znění pozdějších předpisů), které stanoví, že „Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby provedení nebo usnadnění přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“ Česká právní úprava tak v oblasti ukládání cookies stále vychází z principu opt-out.

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se občanským sdružením Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 5/2012 určený členům tohoto sdružení.