Dodržování právních norem bylo ve spletitých vodách internetu vždy o něco laxnější než v reálném světě. Uživatelé složitým detailům ajťáckého světa nerozumí a ani je nechtějí řešit, i když jsou často ve hře jejich citlivé osobní údaje. Student Právnické fakulty MU Jakub Klodwig se ve své práci, se kterou zvítězil v česko-slovenském kole Studentské vědecké odborné činnosti, věnoval takzvaným cookies. Odhalil, že za jejich nedostatečnou právní úpravu může český stát, který v tomto bodě dokonce porušuje své mezinárodní závazky.
Cookies jsou malé textové soubory, které se ukládají do prohlížeče při návštěvě dnes už téměř každé webové stránky. „Je jich spousta typů, některé jsou neškodné a umožňují třeba nákup zboží v e-shopu, jiné ale mohou ukládat detaily uživatelova chování, jeho názory, polohu a další citlivé údaje. Rozlišují se třeba také podle doby, po kterou jsou v prohlížeči uloženy, přičemž některé tam mohou být i 150 let, pokud je aktivně nesmažeme,“ vysvětluje třiadvacetiletý student.
Nakládání s těmito daty ošetřuje už od roku 2002 evropská směrnice o soukromí a elektronických komunikacích a Česká republika po vstupu do Evropské unie její znění implementovala do své právní úpravy. „Tehdy směrnice operovala s principem opt-out, webové stránky tedy mohly ihned po vstupu uživatele nahrát do jeho prohlížeče cookies a přitom ho o tom jen informovat. Problém nastal v roce 2009, kdy byla směrnice novelizována,“ pokračuje Klodwig.
Od roku 2009 totiž evropská směrnice operuje s principem opt-in, který nařizuje uživatele nejprve informovat o použití cookies a nahrát je až po jeho souhlasu. „V Česku jsme toto zvýšení ochrany zapomněli implementovat a nechali si původní text zákona s režimem opt-out. Znění našich zákonů se tedy nezměnilo, jen jsme je začali vykládat jinak. V právu lze sice slovíčkařením leccos ohnout, ale po důkladné analýze jsem si potvrdil, že princip opt-out opravdu není možné vykládat jako opt-in. Česká legislativa tak není v souladu s tou evropskou,“ došel ve své práci k závěru student. Implementace evropského práva je přitom mezinárodní závazek, k jehož dodržování se Česká republika zavazuje ve své ústavě.
Přestože dnes už velká část uživatelů maže pravidelně cookies ze svého prohlížeče, neznamená to, že je jejich soukromí chráněno. Existují už totiž cookies druhé generace, které se dokážou vrátit i po smazání. „Při analýze českých zpravodajských webů jsem zjistil, že ani většina z nich dostatečně neinformuje uživatele o použití cookies. Proč by to pak dělal třeba hacker, který používá ke špehování uživatelů cookies druhé generace, které je velmi složité odhalit? Zkrátka a dobře – pokud se v této věci nebráníme právní cestou, nebráníme se vůbec,“ myslí si Klodwig, který spolupracuje s Ústavem práva a technologií Právnické fakulty MU a zabývá se i implementací GDPR na výzkumná data.
