SDEU se vyjádřil k praxi německé společnosti Planet48, která v rámci online reklamních loterií používá k vyjádření souhlasu uživatelů s cookies předem zaškrtnuté políčko. Pokud by uživatel souhlas nechtěl poskytnout, musel by zaškrtnutí sám aktivně zrušit. SDEU zdůraznil, že podle směrnice o e-Privacy a nařízení GDPR není takto udělený souhlas platný.
Cookies jsou krátké textové soubory, které se při návštěvě webové stránky uživatelem ukládají prostřednictvím prohlížeče do jeho počítače. Pokud uživatel navštíví stejné webové stránky znovu, získá server díky cookies o uživateli všechny informace, které si předtím uložil. Cookies tak slouží poskytovatelům internetových stránek k odlišení jednotlivých uživatelů a umožňují lepší personalizaci stránek. Z hlediska účelu zpracování můžeme cookies rozdělit na různé druhy – např. na technické cookies, které jsou nezbytné pro správné zobrazení stránky, a další cookies, které mohou sloužit pro marketingové účely.
SDEU uzavřel, že unijní právo má za cíl chránit uživatele před jakýmkoli zásahem do jejich soukromé sféry, bez ohledu na to, zda se zásah týká osobních údajů či nikoliv. Dle SDEU tak musí uživatelé vyjádřit svůj aktivní a informovaný souhlas i s cookies, které se osobních údajů netýkají. Tedy např. i s technickými cookies. Kromě toho SDEU konstatoval, že poskytovatel služeb musí uživatele informovat o době platnosti cookies a o tom, zda k nim mohou získat přístup i třetí osoby.
Podle doporučení českého Úřadu na ochranu osobních údajů (ÚOOÚ) mohou uživatelé internetových stránek udělit souhlas se zpracováním cookies v nastavení svého prohlížeče pro všechny weby. Je zřejmé, že ve světle zmíněného rozhodnutí stávající doporučení neobstojí. ÚOOÚ již připravuje jeho aktualizaci. Na druhou stranu doporučení ÚOOÚ vychází z českého zákona, kterým byla do českého právního řádu implementována e-Privacy směrnice. Zákon o elektronických komunikacích totiž zcela v rozporu se směrnicí stanoví, že uživatel nemusí poskytovat souhlas se zpracováním cookies, pokud je mu poskytnuta možnost vyjádřit nesouhlas. Výklad českého zákona nezmění v tomto případě ani SDEU, protože nelze pouhým výkladem ukládat soukromým subjektům povinnosti, které národní právní předpis nestanoví, i když by je podle směrnice stanovit měl.
Pro úplnost lze uvést, že ve věci ochrany soukromí a osobních dat v odvětví elektronických komunikací je v současné době připravován návrh nového evropského nařízení, které má nahradit výše zmíněnou směrnici o e-Privacy a pravidla v něm obsažená budou regulovat nejen tradiční operátory, ale budou závazná i pro poskytovatele služeb jako je WhatsApp nebo Skype.
