GDPR a soubory cookies: chyby, nedostatky a pokuty

GDPR a cookies lišty e-shopů: chyby, nedostatky a pokuty

Provozujete e-shop? Prodáváte zboží či poskytujete služby přes internet? Pravděpodobně zpracováváte osobní údaje uživatelů prostřednictvím souborů cookies. V lednu 2022 však proběhla novela právních předpisů týkající GDPR a cookie lišt. Postupujete správně?

Jaké jsou nejčastější chyby a nedostatky v souvislosti se zpracováním osobních údajů? Nevíte, na co si dát pozor a za co můžete dostat pokutu?

Právní úprava zpracování osobních údajů

Od ledna 2022 je české právo plně harmonizováno s unijní úpravou. Avšak podnikatelé mnohdy stále postupují dle původních právních právních předpisů a dopouštějí se tak porušení, která jsou následně ze strany Úřadu pro ochranu osobních údajů pokutována.

Oblast zpracování osobních údajů podnikateli, nevyjímaje e-shopů, podléhá zákonu o zpracování osobních údajů. Zmiňovaný zákon transponuje směrnici Evropské unie a zároveň navazuje na nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů.

Osobní údaje získávané prostřednictvím cookie lišt upravuje konkrétně zákon o elektronických komunikacích.

Nahrávání souborů cookies do zařízení uživatelů

Prostřednictvím souborů cookies dochází ke zpracování osobních údajů u velkého množství osob. Může tudíž nastat situace, že si běžný uživatel není vědom zpracování svých údajů konkrétním podnikatelem.

Dle zákona o elektronických komunikacích není přípustné, aby podnikatel nahrával soubory cookies do koncových zařízení uživatele, aniž by s tím uživatel předem vyjádřil souhlas. Samozřejmě uvažujeme o souborech cookies, jejichž prostřednictvím dochází ke zpracování osobních údajů pro analytické a marketingové účely.

Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

 

§ 89 odst. 3 zákona o elektronických komunikacích

 

Zpracování osobních údajů prostřednictvím souborů cookies upravuje na unijní úrovni směrnice o soukromí a elektronických komunikacích.

Aktivní souhlas s využíváním souborů cookies

Podnikatelé musí od uživatelů získat aktivní souhlas s využíváním souborů cookies pro účely zpracování jejich osobních údajů.

Výjimku představují pouze tzv. technické cookies, jež jsou nezbytné pro správnou funkci internetových aplikací.

Zákon o elektronických komunikacích však do konce roku 2021 výslovný souhlas uživatele přímo nevyžadoval. Dle výkladových metod postačoval pasivní souhlas, tj. pokud uživatel zpracování osobních údajů prostřednictvím souborů cookies neodmítl, mělo se za to, že s ním souhlasí.

Od ledna 2022 (i nadále pro rok 2024) se však vyžaduje uživatelovo aktivní jednání, tj. kliknutí na tlačítko za účelem vyjádření souhlasu se soubory cookies. To znamená, že když neumožníte uživateli vyjádřit souhlas, porušíte zákon a Úřad pro ochranu osobních údajů vám může následně uložit pokutu.

Nedostatky souhlasu se zpracováním osobních údajů

Uživatel musí před vyjádřením souhlasu se zpracováním osobních údajů obdržet veškeré potřebné informace.

Zejména:

  • které osobní údaje budou zpracovávány,
  • výčet příjemců osobních údajů,
  • informace o využívaných souborech cookies,
  • informace o zabezpečení osobních údajů,
  • práva subjektů osobních údajů.

Neobdrží-li uživatel veškeré informace týkající se zpracování osobních údajů, nelze udělený souhlas považovat za dostatečný.

Klasifikace souborů cookies

Klasifikace souborů cookies je důležitá prakticky pro provozovatele e-shopů a webových portálů, protože je nutné, aby si uvedli do dokumentu Podmínky ochrany osobních údajů (GDPR), či podobného dokumentu, který bude přístupný návštěvníkům e-shopu/webu. Dále je nutné, aby tato klasifikace odrážela technické chování cookie lišty.

Soubory cookies se dělí na:

  • tzv. technické, neboli nezbytné,
  • analytické,
  • reklamní.

Technické soubory cookies nemůže uživatel odmítnout, jelikož mají vliv na správné fungování a zobrazení webového portálu e-shopu.

Podmínky ochrany osobních údajů a soubory cookies

V Podmínkách ochrany osobních údajů na vašem e-shopu či webovém portálu je třeba obsáhnout kompletní výčet souborů cookies, které při podnikání využíváte, a to v českém jazyce.

Doporučujeme, abyste uvedli název souboru cookies, jeho účel, typ – zařazení do jedné ze tří uvedených kategorií, a dobu jeho uchování. Špatná kategorizace souborů cookies se sankcionuje.

Doba uchování souborů cookies se samozřejmě liší, přičemž nesmí být neúměrně dlouhá s ohledem na účely jednotlivých cookies. Maximální doba jejich platnosti však činí 2 roky, popřípadě se ukládají do jejich smazání ze strany uživatele.

V neposlední řadě je nutné, abyste zjistili, jaké všechny zpracovatele shromážděných souborů cookies máte. Uveďte je a doplňte k nim potřebné informace – jaké jejich služby využíváte, včetně účelu.

Nezapomínejte však, že uživatel musí udělit aktivní souhlas s analytickými a reklamními soubory cookies. Jinak nemůžete jejich prostřednictvím zpracovávat osobní údaje.

Odvolání souhlasu se zpracováním osobních údajů

Občas podnikatelé ztěžují uživateli odvolání souhlasu se zpracováním osobních údajů prostřednictvím souborů cookies, což je však nezákonné.

Veškeré soubory cookies musí být možné upravit či odmítnout v nastavení internetového prohlížeče uživatele.

E-shop pak není nadále oprávněn zpracovávat osobní údaje tímto způsobem.

Klamavý design pro udělení souhlasu se soubory cookies

Uživatel nemůže být podnikatelem cíleně ovlivňován, aby udělil souhlas se zpracováním osobních údajů.

Není tedy přípustné, abyste umisťovali možnosti souhlasu či nesouhlasu se zpracováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookie lišt. Uživatele by totiž mohly ovlivnit, aby nakonec souhlas se zpracováním osobních údajů udělil.

Jedná se o tzv. klamavý design, přičemž i za toto počínání uděluje Úřad pro ochranu osobních údajů pokuty.

Ve viditelnosti tlačítek pro souhlas a nesouhlas s využitím netechnických cookies nesmí být rozdíl, tj. tlačítko pro udělení souhlasu se všemi soubory cookies musí být jednotné.

Zároveň se volby určené pro vyjádření nesouhlasu s využitím netechnických cookies musí nacházet vždy v první vrstvě cookie lišty.

Cookie lišta, v níž má uživatel možnost volby, které soubory cookies povolí a které nikoli, musí fungovat správně. Dále nesmí znesnadňovat či znemožňovat čtení webové stránky.

Pokud lišta, sloužící za účelem individuálního nastavení zpracování osobních údajů prostřednictvím souborů cookies, nereaguje či reaguje nedostatečně, můžete být sankcionováni.

Sankce

Předseda Úřadu pro ochranu osobních údajů Jiří Kaucký uvádí: „k ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj.“

ÚOOÚ s podnikateli v roce 2022, tj. po nabytí účinnosti harmonizované právní úpravy, komunikoval prostřednictvím vytýkacích dopisů. Přesto však část podnikatelů nepřistoupila k nápravě dobrovolně, případně se dopustila porušení, která byla závažná do té míry, že Úřad dospěl k rozhodnutí o uložení pokuty.

Výše pokuty

Výše pokuty se samozřejmě odvíjí rozsahu vašeho podnikání, dále též způsobu a rozsahu porušení ochrany osobních údajů. Pro menší podnikatele pokuta nebude likvidační, přesto vám doporučujeme řídit se našimi radami, abyste se jí vyvarovali.

„Nejvyšší pravomocně uložená pokuta 898 000,- Kč byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu,“ uvádí mluvčí Úřadu pro ochranu osobních údajů Milan Řepka.

ÚOOÚ udělil za rok 2023 v souvislosti se zpracováním osobních údajů prostřednictvím souborů cookies sankce v celkové výši 4,5 mil. Kč.

Nejzásadnější porušení GDPR

Pro lepší přehlednost si rozepsaná porušení v oblasti GDPR a souborů cookies, za které můžete být ze strany ÚOOÚ sankcionování, shrneme.

Jedná se o:

  • nahrávání souborů cookies do zařízení uživatelů bez jejich souhlasu (vyjímaje technických cookies),
  • nedostatky souhlasu uživatelů se zpracováním osobních údajů (uživatel není dostatečně informován o zpracování osobních údajů),
  • nedostatečné plnění informační povinnosti (nesprávná či nedostatečná klasifikace souborů cookies, popř. informace dostupné pouze v anglickém jazyce),
  • nemožnost či výrazné omezování možnosti uživatele odvolat souhlas se zpracováním osobních údajů prostřednictvím souborů cookies,
  • umístění možnosti volby pro udělení souhlasu, resp. nesouhlasu, se zpracováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookie lišt (klamavý design záměrně ovlivňující uživatele k udělení souhlasu),
  • cookie lišta nereaguje či reaguje nedostatečně na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies.

Poslední aktualizace: 30. listopadu 2023