ÚOOÚ prozatím udělil v roce 2023 pokuty ve výši 4,5 mil Kč a rok ještě neskončil

Pokuty za porušení GDPR

Od ledna do srpna roku 2023 udělil Úřad pro ochranu osobních údajů (ÚOOÚ) v České republice několika provozovatelům webových stránek pokuty ve výši 4 443 000 Kč za porušení obecného nařízení o ochraně osobních údajů (GDPR) v souvislosti se zpracováním osobních údajů prostřednictvím cookies. Tato informace byla zveřejněna na webu ÚOOÚ v srpnu letošního roku, tudíž reálně bude udělených pokut za celý rok 2023 ještě vyšší.

Předseda ÚOOÚ, Jiří Kaucký, zdůraznil, že oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Nově upravená česká legislativa od 1. ledna 2022 však již evropské normy v této oblasti respektuje.

Pokuty jako motivace

Zpočátku proto ÚOOÚ se spíše než udělování pokut věnoval edukaci a subjekty, které se v dané oblasti provinily varoval a na prohřešky upozorňoval. Poté však již provozovatelé webových stránek měli dostatek času, aby své weby přizpůsobili tak, aby odpovídaly legislativě a pokuty se pozvolna začaly objevovat.

“Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází,” vysvětlil Kaucký.

Časté prohřešky

Mezi nejčastější porušení GDPR patřilo nahrávání cookies bez souhlasu, nedostatky ve formulaci souhlasu, nedostatečné informování uživatelů, a problematické umístění možnosti volby mezi souhlasem a nesouhlasem ve struktuře cookies lišt.

Nejvyšší pravomocně uložená pokuta ve výši 898 000 Kč směřovala k společnosti zabývající se elektronickou komunikací. Tato firma byla sankcionována za nahrávání cookies, prostřednictvím kterých následně docházelo ke zpracování osobních údajů uživatelů pro marketingové účely, a to bez jejich souhlasu.

Výslovný souhlas návštěvníků s cookies

Jedním z klíčových pravidel, kterému provozovatelé nedostáli, byl požadavek na výslovný souhlas návštěvníků s využíváním cookies pro zpracování osobních údajů. Tato povinnost vychází z evropské směrnice o soukromí a elektronických komunikacích. Výjimkou jsou tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací.

Před novelizací českého zákona o elektronických komunikacích (č. 127/2005 Sb.) do konce roku 2021 nebyl požadavek na výslovný souhlas zcela jasný, což vedlo k nesrovnalostem v interpretaci. Novela zákona tuto nejistotu odstranila, a od 1. ledna 2022 mohou provozovatelé webů shromažďovat osobní údaje pouze na základě prokazatelného souhlasu návštěvníků (tzv. opt-in princip).

Nevyžádaná pošta

Další zajímavost, kterou ÚOOÚ na svých stránkách zveřejnil, se týká roku 2022 a nevyžádaných obchodních sdělení.

ÚOOÚ na následující statistice zdůrazňuje, že podstatnou částí jeho činnosti je dozorování a reagování na zasílané stížnosti a podněty.

Statistiky za první polovinu roku 2022:

  • 419 stížností na zasílání obchodních sdělení,
  • 9 zahájených kontrol, 5 ukončených kontrol,
  • upozorněno na možná porušení u 196 subjektů,
  • 12 správních řízení s celkovými sankcemi 260.000 Kč.

Statistiky za druhou polovinu roku 2022:

  • 487 stížností na zasílání obchodních sdělení,
  • 3 zahájené kontroly, 5 ukončených kontrol,
  • upozorněno na možná porušení u 155 subjektů,
  • 16 správních řízení s celkovými sankcemi 568.000 Kč.

Upozorňujeme však, že na konci roku 2023 padla za neoprávněné rozesílání obchodních sdělení dosud rekordní pokuta ve výši bezmála 8 milionů korun.

Poslední aktualizace: 4. září 2024