Od ledna do srpna roku 2023 udělil Úřad pro ochranu osobních údajů (ÚOOÚ) v České republice několika provozovatelům webových stránek pokuty ve výši 4 443 000 Kč za porušení obecného nařízení o ochraně osobních údajů (GDPR) v souvislosti se zpracováním osobních údajů prostřednictvím cookies. Tato informace byla zveřejněna na webu ÚOOÚ v srpnu letošního roku, tudíž reálně bude udělených pokut za celý rok 2023 ještě vyšší.
Předseda ÚOOÚ, Jiří Kaucký, zdůraznil, že oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Nově upravená česká legislativa od 1. ledna 2022 však již evropské normy v této oblasti respektuje.
Pokuty jako motivace
Zpočátku proto ÚOOÚ se spíše než udělování pokut věnoval edukaci a subjekty, které se v dané oblasti provinily varoval a na prohřešky upozorňoval. Poté však již provozovatelé webových stránek měli dostatek času, aby své weby přizpůsobili tak, aby odpovídaly legislativě a pokuty se pozvolna začaly objevovat.
“Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází,” vysvětlil Kaucký.
Časté prohřešky
Mezi nejčastější porušení GDPR patřilo nahrávání cookies bez souhlasu, nedostatky ve formulaci souhlasu, nedostatečné informování uživatelů, a problematické umístění možnosti volby mezi souhlasem a nesouhlasem ve struktuře cookies lišt.
Nejvyšší pravomocně uložená pokuta ve výši 898 000 Kč směřovala k společnosti zabývající se elektronickou komunikací. Tato firma byla sankcionována za nahrávání cookies, prostřednictvím kterých následně docházelo ke zpracování osobních údajů uživatelů pro marketingové účely, a to bez jejich souhlasu.
Výslovný souhlas návštěvníků s cookies
Jedním z klíčových pravidel, kterému provozovatelé nedostáli, byl požadavek na výslovný souhlas návštěvníků s využíváním cookies pro zpracování osobních údajů. Tato povinnost vychází z evropské směrnice o soukromí a elektronických komunikacích. Výjimkou jsou tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací.
Před novelizací českého zákona o elektronických komunikacích (č. 127/2005 Sb.) do konce roku 2021 nebyl požadavek na výslovný souhlas zcela jasný, což vedlo k nesrovnalostem v interpretaci. Novela zákona tuto nejistotu odstranila, a od 1. ledna 2022 mohou provozovatelé webů shromažďovat osobní údaje pouze na základě prokazatelného souhlasu návštěvníků (tzv. opt-in princip).
Nevyžádaná pošta
Další zajímavost, kterou ÚOOÚ na svých stránkách zveřejnil, se týká roku 2022 a nevyžádaných obchodních sdělení.
ÚOOÚ na následující statistice zdůrazňuje, že podstatnou částí jeho činnosti je dozorování a reagování na zasílané stížnosti a podněty.
Statistiky za první polovinu roku 2022:
- 419 stížností na zasílání obchodních sdělení,
- 9 zahájených kontrol, 5 ukončených kontrol,
- upozorněno na možná porušení u 196 subjektů,
- 12 správních řízení s celkovými sankcemi 260.000 Kč.
Statistiky za druhou polovinu roku 2022:
- 487 stížností na zasílání obchodních sdělení,
- 3 zahájené kontroly, 5 ukončených kontrol,
- upozorněno na možná porušení u 155 subjektů,
- 16 správních řízení s celkovými sankcemi 568.000 Kč.
Upozorňujeme však, že na konci roku 2023 padla za neoprávněné rozesílání obchodních sdělení dosud rekordní pokuta ve výši bezmála 8 milionů korun.
