Provozovatel zpravodajského portálu (UOOU-00350/20)
Kontrola používání cookies
Kontrola byla zahájena na základě kontrolního plánu pro rok 2020. Předmětem kontroly bylo dodržování povinností správce osobních údajů při zpracování osobních údajů subjektů údajů v souvislosti s využíváním cookies v rámci provozování jednoho ze zpravodajských portálů, a to zejména kontrola plnění povinností podle čl. 6 a čl. 7, čl. 11-19 obecného nařízení a v rozsahu tomu odpovídající povinnosti podle čl. 5 obecného nařízení.
Dle názoru kontrolujících Česká republika nedostatečným způsobem transponovala novelizovanou směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, neboť po změně režimu z OPT-OUT na OPT-IN český zákonodárce nadále pracuje s režimem OPT-OUT, tedy s režimem, kdy má správce osobních údajů možnost zpracovávat osobní údaje subjektů údajů automaticky (za splnění podmínky řádného informování) a pouze realizovat následně vyjádřené přání subjektů údajů o nezpracování jejich osobních údajů. Po analýze relevantních právních předpisů, skutkového stavu a právní jistotě kontrolované osoby kontrolující hodnotili zpracování cookies kontrolovanou osobou ve světle národní právní úpravy, tj. ustanovení § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích.
Kontrolou bylo zjištěno, že se kontrolovaná osoba v souvislosti s využíváním cookies v rámci internetového zpravodajského portálu dostává do styku s osobními údaji ve smyslu čl. 4 odst. 1 obecného nařízení, a tyto osobní údaje dále zpracovává ve smyslu čl. 4 odst. 2 obecného nařízení a nachází se v postavení správce osobních údajů ve smyslu čl. 4 bod 7 obecného nařízení, neboť určila účel a prostředky zpracování osobních údajů (cookies). Právním titulem zpracování osobních údajů z jednotlivých cookies je oprávněný zájem společnosti ve smyslu čl. 6 odst. 1 písm. f) obecného nařízení. Vzhledem ke skutečnosti, že kontrolovaná osoba postupuje při zpracování cookies v souladu s doporučením Úřadu z roku 2018, kdy tento stanovil, že paušální souhlas udělený prostřednictvím nastavení prohlížeče je možné považovat za souhlas splňující definiční znaky dle čl. 4 odst. 11 obecného nařízení, nehodnotili kontrolující plnění čl. 7 obecného nařízení, tedy podmínky vyjádření souhlasu. Kontrolující se také zaměřili na kontrolu plnění povinností kontrolované osoby ve vztahu k poskytování informací subjektům údajů o zpracování jejich osobních údajů. Bylo zjištěno, že shromažďování osobních údajů (cookies) kontrolovanou osobou v rámci zpravodajského portálu je v souladu s požadavky § 89 odst. 3 zákona č. 127/2005 Sb., neboť kontrolovaná osoba informuje uživatele o rozsahu a účelu jejich zpracování a rovněž jim nabízí možnost takové zpracování ovlivnit kdykoli změnou nastavení cookies v prohlížeči uživatele, přičemž tyto podmínky naplňuje kontrolovaná osoba tím, že postupuje v souladu s čl. 12-13 obecného nařízení.
Kontrolou nebylo zjištěno porušení povinností kontrolované osoby uložené jí jako správci osobních údajů dle čl. 24 odst. 1 obecného nařízení, neboť má přesně stanovené postupy zpracování osobních údajů. Kontrolou nebylo zjištěno porušení povinností vyplývajících kontrolované osobě z čl. 28 obecného nařízení, ani porušení čl. 30 odst. 1 obecného nařízení.