Přejít k obsahu Přejít k hlavnímu menu
Kontakt
Datum zveřejnění
Zpět na seznam

Úřad udělil pokuty za 4,5 mil. Kč

Úřad pro ochranu osobních údajů od počátku letošního roku udělil za porušení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů různým provozovatelům webových stránek pokuty v celkové výši 4 443 000 Kč.

Praha, 2. srpna 2023 – Úřad pro ochranu osobních údajů od počátku letošního roku udělil za porušení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů různým provozovatelům webových stránek pokuty v celkové výši 4 443 000 Kč, a   z nich nabyly právní moci pokuty ve výši 1 640 000 Kč.

Předseda Úřadu pro ochranu osobních údajů Jiří Kaucký k tomu uvedl, že: „oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Od 1. ledna 2022 je však česká úprava cookies konečně v souladu s evropskou. Po nabytí účinnosti novely zákona o elektronických komunikacích jsme nicméně nepokutovali, ale snažili se edukovat a jen jsme upozorňovali a vytýkali.“ Předseda Jiří Kaucký zároveň dodal, že: „k ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází.“

Nejvyšší pravomocně uložená pokuta 898 000 Kč byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.

Zpracování osobních údajů prostřednictvím souborů cookies je v rámci Evropské unie upraveno směrnicí o soukromí a elektronických komunikacích. Ta vyžaduje, aby provozovatelé internetových platforem získali od návštěvníků výslovný souhlas s využíváním cookies pro zpracování osobních údajů, a to na základě tzv. principu opt-in. Výjimku představují pouze tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací.

V českém zákoně o elektronických komunikacích však před jeho novelizací do konce roku 2021 však nebyl požadavek na výslovný souhlas zcela přesně formulován a provozovatelé, stejně jako i odborná veřejnost jej často vykládali v opačném smyslu, tedy jako princip tzv. opt-out. Tedy, co není výslovně odmítnuto, je odsouhlaseno.

Schválením novely zákona o elektronických komunikacích byly s účinností k 1. lednu 2022 odstraněny jakékoli nejasnosti, a provozovatelé internetových platforem mohou shromažďovat osobní údaje od návštěvníků pouze na základě jejich prokazatelného souhlasu, podle principu opt-in.

Mezi nejčastější či nejzásadnější porušení GDPR, která ÚOOÚ identifikoval patří:

1) Nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu (v případě tech souborů cookies, na které se nevztahuje výjimka dle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích);

2) Nedostatky souhlasu se zpracováním osobních údajů (např. co do dostatečného informování uživatelů);

3) Nedostatečné plnění informační povinnosti (nedostatečná klasifikace jednotlivých cookies či informace dostupné pouze v angličtině);

4) Nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;

5) Umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil (tzv. DDP – Deceptive Design Pattern / Klamavý designový vzor);

6) Cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

V  přechodném období (po účinnosti nové právní úpravy – od 1/1/2022) Úřad pro ochranu osobních údajů s provozovateli komunikoval prostřednictvím vytýkacích dopisů. V této době Úřad odeslal přes 120 takových dopisů. Část provozovatelů webových platforem k nápravě dobrovolně nepřistoupila, případně byla zjištění o porušení GDPR natolik zásadní, že Úřad neshledal jinou možnost než vydat rozhodnutí o uložení pokuty.

Úřad se v rámci této dozorové akce zaměřil i na veřejný sektor. Vzhledem k tomu, že v této oblasti nemůže Úřad ukládat pokuty, ukládá orgánům veřejné moci a veřejným subjektům (např. ministerstva a kraje) rozhodnutí o provedení nápravných opatření.

 

Poznámka:

S ohledem na neveřejnost správního řízení Úřad pro ochranu osobních údajů nezveřejňuje konkrétní seznam těch, komu byla udělena pokuta.

Další informace ke cookies souborům naleznete na www.uoou.cz v článku Cookie lišty a udělování souhlasu.

 

Milan Řepka

mluvčí