Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Toto je ověřovací provoz nového webu ÚOOÚ. Původní stránky Úřadu naleznete na old.uoou.cz.

Datum zveřejnění
Zpět na seznam

Úřad udělil pokuty za 4,5 mil. Kč

Úřad pro ochranu osobních údajů od počátku letošního roku udělil za porušení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů různým provozovatelům webových stránek pokuty v celkové výši 4 443 000 Kč.

Praha, 2. srpna 2023 – Úřad pro ochranu osobních údajů od počátku letošního roku udělil za porušení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů různým provozovatelům webových stránek pokuty v celkové výši 4 443 000 Kč, a   z nich nabyly právní moci pokuty ve výši 1 640 000 Kč.

Předseda Úřadu pro ochranu osobních údajů Jiří Kaucký k tomu uvedl, že: „oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Od 1. ledna 2022 je však česká úprava cookies konečně v souladu s evropskou. Po nabytí účinnosti novely zákona o elektronických komunikacích jsme nicméně nepokutovali, ale snažili se edukovat a jen jsme upozorňovali a vytýkali.“ Předseda Jiří Kaucký zároveň dodal, že: „k ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází.“

Nejvyšší pravomocně uložená pokuta 898 000 Kč byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.

Zpracování osobních údajů prostřednictvím souborů cookies je v rámci Evropské unie upraveno směrnicí o soukromí a elektronických komunikacích. Ta vyžaduje, aby provozovatelé internetových platforem získali od návštěvníků výslovný souhlas s využíváním cookies pro zpracování osobních údajů, a to na základě tzv. principu opt-in. Výjimku představují pouze tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací.

V českém zákoně o elektronických komunikacích však před jeho novelizací do konce roku 2021 však nebyl požadavek na výslovný souhlas zcela přesně formulován a provozovatelé, stejně jako i odborná veřejnost jej často vykládali v opačném smyslu, tedy jako princip tzv. opt-out. Tedy, co není výslovně odmítnuto, je odsouhlaseno.

Schválením novely zákona o elektronických komunikacích byly s účinností k 1. lednu 2022 odstraněny jakékoli nejasnosti, a provozovatelé internetových platforem mohou shromažďovat osobní údaje od návštěvníků pouze na základě jejich prokazatelného souhlasu, podle principu opt-in.

Mezi nejčastější či nejzásadnější porušení GDPR, která ÚOOÚ identifikoval patří:

1) Nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu (v případě tech souborů cookies, na které se nevztahuje výjimka dle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích);

2) Nedostatky souhlasu se zpracováním osobních údajů (např. co do dostatečného informování uživatelů);

3) Nedostatečné plnění informační povinnosti (nedostatečná klasifikace jednotlivých cookies či informace dostupné pouze v angličtině);

4) Nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;

5) Umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil (tzv. DDP – Deceptive Design Pattern / Klamavý designový vzor);

6) Cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

V  přechodném období (po účinnosti nové právní úpravy – od 1/1/2022) Úřad pro ochranu osobních údajů s provozovateli komunikoval prostřednictvím vytýkacích dopisů. V této době Úřad odeslal přes 120 takových dopisů. Část provozovatelů webových platforem k nápravě dobrovolně nepřistoupila, případně byla zjištění o porušení GDPR natolik zásadní, že Úřad neshledal jinou možnost než vydat rozhodnutí o uložení pokuty.

Úřad se v rámci této dozorové akce zaměřil i na veřejný sektor. Vzhledem k tomu, že v této oblasti nemůže Úřad ukládat pokuty, ukládá orgánům veřejné moci a veřejným subjektům (např. ministerstva a kraje) rozhodnutí o provedení nápravných opatření.

 

Poznámka:

S ohledem na neveřejnost správního řízení Úřad pro ochranu osobních údajů nezveřejňuje konkrétní seznam těch, komu byla udělena pokuta.

Další informace ke cookies souborům naleznete na www.uoou.cz v článku Cookie lišty a udělování souhlasu.

 

Milan Řepka

mluvčí