Úřad na ochranu osobních údajů udělil pokuty téměř 4,5 milionu za porušení GDPR prostřednictvím cookies

03.08.2023 11:17 | Tisková zpráva

Úřad pro ochranu osobních údajů od počátku letošního roku udělil za porušení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů různým provozovatelům webových stránek pokuty v celkové výši 4 443 000 korun, z nich nabyly právní moci pokuty ve výši 1 640 000 korun.

Úřad na ochranu osobních údajů udělil pokuty téměř 4,5 milionu za porušení GDPR prostřednictvím cookies

Foto: uoou.cz
Popisek: Úřad pro ochranu osobních údajů - logo

Předseda Úřadu pro ochranu osobních údajů Jiří Kaucký k tomu uvedl, že: „oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Od 1. ledna 2022 je však česká úprava cookies konečně v souladu s evropskou. Po nabytí účinnosti novely zákona o elektronických komunikacích jsme nicméně nepokutovali, ale snažili se edukovat a jen jsme upozorňovali a vytýkali.“

Předseda Jiří Kaucký zároveň dodal, že: „k ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází.“

Nejvyšší pravomocně uložená pokuta 898 000 Kč byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.

Anketa

Věříte, že existují mimozemšťané?

Věřím

67%

Nevěřím

19%

Nevím / Je mi to jedno

14%

hlasovalo: 6152 lidí

Zpracování osobních údajů prostřednictvím souborů cookies je v rámci Evropské unie upraveno směrnicí o soukromí a elektronických komunikacích. Ta vyžaduje, aby provozovatelé internetových platforem získali od návštěvníků výslovný souhlas s využíváním cookies pro zpracování osobních údajů, a to na základě tzv. principu opt-in. Výjimku představují pouze tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací.

V českém zákoně o elektronických komunikacích však před jeho novelizací do konce roku 2021 však nebyl požadavek na výslovný souhlas zcela přesně formulován a provozovatelé, stejně jako i odborná veřejnost jej často vykládali v opačném smyslu, tedy jako princip tzv. opt-out. Tedy, co není výslovně odmítnuto, je odsouhlaseno.

Schválením novely zákona o elektronických komunikacích byly s účinností k 1. lednu 2022 odstraněny jakékoli nejasnosti, a provozovatelé internetových platforem mohou shromažďovat osobní údaje od návštěvníků pouze na základě jejich prokazatelného souhlasu, podle principu opt-in.

Mezi nejčastější či nejzásadnější porušení GDPR, která ÚOOÚ identifikoval patří:

Nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu (v případě tech souborů cookies, na které se nevztahuje výjimka dle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích);
Nedostatky souhlasu se zpracováním osobních údajů (např. co do dostatečného informování uživatelů);
Nedostatečné plnění informační povinnosti (nedostatečná klasifikace jednotlivých cookies či informace dostupné pouze v angličtině);
Nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;
Umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil (tzv. DDP – Deceptive Design Pattern / Klamavý designový vzor);
Cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

V přechodném období (po účinnosti nové právní úpravy – od 1/1/2022) Úřad pro ochranu osobních údajů s provozovateli komunikoval prostřednictvím vytýkacích dopisů. V této době Úřad odeslal přes 120 takových dopisů. Část provozovatelů webových platforem k nápravě dobrovolně nepřistoupila, případně byla zjištění o porušení GDPR natolik zásadní, že Úřad neshledal jinou možnost než vydat rozhodnutí o uložení pokuty.

Úřad se v rámci této dozorové akce zaměřil i na veřejný sektor. Vzhledem k tomu, že v této oblasti nemůže Úřad ukládat pokuty, ukládá orgánům veřejné moci a veřejným subjektům (např. ministerstva a kraje) rozhodnutí o provedení nápravných opatření.

Poznámka:
S ohledem na neveřejnost správního řízení Úřad pro ochranu osobních údajů nezveřejňuje konkrétní seznam těch, komu byla udělena pokuta.

Další informace ke cookies souborům naleznete ZDE v článku Cookie lišty a udělování souhlasu.

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

Líbil se Vám tento článek?

Nezávislost naší redakce můžete podpořit peněžitým darem v jakékoliv výši bankovním převodem na účet:

131-981500247/0100

QR kód obsahuje údaje k platbě, výši částky si určete sami.

Jste politik? Zveřejněte bez redakčních úprav vše, co chcete. Zaregistrujte se ZDE.

Jste čtenář a chcete komunikovat se svými zastupiteli? Zaregistrujte se ZDE.

reklama

Článek obsahuje štítky

osobní údaje , ÚOOÚ , TZ , cookies , GDPR

autor: Tisková zpráva

znásilnění

Dobrý den, prý pro novou definici znásilnění hlasovalo 169 poslanců. A co ten zbytek? To byl někdo proti? Zajímalo by mě kdo. A ještě víc by mě zajímalo, jak to bude vypadat v praxi. Jak bude oběť prokazovat, že říkala ne? A zvyšují se s novelou i tresty za znásilnění, protože když občas slyším o ně...

Odpověď na tento dotaz zajímá celkem čtenářů: