Úřad na ochranu osobních údajů udělil pokuty téměř 4,5 milionu za porušení GDPR prostřednictvím cookies

03.08.2023 11:17 | Tisková zpráva

Úřad pro ochranu osobních údajů od počátku letošního roku udělil za porušení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů různým provozovatelům webových stránek pokuty v celkové výši 4 443 000 korun, z nich nabyly právní moci pokuty ve výši 1 640 000 korun.

Úřad na ochranu osobních údajů udělil pokuty téměř 4,5 milionu za porušení GDPR prostřednictvím cookies
Foto: uoou.cz
Popisek: Úřad pro ochranu osobních údajů - logo

Předseda Úřadu pro ochranu osobních údajů Jiří Kaucký k tomu uvedl, že: „oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Od 1. ledna 2022 je však česká úprava cookies konečně v souladu s evropskou. Po nabytí účinnosti novely zákona o elektronických komunikacích jsme nicméně nepokutovali, ale snažili se edukovat a jen jsme upozorňovali a vytýkali.“

Předseda Jiří Kaucký zároveň dodal, že: „k ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází.“

Nejvyšší pravomocně uložená pokuta 898 000 Kč byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.

Zpracování osobních údajů prostřednictvím souborů cookies je v rámci Evropské unie upraveno směrnicí o soukromí a elektronických komunikacích. Ta vyžaduje, aby provozovatelé internetových platforem získali od návštěvníků výslovný souhlas s využíváním cookies pro zpracování osobních údajů, a to na základě tzv. principu opt-in. Výjimku představují pouze tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací.

V českém zákoně o elektronických komunikacích však před jeho novelizací do konce roku 2021 však nebyl požadavek na výslovný souhlas zcela přesně formulován a provozovatelé, stejně jako i odborná veřejnost jej často vykládali v opačném smyslu, tedy jako princip tzv. opt-out. Tedy, co není výslovně odmítnuto, je odsouhlaseno.

Schválením novely zákona o elektronických komunikacích byly s účinností k 1. lednu 2022 odstraněny jakékoli nejasnosti, a provozovatelé internetových platforem mohou shromažďovat osobní údaje od návštěvníků pouze na základě jejich prokazatelného souhlasu, podle principu opt-in.

Mezi nejčastější či nejzásadnější porušení GDPR, která ÚOOÚ identifikoval patří:

  1. Nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu (v případě tech souborů cookies, na které se nevztahuje výjimka dle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích); 
  2. Nedostatky souhlasu se zpracováním osobních údajů (např. co do dostatečného informování uživatelů); 
  3. Nedostatečné plnění informační povinnosti (nedostatečná klasifikace jednotlivých cookies či informace dostupné pouze v angličtině); 
  4. Nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů; 
  5. Umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil (tzv. DDP – Deceptive Design Pattern / Klamavý designový vzor); 
  6. Cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

V přechodném období (po účinnosti nové právní úpravy – od 1/1/2022) Úřad pro ochranu osobních údajů s provozovateli komunikoval prostřednictvím vytýkacích dopisů. V této době Úřad odeslal přes 120 takových dopisů. Část provozovatelů webových platforem k nápravě dobrovolně nepřistoupila, případně byla zjištění o porušení GDPR natolik zásadní, že Úřad neshledal jinou možnost než vydat rozhodnutí o uložení pokuty.

Úřad se v rámci této dozorové akce zaměřil i na veřejný sektor. Vzhledem k tomu, že v této oblasti nemůže Úřad ukládat pokuty, ukládá orgánům veřejné moci a veřejným subjektům (např. ministerstva a kraje) rozhodnutí o provedení nápravných opatření.

Poznámka:
S ohledem na neveřejnost správního řízení Úřad pro ochranu osobních údajů nezveřejňuje konkrétní seznam těch, komu byla udělena pokuta.

Další informace ke cookies souborům naleznete ZDE v článku Cookie lišty a udělování souhlasu.

Tento článek je staršího data a je dostupný pouze pro předplatitele. Předplatné můžete vyzkoušet zdarma, nebo zakoupit, zde:

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: Tisková zpráva

Ing. Vojtěch Munzar byl položen dotaz

pojištění

Nemyslíte, že by podnikatelům více než odložení plateb sociálního pojištění pomohlo, kdybyste zálohy tak rapidně nezvedli? Jak na takové navýšení ODS vůbec mohla přistoupit? Protože co si budeme povídat dříve nebo později ty zálohy budu stejně muset zaplatit, takže ta vaše pomoc je dost vratkavá, ne...

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

Vojenské lesy a statky upozorňují na zákaz vstupu do lesů u Plumlova

22:03 Vojenské lesy a statky upozorňují na zákaz vstupu do lesů u Plumlova

Ve vyznačeném území došlo na konci června vlivem bouřek ke kalamitě, kterou je nutné odstranit. Stro…