Úřad pro ochranu osobních údajů

Předseda Úřadu pro ochranu osobních údajů Jiří Kaucký k tomu uvedl, že: „oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Od 1. ledna 2022 je však česká úprava cookies konečně v souladu s evropskou. Po nabytí účinnosti novely zákona o elektronických komunikacích jsme nicméně nepokutovali, ale snažili se edukovat a jen jsme upozorňovali a vytýkali.“ Předseda Jiří Kaucký zároveň dodal, že: „k ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází.“

Nejvyšší pravomocně uložená pokuta 898 000 Kč byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.

Zpracování osobních údajů prostřednictvím souborů cookies je v rámci Evropské unie upraveno směrnicí o soukromí a elektronických komunikacích. Ta vyžaduje, aby provozovatelé internetových platforem získali od návštěvníků výslovný souhlas s využíváním cookies pro zpracování osobních údajů, a to na základě tzv. principu opt-in. Výjimku představují pouze tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací. 

V českém zákoně o elektronických komunikacích však před jeho novelizací do konce roku 2021 však nebyl požadavek na výslovný souhlas zcela přesně formulován a provozovatelé, stejně jako i odborná veřejnost jej často vykládali v opačném smyslu, tedy jako princip tzv. opt-out. Tedy, co není výslovně odmítnuto, je odsouhlaseno.

Schválením novely zákona o elektronických komunikacích byly s účinností k 1. lednu 2022 odstraněny jakékoli nejasnosti, a provozovatelé internetových platforem mohou shromažďovat osobní údaje od návštěvníků pouze na základě jejich prokazatelného souhlasu, podle principu opt-in.

Mezi nejčastější či nejzásadnější porušení GDPR, která ÚOOÚ identifikoval patří:

• Nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu (v případě tech souborů cookies, na které se nevztahuje výjimka dle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích);
• Nedostatky souhlasu se zpracováním osobních údajů (např. co do dostatečného informování uživatelů);
• Nedostatečné plnění informační povinnosti (nedostatečná klasifikace jednotlivých cookies či informace dostupné pouze v angličtině);
• Nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;
• Umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil (tzv. DDP – Deceptive Design Pattern / Klamavý designový vzor);
• Cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

Více v přiložené tiskové zprávě

TZ_COOKIES_pokuty_0823_CZE