Úřad pro ochranu osobních údajů od počátku letošního roku udělil za porušení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů různým provozovatelům webových stránek pokuty v celkové výši 4 443 000 Kč, a z nich nabyly právní moci pokuty ve výši 1 640 000 Kč.
Předseda Úřadu pro ochranu osobních údajů Jiří Kaucký k tomu uvedl, že: „oblast zpracování osobních údajů soubory cookies byla dlouho předmětem sporů a debat. Od 1. ledna 2022 je však česká úprava cookies konečně v souladu s evropskou. Po nabytí účinnosti novely zákona o elektronických komunikacích jsme nicméně nepokutovali, ale snažili se edukovat a jen jsme upozorňovali a vytýkali.“ Předseda Jiří Kaucký zároveň dodal, že: „k ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj. Prostřednictvím cookies souborů dochází ke zpracování osobních údajů u obrovského množství osob, a to navíc za situace, kdy si běžný návštěvník nemusí být vůbec vědom, že k takovému zpracování dochází.“
Nejvyšší pravomocně uložená pokuta 898 000 Kč byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.
Zpracování osobních údajů prostřednictvím souborů cookies je v rámci Evropské unie upraveno směrnicí o soukromí a elektronických komunikacích. Ta vyžaduje, aby provozovatelé internetových platforem získali od návštěvníků výslovný souhlas s využíváním cookies pro zpracování osobních údajů, a to na základě tzv. principu opt-in. Výjimku představují pouze tzv. technické cookies, které jsou nezbytné pro správnou funkci internetových aplikací.
V českém zákoně o elektronických komunikacích však před jeho novelizací do konce roku 2021 však nebyl požadavek na výslovný souhlas zcela přesně formulován a provozovatelé, stejně jako i odborná veřejnost jej často vykládali v opačném smyslu, tedy jako princip tzv. opt-out. Tedy, co není výslovně odmítnuto, je odsouhlaseno.
Schválením novely zákona o elektronických komunikacích byly s účinností k 1. lednu 2022 odstraněny jakékoli nejasnosti, a provozovatelé internetových platforem mohou shromažďovat osobní údaje od návštěvníků pouze na základě jejich prokazatelného souhlasu, podle principu opt-in.
Mezi nejčastější či nejzásadnější porušení GDPR, která ÚOOÚ identifikoval patří:
- Nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu (v případě tech souborů cookies, na které se nevztahuje výjimka dle § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích);
- Nedostatky souhlasu se zpracováním osobních údajů (např. co do dostatečného informování uživatelů);
- Nedostatečné plnění informační povinnosti (nedostatečná klasifikace jednotlivých cookies či informace dostupné pouze v angličtině);
- Nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;
- Umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil (tzv. DDP – Deceptive Design Pattern / Klamavý designový vzor);
- Cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.