top of page
Obrázek autoraJosef Bátrla

CNIL rozdával k Vánocům vysoké pokuty

Aktualizováno: 28. 11.

Francouzský dozorový úřad udělil v závěru loňského roku hned několik vysokých pokut za porušení GDPR. Nelíbilo se mu ukládání souborů cookies, extenzivní monitorování zaměstnanců ani způsob získávání souhlasů u některých společností.

Závěr roku bývá ve většině organizací věnován spíše vánočním večírkům či jiným kratochvílím. To, co se mělo stihnout, se zpravidla stihlo, a to, co se nestihlo, se už nechá na leden. Mezi svátky si většina lidí vzala dovolenou a dovršila tak poklidný průběh konce roku. Neměli to tak ale všichni. Takovým příkladem je i francouzský dozorový úřad CNIL. Ten právě ke konci roku rozdal několik pokut, na některé z nich se v dnešním článku podíváme.


Pokuta pro Yahoo

Společnost Yahoo je multimediální služba, která na svých stránkách sdružuje zpravodajství, počasí a poskytuje svým uživatelům další informace – a to nejdůležitější, poskytuje uživatelům služby e-mailu. V zásadě si tak Yahoo můžete představit jako náš český Seznam, jen podstatně větší. A právě společnost provozující předmětnou službu obdržela 29. 12. 2023 od CNIL pokutu za své pochybení v oblasti cookies. CNIL totiž v minulých letech obdržel okolo 27 stížností, které upozorňovaly na nerespektování odmítnutí cookies uživateli a také na kladení překážek pro odvolání souhlasu.


V tomto duchu tak pokutovaná osoba porušila francouzskou legislativu týkající se ochrany osobních údajů a soukromí uživatelů. Ukládání cookies bez souhlasu je skutečně jednání, které potírají všechny dozorové orgány napříč EU. Není se tedy čemu divit, že CNIL nehodlal přehlížet skutečnost, že bez udělení souhlasu se uživateli uloží do prohlížeče zhruba dvacet cookies sloužících pro reklamní účely.


To však nebyl jediný prohřešek společnosti Yahoo. V případě služby Yahoo! Mail se pokutovaná osoba prohřešila ještě více. Pokud jste totiž jako uživatel této služby chtěli odvolat souhlas s uloženými cookies, dostalo se vám od poskytovatele informace, že odvolání souhlasu bude mít vážné důsledky, neboť uživatel pak už nebude mít možnost přistupovat k předmětné službě a nepošle už ani jednu zprávu.


CNIL v tomto případě upozornil na to, že jakkoliv lze v rámci teorie uvažovat o tom, že se registrace spojí se souhlasem s uložením cookies, odvolání nesmí uživateli způsobit škodu. Společnost Yahoo tak pochybila zejména v tom, že uživateli nenabídla žádnou alternativu v případě odvolání souhlasu – jeho jedinou možností bylo prostě přestat službu používat. Na základě těchto zjištění vystavil CNIL společnosti Yahoo pokutu ve výši 10 milionů eur (přibližně 252 milionů korun).


Pokuta pro Amazon

O dost větší pokutu si vysloužila společnost Amazon France Logistique, a to v rámci rozhodnutí ze dne 27. 12. 2023, ve kterém jí CNIL vytkl to, jak pracovala s osobními údaji svých zaměstnanců, respektive jak intenzivně je monitorovala.


Společnost Amazon pravděpodobně každý zná, ostatně téma logistického skladu v České republice bylo v médiích velmi často probíráno. A právě logistika patří k nejnáročnějším výzvám této společnosti. Respektive je druhá nejnáročnější – hned po ochraně osobních údajů. Amazon totiž jako zaměstnavatel neoplývá nejlepší reputací, zvěsti o někdy až drakonických podmínkách zaměstnanců mimo EU se rozšířily i v ČR. Krátké až žádné přestávky na práci a snaha co nejvíce vyždímat aktivitu zaměstnanců jsou pro tuto společnost pověstné. S těmito skutečnostmi však společnost Amazon ve Francii narazila.

Amazon používal speciální skenery ke sledování (ne)činnosti zaměstnanců

V rámci francouzských skladů Amazon využíval speciální skenery na zboží. Tyto skenery pak zaznamenávaly nejen skenované zboží, ale i aktivitu zaměstnance, který skener používal. Amazon tak měl informace o produktivitě a nečinnosti zaměstnance. V okamžiku, kdy se tyto informace dostaly do tisku, začal se tím zabývat i CNIL. Ten posléze označil postup Amazonu za extenzivní, neboť Amazon využíval skenery na sledování nečinnosti zaměstnanců, a to s extrémní přesností, jež potenciálně nutila zaměstnance ke zdůvodnění každé překážky či přerušení činnosti. Totéž pak platí i o sledování rychlosti skenování a obecně uchovávání takových dat, která Amazon u všech zaměstnanců schraňoval po dobu 31 dní.


CNIL to vše vyhodnotil jako potenciálně ohrožující jednání vůči právům zaměstnanců na ochranu soukromí a Amazonu uložil pokutu ve výši 32 milionů eur, tedy zhruba 805,6 milionu korun.


Pokuta pro Tagadamedia

Podnikání v této době není jednoduché, a proto každý podnikatel ocení, když mu někdo s podnikáním pomáhá – zejména v případě získávání nových zákazníků, nebo alespoň takzvaného „leadu“. Podobnou službu poskytuje společnost Tagadamedia. Ta provozuje mimo jiné stránky pro různé soutěže či testování produktů, jejichž prostřednictvím získává údaje o subjektech údajů. Jenže ty pak dále poskytuje svým zákazníkům pro další marketingové činnosti. A právě v tomto bodě předmětná společnost nedodržela několik základních pravidel, za což si od CNIL vysloužila jako opožděný dárek pod stromeček pokutu.


I když pokutovaná osoba získávala souhlas, dělala tak v rozporu s GDPR kvůli takzvaným. „dark patterns“. V případě, že jste uspěli v soutěži, pokutovaná osoba předložila dva formuláře, kterými dokládala souhlas. Nicméně CNIL upozornil na to, že takový souhlas není svobodný, informovaný ani jednoznačný. Důvod shledával v kontrastu tlačítek pro neudělení, neúplném textu či zmenšené velikost textu jako takového (viz obrázek). Takto zí kaný souhlas dle CNIL neumožňoval předávání osobních údajů dalším partnerům tak, jak pokutovaná osoba činila.

Původní verze udílení souhlasu Opravená verze udílení souhlasu


Zajímavé je, že v průběhu řízení pokutovaná osoba předložila opravenou verzi formuláře (viz obrázek). Ani ta však před CNIL neobstála.


Třešničkou na dortu je konstatování CNIL, že společnost ani nevede řádně záznamy o činnostech zpracování. Za to všechno společnost dostala pokutu ve výši 75 000 eur (cca 1,9 milionu korun).


Kontroly přitvrzují

Je vidět, že CNIL bere své poslání skutečně vážně a nestrpí porušování pravidel, která se týkají ochrany osobních údajů. Časy, kdy dozorové orgá ny pouze řešily, zda souhlas sbíráte, ale nezajímalo je jak, jsou tytam i v České republice. S nadějí tedy vyčkejme, až ÚOOÚ zveřejní závěry ze svých kontrol.


Comentarios


bottom of page