Stihli jste už nastavit cookies podle režimu opt-in? Nebo jste se spoléhali na to, že ÚOOÚ zatím jen varuje a napomíná? Pokutové prázdniny už skončily, Úřad udělil sankce ve výši 4,5 milionu korun.
Kdo četl poctivě naše články, v nichž jsme se několikrát důkladně věnovali oblasti cookies, nemůže být zaskočen ani zprávou, že ÚOOÚ v roce 2022 v oblasti cookies udělil pokuty za bezmála 4,5 milionu korun, ani tím, o jaké prohřešky se jednalo. Ostatně již několikrát jsme shrnovali, co novela zákona o elektronických komunikacích přináší, jak na tuto oblast dopadá judikatura SDEU, stanoviska EDPB a nakonec – co si o tom myslí ÚOOÚ.
ÚOOÚ dopředu avizoval, že dá dostatečný prostor povinným osobám, aby se s legislativou seznámily a implementovaly správná řešení. Do konce několikrát na svých stránkách upozornil na problémy, se kterými se u „výchovných“ kontrol setkává, a naprosto přesně definoval několik bodů, jež považuje za rozporné se zákonem.
ÚOOÚ sám vyhledává a kontroluje webové stránky
Jak ÚOOÚ postupoval
Dne 1. 1. 2022 vstoupila v účinnost část novely zákona o elektronických komunikacích, která přinesla zásadní změnu konceptu ukládání cookies a obdobných technologií: z režimu opt-out se přešlo do režimu opt-in. Ačkoliv společnost namítala, že na ta kovou změnu není možné se jednoduše připravit, fakt, že ve skutečnosti šlo jen o narovnání rozporu se směrnicí ePrivacy, hovořil o opaku. Organizace totiž mohly využít desítky technologických řešení, která byla již v minulosti hojně využívána v jiných členských státech EU, jež předmětnou směrnici implementovaly dobře.
Přesto ÚOOÚ na počátku roku řekl, že nebude k organizacím přistupovat tvrdě, ale naopak bude ze začátku shovívavý a spíše se bude snažit edukovat. Jak to dopadlo? ÚOOÚ odeslal celkem 120 vytýkacích dopisů organizacím, které neimplementovaly povinnosti vyplývající ze zákona správně. V rámci těchto dopisů upozorňoval ÚOOÚ na chyby a vyzval k nápravě. Jenže zde (po právu) shovívavý přístup ÚOOÚ skončil. V rámci tiskové zprávy ÚOOÚ uvedl následující: „Část provozovatelů webových platforem k nápravě dobrovolně nepřistoupila, případně byla zjištění o porušení GDPR natolik zásadní, že Úřad neshledal jinou možnost než vydat rozhodnutí o uložení pokuty.“
Nejčastější prohřešky
Opakování je matka moudrosti. Ačkoliv ÚOOÚ před chybnou implementací několikrát varoval (a my jsme na jeho varování ve Zpravodaji opakovaně upozorňovali), rozhodně je třeba znovu zopakovat, co ÚOOÚ vnímal jako nejzávažnější prohřešky a které chyby se vyskytovaly nejčastěji.
Jako první problém ÚOOÚ uvádí ukládání souborů cookies do zařízení uživatelů bez jejich souhlasu. Zjednodušeně řečeno, ať už uživatel při příchodu na stránky udělal cokoliv (včetně neodkliknutí případné cookies lišty), soubory cookies byly automaticky uloženy do jeho prohlížeče či zařízení, což je pochopitelně v rozporu s legislativou. Ostatně, prohřešek v této oblasti byl u jednoho ze správců potrestán rekordní pokutou (k tomu však dále).
898 000 Kč – zatím nejvyšší udělená pokuta za cookies
Že souhlas musí splňovat určité parametry GDPR, je pro naše čtenáře všeobecně známý fakt, nad kterým by se dnes snad už nikdo nepozastavil. Přesto jako druhý typ prohřešků ÚOOÚ uvádí právě nedostatky takového souhlasu, při němž podle slov ÚOOÚ správci například nedostatečně informovali subjekt údajů při získávání souhlasu.
S tím souvisí i další kategorie porušení, a to samotné chyby (respektive absence) v obsahu informační dokumentace, tedy chyby při plnění informační povinnosti. Správci velmi často nedůsledně informují o příjemcích, respektive třetích stranách, a také se dopouštějí nedostatečné klasifikace jednotlivých cookies. ÚOOÚ se v této oblasti často setkává také s tím, že poskytnuté informace jsou uvedeny pouze v anglickém jazyce. To lze přisuzovat obyčejně tomu, že správce sice pořídí takzvaný „cookies consent management“, ale tam jeho iniciativa končí a často nezvolí českou jazykovou mutaci či nepřeloží jednotlivé texty v cookies liště.
Každý souhlas je odvolatelný – a to platí i pro cookies. V okamžiku, kdy uživateli neumožníte zvolit si původní nastavení souhlasu stejně jednoduše, jako ho udělit, porušujete tím právo. To totiž zakazuje neumožnit či výrazně komplikovat možnost odvolání souhlasu.
Mezi největší problémy patří nastavení, kdy uživatel navštíví webové stránky a vyskočí na něj cookies lišta přes celou obrazovku, kde jsou pouze dvě tlačítka – „souhlasím“ a „nastavení“. Pokud totiž uživatel navštíví takovou stránku na telefonu, obvykle na něj po zmáčknutí tlačítka „nastavení“ vyskočí ještě delší lišta, takže trvá celou věčnost, než dojede na konec textu, aby mohl vyjádřit nesouhlas – a to ještě v lepším případě. Pokud člověk navštíví jen jednu takovou stránku denně, pravděpodobně tuto cestu absolvuje. V případě, že otevře takovou stránku podesáté za deset minut, nejspíš dá stejně jako většina uživatelů rovnou souhlas, aniž by zvážil dopady. ÚOOÚ pochopitelně před touto praktikou opakovaně varoval a nyní upozorňuje na to, že jakýkoliv pokus ovlivňovat návštěvníky k tomu, aby souhlas udělili, automaticky porušuje GDPR. ÚOOÚ tak upozorňuje, že správci by se měli vyvarovat vytváření takzvaných „deceptive design patterns“ neboli klamavých designových vzorů.
Relativní novinkou je poslední bod tiskové zprávy ÚOOÚ, kde Úřad upozorňuje na prohřešek, jenž souvisí s nedostatečnou reakcí cookies lišty na uživatelské nastavení – tedy že cookies lišta fakticky nefunguje, neboť nereaguje na uživatelské preference jednotlivých souhlasů.
Pokuty
Co se týče pokut za výše uvedené prohřešky, ÚOOÚ rozdal celkem pokuty ve výši 4 443 000 korun, přičemž právní moci nabyly pokuty ve výši 1 640 000 korun. Fakticky to tedy znamená, že některé z pokutovaných osob podaly vůči pokutě opravný prostředek, v rámci nějž se tuto skutečnost pokusí zvrátit.
Komu se však nepodařilo výsledek zvrátit (i když ve skutečnosti nevíme, jestli se o to pokoušel), byla pokutovaná společnost, která podniká v oblasti elektronických komunikací. Tato osoba totiž dostala zatím nejvyšší pravomocnou pokutu ve výši 898 tisíc korun, a to především za užívání marketingových cookies bez souhlasu uživatelů.
Kolik však pokut celkem bylo (a kolik tedy byla průměrná výše jednotlivých pokut), ÚOOÚ nesděluje.
Kontrola bez námahy
Ukládání pokut v oblasti cookies ze strany ÚOOÚ je relativně snadné. Veškeré prohřešky lze totiž jednoduše odhalit od stolu, a to bez součinnosti kontrolované osoby – stačí jen navštívit kontrolované stránky. O to více byste si měli dát pozor a zkontrolovat, zda máte vše správně nastavené tak, abyste si od ÚOOÚ nevysloužili pokutu.
Comments