top of page

Prázdniny skončily: Pokuty za cookies se vyšplhaly na 4,5 milionu

Obrázek autora: Josef BátrlaJosef Bátrla

Stihli jste už nastavit cookies podle režimu opt-in? Nebo jste se spoléhali na to, že ÚOOÚ zatím jen varuje a napomíná? Pokutové prázdniny už skončily, Úřad udělil sankce ve výši 4,5 milionu korun.

Kdo četl poctivě naše články, v nichž jsme se několikrát dů­kladně věnovali oblasti cookies, nemůže být zaskočen ani zprávou, že ÚOOÚ v roce 2022 v oblasti cookies udělil pokuty za bezmála 4,5 milionu korun, ani tím, o jaké prohřešky se jednalo. Ostatně již několikrát jsme shrnovali, co novela zákona o elektronických komunikacích přináší, jak na tuto oblast dopadá judikatu­ra SDEU, stanoviska EDPB a nakonec – co si o tom myslí ÚOOÚ.


ÚOOÚ dopředu avizoval, že dá dostatečný prostor povinným osobám, aby se s legislativou seznámily a implementovaly správná řešení. Do­ konce několikrát na svých stránkách upozornil na problémy, se kterými se u „výchovných“ kontrol setkává, a naprosto přesně definoval několik bodů, jež považuje za rozporné se zákonem.

ÚOOÚ sám vyhledává a kontroluje webové stránky

Jak ÚOOÚ postupoval

Dne 1. 1. 2022 vstoupila v účinnost část novely zákona o elektronických komunikacích, která přinesla zásadní změnu konceptu ukládání cookies a obdobných technologií: z režimu opt-out se přešlo do režimu opt-in. Ačkoliv společnost namítala, že na ta­ kovou změnu není možné se jednoduše připravit, fakt, že ve skutečnosti šlo jen o narovnání rozporu se směrnicí ePrivacy, hovořil o opaku. Organi­zace totiž mohly využít desítky technologických řešení, která byla již v minulosti hojně vy­užívána v jiných členských stá­tech EU, jež předmětnou směr­nici implementovaly dobře.


Přesto ÚOOÚ na počátku roku řekl, že nebude k organizacím přistupovat tvrdě, ale naopak bude ze začátku shovívavý a spíše se bude sna­žit edukovat. Jak to dopadlo? ÚOOÚ odeslal celkem 120 vytýkacích dopisů organizacím, které neimplementovaly povinnosti vyplývající ze zákona správně. V rámci těchto dopisů upozorňo­val ÚOOÚ na chyby a vyzval k nápra­vě. Jenže zde (po právu) shovívavý přístup ÚOOÚ skončil. V rámci tis­kové zprávy ÚOOÚ uvedl následující: „Část provozovatelů webových platforem k nápravě dobrovolně nepřistoupila, případně byla zjištění o porušení GDPR natolik zásadní, že Úřad neshledal jinou možnost než vydat rozhodnutí o uložení pokuty.“


Nejčastější prohřešky

Opakování je matka moud­rosti. Ačkoliv ÚOOÚ před chybnou implementací několikrát varoval (a my jsme na jeho varování ve Zpravoda­ji opakovaně upozorňovali), rozhodně je třeba znovu zopakovat, co ÚOOÚ vnímal jako nejzávažnější prohřešky a které chyby se vyskytovaly nejčastěji.


Jako první problém ÚOOÚ uvá­dí ukládání souborů cookies do zaří­zení uživatelů bez jejich souhlasu. Zjednodušeně řečeno, ať už uživatel při příchodu na stránky udělal coko­liv (včetně neodkliknutí případné cookies lišty), soubory cookies byly automaticky uloženy do jeho prohlí­žeče či zařízení, což je pochopitelně v rozporu s legislativou. Ostatně, pro­hřešek v této oblasti byl u jednoho ze správců potrestán rekordní pokutou (k tomu však dále).

898 000 Kč – zatím nejvyšší udělená pokuta za cookies

Že souhlas musí splňovat určité parametry GDPR, je pro naše čtenáře všeobecně známý fakt, nad kterým by se dnes snad už nikdo nepozastavil. Přesto jako druhý typ prohřešků ÚOOÚ uvádí právě nedostatky tako­vého souhlasu, při němž podle slov ÚOOÚ správci například nedostatečně informovali subjekt údajů při zís­kávání souhlasu.


S tím souvisí i další kategorie po­rušení, a to samotné chyby (respektive absence) v obsahu informační dokumentace, tedy chyby při plnění informační povinnosti. Správci velmi čas­to nedůsledně informují o příjemcích, respektive třetích stranách, a také se dopouštějí nedostatečné klasifikace jednotlivých cookies. ÚOOÚ se v této oblasti často setkává také s tím, že poskytnuté informace jsou uvedeny pouze v anglickém jazyce. To lze při­suzovat obyčejně tomu, že správce si­ce pořídí takzvaný „cookies consent management“, ale tam jeho iniciativa končí a často nezvolí českou jazyko­vou mutaci či nepřeloží jednotlivé tex­ty v cookies liště.


Každý souhlas je odvolatelný – a to platí i pro cookies. V okamžiku, kdy uživateli ne­umožníte zvolit si původní na­stavení souhlasu stejně jednoduše, jako ho udělit, porušu­jete tím právo. To totiž zakazuje neumožnit či výrazně komplikovat možnost odvolání souhlasu.


Mezi největší problémy patří na­stavení, kdy uživatel navštíví webové stránky a vyskočí na něj cookies lišta přes celou obrazovku, kde jsou pouze dvě tlačítka – „souhlasím“ a „nastave­ní“. Pokud totiž uživatel navštíví tako­vou stránku na telefonu, obvykle na něj po zmáčknutí tlačítka „nastavení“ vyskočí ještě delší lišta, takže trvá ce­lou věčnost, než dojede na konec tex­tu, aby mohl vyjádřit nesouhlas – a to ještě v lepším případě. Pokud člověk navštíví jen jednu takovou stránku denně, pravděpodobně tuto cestu ab­solvuje. V případě, že otevře takovou stránku podesáté za deset minut, nej­spíš dá stejně jako většina uživatelů rovnou souhlas, aniž by zvážil dopady. ÚOOÚ pochopitelně před touto praktikou opakovaně varoval a nyní upozorňuje na to, že jakýkoliv pokus ovlivňovat návštěvníky k tomu, aby souhlas udělili, automaticky porušuje GDPR. ÚOOÚ tak upozorňuje, že správci by se měli vyvarovat vytváření takzvaných „deceptive design pat­terns“ neboli klamavých designových vzorů.


Relativní novinkou je poslední bod tiskové zprávy ÚOOÚ, kde Úřad upozorňuje na prohřešek, jenž souvisí s nedostatečnou reakcí cookies lišty na uživatelské nastavení – tedy že cookies lišta fakticky nefunguje, neboť nereaguje na uživatelské preference jednotlivých souhlasů.


Pokuty

Co se týče pokut za výše uvedené pro­hřešky, ÚOOÚ rozdal celkem pokuty ve výši 4 443 000 korun, přičemž právní moci nabyly pokuty ve výši 1 640 000 korun. Fakticky to tedy zna­mená, že některé z pokutovaných osob podaly vůči pokutě opravný prostře­dek, v rámci nějž se tuto skutečnost pokusí zvrátit.


Komu se však nepodařilo výsle­dek zvrátit (i když ve skutečnosti ne­víme, jestli se o to pokoušel), byla pokutovaná společnost, která podni­ká v oblasti elektronických komuni­kací. Tato osoba totiž dostala zatím nejvyšší pravomocnou pokutu ve výši 898 tisíc korun, a to především za užívání marketingových cookies bez souhlasu uživatelů.


Kolik však pokut celkem bylo (a kolik tedy byla průměrná výše jednotlivých pokut), ÚOOÚ nesděluje.


Kontrola bez námahy

Ukládání pokut v oblasti cookies ze strany ÚOOÚ je relativně snadné. Veškeré prohřešky lze totiž jednoduše odhalit od stolu, a to bez sou­činnosti kontrolované osoby – stačí jen navštívit kontrolované stránky. O to více byste si měli dát pozor a zkontrolovat, zda máte vše správně nastavené tak, abyste si od ÚOOÚ nevysloužili pokutu.


Comments


bottom of page