Pozor na cookies u webu, padaly pokuty za miliony korun

Autor: Depositphotos.com, podle licence: Rights Managed

Pokuty v souhrnné výši za 4,5 miliony korun rozdal Úřad pro ochranu osobních údajů (ÚOOÚ) provozovatelům webových stránek, a to za porušení GDPR v oblasti zpracování osobních údajů prostřednictvím souborů cookies. 

Od ledna 2022 platí novela zákona o elektronických komunikacích, která povinnosti související s cookies převedla do souladu s evropskou úpravou. Hned po nabytí účinnosti ÚOOÚ porušení povinností nepokutoval, pouze vytýkal. Nově nemá s provozovateli webových stránek slitování a rozdává pokuty. 

K ukládání pokut jsme přistoupili, protože provozovatelé měli dostatečný prostor a čas, aby uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR. Udělené pokuty chápeme především jako motivační a varovný nástroj, komentoval nový postoj úřadu jeho předseda Jiří Kaucký.

Nejvyšší pravomocně uložená pokuta ve výši 898 000 korun byla uložena společnosti podnikající v oboru elektronických komunikacích, a to především za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.

Přečtěte si také:

Abeceda umělé inteligence: Průvodce pro podnikatele od A do Z

Mezi nejčastější či nejzásadnější porušení GDPR, která ÚOOÚ identifikoval patří:

1. nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu,
2. nedostatky souhlasu se zpracováním osobních údajů (např. co do dostatečného informování uživatelů),
3. nedostatečné plnění informační povinnosti (nedostatečná klasifikace jednotlivých cookies či informace dostupné pouze v angličtině),
4. nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů,
5. umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpracováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil (tzv. DDP – Deceptive Design Pattern / Klamavý designový vzor),
6. cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje, nebo reaguje nedostatečně.