Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) zveřejnil kontrolní plán pro rok 2022. Nejvíce skloňovány jsou kontroly cookies na webových stránkách a šíření nevyžádané reklamy. Co přesně musí podnikatelé implementovat, aby se nestali cílem kontrol a pokut?

Nová zákonná úprava cookies od 1.1.2022

Důvodem pro kontroly cookies je novelizace zákona o elektronických komunikacích (zákon č. 127/2005 Sb.), která vyžaduje získání souhlasu od návštěvníků webových stránek s použitím cookies. Výjimkou jsou pouze technické cookies, které jsou nezbytné pro správnou funkci webových stránek. Navíc ÚOOÚ uveřejnil metodiku, jak by cookie bannery (dialogová okna s nastavením cookies) měly vypadat a fungovat. Až do novelizace nebyl požadavek na souhlas zcela přesně formulován, a nejspíše i proto nebylo používání cookies intenzivně kontrolováno.

Provozovatelům webových stránek užívající cookies pro analytické a marketingové doporučujeme revidovat či nově implementovat řešení na získání souhlasu (cookie bannery). Mnohé příklady z praxe ukazují, že podnikatelé mají velké problémy splnit nové požadavky. ÚOOÚ zahájí kontroly již v 2. čtvrtletí 2022

Velké trhy EU mají přísnější požadavky

Firmy působící v zahraničí by měly implementovat řešení, které je v souladu s praxí lokálních úřadů. Jinak jim mohou hrozit vysoké pokuty. Například francouzský Úřad pro ochranu osobních údajů CNIL uložil pokuty koncernu Google ve výši 150 milionů Euro za provinění, které je velmi časté u českých cookie bannerů – uživatelé služeb Googlu nemohli odmítnout poskytnutí souhlasu stejně jednoduše jako ho poskytnout. Jedná se o velmi oblíbený trik, kdy webové stránky sice nabízejí možnost odmítnout cookies, ale pouze po složitém proklikávání se cookie bannerem. CNIL požaduje, aby uživatelé měli stejně efektivní alternativu k tlačítku „souhlasím“, tzn. aby mohli odmítnout cookies jedním tlačítkem. Za stejný prohřešek byl potrestán i Facebook pokutou ve výši 60 milionů Euro.

Naproti tomu ve Spolkové republice Německo je kladen velký důraz, aby „Impressum“ s údaji o provozovateli webu a „Prohlášení o ochraně osobních údajů“ nebyly blokovány zobrazeným cookie bannerem. Při nedodržení těchto požadavků může provozovatel webových stránek obdržet upomínku („Abmahnung“) s nárokem protistrany na převzetí právních nákladů.

Kontrola obchodních sdělení

Krom používání cookies bude ÚOOÚ kontrolovat, zda je přímý marketing pomocí elektronických prostředků v souladu se zákonem č. 480/2004 Sb. To v praxi znamená, že se ÚOOÚ zaměří zejména na zasílání emailových obchodních sdělení. Za tímto účelem budou dle vyjádření ÚOOÚ prověřeny jak zákaznické databáze společností, tak také právní titul k zasílání obchodních sdělení, prokazatelnost udělení souhlasu, a taktéž možné napojení na jiné společnosti či spolky, se kterými v této oblasti spolupracují.

Opět nelze opomenout, že v zahraničí jsou mnohdy prosazovány přísnější povinnosti. Například dle německé judikatury je pro zasílání newsletterů potřeba „double opt-in“: Po registraci k newsletteru obdrží abonent e-mail s ověřovacím odkazem, na který musí kliknout, aby aktivoval zasílání newsletteru. Bez právě popsaného „double opt-in“ se rozesílatel vystavuje výše zmíněnému riziku upomínky („Abmahnung“), protože není s to prokázat, že byl poskytnout souhlas uživatelem dané e-mailové adresy. Navíc má adresát nevyžádané pošty nárok na odškodnění až ve výši 300 euro (rozsudek AG Pfaffenhofen ze dne 9.9.2021).