Chcete se dozvědět všechny důležité změny a doporučení v oblasti GDPR za uplynulý rok 2023? Tak právě pro vás přinášíme přehledné shrnutí ze stostránkové výroční zprávy Úřadu pro ochranu osobních údajů za rok 2023. Dozvíte se mimo jiné zajímavosti o provedených kontrolách, vývoj legislativy, závěry z veřejných konzultací nebo praktické tipy, třeba jak nastavit cookies lištu.
Z výroční zprávy Úřadu pro ochranu osobních údajů („ÚOOÚ“) jsme vybrali témata, se kterými se potýkají jak podnikatelé, tak i spotřebitelé. Podíváme se, jaká doporučení ÚOOÚ vydal v souvislosti s cookies lištami, jaká jsou pravidla k zasílání obchodních sdělení, jak řešit kopírování občanských průkazů a další otázky jako kamerové systémy v obcích či whistleblowing.
Cookies lišty
Jednou z často diskutovaných a veřejnosti známých problematik je nastavení cookies lišt. Správci webových stránek se smířili s tím, že musí cookies lišty novým návštěvníkům zobrazovat, ale ohledně toho, jak mají být nastaveny – graficky i obsahově – panují neshody.
Lze tedy místo lišty narazit na cookies „wall“, která znemožní prohlédnutí obsahu webové stránky, dokud návštěvník neudělí s cookies souhlas. V jiných případech pak cookies lišta zcela chybí. Setkáváme se též s nesouladem mezi obsahem lišty a ukládáním souborů. Samostatnou kapitolou je prosazování modelu „Pay or ok“.
Za nezískání souhlasu s nahráváním cookies do koncových zařízení uživatelů internetových stránek, což je loňský nejčastější prohřešek spojený s cookies lištami, udělil ÚOOÚ v roce 2023 dvě pravomocné pokuty – ve výši 602.000 Kč a 898.000 Kč. Lze navíc očekávat, že pokuty v následujících letech porostou. Jejich výše bude totiž čím dál více ovlivněna metodikou Evropského sboru pro ochranu osobních údajů pro výpočet pokut dle GDPR z jara roku 2023, která usiluje o konvergenci ukládání pokut v oblasti GDPR napříč Evropskou unií.
Druhým nejčastějším proviněním roku 2023 bylo nedostatečné plnění informační povinnosti, čehož se dopustilo více než 50 % kontrolovaných webů. Méně častou chybou byla nemožnost (či výrazné zkomplikování možnosti) odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies. Zejména pak umístěním tlačítka pro „souhlas“ a „nesouhlas“ do různých vrstev v rámci cookies lišty.
Nesoulady ohledně umístění tlačítek „souhlasu“ a „nesouhlasu“ může souviset s absencí přesných pokynů. Z dosavadní praxe plyne, že tyto volby není nutné uspořádat vedle sebe, takže „nesouhlas“ může být umístěn do rohu cookies lišty či i jinam. Z rozhodovací praxe však mimo jiné plyne, že obě základní možnosti je třeba nabídnout v první vrstvě cookies lišty. Evropský sbor pro ochranu osobních údajů popisuje i další nežádoucí „dark patterns“, včetně různé velikosti tlačítek nebo cíleného využití barev.
ÚOOÚ zmiňuje, že správce webových stránek by měl poskytnout seznam všech cookies, které jsou na webové stránce shromažďovány. Nepostačí uvést, že jsou shromažďovány cookies patřící do určité kategorie, ale je potřeba je dostatečně identifikovat – ať už uvedením vydavatele těchto cookies a/nebo názvem. Návštěvníky webové stránky je třeba transparentně informovat o tom, jaké cookies může stránka ukládat a za jakým účelem.
Zasílání obchodních sdělení
Za nezákonné zasílání obchodních sdělení padla v roce 2023 rekordní pokuta 7,7 milionu Kč, o které jsme už psali v našem listopadovém článku. Pro ty, kteří o tomto případu ještě neslyšeli, připomeneme, že společnost do e-mailu potvrzujícího objednávku zahrnovala obchodní sdělení dalších subjektů, čímž se dopustila přestupku. Propagace třetích stran elektronickou poštou bez adekvátního právního základu je spam. Upozorňujeme, že v e‑mailu s obchodním sdělením by měla být vždy možnost odhlásit se z odběru, což v pokutovaném případě rovněž nebylo dodrženo.
Kopírování občanských průkazů
Kopírování občanských průkazů bankovními institucemi či jinými podnikatelskými subjekty patří mezi diskutovaná témata, neboť obecně je kopírování občanských průkazů zvláštním předpisem zakázáno.
I v případě zvláštního zákonného zmocnění však může být jeho výkon předmětem sporů. Například bankovní instituce musely dle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu („AML zákon“) prokazovat identitu svých zákazníků. Avšak nebylo jasné, zda pro splnění této povinnosti mohou občanské průkazy kopírovat.
Vloni ÚOOÚ společně s Finančním analytickým úřadem zveřejnili na toto téma aktualizovaný metodický pokyn. K vyjasnění problematiky nakonec pomůže novelizace AML zákona, která vejde v účinnost během letošního roku. Konkrétně k pořízení kopie průkazu totožnosti nebo digitálního stejnopisu průkazu opravňuje úvěrové a finanční instituce § 25 odst. 8 AML zákona, který nabude účinnosti 1. ledna 2025.
Subjektům, které nejsou povinnými osobami dle AML zákona, ÚOOÚ doporučuje, aby kopírovaly občanský průkaz pouze neúplně, a to jen ty části, které skutečně potřebují. K pořízení redukované kopie občanského průkazu prostřednictvím „začerňovací“ šablony není totiž potřeba souhlasu držitele dokladu, neboť se nejedná o plnohodnotnou kopii ve smyslu zákona č. 269/2021 Sb., o občanských průkazech.
Další zajímavosti
Výroční zpráva ÚOOÚ obsahuje kromě výše uvedených ještě mnoho důležitých témat, která jsou součástí aktuálního diskurzu ochrany osobních údajů. Kromě již zmíněných oblastí se zabývá i zpracováním osobních údajů pro marketingové účely, neoprávněným zveřejňováním nebo zpřístupňováním těchto údajů, či povinností správců osobních údajů monitorovat své zpracovatele. Z uvedených témat jsme vybrali pro krátkou zmínku následující tři oblasti:
Whistleblowing
V minulém roce došlo ke schválení zákona č. 171/2023, o ochraně oznamovatelů. I k tomu se ÚOOÚ vyjadřoval v souvislosti s omezením výkonu práv subjektu údajů. Například pokud by osoba jako subjekt údajů podala žádost o výmaz osobních údajů během probíhajícího vyšetřování oznámení, tak jí společnost nemůže vyhovět. Jde o zákonné omezení výkonu práv subjektu údajů. ÚOOÚ však upozorňuje, že s tímto omezením výkonu práv subjektu údajů je spojena povinnost neprodleně ÚOOÚ o této skutečnosti informovat.
Z naší zkušenosti s implementacemi vnitřních oznamovacích systémů vyplývá, že adaptace GDPR dokumentace je její významnou součástí, která někdy může narážet na technické mantinely zvoleného dodavatele etické linky. Potom je třeba kreativní a právně technické řešení.
Kamerové systémy v obci
Provedená kontrola ÚOOÚ, která se zaměřovala na dohledové kamery v obci, potvrdila, že obec nemůže samostatně provozovat kamerový systém. Obci ze zákona nebo jiného právního předpisu neplyne oprávnění k provozování tohoto typu kamerového systému. Řešením bývá uzavření veřejnoprávní smlouvy s obecní policií.
Předávání osobních údajů do USA
Předávat osobní údaje do USA je od minulého roku – uvidíme, na jak dlouho – jednodušší za předpokladu, že je přijímací společnost certifikovaná v rámci Data Privacy Framework. Současně je však možné s tímto příjemcem osobních údajů uzavřít i standardní smluvní doložky. Souběžné používání obou opatření není dle ÚOOÚ v rozporu. Zatímco ÚOOÚ tento souběh označuje za přijetí většího množství záruk pro ochranu osobních údajů, my jej vnímáme jako praktickou pojistku pro případ dalšího zneplatnění tohoto rámce soudním rozhodnutím.
Závěr
Z výroční zprávy je zřejmé, že ÚOOÚ aktivně sleduje a řeší širokou škálu témat spojených s ochranou osobních údajů – od zpracování údajů pro marketingové účely, až po otázky týkající se předávání osobních údajů do zahraničí. Máme za to, že v roce 2024 bude kladen důraz zejména na správu souhlasů, tedy (nejen) cookies lišty a jejich nastavení, a také na zasílání obchodních sdělení.
Pokud chcete s čímkoli z uvedeného pomoci, můžete se na nás kdykoli obrátit.
Celé znění výroční zprávy Úřadu pro ochranu osobních údajů za rok 2023 naleznete zde.
