Pokuty za GDPR v Česku prudce rostou: Co může vaše firma očekávat a jak se jim vyhnout?
25. 10. 2024 | Ing. Tomáš Hojgr, MBA | majitel
Nejčastější pokuty za porušení GDPR jsou např. na stránkách https://www.equica.cz/informace-pro-zajimavost-z-oblasti-gdpr/
Právní praxi v oblasti GDPR u eshopů popisuje Petra Dolejšová v rozhovoru pro Socials Podcast
Pokuty za GDPR rostou kvůli nařízení EU
V prvních letech po zavedení GDPR se Úřad pro ochranu osobních údajů choval velmi hezky. Oslovil vás jen na bonz, požádal o vysvětlení, vyžádal si nápravu a nechal vás být.
Po pár letech zpřísnil, ale pokutami byl velmi pod průměr EU. Protože v zemích EU bylo takových úřadů více, tak EU "vymyslela" další tabulku, tentokrát určující výši pokut napříč EU. A pokuty začaly růst.
| 2022 | pokuty řádově desítky, max stovky tisíc Kč |
| 2023 | cca 12 mil Kč celkem |
| 2024 | první pokuta > 350 mil Kč |
A dnes již UOOU uděluje pokuty vždy, a musí se přitom řídit pravidly stanovenými v rámci EU.
Cookies lišta
Je sice nesmyslná, ale zákon ji vyžaduje. Je nejvíc na ráně, protože je snadné ji zkontrolovat automatem.
Úředník zadá robotovi váš web, ten vás navštíví, na nic nekliká a velmi snadno odhalí, jestli se ten váš web pokusil uložit cookies, aniž by na něco ten robot klikal. A když ano, úředník dostane červený alert a jde si vás zkontrolovat. A přibere si ke kontrole i jiné aspekty, než jen cookies lištu.
Co už se vůbec nesmí?
Ta jednoduchá lišta s jediným tlačítkem, která se používala na začátku. Tak ta už nesmí být vůbec, tu "neukecáte".
V čem se často chybuje?
- Nejčastěji v tom, že na liště chybí odmítnutí všech nepovinných cookies jedním klikem rovnou z první stránky lišty.
- A dále v popisu cookies, které si potřebujete uložit - jejich seznam je neúplný, jejich popis nedostatečný.
Zpracovatelské smlouvy
Eshopy pracují s osobními údaji svých zákazníků. Ale mají je v software, který od někoho nakupují. Mají je v eshopu, který jim programuje externí firma. Eshop běží na serveru, který spravuje také externí firma. A tam všude má eshop uloženy osobní údaje svých zákazníků.
A proto s těmito firmami potřebuje tzv. zpracovatelskou smlouvu. Ta popisuje, jak je s daty zacházeno.
I zpracovatelská smlouva je velmi jednoduchá ke kontrole. Úřad ji zatím posuzuje binárně - máte, nemáte. Když máte, a obsahuje chyby, ukáže na ně a máte prostor je napravit. Když ale nemáte, máte problém.
Mailing
Email můžete poslat ve dvou případech:
- Člověk se k odběru vašich emailů sám přihlásil a přihlášení potvrdil kliknutím na následný registrační email (double opt-in).
- Zákazník u vás nakoupil, a neodhlásil se (opt-out). V takovém případě mu můžete poslat jak transakční emaily (o stavu jejich objednávky) tak i reklamní emaily, dokud se od nich neodhlásí. Transakční emaily mu můžete posílat vždy, protože jsou z vaší strany technicky nutné k naplnění smluvního vztahu.
A to byla třetí oblast, za kterou jsou udělovány pokuty. Velmi snadno prokazatelné, pro UOOU jsou to tzv. "easy fruits" (snadno utrhnutelné ovoce).
Víte, nebo tušíte, že jste si v minulosti na svém eshopu přáli něco udělat ne tak úplně přesně podle regulí? Tak právě teď je ta správná doba se nám ozvat a společně to napravit.
