Vysvědčení od ÚOOÚ za rok 2023: jak jsme si vedli?

^‍Tak jako každý rok, i letos nám Úřad pro ochranu osobních údajů vystavil vysvědčení. Z něj se dá odnést nejen pár zajímavostí, ale i připomínku, kde se osud a Úřad pokoušet nevyplácí.

Připraveni? Pojďme na to!^‍

^‍Cookies 

Zkrátka evergreen. Ty tam jsou časy, kdy Úřad s trpělivostí rodiče vysvětloval, navigoval a když jsme upadli, postavil nás na nohy a zopakoval, jak nakračovat.

Zákon, který na naše weby zavedl cookies lištu, tu máme už příliš dlouho. A výmluvu „Jsme to zapomněli zapnout!” Úřad dávno nebere. 

Co kontroly ukázaly?

→ více než 70 % kontrolovaných webů pracovalo s cookies ještě před udělením souhlasu

→ více než 50 % kontrolovaných webů si nedalo dostatek práce s informacemi ohledně cookies (patří sem i přehled konkrétních cookies, se kterými pracujete)

→ skoro 30 % kontrolovaných webů nedává možnost cookies odmítnout do stejné vrstvy lišty, kde je souhlasové tlačítko

Vím. Správně nastavenou cookies lištou svět nespasíme. Předpisy ale (minimálně v této oblasti) mluví dost jasně. A tak pro ty, co zákon respektují, pojďme zopakovat, že:

• cookies lišta nesmí být agresivní (vyskakovat, křičet nebo mě jinak tlačit do souhlasu)
• tlačítko odmítnout má být na stejné úrovni jako tlačítko povolit (v první vrstvě lišty)
• na webu má zůstat tlačítko, které mi umožní volbu kdykoliv přehodnotit
• o tom, co a jak s cookies děláte, mě musíte transparentně informovat
• na vašem webu by neměl chybět přehled konkrétních cookies
• vaše lišta i dokumenty by na mě měly mluvit česky
• se svým nástrojem nezapomeňte uzavřít tzv. zpracovatelskou smlouvu

Poslední tři hříchy Úřad vytýkal dost často.

Nejvyšší pokuta, která za loňský rok v oblasti cookies padla, byla 898 000 Kč. Úřad vzkazuje, že ani letos se v této oblasti nechystá polevit.

E-mailing

I tady máme stále co dohánět.

Zlatá medaile za historicky nejvyšší pokutu se loni udělila právě v této kategorii. 7,7 milionu korun. 

Za co padla?

Dopravní společnost svým zákazníkům posílala e-mailové potvrzení jejich nákupu jízdenky. Potud vše v pořádku. Koneckonců transakční e-maily byste posílat měli. 

Do potvrzovacího e-mailu ale společnost zahrnula rovnou i promokódy, slevy a tipy na jiné podniky. Představme si třeba doporučení na konkrétní aquaparky, restaurace, muzea či autopůjčovny. 

Abyste ve svých e-mailech mohli promovat kohokoliv dalšího, potřebujete k tomu souhlas majitelů e-mailových adres. Jinak se jedná o spam. A ten se může dost nevyplatit.

Úřad ve výroční zprávě taky připomíná, že sahat pro e-mailové adresy do veřejných databází typu firmy.cz nebo živéfirmy.cz je jako jízda autem na červenou. K jejich marketingovému využití potřebujete i tady souhlas. A ten vy, ani provozovatelé těchto databází nemají. Tak opatrně, ať nedojde k nehodě. 

Připomínám, že ochrana e-mailových adres se vztahuje i na živnostníky či e-maily zaměstnanců. 

A které kontakty do vaší newsletterové databáze naopak směle patří? Mrkněte na můj článek Jak na e-mailing právně správně.

^‍Marketingové SMS

Obchodní sdělení prostřednictvím SMS rostou jak houby po dešti. A tak pamatujte, že tu platí stejná pravidla jako v oblasti newsletterů.

Nejčastější prohřešek, kterého se u marketingových SMSek v praxi dopouštíme? Nemožnost se z rozesílky jednoduše (a bezplatně) odhlásit.

Poštovní zásilky

Prodejní katalogy a letáky, které končí ve schránce, řešíme poměrně často.

Neuškodí si zopakovat, že pokud schránka letáky zakazuje, nesmíte do ní svou nabídku vpašovat, ať je  sebelákavější.

Jak je to ale s takovými katalogy, které nás podnikatele čekají na recepci den co den?

Úřad takovou praxi apriori nezakazuje. Pokud ale chcete v obchodním rejstříku zalovit a katalog poslat přímo mě, musíte mít po ruce tzv. balanční test a být připraveni prokázat, že mé blaho, které mi z vaší rozesílky plyne, je vyšší než to vaše. Aby z této vaší obětavosti nekoukala potenciální pokuta, nezapomeňte se o své praxi rozepsat na svých webových stránkách a dát mi možnost se z papírové rozesílky jednoduše odhlásit.  

Občanské průkazy a jejich kopie

Ani tady se nezlepšujeme právě mílovými kroky. Co byste měli vědět?

Jsou situace, kdy vám udělat kopii občanského průkazu nařizuje přímo zákon. Tam se čiňte, nenaděláme nic.

Úřad ale zaostřil na případy, kdy občanky kopírují podnikatelé, aby si pojistili, že jim s jejich věcmi jen tak neutečete. Typicky to bývají autopůjčovny či půjčovny outdoorového vybavení. Nebo situace, kdy si při online nákupu či registraci do aplikace podnikatel ověří, s kým že to vlastně jedná.

V takových případech je potřeba se zastavit a zamyslet, které údaje z občanky jako podnikatelé OPRAVDU potřebujete. A před jejich zkopírováním ty nepotřebné zakrýt nebo začernit.

Minimalismus. To je to, o co Úřadu (a GDPR) běží především.

Biometrické údaje při vstupu na pracoviště

S touhle praxí už se snad i lepšíme. Přesto Úřad připomíná, že čtečky biometrických údajů (otisků prstů, dlaní, skeny očí či obličejů) na pracovišti nevidí rád. Biometrika se řadí mezi tzv. citlivé údaje. Pro práci s nimi tak musíte vytáhnout z rukávu daleko větší eso než „pouhé” souhlasy vašich zaměstnanců. Platí tady víc než kde jinde: dvakrát měř, jednou řež.
‍

Pár čísel (a tipů) na závěr

Na Úřad loni dorazilo 3 710 stížností. 

Přišla jedna i na vás? To se stane. Úřad nemá paniku v povaze a dá vám prostor říct i vaši verzi příběhu. Pokud se ale stížností sejde víc nebo jste u Úřadu známá firma, je čas zbystřit a sekat latinu. 

Příděl trpělivosti už jsme však u Úřadu přečerpali v oblasti cookies. Pro případnou dávku adrenalinu bych tedy volila jiný sport.  

Celkově Úřad udělil sankce ve výši 12 276 000 Kč. Navýšení oproti předchozímu roku není zrovna malé. A není se čemu divit. Evropská unie poslala úřadům vodítka, jak pokuty vyměřovat, ať je to napříč tou Evropou fér.

^‍A jaké oblasti pro letošek nepodcenit (aneb pojďme číst mezi řádky)?

1. cookies
2. e-mailing
3. marketingové SMS 

Přeji nám krásné jaro a příští rok ještě o chlup lepší výsledky.