Výsledky kontrol Úřadu pro ochranu osobních údajů za první pololetí roku 2021

Shrnuli jsme pro vás to nejdůležitější z výsledků kontrol Úřadu pro ochranu osobních údajů (ÚOOÚ) za první polovinu minulého roku. Při výběru konkrétních případů jsme se zaměřili na oblasti, jimž se dlouhodobě věnujeme, a přinášíme vám přehled kontrol rozdělený do tří kategorií: nevyžádaná obchodní sdělení, pojišťovnictví a kopie občanských průkazů.

Jména společností ÚOOÚ nezveřejňuje. Uvádí o nich pouze to, že spadají do nejrůznějších oblastí: státní správa, neziskový sektor, školství, pojišťovnictví… Mezi kontrolovanými subjekty jsou mimo jiné zprostředkovatelé prodeje elektřiny a zemního plynu, Policie ČR či společenství vlastníků jednotek.

Nevyžádaná obchodní sdělení

  1. Desítky stížností přišly ÚOOÚ kvůli rozesílání obchodních sdělení (dále jen OS) bez právního titulu. Společnost vůbec nereagovala na výzvu k jeho doložení. Za nesoučinnost jí tedy byla uložena pokuta 50 000 Kč. OS neobsahovaly totožnost odesílatele a byly rozesílány bez předchozího souhlasu, zapojené společnosti proto dostaly pokutu celkem 245 000 Kč.
  2. Podobně jako v předchozím bodě si lidé stěžovali na zasílání OS obchodním partnerům (e-maily dohledány na internetu). Příčinou rozesílání byla technická chyba, odesílatel se ji hned snažil napravit a zaslal omluvu. Za odeslání OS bez předchozího souhlasu mu však ÚOOÚ udělil pokutu 80 000 Kč.
  3. Celkem 11 stížností obdržel ÚOOÚ na společnost, která za obchodní sdělení označila i sdělení obsahující informace z návštěv jednotlivých prodejen. I tato jednoznačně evokují potenciální možný nákup a odkazují na webové stránky. ÚOOÚ konstatoval porušení zákona o některých službách informační společnosti a uložil pokutu 20 000 Kč.
  4. Přišlo 16 stížností na odesílatele OS, jehož totožnost nebyla zjištěna. I přesto byla osobě, v jejíž prospěch byly OS šířeny, uložena pokuta ve výši 50 000 Kč za porušení zákona o některých službách informační společnosti (zprávy nebyly označeny jako OS, chyběla totožnost odesílatele i možnost odhlášení).
  5. Odesílatele se nepodařilo zjistit ani v dalším případě, kdy se stížností sešly opět desítky. OS byly rozesílány ve prospěch internetových obchodů. Ty nereagovaly na výzvy o součinnost, za což jim byla uložena pokuta 100 000 Kč. Dalších 200 000 Kč uložil ÚOOÚ za to, že OS neobsahovala údaj o odesílateli.
    • V této souvislosti ÚOOÚ zdůrazňuje, že odpovědným za šíření obchodních sdělení je jak samotný faktický odesílatel obchodních sdělení, tak také subjekt či subjekty, v jejichž prospěch byla obchodní sdělení šířena.
  6. Nejen 8 stížností, ale také předchozí správní a kontrolní řízení v oblasti rozesílání OS vedly ke kontrole společnosti, která chybně použila databázi k rozesílce. Ta neobsahovala pouze údaje zákazníků, a tedy chyběl právní titul. Dále u OS chyběla i možnost jejich odhlášení. Vzhledem k dřívějším opakovaným správním řízením uložil ÚOOÚ pokutu ve výši 250 000 Kč.
    • V této souvislosti ÚOOÚ doporučuje, aby si společnosti před každou rozesílkou ověřily, zda jejich databáze elektronických kontaktů pro zasílání obchodních sdělení skutečně obsahují pouze ty kontakty, které jsou jejich zákazníky a současně neodmítly zasílání obchodních sdělení, nebo se jedná o kontakty, které udělily se zasíláním obchodních sdělení souhlas. Dále je vhodné za tímto účelem nastavit i příslušné kontrolní mechanismy, aby byly případné chyby odhaleny co nejdříve. Každé obchodní sdělení musí obsahovat informaci o tom, jak lze zasílání obchodních sdělení odmítnout. Ve vztahu k zákazníkům musí být tato možnost dána jasně, zřetelně, jednoduše, zdarma nebo na účet příslušné fyzické či právnické osoby.

Kontroly u pojišťoven

  1. Kontrolu provedl ÚOOÚ na základě stížnosti bývalého zaměstnance, jemuž ani po skončení pracovního poměru nebylo zrušeno přístupové heslo do DS společnosti (po dobu cca 2 měsíců). ÚOOÚ konstatoval porušení GDPR (nedostatečné opatření k zamezení neoprávněného přístupu k osobním údajům). Kontrolovaná osoba v návaznosti na zjištění upravila vnitřní postupy, od uložení pokuty bylo upuštěno.
  2. ÚOOÚ kontroloval zpracování osobních údajů v souvislosti s poskytováním asistenčních služeb. Asistenční společnost postupovala u plnění závazku z cestovního pojištění při repatriaci v rozporu s GDPR (blíže nespecifikováno). Přímo u pojišťovny však žádný rozpor s GDPR shledán nebyl (kontrola se zaměřila na plnění informační povinnosti, právní titul, přijatá technická a organizační opatření, jmenování pověřence).

Kontroly v souvislosti s pořizováním a uchováváním kopií OP

  1. Na základě kontrolního plánu kontroloval ÚOOÚ poskytovatele půjček. Ten ke kopírování OP přistupuje na základě AML zákona (jako povinná osoba musí provést identifikaci a kontrolu). V rámci toho rozlišuje dvě možné varianty:
    • Uzavírání smlouvy výlučně prostřednictvím prostředků komunikace na dálku, kdy je klient povinen zaslat kopii průkazu totožnosti a dalšího podpůrného dokladu. Právním základem pro pořízení kopie OP je tedy plnění právní povinnosti.
    • Uzavírání smlouvy, která není uzavírána výlučně prostřednictvím prostředků komunikace na dálku, kdy klient kontrolované osobě předkládá svůj průkaz totožnosti, z něhož jsou zaznamenány jeho identifikační údaje. Kopii OP kontrolovaná osoba pořizuje v těchto případech pouze s předchozím souhlasem klienta (souhlas je dobrovolný, uzavření smlouvy není podmíněno tímto souhlasem).

Doba uchovávání osobních údajů kontrolovanou osobou je 10 let a vychází z maximální délky promlčecí doby podle občanského zákoníku a ze zákona AML. Výše naznačený postup byl shledán v souladu s GDPR.

  1. Dalším kontrolovaným subjektem v této kategorii byl hotel. Pořizoval skeny dokladů totožnosti údajně na základě souhlasu subjektů údajů, nebyl ho však schopen doložit. ÚOOÚ konstatoval zpracování bez právního titulu, a tedy v rozporu s GDPR (zásada minimalizace). Kromě toho shledal nedostatky u záznamů o činnostech zpracování a informační povinnosti. Uložil hotelu pokutu a nápravné opatření.

autor: Mgr. Kateřina Grézlová
4. 1. 2022
FOTO

Mohlo by vás také zajímat:

Režim GDPR bude ve Velké Británii platit ještě nanejvýš šest měsíců

FRANTIŠEK STIBOR

Jsem právník junior a specializuji se na obchodní právo a právo obchodních korporací. Mluvím plynně anglicky.

KATEŘINA GRÉZLOVÁ

Jsem advokátkou se zkušenostmi v oblasti trestního, správního a ústavního práva. V současné době se specializuji zejména na regulaci osobních údajů podle GDPR a ePrivacy. Mluvím plynně anglicky.

MARCELA JANDOROVÁ

Jsem advokátkou se zkušenostmi v oblasti trestního a občanského práva, včetně sporné agendy. Mluvím plynně anglicky.

KATEŘINA STIBOROVÁ

Kateřina Stiborová

Jsem paralegal se zkušenostmi v oblasti obchodního a občanského práva a dále v oblasti zadávání veřejných zakázek a jejich administraci. V současné době se specializuji zejména na pojistné a finanční produkty. Mluvím plynně anglicky.

JAKUB HRUŠKA

Jsem advokátem a zabývám se zejména regulací osobních údajů a informačních technologií podle GDPR, ePrivacy a dalších předpisů v EU a ve světě. Mluvím plynně anglicky.

LENKA SÝKOROVÁ

Lenka Sýkorová

Jsem advokátkou se specializací na pojistné právo a distribuci pojištění, na obchodní právo a občanské právo se zaměřením na náhradu újmy a řešení soudních sporů.  Mluvím plynně anglicky a německy.

MONIKA HEREŠOVÁ MRAKOVÁ

Monika Herešová

Jsem advokátkou s 20letou zkušeností se specializací na pojistné, finanční a penzijní produkty. Poskytuji též poradenství v oblastech obchodního práva včetně financování projektů.  Mluvím plynně anglicky.