Shrnuli jsme pro vás to nejdůležitější z výsledků kontrol Úřadu pro ochranu osobních údajů (ÚOOÚ) za první polovinu minulého roku. Při výběru konkrétních případů jsme se zaměřili na oblasti, jimž se dlouhodobě věnujeme, a přinášíme vám přehled kontrol rozdělený do tří kategorií: nevyžádaná obchodní sdělení, pojišťovnictví a kopie občanských průkazů.
Jména společností ÚOOÚ nezveřejňuje. Uvádí o nich pouze to, že spadají do nejrůznějších oblastí: státní správa, neziskový sektor, školství, pojišťovnictví… Mezi kontrolovanými subjekty jsou mimo jiné zprostředkovatelé prodeje elektřiny a zemního plynu, Policie ČR či společenství vlastníků jednotek.
Nevyžádaná obchodní sdělení
- Desítky stížností přišly ÚOOÚ kvůli rozesílání obchodních sdělení (dále jen OS) bez právního titulu. Společnost vůbec nereagovala na výzvu k jeho doložení. Za nesoučinnost jí tedy byla uložena pokuta 50 000 Kč. OS neobsahovaly totožnost odesílatele a byly rozesílány bez předchozího souhlasu, zapojené společnosti proto dostaly pokutu celkem 245 000 Kč.
- Podobně jako v předchozím bodě si lidé stěžovali na zasílání OS obchodním partnerům (e-maily dohledány na internetu). Příčinou rozesílání byla technická chyba, odesílatel se ji hned snažil napravit a zaslal omluvu. Za odeslání OS bez předchozího souhlasu mu však ÚOOÚ udělil pokutu 80 000 Kč.
- Celkem 11 stížností obdržel ÚOOÚ na společnost, která za obchodní sdělení označila i sdělení obsahující informace z návštěv jednotlivých prodejen. I tato jednoznačně evokují potenciální možný nákup a odkazují na webové stránky. ÚOOÚ konstatoval porušení zákona o některých službách informační společnosti a uložil pokutu 20 000 Kč.
- Přišlo 16 stížností na odesílatele OS, jehož totožnost nebyla zjištěna. I přesto byla osobě, v jejíž prospěch byly OS šířeny, uložena pokuta ve výši 50 000 Kč za porušení zákona o některých službách informační společnosti (zprávy nebyly označeny jako OS, chyběla totožnost odesílatele i možnost odhlášení).
- Odesílatele se nepodařilo zjistit ani v dalším případě, kdy se stížností sešly opět desítky. OS byly rozesílány ve prospěch internetových obchodů. Ty nereagovaly na výzvy o součinnost, za což jim byla uložena pokuta 100 000 Kč. Dalších 200 000 Kč uložil ÚOOÚ za to, že OS neobsahovala údaj o odesílateli.
- V této souvislosti ÚOOÚ zdůrazňuje, že odpovědným za šíření obchodních sdělení je jak samotný faktický odesílatel obchodních sdělení, tak také subjekt či subjekty, v jejichž prospěch byla obchodní sdělení šířena.
- Nejen 8 stížností, ale také předchozí správní a kontrolní řízení v oblasti rozesílání OS vedly ke kontrole společnosti, která chybně použila databázi k rozesílce. Ta neobsahovala pouze údaje zákazníků, a tedy chyběl právní titul. Dále u OS chyběla i možnost jejich odhlášení. Vzhledem k dřívějším opakovaným správním řízením uložil ÚOOÚ pokutu ve výši 250 000 Kč.
- V této souvislosti ÚOOÚ doporučuje, aby si společnosti před každou rozesílkou ověřily, zda jejich databáze elektronických kontaktů pro zasílání obchodních sdělení skutečně obsahují pouze ty kontakty, které jsou jejich zákazníky a současně neodmítly zasílání obchodních sdělení, nebo se jedná o kontakty, které udělily se zasíláním obchodních sdělení souhlas. Dále je vhodné za tímto účelem nastavit i příslušné kontrolní mechanismy, aby byly případné chyby odhaleny co nejdříve. Každé obchodní sdělení musí obsahovat informaci o tom, jak lze zasílání obchodních sdělení odmítnout. Ve vztahu k zákazníkům musí být tato možnost dána jasně, zřetelně, jednoduše, zdarma nebo na účet příslušné fyzické či právnické osoby.
Kontroly u pojišťoven
- Kontrolu provedl ÚOOÚ na základě stížnosti bývalého zaměstnance, jemuž ani po skončení pracovního poměru nebylo zrušeno přístupové heslo do DS společnosti (po dobu cca 2 měsíců). ÚOOÚ konstatoval porušení GDPR (nedostatečné opatření k zamezení neoprávněného přístupu k osobním údajům). Kontrolovaná osoba v návaznosti na zjištění upravila vnitřní postupy, od uložení pokuty bylo upuštěno.
- ÚOOÚ kontroloval zpracování osobních údajů v souvislosti s poskytováním asistenčních služeb. Asistenční společnost postupovala u plnění závazku z cestovního pojištění při repatriaci v rozporu s GDPR (blíže nespecifikováno). Přímo u pojišťovny však žádný rozpor s GDPR shledán nebyl (kontrola se zaměřila na plnění informační povinnosti, právní titul, přijatá technická a organizační opatření, jmenování pověřence).
Kontroly v souvislosti s pořizováním a uchováváním kopií OP
- Na základě kontrolního plánu kontroloval ÚOOÚ poskytovatele půjček. Ten ke kopírování OP přistupuje na základě AML zákona (jako povinná osoba musí provést identifikaci a kontrolu). V rámci toho rozlišuje dvě možné varianty:
- Uzavírání smlouvy výlučně prostřednictvím prostředků komunikace na dálku, kdy je klient povinen zaslat kopii průkazu totožnosti a dalšího podpůrného dokladu. Právním základem pro pořízení kopie OP je tedy plnění právní povinnosti.
- Uzavírání smlouvy, která není uzavírána výlučně prostřednictvím prostředků komunikace na dálku, kdy klient kontrolované osobě předkládá svůj průkaz totožnosti, z něhož jsou zaznamenány jeho identifikační údaje. Kopii OP kontrolovaná osoba pořizuje v těchto případech pouze s předchozím souhlasem klienta (souhlas je dobrovolný, uzavření smlouvy není podmíněno tímto souhlasem).
Doba uchovávání osobních údajů kontrolovanou osobou je 10 let a vychází z maximální délky promlčecí doby podle občanského zákoníku a ze zákona AML. Výše naznačený postup byl shledán v souladu s GDPR.
- Dalším kontrolovaným subjektem v této kategorii byl hotel. Pořizoval skeny dokladů totožnosti údajně na základě souhlasu subjektů údajů, nebyl ho však schopen doložit. ÚOOÚ konstatoval zpracování bez právního titulu, a tedy v rozporu s GDPR (zásada minimalizace). Kromě toho shledal nedostatky u záznamů o činnostech zpracování a informační povinnosti. Uložil hotelu pokutu a nápravné opatření.
autor: Mgr. Kateřina Grézlová
4. 1. 2022
FOTO
Mohlo by vás také zajímat:
Režim GDPR bude ve Velké Británii platit ještě nanejvýš šest měsíců