Výsledky kontrol Úřadu pro ochranu osobních údajů za první pololetí roku 2021

4. 1. 2022

Shrnuli jsme pro vás to nejdůležitější z výsledků kontrol Úřadu pro ochranu osobních údajů (ÚOOÚ) za první polovinu minulého roku. Při výběru konkrétních případů jsme se zaměřili na oblasti, jimž se dlouhodobě věnujeme, a přinášíme vám přehled kontrol rozdělený do dvou kategorií: nevyžádaná obchodní sdělení a kopie občanských průkazů.

Jména společností ÚOOÚ nezveřejňuje. Uvádí o nich pouze to, že spadají do nejrůznějších oblastí: státní správa, neziskový sektor, školství, pojišťovnictví… Mezi kontrolovanými subjekty jsou mimo jiné zprostředkovatelé prodeje elektřiny a zemního plynu, Policie ČR či společenství vlastníků jednotek. 

Nevyžádaná obchodní sdělení
  1. Desítky stížností přišly ÚOOÚ kvůli rozesílání obchodních sdělení (dále jen OS) bez právního titulu. Společnost vůbec nereagovala na výzvu k jeho doložení. Za nesoučinnost jí tedy byla uložena pokuta 50 000 Kč. OS neobsahovaly totožnost odesílatele a byly rozesílány bez předchozího souhlasu, zapojené společnosti proto dostaly pokutu celkem 245 000 Kč.
  2. Podobně jako v předchozím bodě si lidé stěžovali na zasílání OS obchodním partnerům (e-maily dohledány na internetu). Příčinou rozesílání byla technická chyba, odesílatel se ji hned snažil napravit a zaslal omluvu. Za odeslání OS bez předchozího souhlasu mu však ÚOOÚ udělil pokutu 80 000 Kč.
  3. Celkem 11 stížností obdržel ÚOOÚ na společnost, která za obchodní sdělení označila i sdělení obsahující informace z návštěv jednotlivých prodejen. I tato jednoznačně evokují potenciální možný nákup a odkazují na webové stránky. ÚOOÚ konstatoval porušení zákona o některých službách informační společnosti a uložil pokutu 20 000 Kč.
  4. Přišlo 16 stížností na odesílatele OS, jehož totožnost nebyla zjištěna. I přesto byla osobě, v jejíž prospěch byly OS šířeny, uložena pokuta ve výši 50 000 Kč za porušení zákona o některých službách informační společnosti (zprávy nebyly označeny jako OS, chyběla totožnost odesílatele i možnost odhlášení).
  5. Odesílatele se nepodařilo zjistit ani v dalším případě, kdy se stížností sešly opět desítky. OS byly rozesílány ve prospěch internetových obchodů. Ty nereagovaly na výzvy o součinnost, za což jim byla uložena pokuta 100 000 Kč. Dalších 200 000 Kč uložil ÚOOÚ za to, že OS neobsahovala údaj o odesílateli.
    • V této souvislosti ÚOOÚ zdůrazňuje, že odpovědným za šíření obchodních sdělení je jak samotný faktický odesílatel obchodních sdělení, tak také subjekt či subjekty, v jejichž prospěch byla obchodní sdělení šířena.
  6. Nejen 8 stížností, ale také předchozí správní a kontrolní řízení v oblasti rozesílání OS vedly ke kontrole společnosti, která chybně použila databázi k rozesílce. Ta neobsahovala pouze údaje zákazníků, a tedy chyběl právní titul. Dále u OS chyběla i možnost jejich odhlášení. Vzhledem k dřívějším opakovaným správním řízením uložil ÚOOÚ pokutu ve výši 250 000 Kč.
    • V této souvislosti ÚOOÚ doporučuje, aby si společnosti před každou rozesílkou ověřily, zda jejich databáze elektronických kontaktů pro zasílání obchodních sdělení skutečně obsahují pouze ty kontakty, které jsou jejich zákazníky a současně neodmítly zasílání obchodních sdělení, nebo se jedná o kontakty, které udělily se zasíláním obchodních sdělení souhlas. Dále je vhodné za tímto účelem nastavit i příslušné kontrolní mechanismy, aby byly případné chyby odhaleny co nejdříve. Každé obchodní sdělení musí obsahovat informaci o tom, jak lze zasílání obchodních sdělení odmítnout. Ve vztahu k zákazníkům musí být tato možnost dána jasně, zřetelně, jednoduše, zdarma nebo na účet příslušné fyzické či právnické osoby.
Kontroly v souvislosti s pořizováním a uchováváním kopií OP
  1. Na základě kontrolního plánu kontroloval ÚOOÚ poskytovatele půjček. Ten ke kopírování OP přistupuje na základě AML zákona (jako povinná osoba musí provést identifikaci a kontrolu). V rámci toho rozlišuje dvě možné varianty:
    • Uzavírání smlouvy výlučně prostřednictvím prostředků komunikace na dálku, kdy je klient povinen zaslat kopii průkazu totožnosti a dalšího podpůrného dokladu. Právním základem pro pořízení kopie OP je tedy plnění právní povinnosti.
    • Uzavírání smlouvy, která není uzavírána výlučně prostřednictvím prostředků komunikace na dálku, kdy klient kontrolované osobě předkládá svůj průkaz totožnosti, z něhož jsou zaznamenány jeho identifikační údaje. Kopii OP kontrolovaná osoba pořizuje v těchto případech pouze s předchozím souhlasem klienta (souhlas je dobrovolný, uzavření smlouvy není podmíněno tímto souhlasem).

    • Doba uchovávání osobních údajů kontrolovanou osobou je 10 let a vychází z maximální délky promlčecí doby podle občanského zákoníku a ze zákona AML. Výše naznačený postup byl shledán v souladu s GDPR.

       

  2. Dalším kontrolovaným subjektem v této kategorii byl hotel. Pořizoval skeny dokladů totožnosti údajně na základě souhlasu subjektů údajů, nebyl ho však schopen doložit. ÚOOÚ konstatoval zpracování bez právního titulu, a tedy v rozporu s GDPR (zásada minimalizace). Kromě toho shledal nedostatky u záznamů o činnostech zpracování a informační povinnosti. Uložil hotelu pokutu a nápravné opatření.

FOTO

Mohlo by vás také zajímat:

Kdy lze pořídit kopii občanského průkazu klienta?

Úřady porušily zákon: osobní údaje použily k rozesílání roušek neoprávněně

Úřad pro ochranu osobních údajů připravil novou pomůcku pro správce údajů