top of page
  • Obrázek autoraJosef Bátrla

Kontroly ÚOOÚ v oblasti poskytovatelů služeb

Povinnosti stanovené GDPR dopadají na většinu českých podnikatelů. Jak si vedli při jejich dodržování v první polovině minulého roku? ÚOOÚ si vzal na paškál například eRoušku a ve svých kontrolách odhalil několik prohřešků, ze kterých se můžeme poučit.


Dle informací statistického úřadu bylo k 31. 12. 2021 na území ČR lehce přes 2,5 mi­lionu podnikatelů. Drtivé většiny z nich se týkají i povinnosti stanovené GDPR. Soukromý segment, zejména pak prodej zboží a poskytování služeb, je jed­na z nejčastějších oblastí, kte­ré se věnuje GDPR i v rámci dozorové činnosti. Pojďme se v tomto článku podívat na to, jak si podnikatelé v oblasti zpracování osobních údajů vedli a čemu se ÚOOÚ věnoval v rámci své kontrolní činnosti.


Opakované porušení GDPR

Ignorovat nařízení ÚOOÚ se nevyplá­cí. O tom nás ÚOOÚ informuje v rámci kontroly pod sp. zn. UOOU­05291/21. V září roku 2020 totiž při­kázal kontrolované osobě ukončit zpracování osobních údajů o podnikajících fyzických osobách (respektive jejich zveřejnění na stránkách kontro­lované osoby), jež byly získány z veřejných rejstříků. Kontrolovaná oso­ba toto však neučinila, zpracovávané údaje nesmazala a ani neposkytla ÚOOÚ zprávu o tom, že by takto po­stupovala.


Tím pádem ÚOOÚ přistoupil k uložení další pokuty, v rámci které uplatnil přitěžující okolnosti, spočíva­jící v tom, že byla podaná opakovaná stížnost, kontrolovaná osoba udržo­vala nezákonný stav déle než 1 rok a dopouštěla se systematického poru­šování povinnosti. Konkrétní výše po­kut se dozvíme v souhrnné zprávě za celý rok 2022.


Kontrola doručovatelských služeb

Další kontrolu provedl ÚOOÚ v roce 2021 na základě kont­rolního plánu (sp. zn. UOOU­-03426/21). Kontrola se týkala dodr­žování povinností v souvislosti se zpra­cováním osobních údajů příjemců zásilek při realizaci doručovatelských služeb, neodhalila však žádné pochy­bení.


Dle závěru ÚOOÚ totiž kontro­lovaná osoba od okamžiku přijetí úda­jů o adresátovi až po doručení zásilky zpracovávala osobní údaje legitimním způsobem a v souladu s GDPR. ÚOOÚ však ke kontrole přistoupil poměrně široce, neboť se nezajímal pouze o zákonnost základních para­metrů zpracování, ale i o způsob poskytování informací a dodržování bezpečnostních opatření.


Nad jednou skutečností je však možné se pozastavit. ÚOOÚ totiž nekontroloval pouze existenci zpracovatelských smluv (jichž muselo být rela­tivně hodně ve vztahu ke skutečnosti, že kontrolovaná osoba spolupracovala s cca 400 dopravci a cca 1 325 výdejní­mi místy), ale zaměřil se i na samotný obsah zpracovatelských smluv. Byť v tomto případě se kontrolovaná osoba nedopustila porušení čl. 28 odst. 2 a 3 GDPR, ÚOOÚ naznačil, které oblasti ho ve smlouvách zajímají (viz box). Pravidla týkající se zpracovatelských smluv si můžete připomenout také v na­ šem článku Časté otázky ke zpracovatelské smlouvě.


Obdobnou kontrolu v roce 2021 provedl ÚOOÚ i u jiného doručovatele (sp. zn. UOOU­03088/21). Ani v tom­ to případě ÚOOÚ nevyhodnotil porušení GDPR.


Problematika „tell-a-friend“

Stížnosti na nevyžádaný telemarketing a neposkytnutí informací o zdroji zpracovávaných osobních údajů za­ vdaly příčinu ke kontrole ze strany ÚOOÚ (sp. zn. UOOU­01942/20). Tato kontrola je relativně zajímavá proto, že se vrací zpět k problematice „tell-a-friend“, které jsme se ve Zpra­vodaji již věnovali (viz tento článek).


Kontrolovaná osoba sbírala osob­ní údaje prostřednictvím letáků. Sub­jekt údajů měl pak možnost na leták vyplnit i údaje další osoby, která by mohla mít o služby zájem. Takto do­ psaná osoba neměla o tomto zpracová­ní vůbec žádné povědomí. Stejně tak kontrolovaná osoba nebyla schopna v rámci používaného letáku identifiko­vat, kdo tam dalšího potenciálního zá­kazníka dopsal.


S ohledem na tuto skutečnost tak došlo k porušení několika ustanovení GDPR – od zpracování bez řádného právního titulu přes porušení zásady korektnosti až po neposkytnutí povin­nosti poskytnout informace v souladu s čl. 13 a 14 GDPR. Vedle toho kontro­lovaná osoba porušila i povinnosti dle čl. 28 odst. 3, neboť neměla uzavřeny zpracovatelské smlouvy, a čl. 30, ne­boť nedoložila záznamy o činnostech zpracování.

ÚOOÚ zde explicitně uvedl, že kontrolovaná osoba porušila zásadu odpovědnosti ve smyslu čl. 5 odst. 2 GDPR, neboť nebyla schopna aktivně prokázat soulad zpracování osobních údajů s GDPR. Samotná kontrola byla zahájena v srpnu 2020 a ukončena v červnu 2022. Po dvou letech od za­čátku kontroly pak ÚOOÚ zahájil správní řízení, o jehož ukončení ÚOOÚ neinformuje.


Aplikace eRouška

O problematice zpracování osobních údajů v rámci aplikace eRouška jsme vás v minulosti již ve Zpravodaji in­formovali (viz tento článek). Nyní nás o závěrech kontroly (sp. zn. UOOU­-04568/20) informuje i ÚOOÚ, který na základě stížnosti v prosinci roku 2020 zahájil kontrolu, jež se týkala zpracování osobních údajů v rámci rozesílky SMS s výzvou k instalaci ap­likace eRouška. Stěžovateli se totiž ne­líbila skutečnost, že kontrolovaná oso­ba neposkytla podstatné informace o „trackovacím odkazu“, který byl součástí předmětné SMS.

Ministerstvo zdravotnictví totiž kontrolovanou osobu oslovilo s žádostí o rozesílku informačních SMS obsahujících výzvu ke stažení aplikace. Kontrolovaná osoba pak do SMS při­dala vlastní „trackovací odkaz“, který evidoval počet prokliků na předmětné stránce. Smyslem tohoto odkazu mělo být zabránění opakované rozesílce. ÚOOÚ však vyhodnotil, že toto zpracování probíhalo bez řádného právního titulu a po­ skytnutí informací.

Kontrolovaná osoba sice podala proti zjištěním námit­ky, nicméně ty byly v rozsahu absence právního titulu a splnění in­formační povinnosti zamítnuty. ÚOOÚ tak v červnu roku 2022 zahájil správní řízení, o jehož ukončení nemáme in­formace.


Telefonické reklamní nabídky

V dubnu roku 2021 zahájil ÚOOÚ kontrolu, která se týkala nevyžádaných reklamních nabídek na koupi dluhopisů. ÚOOÚ k tomu uvedl ná­ sledující: „Kontrolou bylo zjištěno, že došlo k pochybení při náhodném generování telefonních čísel, při kterém následně docházelo ke zpracování osobních údajů subjektu údajů bez zákonného důvodu, došlo tedy k porušení čl. 6 GDPR. Splněna nebyla ani informační povinnost, kdy v konkrétním případě stěžovatel nebyl informován o právním základu zpracování jeho osobních údajů.“

Vedle toho kontrolovaná osoba spojovala účely („jelikož formulář k udělení souhlasu se zpracováním osobních údajů byl zároveň i souhlasem se zasíláním obchodních sdělení“) a taktéž nedodržovala retenční lhůty (včetně povinnosti doložit skartaci osobních údajů). Stejně tak se ÚOOÚ zabýval tím, zda má kontrolovaná osoba povinnost vést záznamy o činnostech zpracování dle čl. 30 odst. 1 GDPR, a následně konstatoval poru­šení této povinnosti s ohledem na to, že kontrolovaná osoba žádné záznamy o činnostech zpracování neměla. Ve věci bylo zahájeno správní řízení, o jehož konci zatím nic nevíme.


Čas zkontrolovat dokumentaci

Z předložených informací ze strany ÚOOÚ lze mezi řádky vyčíst, že jeho kontrolní čin­ nost se prohlubuje. ÚOOÚ pe­člivě kontroluje poskytnutou dokumentaci a vyhodnocuje, zda je její obsah je v souladu s GDPR. Pokud jste v novoročních předse­ vzetích neměli kontrolu vaší dokumentace – zda je v souladu s GDPR a aktuálními stanovisky a pokyny EDPB – jistě máte čas si toto předsevzetí ještě dopsat.


Comentários


bottom of page