Povinnosti stanovené GDPR dopadají na většinu českých podnikatelů. Jak si vedli při jejich dodržování v první polovině minulého roku? ÚOOÚ si vzal na paškál například eRoušku a ve svých kontrolách odhalil několik prohřešků, ze kterých se můžeme poučit.
Dle informací statistického úřadu bylo k 31. 12. 2021 na území ČR lehce přes 2,5 milionu podnikatelů. Drtivé většiny z nich se týkají i povinnosti stanovené GDPR. Soukromý segment, zejména pak prodej zboží a poskytování služeb, je jedna z nejčastějších oblastí, které se věnuje GDPR i v rámci dozorové činnosti. Pojďme se v tomto článku podívat na to, jak si podnikatelé v oblasti zpracování osobních údajů vedli a čemu se ÚOOÚ věnoval v rámci své kontrolní činnosti.
Opakované porušení GDPR
Ignorovat nařízení ÚOOÚ se nevyplácí. O tom nás ÚOOÚ informuje v rámci kontroly pod sp. zn. UOOU05291/21. V září roku 2020 totiž přikázal kontrolované osobě ukončit zpracování osobních údajů o podnikajících fyzických osobách (respektive jejich zveřejnění na stránkách kontrolované osoby), jež byly získány z veřejných rejstříků. Kontrolovaná osoba toto však neučinila, zpracovávané údaje nesmazala a ani neposkytla ÚOOÚ zprávu o tom, že by takto postupovala.
Tím pádem ÚOOÚ přistoupil k uložení další pokuty, v rámci které uplatnil přitěžující okolnosti, spočívající v tom, že byla podaná opakovaná stížnost, kontrolovaná osoba udržovala nezákonný stav déle než 1 rok a dopouštěla se systematického porušování povinnosti. Konkrétní výše pokut se dozvíme v souhrnné zprávě za celý rok 2022.
Kontrola doručovatelských služeb
Další kontrolu provedl ÚOOÚ v roce 2021 na základě kontrolního plánu (sp. zn. UOOU-03426/21). Kontrola se týkala dodržování povinností v souvislosti se zpracováním osobních údajů příjemců zásilek při realizaci doručovatelských služeb, neodhalila však žádné pochybení.
Dle závěru ÚOOÚ totiž kontrolovaná osoba od okamžiku přijetí údajů o adresátovi až po doručení zásilky zpracovávala osobní údaje legitimním způsobem a v souladu s GDPR. ÚOOÚ však ke kontrole přistoupil poměrně široce, neboť se nezajímal pouze o zákonnost základních parametrů zpracování, ale i o způsob poskytování informací a dodržování bezpečnostních opatření.
Nad jednou skutečností je však možné se pozastavit. ÚOOÚ totiž nekontroloval pouze existenci zpracovatelských smluv (jichž muselo být relativně hodně ve vztahu ke skutečnosti, že kontrolovaná osoba spolupracovala s cca 400 dopravci a cca 1 325 výdejními místy), ale zaměřil se i na samotný obsah zpracovatelských smluv. Byť v tomto případě se kontrolovaná osoba nedopustila porušení čl. 28 odst. 2 a 3 GDPR, ÚOOÚ naznačil, které oblasti ho ve smlouvách zajímají (viz box). Pravidla týkající se zpracovatelských smluv si můžete připomenout také v na šem článku Časté otázky ke zpracovatelské smlouvě.
Obdobnou kontrolu v roce 2021 provedl ÚOOÚ i u jiného doručovatele (sp. zn. UOOU03088/21). Ani v tom to případě ÚOOÚ nevyhodnotil porušení GDPR.
Problematika „tell-a-friend“
Stížnosti na nevyžádaný telemarketing a neposkytnutí informací o zdroji zpracovávaných osobních údajů za vdaly příčinu ke kontrole ze strany ÚOOÚ (sp. zn. UOOU01942/20). Tato kontrola je relativně zajímavá proto, že se vrací zpět k problematice „tell-a-friend“, které jsme se ve Zpravodaji již věnovali (viz tento článek).
Kontrolovaná osoba sbírala osobní údaje prostřednictvím letáků. Subjekt údajů měl pak možnost na leták vyplnit i údaje další osoby, která by mohla mít o služby zájem. Takto do psaná osoba neměla o tomto zpracování vůbec žádné povědomí. Stejně tak kontrolovaná osoba nebyla schopna v rámci používaného letáku identifikovat, kdo tam dalšího potenciálního zákazníka dopsal.
S ohledem na tuto skutečnost tak došlo k porušení několika ustanovení GDPR – od zpracování bez řádného právního titulu přes porušení zásady korektnosti až po neposkytnutí povinnosti poskytnout informace v souladu s čl. 13 a 14 GDPR. Vedle toho kontrolovaná osoba porušila i povinnosti dle čl. 28 odst. 3, neboť neměla uzavřeny zpracovatelské smlouvy, a čl. 30, neboť nedoložila záznamy o činnostech zpracování.
ÚOOÚ zde explicitně uvedl, že kontrolovaná osoba porušila zásadu odpovědnosti ve smyslu čl. 5 odst. 2 GDPR, neboť nebyla schopna aktivně prokázat soulad zpracování osobních údajů s GDPR. Samotná kontrola byla zahájena v srpnu 2020 a ukončena v červnu 2022. Po dvou letech od začátku kontroly pak ÚOOÚ zahájil správní řízení, o jehož ukončení ÚOOÚ neinformuje.
Aplikace eRouška
O problematice zpracování osobních údajů v rámci aplikace eRouška jsme vás v minulosti již ve Zpravodaji informovali (viz tento článek). Nyní nás o závěrech kontroly (sp. zn. UOOU-04568/20) informuje i ÚOOÚ, který na základě stížnosti v prosinci roku 2020 zahájil kontrolu, jež se týkala zpracování osobních údajů v rámci rozesílky SMS s výzvou k instalaci aplikace eRouška. Stěžovateli se totiž nelíbila skutečnost, že kontrolovaná osoba neposkytla podstatné informace o „trackovacím odkazu“, který byl součástí předmětné SMS.
Ministerstvo zdravotnictví totiž kontrolovanou osobu oslovilo s žádostí o rozesílku informačních SMS obsahujících výzvu ke stažení aplikace. Kontrolovaná osoba pak do SMS přidala vlastní „trackovací odkaz“, který evidoval počet prokliků na předmětné stránce. Smyslem tohoto odkazu mělo být zabránění opakované rozesílce. ÚOOÚ však vyhodnotil, že toto zpracování probíhalo bez řádného právního titulu a po skytnutí informací.
Kontrolovaná osoba sice podala proti zjištěním námitky, nicméně ty byly v rozsahu absence právního titulu a splnění informační povinnosti zamítnuty. ÚOOÚ tak v červnu roku 2022 zahájil správní řízení, o jehož ukončení nemáme informace.
Telefonické reklamní nabídky
V dubnu roku 2021 zahájil ÚOOÚ kontrolu, která se týkala nevyžádaných reklamních nabídek na koupi dluhopisů. ÚOOÚ k tomu uvedl ná sledující: „Kontrolou bylo zjištěno, že došlo k pochybení při náhodném generování telefonních čísel, při kterém následně docházelo ke zpracování osobních údajů subjektu údajů bez zákonného důvodu, došlo tedy k porušení čl. 6 GDPR. Splněna nebyla ani informační povinnost, kdy v konkrétním případě stěžovatel nebyl informován o právním základu zpracování jeho osobních údajů.“
Vedle toho kontrolovaná osoba spojovala účely („jelikož formulář k udělení souhlasu se zpracováním osobních údajů byl zároveň i souhlasem se zasíláním obchodních sdělení“) a taktéž nedodržovala retenční lhůty (včetně povinnosti doložit skartaci osobních údajů). Stejně tak se ÚOOÚ zabýval tím, zda má kontrolovaná osoba povinnost vést záznamy o činnostech zpracování dle čl. 30 odst. 1 GDPR, a následně konstatoval porušení této povinnosti s ohledem na to, že kontrolovaná osoba žádné záznamy o činnostech zpracování neměla. Ve věci bylo zahájeno správní řízení, o jehož konci zatím nic nevíme.
Čas zkontrolovat dokumentaci
Z předložených informací ze strany ÚOOÚ lze mezi řádky vyčíst, že jeho kontrolní čin nost se prohlubuje. ÚOOÚ pečlivě kontroluje poskytnutou dokumentaci a vyhodnocuje, zda je její obsah je v souladu s GDPR. Pokud jste v novoročních předse vzetích neměli kontrolu vaší dokumentace – zda je v souladu s GDPR a aktuálními stanovisky a pokyny EDPB – jistě máte čas si toto předsevzetí ještě dopsat.