Elektronické vedení účtů

Původce podnětu obdržel v dopise od kontrolovaného nový identifikační údaj (heslo), který je spolu s číslem zákazníka nutno zadat pro přihlášení a vstup do klientské aplikace Phoenix (správy svého účtu). Po přihlášení do aplikace Phoenix provozované kontrolovaným se původci podnětu otevřela místo správy jeho účtu správa účtů společnosti XX, a.s., kterou původce podnětu prohlížel. Původce podnětu ve správě účtů společnosti XX, a.s., získal informace obsažené v jednotlivých účtech této společnosti.

Kontrolou bylo zjištěno, že kontrolovaný zpracovává osobní údaje svých zákazníků v informačních systémech SAP a Phoenix formou písemné evidence.

Přestože kontrolovaný v předložených interních normách věnoval bezpečnosti zpracování osobních údajů velkou pozornost, nepodařilo se mu zabránit neoprávněnému přístupu k osobním údajům obsažených ve správě účtů. Kontrolou bylo také zjištěno, že kontrolovaný zpracovává při podávání žádosti o distribuci, dodávce nebo sdružených službách, zřízení nového odběrného místa, k identifikaci oprávněných zákazníků mezi jejich osobními údaji také rodné číslo a datum narození. Rodné číslo bylo vyhodnoceno k tomuto účelu jako nadbytečné.

Kontrolovaný porušil také povinnost získat k uvedenému zpracování souhlasy zákazníků, ve smyslu ustanovení § 5 odst. 2 zákona o ochraně osobních údajů, případně souhlasy zákazníků - nositelů rodného čísla ve smyslu ustanovení § 13c odst. 1 písm. c) zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech. Ukazuje se tedy, že technický prostředek zvyšující komfort pracovní i uživatelský musí být pečlivě zabezpečen, a i v takovém případě že je třeba, aby byly zpracovávány jen údaje nezbytné k naplnění daného účelu. Jedině takovým způsobem jsou osobní údaje zákazníků náležitě ochráněny.