Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2011
  6. Zprostředkování půjčky prostřednictvím webové stránky

Zprostředkování půjčky prostřednictvím webové stránky

Úřad obdržel v roce 2011 podnět k prošetření porušení zákona č. 101/2000 Sb., v němž bylo uvedeno, že „Společnost při shromažďování osobních údajů zájemců o zprostředkování půjčky prostřednictvím webové stránky ve svém souhlasu se zpracováním osobních údajů neuvádí přesný účel zpracování, neuvádí identifikaci správce osobních údajů a neuvádí, na jaké období je souhlas dáván".

Kontrolou bylo zjištěno, že společnost při inzerci půjček na webu, v souvislosti s nezávazným posouzením možnosti půjčky, zpracovává osobní údaje zájemců v rozsahu jméno, příjmení, telefonní spojení, rodné číslo, údaj o prokazatelném čistém měsíčním příjmu, bydliště. Podle § 5 odst. 2 zákona č. 101/2000 Sb. správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat pouze z důvodů taxativně uvedených v § 5 odst. 2 písm. a) – g) tohoto zákona. V daném případě by připadalo v úvahu pouze ustanovení § 5 odst. 2 písm. b) zákona č. 101/2000 Sb., podle kterého je správce bez souhlasu oprávněn zpracovávat osobní údaje, jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření smlouvy nebo změně smlouvy uskutečněné na návrh subjektu údajů. V posuzovaném případě se nejednalo o jednání o uzavření smlouvy na návrh subjektu údajů, ale o nabídku (reklamu) správce, ještě před uzavřením samotné zprostředkovatelské smlouvy. Proto nebylo možné uplatnit některé z liberačních ustanovení § 5 odst. 2 písm. a) – g) zákona č. 101/2000 Sb., a bylo nezbytné posoudit, zda společnost informovala subjekt údajů při udělení souhlasu podle § 5 odst. 4 téhož zákona.

Podle § 5 odst. 4 zákona č. 101/2000 Sb. subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období.

Ze znění prohlášení zájemce v souvislosti s ochranou osobních údajů, uvedeného na předmětných webových stránkách, a z informací na těchto stránkách uvedených vyplynulo, že subjekt údajů před udělením souhlasu nebyl úplně informován o účelu zpracování, zájemce nevěděl, kterému správci souhlas dává a na jakou dobu. Pokud subjekt údajů není konkrétním správcem informován podle § 5 odst. 4 zákona č. 101/2000 Sb., není uvedené prohlášení zájemce platným souhlasem subjektu údajů konkrétnímu správci se shromažďováním osobních údajů ve smyslu § 5 odst. 2 věta první zákona č. 101/2000 Sb.

Podle § 11 odst. 1 a 2 zákona č. 101/2000 Sb. je správce při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech podle § 21. V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobních údajů povinné či dobrovolné.

Skutečnost, že správce údajů shromažďuje osobní údaje bez toho, aby subjektu údajů bylo vůbec známo, kdo je správcem osobních údajů, a doba uchování dat, vylučuje možnost platně (určitě) informovat subjekt údajů dle § 11 odst. 1 a 2 zákona č. 101/2000 Sb., neboť musí být subjektu údajů známé, který správce osobních údajů tuto zákonnou povinnost ve vztahu k subjektu údajů vůbec plní. Rovněž musí být subjekt údajů přesně informován o účelu, pro jaký budou osobní údaje zpracovány, o právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech podle § 21 zákona. Nesplnění informační povinnosti vůči subjektu údajů je porušením ustanovení § 11 odst. 1 a 2 zákona č. 101/2000 Sb. Zpracování rodných čísel zájemců o zprostředkování půjčky bylo shledáno v rozporu s ustanovením § 13c zákona o evidenci obyvatel, neboť platný souhlas podle § 5 odst. 4 zákona č. 101/2000 Sb. nebyl subjekty údajů dán.

Společnost tak při zpracování osobních údajů zájemců o půjčku porušila zákon č. 101/2000 Sb., neboť shromažďovala osobní údaje subjektů údajů bez toho, aby jim sdělila, kdo je správcem těchto údajů, platně informovala subjekty údajů dle § 11 odst. 1 a 2 zákona č. 101/2000 Sb. a měla od subjektů údajů platný souhlas se zpracováním osobních údajů. Společnosti byla ve správním řízení udělena pokuta.