Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Kreditech Česká republika s.r.o.

Kontrola zpracování osobních údajů v souvislosti s provozem databáze

Kontrola na základě stížnosti Hamburské kanceláře zmocněnce pro ochranu osobních údajů a svobodný pohyb informací, ve které byl požádán o prošetření postupů při nakládání s osobními údaji společností Kreditech Česká republika, s.r.o., součástí německého holdingu Kreditech Holding SSL GmbH. V podnětu bylo poukazováno na „extensive data collection, automated individual decision, no freely given consent, endless retention“.

Předmětem činnosti společnosti Kreditech Česká republika je mimo jiné poskytování nebo zprostředkování spotřebitelského úvěru, a to formou online půjčky, která díky automatizovanému úvěrovému systému funguje 24 hodin denně. Společnost je registrována u Úřadu.

Vzhledem k typu poskytované služby se kontrola zaměřila také na zpracovávání osobních údajů ze sociálních sítí. Ze zjištění vyplynulo, že Kreditech tyto údaje využívá k částečnému ověření totožnosti žadatele o úvěr a pro zabránění podvodným žádostem. Data získaná z připojení prostřednictvím sociálních sítí nepoužívá k hodnocení.

Kreditech Česká republika, s.r.o. využívá know-how mateřské společnosti Kreditech Holding SSL GmbH, Hamburg, a to na základě smlouvy.

Kontrolou byly prověřovány povinnosti správce ve smyslu § 5 odst. 1 písm. a) a b), (stanovení účelu a prostředků), § 5 odst. 1 písm. d) (údaje odpovídající účelu), § 5 odst. 1 písm. e) (doba uchování), § 5 odst. 2 (právní titul) a § 4 písm. n) (definice pojmu souhlas) a § 11 odst. 1 a odst. 2 informační povinnost. Dále bylo kontrolováno ustanovení § 27 týkající se předávání osobních údajů do členských států EU, resp. do třetích zemí. Kontrolovaný předává osobní údaje do USA a Singapuru, tj. do zemí, které jsou z hlediska úrovně ochrany osobních údajů považovány za tzv. třetí země.

S odkazem na stanovisko Úřadu č. 3/2014 k nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a ke kontrolním zjištěním bylo konstatováno porušení § 11 odst. 2 zákona č. 101/2000 Sb. a v návaznosti na stanovisko Úřadu č. 2/2010. Předání osobních údajů do jiných států nebylo možné výjimku uvedenou v ustanovení § 27 odst. 3 písm. a) zákona č. 101/2000 Sb. použít a kontrolou bylo konstatováno porušení § 27 zákona č. 101/2000 Sb.

Kontrolované osobě byla ve správním řízení uložena sankce ve výši 50.000 Kč.

Kontrolu řídil inspektor Mgr. Daniel Rovan.