BNP Paribas Personal Finance SA, odštěpný závod
Kontrola zpracování osobních údajů klientů při tzv. nákupu na splátky
Na základě svého kontrolního plánu provedl Úřad kontrolu dle zákona č. 101/2000 Sb., jejímž předmětem bylo zpracování osobních údajů při poskytování úvěru při nákupu na splátky. V rámci kontroly prověřil také podnět ve věci tvrzeného neoprávněného zpracování osobních údajů kontrolovanou osobou.
Kontrola prokázala, že hlavní činností kontrolované osoby je zejména přijímání vkladů, poskytování úvěrů a platebních služeb. V této souvislosti shromažďuje od svých klientů širokou škálu osobních údajů, včetně citlivých údajů (biometrický podpis při podpisu dokumentace v elektronické podobě), přičemž postupuje na základě právního titulu uvedeného v § 5 odst. 2 písm. a) a § 9 písm. a) zákona č. 101/2000 Sb. (souhlas subjektu údajů). Při své činnosti spolupracuje kontrolovaná osoba s prodejci a dalšími dodavateli služeb, kteří jsou v postavení zpracovatele osobních údajů.
Kontrolovaná osoba doložila smlouvu o zpracování osobních údajů, která odpovídala požadavkům zákona č. 101/2000 Sb. Kontrolující zjistili, že kontrolovaná osoba řádně plní povinnosti v oblasti informování subjektů údajů a vyřizování jejich žádostí či stížností dle § 11 (informační povinnost), § 12 (přístup subjektu údajů k informacím) a § 21 (přístup k údajům, právo na vysvětlení a nápravu) zákona č. 101/2000 Sb. Úřad dále prověřil opatření přijatá za účelem zajištění bezpečnosti zpracovávaných osobních údajů a tato opatření vyhodnotil jako odpovídající požadavkům vyplývajícím z § 13 citovaného zákona.
Kontrolou však bylo zjištěno, že kontrolovaná osoba zpracovává zvukové záznamy telefonních hovorů s klienty a biometrický podpis klientů, přičemž zpracování těchto údajů není pro naplnění deklarovaného účelu zpracování nezbytné. Ve vztahu k záznamům z telefonních hovorů s klienty vyšlo najevo, že kontrolovaná osoba je uchovávala po dobu deseti let, ačkoli toto zpracování osobních údajů nebylo po tak dlouhou dobu nezbytné pro naplnění účelu zpracování. Kontrolovaná osoba také uchovávala další osobní údaje stěžovatele i poté, co již nebyly nezbytné pro naplnění účelu zpracování.
Kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené § 5 odst. 1 písm. d) (shromažďování v odpovídajícím a nezbytném rozsahu) a písm. e) (uchovávání pouze po nezbytnou dobu) zákona č. 101/2000 Sb.
Vzhledem k tomu, že kontrolovaná osoba neprodleně zahájila proces nápravy závadného stavu, Úřad opatření k nápravě neuložil a ve věci zahájil řízení o přestupku.
Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.