CSR & Protikorupcnilinka.cz s.r.o.
Kontrola zpracování osobních údajů v systému CERD
Na základě 53 podnětů provedl Úřad kontrolu dodržování povinností stanovených zákonem č. 101/2000 Sb. v souvislosti s poskytováním nabízených služeb na internetových stránkách www.cerd.cz a www.centralniregistrdluzniku.cz, souhrnně označovaných jako systém CERD. Předmětem kontroly bylo dále také dodržování povinností vyplývajících ze zákona č. 480/2004 Sb. při rozesílání obchodních sdělení.
Úřad v rámci kontroly dospěl k závěru, že v pozici správce osobních údajů není ani společnost CSR & Protikorupcnilinka.cz s.r.o., ani americká společnost CERD SYSTEM LLC., Banking information technology, se sídlem 3129 Quinby Street, San Diego, CA 92106, Spojené státy americké, reg. č. 460094-94 (Oregon), ani žádná jiná společnost. Kontrola zjistila, že účel a prostředky zpracování prováděného v souvislosti s provozováním výše uvedených internetových stránek určuje fyzická osoba, která ovládá výše uvedené společnosti zapojené do zpracování osobních údajů. V návaznosti na tato zjištění dospěl Úřad k závěru, že tato fyzická osoba je správcem osobních údajů.
Tato fyzická osoba vytvořila síť právnických osob, jejichž hlavní činnost spočívá ve sběru osobních údajů. Ve všech těchto právnických osobách tato fyzická osoba vystupuje, či v minulosti vystupovala jako statutární orgán. Vztahy mezi jednotlivými společnostmi a jejich funkce jsou nepřehledné a spletité, kontrola ale prokázala, že všechny tyto osoby, včetně kontrolované osoby, přispívají k fungování celého systému CERD a že jednají jako zpracovatel osobních údajů.
Úřad zjistil, že pro zpracování osobních údajů v rámci systému CERD bylo vymezeno několik účelů zpracování osobních údajů, a to tvorba globálního informačního systému informujícího o dlužnících, tvorba souboru informací o bonitě, důvěryhodnosti a platební morálce, informování uživatelů registru CERD o bonitě, důvěryhodnosti a platební morálce, posuzování bonity, důvěryhodnosti a platební morálky, marketingové účely a tvorba nových produktů a služeb, případně úprava stávajících. Osobní údaje byly získávány z několika zdrojů, a to registrací do systému CERD, uzavřením smlouvy o využívání služeb systému, vložením třetí stranou či přebráním z insolvenčního rejstříku.
Kontrola dospěla k závěru, že správci pro zpracování osobních údajů (s výjimkou osobních údajů získaných uzavřením smlouvy a nezbytných k jejímu plnění) nesvědčí žádný právní titul. Zpracování osobních údajů je tedy v této podobě nezákonné, neboť porušuje § 5 odst. 2 zákona č. 101/2000 Sb. Úřad dále zjistil systematické porušování zákona č. 101/2000 Sb., zejména § 5 odst. 1 písm. c) (zpracování pouze přesných údajů), § 5 odst. 1 písm. d) (shromažďování v odpovídajícím a nezbytném rozsahu), § 6 (smlouva o zpracování), § 10 (ochrana soukromého a osobního života), § 11 odst. 1 a 2 (informační povinnost), § 12 odst. 1 a 2 (přístup subjektu údajů k informacím), § 21 (přístup k údajům, právo na vysvětlení a nápravu) zákona č. 101/2000 Sb.
Ve vztahu ke kontrole povinností dle zákona č. 480/2004 Sb. Úřad zjistil, že kontrolovaná osoba svým jednáním porušila povinnosti stanovené v § 7 odst. 2 tohoto zákona, tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Kontrolovaná osoba porušila také § 7 odst. 4 písm. a) a b) zákona č. 480/2004 Sb., neboť šířená obchodní sdělení nebyla zřetelně a jasně jako obchodní sdělení označena a neobsahovala identifikaci odesílatele. Úřad dále zjistil, že kontrolovaná osoba porušila také § 7 odst. 4 písm. c) zákona č. 480/2004 Sb., neboť obchodní sdělení byla zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.
Předsedkyně Úřadu zamítla námitky, které proti kontrolním zjištěním kontrolovaná osoba podala.
V návaznosti na kontrolní zjištění Úřad zahájil správní řízení s fyzickou osobou, která je v pozici správce osobních údajů. Předmětem tohoto řízení je uložení nápravných opatření této fyzické osobě, spočívající v povinnosti provést výmaz osobních údajů stěžovatelů a osobních údajů, pro jejichž zpracování správci nesvědčí právní titul, uzavřít písemnou zpracovatelskou smlouvu a splnit informační povinnost vůči subjektům údajů.
Kontrolu řídil inspektor Ing Josef Vacula.