Přejít k obsahu Přejít k hlavnímu menu
Kontakt

SRBA SERVIS s.r.o.

Kontrola zabezpečení osobních údajů zákazníků

Na základě podnětu a ohlášení porušení zabezpečení osobních údajů provedl Úřad kontrolu plnění povinností podle nařízení (EU) 2016/679. Předmětem kontroly byla skutečnost, že bývalý zaměstnanec kontrolované osoby zaslal hromadné e-mailové sdělení skupině fyzických osob, jejichž kontakty pocházely z databáze kontrolované osoby.

Kontrola prokázala, že kontrolovaná osoba shromažďuje informace, které souvisí s její činností, primárně v zákaznické databázi. Tato databáze obsahuje veškeré informace k realizovaným zakázkám, včetně historie jejich vyřizování. Kontrolovaná osoba shromažďuje tyto informace buď přímo od zákazníka (v prodejně, kde je zaměstnanec kontrolované osoby vloží do počítače) anebo prostřednictvím internetových stránek.

Úřad dospěl k závěru, že kontrolovaná osoba postupuje v souladu s čl. 6 nařízení (EU) 2016/679, neboť na její činnost lze aplikovat zde upravené právní tituly (plnění smlouvy či souhlas subjektu údajů) a současně jsou splněny i další podmínky spočívající v rozsahu osobních údajů a způsobu získávání souhlasu subjektu údajů. Plnění povinnosti vyplývající z čl. 32 nařízení (EU) 2016/679 (zabezpečení osobních údajů) posoudila kontrola tak, že kontrolovaná osoba vyhodnotila rizika zpracování osobních údajů zákazníků a přijala opatření odpovídající těmto rizikům.

Ke konkrétnímu případu zneužití osobních údajů zákazníků pak bylo kontrolou zjištěno, že bývalý zaměstnanec kontrolované osoby rozeslal (jménem nového zaměstnavatele) hromadné obchodní sdělení na více než 650 adres elektronické pošty zákazníků kontrolované osoby. Tyto osobní údaje si bývalý zaměstnanec ponechal po ukončení svého pracovního poměru v rozporu s interními předpisy kontrolované osoby. Zneužití osobních údajů zákazníků Úřad vyhodnotil jako ojedinělý incident, kterému přes přijatá opatření kontrolovaná osoba nemohla zabránit. Kontrolovaná osoba poté, co zjistila, že došlo ke zneužití osobních údajů zákazníků, přijala opatření směřující k tomu, aby k dalšímu zneužití nedošlo a současně ohlásila porušení zabezpečení osobních údajů Úřadu, čímž splnila požadavky čl. 33 nařízení (EU) 2016/679.

Úřad v souvislosti s předmětným zpracováním osobních údajů nezjistil porušení nařízení (EU) 2016/679.

Kontrolu řídila inspektorka JUDr. Jiřina Rippelová.