Banka

Kontrola zpracování osobních údajů bankou

Kontrola byla provedena na základě dvou obdržených stížností. V první stěžovatel uváděl, že na jeho bankovním účtu proběhla transakce bez jeho vědomí. Druhá stížnost se týkala nevyžádaného obchodního sdělení.

Provedenou kontrolou bylo k první stížnosti zjištěno, že majitelem předmětného účtu byla developerská společnost, nikoliv stěžovatel. Šlo o tzv. vázaný účet, založený pro účely úplaty za převod obchodních podílů. Jednou z převádějících osob byl i stěžovatel. Jednotlivé strany vázaného účtu nejsou vlastníky smlouvy, dochází pouze k identifikaci osoby, která podepisuje smlouvu. Osobní údaje takové osoby pak nejsou vedeny v žádných interních systémech banky, tzn. jsou uvedeny pouze ve smluvní dokumentaci. V tomto případě nebylo shledáno porušení nařízení (EU) 2016/679.

Ke druhé stížnosti bylo zjištěno, že stěžovatel byl klientem banky do prosince 2016, kdy ukončil využívání kreditní karty. Při ukončení karty došlo lidskou chybou k tomu, že v interním systému nebyl zadán záznam o souběžném ukončení internetového bankovnictví. Z toho důvodu došlo k tomu, že byl v roce 2019 omylem zařazen mezi klienty, kterým odešla informace o změněných podmínkách vedení internetového bankovnictví. V době kontroly byla chyba opravena.

Kontrolovaný u druhého stěžovatele zpracovával jeho osobní údaje po dobu nezbytnou a odpovídající účelu zpracování osobních údajů pro splnění právních povinností (splnění archivačních povinností dle spisového řádu po dobu 10 let od ukončení obchodu), nikoliv však za účelem marketingových činností. Využil tedy jeho osobní údaje za účelem marketingových činností (zaslání informačního e-mailu o nových produktových podmínkách služeb internetového bankovnictví) protizákonně.

Kontrolou bylo zjištěno porušení čl. 5 odst. 1 písm. e) a čl. 6 odst. 1 nařízení (EU) 2016/679.

Kontrolovaná osoba stav napravila před ukončením kontroly.