Společnost STEM/MARK, a.s.
Kontrola v souvislosti se zpracováním osobních údajů v souvislosti s koupí databáze
Na základě podnětu předsedkyně provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů klientů telefonního operátora, které unikly při porušení zabezpečení osobních údajů u této společnosti. Podnět předsedkyně vydala na základě informací zveřejněných v hromadných sdělovacích prostředcích.
Předmětem činnosti kontrolované osoby je provádění marketingového výzkumu a analýza dat, přičemž data jsou získávána zejména z veřejně dostupných zdrojů (veřejně přístupné rejstříky, telefonní seznamy), případně od dotazovaných osob. Dotazování kontrolovaná osoba provádí prostřednictvím internetu, telefonicky prostřednictvím call centra nebo osobním rozhovorem prostřednictvím tazatelů.
Kontrolující zjistili, že kontrolovaná osoba byla oslovena s nabídkou databáze kontaktních údajů, kterou následně zakoupila. Policie České republiky následně kontrolovanou osobu informovala, že zakoupená databáze byla pravděpodobně odcizena telefonnímu operátorovi. Kontrolovaná osoba proto policii datové nosiče obsahující tuto databázi odevzdala.
Předmětná databáze obsahovala osobní údaje zhruba 2 000 zákazníků telefonního operátora – fyzických osob (v rozsahu jméno, příjmení, adresa bydliště, pohlaví, věk a telefonní číslo), a dále osobní údaje zhruba 81 000 zákazníků této společnosti – fyzických osob podnikajících (v rozsahu jméno, příjmení, telefonní číslo, počet sim karet užívaných osobou, způsob provádění plateb za služby operátora a název banky, ze které platby přichází).
V průběhu kontroly Úřad, v návaznosti na zjištění policie (Národní centrály proti organizovanému zločinu), uložil kontrolované osobě pokutu ve výši 400 000 Kč, a to za porušení § 5 odst. 2 zákona č. 101/2000 Sb. (absence právního titulu pro zpracování) v souvislosti pořízením předmětné databáze. Rozklad, který byl proti tomuto rozhodnutí podán, předsedkyně Úřadu zamítla.
S ohledem na výše uvedené byla kontrola ukončena s tím, že odpovědnost kontrolované osoby byla v této věci již posouzena a doložena v rámci jiného řízení vedeného Úřadem a provádění dalších kontrolních úkonů již není důvodné. Vzhledem k tomu, že závadný stav již netrval (kontrolovaná osoba databází již nedisponovala), Úřad neuložil opatření k odstranění zjištěných nedostatků.
Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.
Doporučení
Úřad poukazuje na skutečnost, že prodej a koupě databází s osobními údaji z neznámých zdrojů je nelegální. Osloví-li Vás někdo s nabídkou databáze, odmítněte jej a věc ohlaste Policii České republiky, příp. Úřadu.