Banka (UOOU-02511/19)
Kontrola zpracování osobních údajů potenciálních klientů společnosti, se zvláštním zaměřením na ověřování jejich totožnosti a pořizování kopií průkazů totožnosti při zřizování bankovního účtu
Kontrola byla zahájena na základě stížnosti stěžovatele, dle které společnost podmiňovala zřízení běžného účtu pořízením kopie občanského průkazu. Po zahájení kontroly Úřad postupně obdržel na banku další čtyři obdobné stížnosti.
Předmětem kontroly bylo dodržování povinností při zpracování osobních údajů stanovených obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti s využíváním kopií osobních dokladů v rámci zřizování bankovních účtů, udělování souhlasu dle čl. 4 bod 11 a čl. 7 obecného nařízení a vyhodnocení právního titulu pro zpracování osobních údajů dle čl. 6 obecného nařízení, a to jak v rozsahu podaných stížností, tak v rozsahu obecného postupu při zřizování bankovního účtu ve vztahu k nakládání s osobními údaji.
V protokolu o kontrole Úřad mj. konstatoval, že zpracování na základě čl. 6 odst. 1 písm. a) obecného nařízení, kdy se jedná o zpracování osobních údajů na základě souhlasu subjektu údajů pro účely pořízení kopie občanského průkazu, společnost porušila povinnost v čl. 7 bod 4 obecného nařízení, tedy že charakter uděleného souhlasu neodpovídal zákonným podmínkám. V důsledku absence řádně uděleného souhlasu tak došlo i k porušení čl. 6 bod 1 obecného nařízení. Úřad též konstatoval porušení čl. 5 odst. 1 písm. e) obecného nařízení, jelikož společnost uchovávala osobní údaje po dobu delší, než je nezbytné pro účely, pro které byly zpracovávány, a čl. 5 odst. 1 písm. c) obecného nařízení, protože ve vztahu k účelům zpracování byly zpracovávány nadbytečné osobní údaje.
Proti protokolu o kontrole byly podány námitky, kterým bylo zčásti vyhověno. Se společností bylo zahájeno správní řízení.