Obchodní společnost - telemarketing
Kontrola zpracování osobních údajů při telemarketingu
Úřad obdržel stížnost, ve které stěžovatel uvedl, že byl telefonicky osloven zástupkyní kontrolované s nabídkou služeb. V rámci tohoto telefonického hovoru byl přímo osloven svým příjmením, z čehož je patrné, že kontrolovaná společnost zpracovává jeho osobní údaje nikoli v podobě telefonního čísla, ale i dalších osobních údajů. Jako důkaz přiložil záznam telefonického hovoru, ze kterého je zřejmé, že jeho stížnost byla relevantní. Stěžovatel dále uvedl, že prohledáním internetových stránek zjistil, že tato praxe kontrolované je zcela běžná.
Z důvodu všeobecné rozšířenosti škodlivých praktik, spočívajících ve využívání osobních údajů pro uskutečňování nevyžádaných telefonických marketingových hovorů, byla zahájena kontrola, jejímž předmětem bylo dodržování povinností stanovených kontrolované nařízením (EU) 2016/679 a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů v rámci její podnikatelské činnosti, zejména v rozsahu povinností dle čl. 5 odst. 1 písm. a), čl. 6 a čl. 13-14 nařízení (EU) 2016/679.
Kontrolou bylo zjištěno, že kontrolovaná jako správce osobních údajů využívá při zpracování osobních údajů svých klientů služeb externího zpracovatele, se kterým však neměla řádně uzavřenou smlouvu. Tuto skutečnost sama kontrolovaná přiznala, přičemž během kontroly k uzavření této smlouvy došlo. Kontrolující proto vyhodnotili zjištěný stav tak, že kontrolovaná porušila povinnost stanovenou v čl. 28 bodě 3 nařízení (EU) 2016/679, tedy že minimálně v období předcházejícímu 10. března 2020 neměla k prováděnému zpracování řádně uzavřenou smlouvu se zpracovatelem, jehož služeb využívala.
Dále bylo zjištěno, že kontrolovaná zpracovává osobní údaje klientů, kteří projevili souhlas se zpracováním pouze ústně – telefonicky, přičemž tato skutečnost není nikterak zaznamenána či archivována. Vzhledem k absenci důkazu projeveného souhlasu vyhodnotili kontrolující zjištěný stav jako porušení povinnosti stanovené v čl. 7 bodě 1 nařízení (EU) 2016/679, tedy že osobní údaje nejsou zpracovávány zákonným způsobem, neboť kontrolovaná nebyla schopna doložit existenci souhlasu subjektu údajů se zpracováním osobních údajů (telefonického), jakožto jediného právního důvodu připadajícího pro posuzované zpracování v úvahu.
Kontrolou bylo dále zjištěno, že kontrolovaná získávala a dále zpracovávala ve své databázi i údaje, které byly získány na základě dotazníků spokojenosti. Na základě takto získaných informací pracovník call centra volal subjektu údajů s nabídkou provedení služeb, kterými se kontrolovaná zabývá. V průběhu kontroly kontrolovaná vypracovala balanční test, jenž měl potvrdit či vyvrátit soulad tohoto postupu s čl. 6 písm. f) nařízení (EU) 2016/679. Vypracovaný balanční test prokázal, že výše zmíněný postup je nepřípustný. Mezi problematické faktory u tohoto zpracování patří nemožnost očekávat dané zpracování a fakt, že údaje poskytuje někdo jiný než subjekt údajů, a také skutečnost, že jsou zpracovávány údaje velkého množství osob (subjekt údajů neví, že někdo poskytl jeho osobní údaje třetí osobě, která je využívá k telemarketingu, přičemž je součástí rozsáhlé databáze osobních údajů, které jsou dále zpracovávány po dobu až dvou let). Kontrolující proto vyhodnotili zjištěný stav tak, že kontrolovaná porušila povinnost stanovenou v čl. 6 bod 1 písm. f) nařízení (EU) 2016/679. V důsledku výše uvedeného tak došlo k porušení i čl. 6 odst. 1 nařízení (EU) 2016/679.
Z dalšího zjištění vyplynulo, že kontrolovaná uchovávala osobní údaje klientů po dobu 10 let (zákazníci) a 2 let (ostatní). Kontrolovaná neuvedla důvody, podle kterých stanovila dobu uchování osobních údajů „zákazníků“ a „ostatních“ ve své vnitřní databázi. V případě „zákazníků“ bylo možné určit, že délka uchování 10 let po skončení smluvního vztahu odpovídá promlčecí době všech potenciálních nároků (dle § 611 zákona č. 89/2012 Sb., občanský zákoník). Doba uchování 2 let u „ostatních“, tedy osob, jejichž údaje jsou za výše uvedeným účelem zpracovávány nezákonně, neměla dle zjištění kontrolujících opodstatnění, kontrolující proto vyhodnotili zjištěný stav tak, že kontrolovaná porušila povinnost stanovenou v čl. 5 bod 1 písm. e) nařízení (EU) 2016/679, tedy že osobní údaje nejsou uchovávány pouze po dobu nezbytnou pro stanovené účely.
Protokol o kontrole byl kontrolované doručen dne 26. května 2020. Dne 4. června 2020 se kontrolovaná písemně vzdala námitek, přičemž v rámci tohoto oznámení byl připojen seznam napravených nedostatků.
Na kontrolní řízení navázalo (bylo zahájeno) správní řízení o odstranění dosud neodstraněných nedostatků.