Obchodní společnost – půjčovna lyžařského vybavení
Kontrola zpracování osobních údajů prostřednictvím kopií občanských průkazů
Kontrola byla zahájena na základě stížnosti polského občana, kterou Úřad obdržel prostřednictvím Systému pro výměnu informací o vnitřním trhu. Stížnost směřovala proti praxi kontrolované, která v rámci své podnikatelské činnosti při půjčování sportovního vybavení kopíruje osobní doklady klientů. Stěžovatel ve své stížnosti uvedl, že byl nedostatečně informován, proč je jeho osobní doklad kopírován a jak bude s jeho osobními údaji nakládáno.
Předmětem kontroly bylo zpracování osobních údajů při provozování obchodní činnosti kontrolované, a to zejména čl. 5 odst. 1 písm. c), čl. 6 a čl. 15 až 21 nařízení (EU) 2016/679, a to jak v rozsahu stížnosti, tak v oblasti dodržování nařízení (EU) 2016/679 s ohledem na databázi klientů společnosti.
Kontrola byla zahájena místním šetřením. Celý průběh kontroly se vyznačoval součinností kontrolované. Ačkoli kontrolovaná v průběhu kontroly napravila řadu porušení, závěrem kontrolující vyhodnotili zjištěný stav tak, že kontrolovaná, formou pořizování skenů občanských průkazů, porušila povinnost stanovenou v čl. 7 bod 1 nařízení (EU) 2016/679, tedy že nezpracovává osobní údaje zákonným způsobem, neboť nedokáže doložit existenci souhlasu subjektu údajů s tímto zpracováním, jakožto jediného právního důvodu připadajícího v úvahu pro zpracování dalších údajů uvedených v občanském průkazu, které nejsou nijak nezbytné pro účely uzavření smlouvy, plnění zákonem stanovených povinností či pro oprávněné zájmy kontrolované. V důsledku absence řádně uděleného souhlasu tak došlo i k porušení čl. 6 odst. 1 nařízení (EU) 2016/679 kontrolovanou k těm osobním údajům, které jsou zpracovávány nad rámec potřebnosti pro uzavření smlouvy, plnění zákonem stanovených povinností či oprávněných zájmů kontrolované.
Kontrolovaná dále věrohodně nevysvětlila rozsah osobních údajů vzhledem k účelům, pro které je zpracovává. Zpracováním skenů občanských průkazů dochází k duplicitě uchovávaných a zpracovávaných osobních údajů, a navíc jsou zpracovávány další osobní údaje obsažené na průkazu totožnosti, které nejsou relevantní pro dané zpracování. V některých případech mohly být zpracovávány osobní údaje zvláštní kategorie. Proto kontrolující konstatovali porušení zásady dle čl. 5 odst. 1 písm. c), podle které musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“).
Kontrolou bylo zjištěno, že zákazníci nebyli písemně poučeni o zpracování osobních údajů a právech dle čl. 13 nařízení (EU) 2016/679 (na místě ani prostřednictvím webových stránek, pouze ústně). Kontrolující proto vyhodnotili zjištěný stav tak, že minimálně do 12. března 2020 docházelo k porušení povinností vyplývajících z čl. 13 nařízení (EU) 2016/679.
Kontrolující dále vyhodnotili zjištěný stav tak, že kontrolovaná porušila své povinnosti vyplývající z čl. 15-21 nařízení (EU) 2016/679, neboť žádost o uplatnění práv dle čl. 15-21 nařízení (EU) 2016/679 zaznamenává dle vyjádření kontrolované pracovník na prodejně. Informace jsou zasílány odpovědnému pracovníkovi, jenž dále zákazníka informuje o vyřízení jeho žádosti bez zbytečného odkladu, maximálně do doby jednoho měsíce. Kontrolovaná však zákazníka o způsobu, jakým může uplatnit tato práva, nijak prokazatelně neinformovala.
Kontrolní protokol byl kontrolované doručen 12. června 2020. Dne 25. června se kontrolovaná písemně vzdala námitek.
Na kontrolní řízení bude navazovat řízení o uložení opatření k nápravě spojené s řízením o uložení pokuty.