Obchodní společnost (UOOU-03212/20)
Získávání a zpracování osobních údajů v souvislosti s poskytováním půjček
Kontrola byla provedena na základě kontrolního plánu Úřadu pro rok 2020 a byla zaměřena na dodržování povinností při zpracování osobních údajů v souvislosti s poskytováním půjček, zejména ověření způsobu získávání osobních údajů, plnění základních zásad zpracování, informační povinnosti, výkon práv subjektů údajů a zabezpečení zpracovávaných osobních údajů, včetně kontroly zpracovatelského statusu kontrolovaného ve vztahu k jiným správcům.
Kontrolovaný (právnická osoba) je držitelem licence k činnosti nebankovního poskytovatele spotřebitelských úvěrů (udělila Česká národní banka). Provádí jak manuální, tak i automatizované zpracování osobních údajů prostřednictvím vlastního interního systému. Osobní údaje žadatelů a klientů jsou shromažďovány a zpracovávány za účelem posouzení žádosti o spotřebitelský úvěr, posouzení úvěruschopnosti spotřebitele, vedení smlouvy o spotřebitelském úvěru a vymáhání pohledávek za klienty a povinné archivace, a to prostřednictvím internetových stránek kontrolovaného, zákaznické linky, anebo prostřednictvím online nebo offline zprostředkovatelů nebankovních spotřebitelských úvěrů. Žadatel prostřednictvím jednoho z výše uvedených způsobů poskytne kontrolovanému osobní údaje a další podklady nezbytné k řádnému posouzení žádosti o úvěr. Kontrolovaný je na základě zákona o spotřebitelském úvěru povinen ověřit totožnost žadatele a dostatečně posoudit jeho úvěruschopnost. Následně je teprve možné poskytnout žadateli spotřebitelský úvěr, popř. zamítnout jeho žádost.
Kontrolovaný má uzavřené smlouvy s třetími osobami a provozovateli outsourcingových služeb, a to jak pro zpracování osobních údajů svých zaměstnanců, tak subjektů zapojujících se do zpracování osobních údajů klientů/žadatelů. Smlouvy obsahují požadované náležitosti podle čl. 28 odst. 3 obecného nařízení. Kontrolovaný dále přijal vhodná opatření, aby poskytl subjektům údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem veškeré informace uvedené v čl. 13 a 14 obecného nařízení. Na své webové stránce zveřejňuje informace o zpracování osobních údajů, včetně používání souborů cookies. Klient/uchazeč má před odesláním své žádosti k dispozici znění podmínek smlouvy, informace o zpracování osobních údajů a souhlas s předáním telefonního nebo rodného čísla za účelem posouzení úvěruschopnosti. Kontrolovaný reaguje na požadavky klientů/žadatelů v souvislosti se změnou osobních údajů a provádí intenzivní školení všech výkonných pracovníků, kteří osobní údaje klientů/uchazečů zpracovávají. Kontrolovaný vyhodnotil závažnost a pravděpodobnost rizik spojených se zpracováním osobních údajů a v návaznosti na to přijal technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku. Tato opatření jsou zakotvena i ve smlouvách, které kontrolovaný uzavřel se zpracovateli.
Kontrolovaný zpracovává osobní údaje subjektů na základě oprávněného zájmu, podává informace, které umožňují klientům přístup k jejich osobním údajům, podává informace o jejich právech, upozorňuje na platné znění obecného nařízení. Smlouvy o zpracování osobních údajů se třetími osobami zpracovatele zavazují k povinnosti zajistit úroveň zabezpečení odpovídající danému riziku po dobu trvání uzavřených smluv.
Kontrolou nebylo zjištěno porušení povinností vyplývajících z obecného nařízení.