Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Prodejce energií (UOOU-02100/20)

Obchodní společnost

Kontrola byla provedena na základě kontrolního plánu Úřadu pro rok 2020. Kontrola byla zaměřena na dodržování obecného nařízení se zřetelem na soulad zpracování osobních údajů dle základních zásad, zdroje zpracovávaných osobních údajů, komunikaci se subjekty údajů a realizaci jejich práv vyplývajících z obecného nařízení.

Kontrolovaná osoba zpracovává osobní údaje v souladu se zákonnými podmínkami dle čl. 6 odst. 1 písm. b), c), f) obecného nařízení a dále se souhlasem subjektů údajů za účelem marketingu a zlepšování služeb. Kontrolovaná osoba plní informační povinnost na svých webových stránkách zveřejněním dokumentu „Informace o zpracování osobních údajů zákazníka“, který obsahuje transparentní informace dle čl. 12–14 obecného nařízení, včetně jednotlivých práv subjektů údajů.  Přijatá technicko-organizační opatření kontrolované osoby jsou ve vztahu k ochraně osobních údajů popsána zejména v dokumentu Bezpečnostní politika a směrnice o zpracování osobních údajů“ a dále v analýze rizik a záznamech o činnostech zpracování osobních údajů.  Kontrolou bylo zjištěno, že kontrolovaná osoba nevede záznamy o přístupech (logování) k osobním údajům s ohledem na velmi malá rizika zpracování osobních údajů a vzhledem k malému počtu zaměstnanců.

Kontrolující v této souvislosti v protokolu o kontrole konstatovali, že logování přístupů k osobním údajům není v obecném nařízení direktivně stanoveno jako povinnost správce, přesto se stává standardní ochranou a nezbytnou součástí zabezpečení osobních údajů. Dále kontrolující uvedli, že volba správce nevést logování přístupů k osobním údajům je spojena s větší odpovědností za přijatá opatření k zabezpečení údajů. V případě, že dojde k neoprávněnému přístupu k osobním údajům, popřípadě k jejich zneužití a správce nebude v daném případě schopen prokázat, kdo, kdy a za jakým účelem k osobním údajům neoprávněně přistoupil, bude odpovídat za vzniklé protiprávní následky v plném rozsahu.  S ohledem na malá rizika při zpracování osobních údajů a malý počet zaměstnanců rozhodli kontrolující výše uvedené zjištění neposuzovat jako porušení čl. 5 odst. 1 písm. f), resp. čl. 32 obecného nařízení.