Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2021
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Hotel (UOOU-03541/20)

Hotel (UOOU-03541/20)

Kontrola zpracování osobních údajů v souvislosti s pořizováním a uchováváním kopií občanských průkazů v nebankovním sektoru

Kontrola byla zahájena na základě stížnosti polského občana prostřednictvím systému pro výměnu informací o vnitřním trhu (IMI). Tato stížnost se týkala neoprávněného zpracování osobních údajů, konkrétně pořizování skenů průkazů totožnosti a jejich dalšího zpracování kontrolovanou osobou.

Předmětem kontroly bylo dodržování povinností ochrany osobních údajů při provozování obchodní činnosti fyzické osoby podnikající, zejména čl. 5 až čl. 7 a čl. 13 až čl. 22 obecného nařízení s ohledem na databázi klientů této osoby.

Kontrolující zjistili, že kontrolovaná osoba pořizovala skeny občanských a jiných průkazů totožnosti při uzavírání smluv o ubytování, údajně na základě souhlasů subjektů údajů. Nebyla však schopna tyto souhlasy doložit.

Ke zpracování osobních údajů uvedených na skenech průkazů totožnosti svých klientů neměla kontrolovaná osoba žádný důvod, tím porušila čl. 6 odst. 1 obecného nařízení.

Kontrolovaná osoba nebyla schopna doložit ani udělení souhlasů dle čl. 7 odst. 1 obecného nařízení, dále porušila zásadu dle čl. 5 odst. 1 písm. c) obecného nařízení, podle které musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (minimalizace údajů).  

Záznamy o činnostech zpracování, které kontrolovaná osoba doložila, navíc neobsahovaly informace dle čl. 30 odst. 1 písm. a) a b) obecného nařízení. Konkrétně se jednalo o absenci sdělení účelu zpracování v případě zpracování za účelem poskytnutí informací o ubytovaných cizincích cizinecké policii a v případě zpracování za účelem vedení evidenční knihy.  

Porušena byla rovněž ustanovení čl. 13 až čl. 22 obecného nařízení, kdy kontrolovaná osoba své povinnosti (informační povinnost a povinnosti vyplývající z práv subjektů údajů) plnila toliko ústně, přičemž nebyla schopna prokázat, že vůči klientům postupovala korektně a transparentně podle čl. 12 odst. 1 a 2 obecného nařízení.

Kontrolovaná osoba nepodala proti kontrolnímu protokolu námitky. V navazujícím správním řízení jí Úřad uložil pokutu a nápravná opatření.

Dokumenty

Protokol o kontrole (UOOU-03541/20)

pdf, 333.81kB