Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Maloobchodní prodejce (UOOU-00807/21)

Předmětem kontroly bylo ověření postupů při zpracovávání osobních údajů a povinností vyplývajících z obecného nařízení při využívání věrnostního programu a věrnostních karet, a to především ověření:

  • zásad zpracování dle čl. 5 (zákonnost, minimalizace, omezení uložení, integrita a důvěrnost),
  • zákonnosti zpracování podle čl. 6 (včetně případného profilování),
  • podmínek udílení souhlasu dle čl. 7,
  • výkonu práv subjektů údajů stanovených čl. 12–22 (zaměření na poskytování informací subjektům údajů a práva na výmaz),
  • využití zpracovatelů podle čl. 28,
  • zabezpečení zpracování podle čl. 32 (zabezpečení databáze klientů) obecného nařízení.

Provedená kontrola zjistila, že kontrolovaná osoba jako správce zpracovává osobní údaje členů věrnostního programu v přiměřeném, relevantním a nezbytném rozsahu.

Z kontrolních zjištění je zřejmé, že zpracování osobních údajů probíhá buďto na základě souhlasu, nebo na základě plnění smlouvy či právní povinnosti a oprávněného zájmu.

Kontrolovaná osoba má nastaveny postupy při uplatňování práv členů věrnostního programu dle čl. 15–22 obecného nařízení, se zpracovateli má řádně uzavřeny zpracovatelské smlouvy dle čl. 28, vede záznamy o činnostech zpracování v souladu s čl. 30 obecného nařízení. Kromě toho přijala technická a organizační opatření, aby zajistila úroveň zabezpečení odpovídající danému riziku.

Úřad zjistil porušení stanovené v čl. 5 odst. 1 písm. e) obecného nařízení, neboť doba uchování údajů v souvislosti s uskutečněnými nákupy členů věrnostního programu (nákupní chování a online nákupy) byla nepřiměřená, zejména pak s ohledem na to, že ve velkém množství případů se jednalo o údaje související s nákupem potravinářského zboží.

Dále kontrolující konstatovali porušení ustanovení čl. 6 odst. 1 písm. a) obecného nařízení, jelikož kontrolovaná osoba zpracovávala osobní údaje členů věrnostního programu (uživatelů webových stránek) prostřednictvím souborů cookies bez řádného souhlasu subjektu údajů.

Úřad také zjistil porušení čl. 13 obecného nařízení, a to z důvodu neúplně podané informace o rozsahu zpracovávaných osobních údajů členů věrnostního programu týkajících se pojmu nákupní chování, a informace o možných následcích zpracování automatizovanými způsoby s možnými právními účinky.

Kontrolovaná osoba provedla nápravu závadného stavu ještě v průběhu kontroly a bezprostředně po ní.

Dokumenty