Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Obchodní společnost

UOOU-03120/19

Předmětem kontroly u této společnosti bylo dodržování povinností stanovených obecným nařízením v souvislosti se zpracováním osobních údajů a zákonem č. 110/2019 Sb., o zpracování osobních údajů, při provozování obchodní činnosti kontrolované osoby, a to se zaměřením na právní základ získání osobních údajů, jejich následné zpracování, včetně podmínek zabezpečení osobních údajů a dále také v souvislosti s třemi podanými stížnostmi též na dodržování povinností při šíření obchodních sdělení stanovených zákonem č. 480/2004 Sb., o některých službách informační společnosti.

Kontrolovaná osoba ke své činnosti používá webové stránky, na kterých má vytvořen přístup do e-shopu, kde se nachází objednávkový formulář, registrační formulář a další informace o její činnosti, jako dokument „Ochrana osobních údajů“, „Zpracování osobních údajů“ či „Všeobecné obchodní podmínky“. Kontrolující zjistil, že kontrolovaná osoba zpracovává osobní údaje dle čl. 4 bodu 1 a 2 obecného nařízení, nachází se v postavení správce ve smyslu čl. 4 bodu 7 obecného nařízení. Ke své činnosti využívá též zpracovatele, se kterými má uzavřeny příslušné smlouvy.

Dále kontrolující prověřoval, na základě jakého právního titulu jsou kontrolovanou osobou zpracovávány osobní údaje zákazníků či potenciálních zákazníků. Kontrolovaná osoba tak činí na základě právního titulu souhlasu, za účelem plnění smlouvy (a to již ve fázi jednání o uzavření smlouvy), plnění právních povinností, kdy jsou tyto povinnosti  definovány právními normami (účetními, daňovými), a v neposlední řadě též na základě právního titulu oprávněného zájmu, kdy je prováděno zpracování osobních údajů za účelem přímého marketingu, a to prostřednictvím listovní a e-mailové komunikace a za účelem profilování. Kontrolující v této souvislosti zjistil, že informace o souhlasu se zpracováním osobních údajů jsou poskytovány zmatečně, souhlas se vyskytuje v různých částech dokumentace týkající se ochrany osobních údajů, a pro roztříštěnost úpravy je pro subjekt údajů netransparentním. Kontrolující tak konstatoval, že kontrolovaná osoba porušila zásadu zákonnosti, korektnosti a transparentnosti uvedenou v čl. 5 odst. 1 písm. a) obecného nařízení a že nebyla dodržena podmínka srozumitelnosti a transparentnosti souhlasu se zpracováním osobních údajů dle čl. 7 odst. 2 obecného nařízení, jakož i jednoduchosti při jeho odvolání dle čl. 7 odst. 3 obecného nařízení.

Vzhledem ke skutečnosti, že profilování je prováděno za účelem přímého marketingu, musí mít subjekt údajů možnost vznést proti tomuto zpracování námitku a na toto právo musí být upozorněn zřetelně a odděleně od jiných informací. To však nebylo kontrolovanou osobou náležitě splněno. Kontrolující tak konstatoval také porušení čl. 21 odst. 4 obecného nařízení.

Ve vztahu k rozsahu zpracovávaných osobních údajů kontrolující konstatoval porušení zásady uvedené v čl. 5 odst. 1 písm. c) obecného nařízení, podle které musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, a to z důvodu zpracování osobního údaje „pohlaví“, který není pro daný účel relevantní.

Z kontrolních zjištění dále vyplynulo, že kontrolovaná osoba nedostatečně splnila tzv. informační povinnost ve vztahu k subjektům údajů. Proto kontrolující konstatoval porušení povinností vyplývajících z čl. 12, čl. 13 a čl. 14 obecného nařízení, konkrétně proto, že kontrolovaná osoba neposkytovala subjektům údajů relevantní informace a neusnadňuje tím výkon jejich práv a nejméně v případě profilování nepodávala či nezveřejnila relevantní informace o tomto zpracování osobních údajů.

Dále kontrolující zjišťoval, zda je řádně plněna informační povinnost i ve vztahu k využívání souborů cookies na internetových stránkách kontrolované osoby. Dospěl ke zjištění, že v souvislosti s používáním cookies kontrolovaná osoba porušila čl. 13 odst. 1 písm. e) obecného nařízení. Nesdělila totiž případné další příjemce osobních údajů (cookies), jakož i čl. 13 odst. 2 písm. a) obecného nařízení, neboť neuvedla, po jakou dobu jsou jednotlivé osobní údaje (cookies) uloženy.

S ohledem na skutečnost, že kontrolovaná osoba zasílá obchodní sdělení také prostřednictvím elektronických prostředků, a to zejména formou elektronické pošty, zaměřil se kontrolující také na dodržování podmínek stanovených zákonem č. 480/2004 Sb., který je v této oblasti speciálním k obecné úpravě přímého marketingu uvedené v obecném nařízení. V této části posuzoval kontrolující to, jak kontrolovaná osoba dodržuje podmínky, za kterých lze šířit obchodní sdělení elektronickými prostředky, a jak o tom informuje subjekty údajů – jak v obecné rovině, tak ve vztahu k podaným stížnostem (tedy ve vztahu k jednotlivým stěžovatelům).

V této části kontrolující konstatoval, že právní titul souhlasu, jak je dosud kontrolovanou osobou nastaven, neodpovídá zákonným požadavkům, jelikož použitý pojem „důležité informace“ je velice zavádějící a subjekt údajů tak není dostatečně informován o tom, že pokud zaškrtne příslušné pole, souhlasí tak se zasíláním obchodních sdělení ve smyslu § 7 zákona č. 480/2004 Sb., a že musí tento souhlas odpovídat též požadavkům na souhlas dle obecného nařízení (k tomu viz výše). Proto kontrolující posoudil předmětná obchodní sdělení (zasílaná zákazníkům kontrolované osoby) na základě použití tzv. zákaznické výjimky uvedené v § 7 odst. 3 zákona č. 480/2004 Sb.

V případě dodržování dalších podmínek stanovených v § 7 odst. 4 zákona č. 480/2004 Sb. neshledal kontrolující ve vztahu k zaslaným obchodním sdělením (viz podané stížnosti) porušení.

Dokumenty