Obchodní korporace provozující doručovatelské služby (UOOU-03426/21)
Úřad provedl kontrolu na základě Kontrolního plánu Úřadu pro rok 2021, jejímž předmětem bylo dodržování povinností stanovených GDPR a zákonem č. 110/2019 Sb. v souvislosti se zpracováním osobních údajů příjemců zásilek při realizaci doručovatelských služeb.
Kontrolovaná osoba je správcem osobních údajů podle čl. 4 bod 7 GDPR, který určuje účely zpracování osobních údajů a rozsah zpracovávaných osobních údajů. Hlavním účelem zpracování osobních údajů je řádné a prokazatelné poskytnutí zasilatelských služeb a provedení úkonů s tím spojených, zejména zpracování objednávek, vyzvednutí a doručení zásilek, fakturace služeb, vymáhání pohledávek a průkaznost podnikatelské činnosti kontrolované osoby.
Bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje od přijetí zásilky po její doručení, včetně navazujících a souvisejících zpracování a s tím spojených povinností správce zákonným způsobem, k legitimním účelům. Nebylo zjištěno, že by zpracovávala osobní údaje nerelevantní nebo nepřiměřené, či údaje nad nezbytný rozsah ve vztahu k jednotlivým účelům zpracování. Subjekt údajů je srozumitelně a transparentně informován o účelech zpracování, rozsahu zpracovávaných údajů, době zpracování, právních titulech zpracování, o zdrojích osobních údajů, právech subjektů údajů a dalších záležitostech v zájmu zajištění zákonného a spravedlivého zpracování ve vztahu k dotčeným subjektům údajů.
Veškeré údaje o zásilkách jsou zpracovány elektronicky prostřednictvím systémů kontrolované osoby. Osobní údaje potřebné pro zprocesování zásilky jsou poskytovány odesílatelem/plátcem přepravy a na jejich základě je vytištěn přepravní štítek, který je následně nalepený na zásilku.
V případě doručení zásilky kurýrem kurýr skenuje přepravní štítek do mobilního zařízení, které je také majetkem kontrolované osoby, stejně tak, nechá-li si zákazník zásilku poslat na výdejní místo.
Kontrolovaná osoba měla v době provedení kontroly uzavřené smlouvy o zpracování osobních údajů, ve kterých je označena jako správce, který ve smlouvě určuje rozsah zpracovávaných osobních údajů, účel, způsob a dobu jejich zpracování, způsob technického a organizačního zabezpečení osobních údajů mimo jiné s cca 400 dopravci (zajišťují pro ni přepravu zásilek), dále pak s cca 1 325 výdejními místy, která zajišťují přebírání a uskladňování zásilek od dopravců za účelem jejich vydání příjemcům.
Veškeré uzavřené smlouvy se zpracovateli obsahují také ujednání o nezapojení dalšího zpracovatele bez předchozího svolení správce, ujednání pro případ ukončení jejich trvání a také závazek zpracovatele strpět případný audit/inspekci ze strany správce. Nebylo zjištěno, že by smluvní nastavení mezi správcem a zpracovatelem odporovalo požadavkům čl. 28 odst. 2 a 3 nařízení (EU) 2016/679. Provedenou kontrolou nebylo zjištěno, že by zpracovatelé kontrolované osoby zpracovávali osobní údaje v rozporu s jejími zájmy.
Kontrolovaná osoba má uzavřenu smlouvu, která obsahuje dohodu společných správců podle čl. 26 nařízení (EU) 2016/679. Dohoda upravuje povinnosti 22 společných správců, kteří provádějí doručování zásilek v jednotlivých státech na území Evropy a jejich vzájemné vztahy při zpracování, sdílení a ochraně osobních údajů.
Kontrolovaná osoba poskytuje subjektům údajů podrobné informace o jejich právech v souvislosti s ochranou osobních údajů podle článku 15 až 21 GDPR, včetně příslušného komentáře.
Dále bylo mimo jiné kontrolou prověřováno dodržování povinností stanovených v čl. 32 GDPR, přičemž nebylo zjištěno jeho porušení.
Kontrolovaná osoba nemá povinnost jmenovat pověřence pro ochranu osobních údajů dle čl. 37 GDPR; má však vytvořenu komisi pro zabezpečení ochrany osobních údajů, jejímž úkolem je např. zhodnocení nastavených procesů v souvislosti s legislativními požadavky, jejich aktualizace, řešení incidentů, zhodnocení rizik. V přijaté směrnici má kontrolovaná osoba mimo jiné uvedena pravidla řízení přístupu k osobním údajům, pravidla používání prostředků informačních a telekomunikačních technologií, řízení bezpečnostních incidentů a událostí, likvidace osobních údajů.
Kontrolou nebylo zjištěno porušení nařízení.