Akciová společnost (UOOU-05451/20)

Úřad v dubnu 2021 zahájil kontrolu na základě stížnosti týkající se podezření na porušení právních předpisů v rámci nevyžádaných reklamních nabídek – koupě dluhopisů. Kontrolou bylo zjištěno, že došlo k pochybení při náhodném generování telefonních čísel, při kterém následně docházelo ke zpracování osobních údajů subjektu údajů bez zákonného důvodu, došlo tedy k porušení čl. 6 GDPR. Splněna nebyla ani informační povinnost, kdy v konkrétním případě stěžovatel nebyl informován o právním základu zpracování jeho osobních údajů.

U společnosti bylo dále zjištěno porušení čl. 7 odst. 2 GDPR, jelikož formulář k udělení souhlasu se zpracováním osobních údajů byl zároveň i souhlasem se zasíláním obchodních sdělení. V souladu s čl. 7 odst. 2 GDPR musí být souhlas se zpracováním osobních údajů předložen způsobem jasně odlišitelným od jiných skutečností, v opačném případě ho nelze považovat za svobodný.

Kontrolou bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány a zároveň není schopna doložit, kdy jsou prováděny skartace a zda dodržuje jí stanovené termíny pro skartaci osobních údajů, čímž porušuje čl. 5 odst. 1 a 2 GDPR.

Úřad konstatoval také porušení čl. 30 odst. 1 GDPR, neboť kontrolovaná osoba jako správce osobních údajů nevede záznamy o činnostech zpracování, ačkoli to je její povinností.

Kontrola byla ukončena v květnu 2022 vydáním protokolu o kontrole, kdy kontrolovaná osoba nepodala námitky proti kontrolním zjištěním a ve věci bude následně zahájeno správní řízení.