Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2025
  6. Kontrolní činnost v oblasti ochrany osobních údajů za rok 2025
  7. Investiční zprostředkovatel (UOOU-02489/22)

Investiční zprostředkovatel (UOOU-02489/22)

Zpracování osobních údajů získaných od realitního zprostředkovatele

Během roku 2025 byla dokončena kontrola investičního zprostředkovatele. Kontrolovaná osoba jakožto investiční zprostředkovatel získávala od realitního zprostředkovatele, který ohlašoval již v roce 2021 Úřadu pro ochranu osobních údajů porušení zabezpečení údajů, osobní údaje klientů této společnosti. Kontrolovaná osoba však takové jednání prostřednictvím advokátní kanceláře popřela. Kontrolovaná osoba se pro činnost investičního zprostředkování nacházela v pozici správce osobních údajů, avšak vůči další společnosti měla status zpracovatele osobních údajů.

Kontrolou bylo zjištěno, že kontrolovaná osoba zpracovávala osobní údaje klientů zpřístupněné realitním zprostředkovatelem, přičemž nedoložila, že by tak činila na základě některého z právních důvodů čl. 6 odst. 1 písm. a) až f) GDPR, čímž porušila čl. 6 odst. 1 GDPR.

Informační povinnost v případě klientů byla kontrolovanou osobou plněna v rámci uzavírané smlouvy s klientem a jinou formou informační povinnost vůči klientům plněna nebyla. Z tohoto důvodu bylo konstatováno ve vztahu k informační povinnosti vůči klientům kontrolované osoby porušení čl. 13 odst. 1 písm. a), b) a f) a odst. 2 písm. b), d), e) a f) GDPR. Ve vztahu k potenciálním klientům bylo konstatováno porušení čl. 13 odst. 1 písm. b), c), d), e) a f) a odst. 2 písm. a), b), c), d), e) a f) GDPR. Dále také neplnila informační povinnost vůči klientům předávaným kontrolované osobě realitním zprostředkovatelem, jak jim ukládá čl. 14 odst. 1 a odst. 2 GDPR.

Kontrolující se také zabývali otázkou náležitostí zpracovatelských smluv a zjistili zde porušení čl. 28 odst. 3 věta první a čl. 28 odst. 3 písm. a), b), c), d), e), f), g) a h) GDPR, jelikož ve zpracovatelské smlouvě nebylo stanoveno následující: předmět zpracování, doba trvání zpracování, povaha a účel zpracování, typy zpracovávaných osobních údajů, kategorie subjektů údajů, jejichž osobní údaje jsou předmětem zpracování, povinnost provádět zpracování pouze na základě doložených pokynů správce, závazek mlčenlivosti, dostačující popis bezpečnostních opatření, podmínky pro zapojení dalšího zpracovatele, povinnost nápomoci správci při vyřizování žádosti o výkon práv subjektů údajů a také při zajišťování souladu s čl. 32 až 36 GDPR, postup při ukončení spolupráce správce a zpracovatele a povinnost doložení plnění povinností a umožnění auditů a inspekcí ze strany správce osobních údajů. U další zpracovatelské smlouvy pak absentoval popis bezpečnostních opatření dle čl. 32 GDPR, nebyla upravena nápomoc správci při vyřizování žádostí o výkon práv subjektů údajů a absentovala rovněž povinnost doložení plnění povinností a umožnění auditů a inspekcí správcem osobních údajů.

Proti kontrolním zjištěním byly kontrolovanou osobou podány námitky, přičemž bylo nadřízenou osobou kontrolujícího ve smyslu § 14 odst. 3 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), povoleno, aby byly některé tyto námitky vyřízeny v rámci následného správního řízení. Ostatní námitky proti kontrolním zjištěním byly vyřízeny ve smyslu § 14 odst. 1 kontrolního řádu nadřízenou osobou kontrolujícího, a to tak, že bylo vyhověno námitkám, které rozporovaly porušení čl. 28 odst. 3 věty první GDPR v kontextu dodatečně doložených obchodních podmínek, týkající se určení předmětu a doby zpracování a typů zpracovávaných osobních údajů.

Doplňující informace: Daný příklad v praxi ukazuje, že správci musí pečlivě zvážit zákonnost každého využití či sdílení osobních údajů pro obchodní či marketingové účely a zajistit náležité informování subjektů údajů. Dále je nutné věnovat zvláštní pozornost obsahu zpracovatelských smluv.