Realitní zprostředkovatel (UOOU-03510/21)

Zpřístupnění osobních údajů klientů realitního zprostředkovatele

Během roku 2025 Úřad dokončil kontrolu zahájenou na základě obdrženého ohlášení porušení zabezpečení osobních údajů z roku 2021. Činnost této kontrolované osoby se týkala realitního zprostředkování, proto se kontrolující zaměřili na tuto oblast podnikání ve vztahu k případnému zpracování osobních údajů.

Bezpečnostní incident spočíval v neoprávněném stažení osobních údajů klientů z informačního systému prostřednictvím přístupu do informačního systému ztotožněné spolupracující osoby. Kategoriemi dotčených osobních údajů byly identifikační údaje klientů správce – jméno a příjmení, kontaktní údaje (telefonní číslo a e-mailová adresa). Zpřístupnění mělo proběhnout za účelem umožnění nabídky investičních a finančních produktů subjektům údajů.

Kontrolující konstatovali, že kontrolovaná osoba nedisponovala pro zpřístupňování osobních údajů svých klientů ve výše vymezeném období žádným z právních titulů podle čl. 6 odst. 1 písm. a) až f) GDPR, čímž ustanovení čl. 6 odst. 1 GDPR porušila.

Dále bylo konstatováno porušení ve vztahu k zásadě transparentnosti a korektnosti zpracování osobních údajů podle čl. 5 odst. 1 písm. a) GDPR, kterého se kontrolovaná osoba dopustila tím, že záměrně neposkytla dotčeným subjektům údajů žádné informace o zpřístupnění jejich osobních údajů dalším společnostem.

Kontrolovaná osoba uvedla až v námitkách, že zpřístupnění osobních údajů probíhalo na základě právního titulu souhlasu podle čl. 6 odst. 1 písm. a) GDPR. Toto bylo zohledněno v navazujícím správním řízení a námitky kontrolované osoby byly vyřízeny v souladu s § 14 odst. 3 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), v jeho rámci.

Doplňující informace: Daný příklad v praxi ukazuje, že správci musí pečlivě zvážit zákonnost každého využití či sdílení osobních údajů pro obchodní či marketingové účely a zajistit náležité informování subjektů údajů.