Poskytovatel služby elektronických komunikací (UOOU-04568/20)
Kontrola byla zahájena v prosinci 2020 na základě stížnosti týkající se možného porušení právních předpisů při zpracování osobních údajů v rámci rozesílání SMS s výzvou k instalaci aplikace eRouška. Stěžovatel poukazoval na fakt, že kontrolovaná osoba nesplnila informační povinnost týkající se trackovacího odkazu, který do zmíněné SMS přidala.
Kontrolovaná osoba byla oslovena Ministerstvem zdravotnictví s žádostí o rozeslání informačních SMS všem svým zákazníkům, této žádosti kontrolovaná osoba vyhověla a zároveň do každé SMS přidala unikátní odkaz za účelem evidování počtu prokliků na stránky, kde bylo možné stáhnout aplikaci eRouška. Smyslem tohoto odkazu mělo být předejití opakovanému rozesílání SMS zákazníkům, kteří si již aplikaci stáhli, a tím do budoucna také minimalizovat náklady v případě rozesílání dalších SMS s podobným obsahem.
Úřad po provedení kontroly a posouzení všech okolností konstatoval, že zpracování osobních údajů v rozsahu telefonního čísla a informace o prokliku na stránku vedoucí k instalaci aplikace eRouška prováděla kontrolovaná osoba bez řádného zákonného titulu, příjemce SMS zpráv řádně neinformovala o zpracování jejich osobních údajů a neprokázala provedení vhodných technických a organizačních opatření při zpracování osobních údajů, a tímto porušila čl. 6 odst. 1 GDPR, čl. 13 GDPR a čl. 32 GDPR.
Proti všem kontrolním zjištěním podala kontrolovaná osoba námitky, které byly vypořádány v červnu 2022 a to tak, že námitky proti kontrolnímu zjištění – zpracování bez řádného zákonného titulu a nesplnění informační povinnosti – byly zamítnuty.
Námitce směřující proti kontrolnímu zjištění – neprokázání vhodných technických a organizačních opatření při zpracování osobních údajů – bylo vyhověno. Spis byl předán k zahájení správního řízení.