Společnost s ručením omezeným (UOOU-01942/20)
Úřad zahájil kontrolu v srpnu 2020 na základě stížnosti směřující proti nevyžádanému telemarketingu a neposkytnutí informací o zdroji zpracovávaných osobních údajů.
Společnost využívala ke kontaktování nových zákazníků letáky, které vyplnili zájemci o jejich služby, a zároveň zde mohli uvést další osoby, které by mohly mít o služby kontrolované osoby zájem. V případě, že osobní údaje neposkytl přímo subjekt údajů, ale jiná osoba, docházelo ke zpracování osobních údajů bez vědomí subjektu údajů. Používaný leták neumožňoval uvedení osoby, která osobní údaje potenciálních zákazníků poskytla, kontrolovaná osoba tedy není schopna zjistit zdroj osobních údajů, a tedy ani informaci o něm poskytnout subjektu údajů.
Úřad na základě výše uvedeného konstatoval porušení čl. 6 odst. 1 GDPR, neboť kontrolovaná osoba postupovala při získávání osobních údajů bez řádného právního titulu, a došlo také k porušení zásady korektnosti a transparentnosti dle čl. 5 odst. 1 písm. a) GDPR, neboť subjekt údajů neměl v době uzavírání smlouvy o poskytování služeb informace o tom, jaké jeho osobní údaje jsou zpracovávány. Úřad dospěl k závěru, že souhlas se zpracováním osobních údajů nebyl ze strany subjektu údajů dobrovolný, konkrétní ani jednoznačný.
Kontrolovaná osoba neposkytovala subjektům údajů informace uvedené v čl. 13 GDPR, ani nedoložila splnění této povinnosti, čímž porušila čl. 13 a 14 GDPR. Došlo také k porušení čl. 28 odst. 3 GDPR, jelikož kontrolovaná osoba jakožto správce osobních údajů využívala zpracovatele osobních údajů na základě uzavřené smlouvy, která neobsahovala všechny podstatné náležitosti.
Pochybení bylo shledáno také ve smyslu čl. 30 GDPR, neboť nebyly doloženy řádné záznamy o činnostech zpracování osobních údajů, odpovídající uvedenému článku, v některých případech nebyly doloženy dokonce žádné záznamy o činnostech zpracování. Vzhledem k tomu, že kontrolovaná osoba nedoložila soulad svých činností zpracování se zásadami dle čl. 5 GDPR, porušila tímto zásadu odpovědnosti dle čl. 5 odst. 2 GDPR.
Kontrola byla ukončena vydáním kontrolního protokolu v listopadu 2020, proti tomuto protokolu podala kontrolovaná osoba celkem osm námitek, které byly vyřízeny v červnu 2021 tak, že sedm námitek proti kontrolním zjištěním bylo zamítnuto. Částečně bylo vyhověno námitce proti kontrolnímu zjištění – porušení čl. 28 odst. 3 GDPR, totiž, že předložené zpracovatelské smlouvy neobsahují podstatné náležitosti. Věc byla vrácena k došetření kontrolnímu orgánu, který po opětovném posouzení smluv potvrdil svůj předchozí výrok o porušení čl. 28 GDPR.
Po znovu podané námitce proti zjištění z dodatku protokolu o kontrole bylo této ze strany Úřadu částečně vyhověno v tom smyslu, že zpracovatelské smlouvy dle čl. 28 odst. 3 GDPR obsahují některé povinné náležitosti. Druhá námitka směřující proti zjištění, že kontrolovaná osoba nedoložila pokyny správce ke zpracování osobních údajů, byla zamítnuta. Kontrolovaná osoba argumentovala tím, že veškeré pokyny ke zpracování osobních údajů nemusí být v písemné formě. Správce a zpracovatel však musí být schopni tyto pokyny doložit, jelikož zpracovatel není oprávněn překročit pokyny správce při zpracování osobních údajů.
Kontrola byla ukončena vypořádáním námitek proti kontrolním zjištěním uvedeným v dodatku k protokolu o kontrole v červnu 2022. Ve věci bude zahájeno správní řízení.