Bankovní instituce provozující internetové bankovnictví (UOOU-03613/20)

Kontrola týkající se provozování webových stránek obchodní společnosti z hlediska zpracování osobních údajů

Úřad provedl kontrolu zaměřenou na zpracování osobních údajů, předávání osobních údajů, získávání souhlasu se zpracováním osobních údajů a rovněž naplňování práv subjektů údajů a práva na informace o zpracování osobních údajů v souvislosti s provozem webových stránek bankovní institucí. Společnost (správce osobních údajů) umožňovala ukládání cookies třetích strana a předávání údajů do třetích zemí.

Kontrolou bylo zjištěno, že správce v určitém období nedisponoval právním titulem pro zpracování osobních údajů statistickými cookies třetích stran dle čl. 6 odst. 1 GDPR. Pro takové zpracování je jediným možným právním titulem souhlas, avšak ten nebyl kontrolovanou osobou od subjektů údajů získáván.

Dále bylo konstatováno pochybení v souvislosti s informační povinností podle čl. 13 GDPR, která nebyla správcem řádně plněna, a to v souvislosti s využitím cookies a sledovacích skriptů na webových stránkách správce. Ovšem ani po doplnění cookies lišty nebyl stav uspokojující, neboť absentovaly podstatné informace týkající se oprávněných zájmů správce a předávání osobních údajů do třetích zemí.

Kontrolou bylo dále zjištěno porušování čl. 44 GDPR, neboť správce nezajistil splnění podmínek formulovaných tímto ustanovením pro předávání osobních údajů do třetích zemí.

Proti kontrolním zjištěním byly podány námitky, avšak byly zamítnuty nebo jim bylo vyhověno jen částečně.