To nejzajímavější z výroční zprávy Úřadu pro ochranu osobních údajů (UOOÚ) a nové pokyny Evropského sboru

Věrnostní programy obchodníků

ÚOOÚ provedl kontrolu věrnostních programů maloobchodních řetězců. Při kontrole neshledal žádná závažná provinění. Byl kontrolován rozsah shromažďovaných údajů (nejčastěji titul, jméno, příjmení, datum narození, adresa, platební údaje, e-mailová adresa, tel. číslo, číslo zákaznické karty), doba uchovávání osobních údajů a jejich zabezpečení. Další informace, které obchody uchovávaly, se týkaly nakoupeného zboží, domovské prodejny, využití promoakcí, množství bodů v rámci věrnostního programu a další údaje, které však Úřad shledal přiměřenými vzhledem k účelu jejich zpracování. Pochybení, která ale kontrolovaným prodejcům vytkl, se týkala příliš dlouhého a neopodstatněného uchovávání osobních údajů – např. uchovávání údajů o nákupu potravinářského zboží po dobu 3 let shledal ÚOOÚ jako nepřiměřené. Úřad proto doporučil zkrátit tuto dobu v souladu s účelem uchovávání těchto údajů (např. dle doby, kdy je možné u zboží uplatnit reklamaci).

Telemarketing a osobní údaje

Další z oblastí provedených kontrol se týkala telemarketingu, kde přibližně čtvrtinu podnětů přijatých Úřadem tvořily stížnosti ohledně zpracování osobních údajů pro marketingové účely. Jedna z kontrolovaných telemarketingových společností nereagovala na uplatnění práva subjektů údajů na přístup k osobním údajům dle čl. 15 obecného nařízení („GDPR“), případně uváděla jako zdroj osobních údajů pouze náhodné generování telefonního čísla. Na vznesení námitky proti zpracování osobních údajů dle čl. 21 GDPR, event. po uplatnění práva na výmaz dle čl. 17 GDPR, společnost buď vůbec nereagovala, anebo přislíbila ukončení zpracování osobních údajů pro účel marketingu, avšak i po uplynutí měsíční lhůty pro přijetí opatření (dle čl. 12 odst. 3 GDPR) byly subjekty údajů znovu v rámci telemarketingu kontaktovány.

V rámci kontroly telemarketingové společnosti dospěl Úřad ke zjištění, že vystupovala jako zpracovatel osobních údajů, nikoliv jako správce, když svou činnost prováděla dle pokynů správců, pro které zajišťovala službu telemarketingu. Dále bylo zjištěno, že společnost porušila povinnost stanovenou v čl. 15-21 GDPR, když neposkytla subjektům údajů relevantní informace týkající se zpracování jejich osobních údajů. Konkrétně toto porušení spočívalo v tom, že při poskytování informací subjektům údajů odpovídala unifikovaným způsobem, aniž by zohlednila fakt, že byla v postavení zpracovatele. Společnost též ve svých odpovědích žadatelům neuvedla účel volání, tedy že telefonický hovor byl učiněn za účelem poskytnutí marketingové nabídky jiného subjektu (smluvního klienta); dále bylo ve většině odpovědí uvedeno, že zákonným titulem pro využití telefonního čísla byl oprávněný zájem kontrolované osoby jako správce osobních údajů, což však v tomto případě neplatilo.

Posouzení vlivu na ochranu osobních údajů

Posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR má provádět každý správce, jehož záměr zpracování lze hodnotit jako vysoce rizikový z hlediska zásahu do práv a svobod fyzických osob v souvislosti se zpracováním jejich osobních údajů. Úřad ve své zprávě upozorňuje na chyby, kterých se správci při tomto posuzování dopouštěli:

• balanční test je proveden tak, že z něj není možno ověřit potřebnost, vhodnost a přiměřenost zpracování osobních údajů;
• chybí nebo není dostatečně propracován popis zajištění práv subjektů údajů;
• popis přijatých technických a organizačních opatření bývá obecný a často není zřejmé, jak správce k jejich návrhu dospěl (není využita metodika zpracovaná ÚOOÚ a vlastní metodika správce zřejmá není); důsledkem je, že nelze ověřit, zda jsou přijatá opatření přiměřená a úplná.