Kontrola byla zahájena na základě stížnosti, kterou Úřad obdržel. Předmětem stížnosti bylo podezření na neoprávněné předávání osobních údajů v rámci nákupu na e-shopu. Konkrétně se jednalo o případ, kdy po nákupu v e-shopu byla vystavena faktura na objednané zboží právnickou osobou, která není provozovatelem daného e-shopu.
Předmětem kontroly bylo dodržování povinností stanovených nařízením (EU) 2016/679 a zákonem 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů předávaných v rámci podnikatelské činnosti kontrolované, právních titulů pro zpracování ve smyslu čl. 6 a 7 a čl. 12 až 14 nařízení (EU) 2016/679, a to jak v rozsahu podané stížnosti, tak v oblasti obecného postupu při předávání osobních údajů.
Kontrolující se snažili získat informace o propojení společností, tedy společnosti, u které byla provedena objednávka a společnosti, která objednávku plnila. V rámci předkontrolních úkonů byla zaslána žádost o informace týkající se propojení společností a specifikace činnosti společnosti. S ohledem na absenci reakce společnosti byla zahájena kontrola. Kontrolovaná na oznámení o zahájení kontroly ani na opakované výzvy Úřadu nereagovala a v rámci kontroly nikterak nespolupracovala, tudíž kontrolující museli vycházet jen z veřejně dostupných faktů a ze stížnosti. Za neposkytnutí součinnosti jí byla uložena pořádková pokuta ve výši 100 000 Kč.
Přes nesoučinnost kontrolované, kdy kontrolující čerpali pouze z veřejně dostupných zdrojů a ze stížnosti, došli kontrolující k závěru, že kontrolovaná zpracovává osobní údaje ve smyslu čl. 4 bod 1, 2 nařízení (EU) 2016/679, a dále, že se kontrolovaná nachází v postavení správce podle čl. 4 bodu 7 nařízení (EU) 2016/679, neboť z dostupných materiálů je patrné, že určila způsob a prostředek předmětného zpracování osobních údajů, kterým je zaslaná faktura vytvořená v systému Shoptet. Zároveň dospěli k závěru, že kontrolovaná porušila povinnost stanovenou v čl. 15 odst. 1 nařízení (EU) 2016/679 tím, že neposkytla požadované informace a rovněž porušila čl. 12 odst. 2 nařízení (EU) 2016/679 tím, že neusnadnila výkon práv subjektu údajů, neboť není známa na adrese svého sídla a nelze touto cestou uplatnit práva podle čl. 12 až 22 nařízení (EU) 2016/679.
Protokol o kontrole byl kontrolované zaslán dne 5. června 2020, téhož dne byl uložen a doručen fikcí byl ke dni 15. června 2020. Posledním dnem k podání námitek byl 30. červen 2020. K tomuto datu nebyly námitky podány. Následně bude zahájeno správní řízení o uložení pokuty.
