Předmětem kontroly bylo dodržování povinností
správce osobních údajů podle obecného nařízení se zaměřením na dodržování
povinností dle čl. 5, čl. 6, čl. 12 až čl. 22, čl. 28, čl. 30
a čl. 32 při provozování zákaznických, slevových a věrnostních programů,
včetně provozu e-shopu a využívání cookies.
Kontrolou bylo zjištěno, že kontrolovaná osoba
zpracovává osobní údaje:
- na základě
souhlasu se zpracováním osobních údajů podle čl. 6 odst. 1 písm. a) obecného nařízení
(reklama a průzkum trhu, kontaktní údaje);
- z důvodu
uzavření a plnění smluvního vztahu v rámci zákaznického programu a z
důvodu smluvního vztahu vyplývajícího z internetového obchodu, včetně vedení
zákaznického konta, tj. podle čl. 6 odst. 1 písm. b) obecného
nařízení;
- z důvodu
zajištění ochrany práv a právem chráněných zájmů kontrolované osoby spočívajících
zejména v nutnosti stanovení, výkonu nebo ochrany právních nároků v soudním či
jiném řízení, v rámci mimosoudního jednání podle čl. 6 odst. 1 písm. f) obecného
nařízení.
Kontrolovaná osoba měla
zpracovány interní předpisy v dokumentech „Informace o ochraně
osobních údajů“, „Podmínky účasti v [zákaznickém] programu“, „Zásady zpracování
osobních údajů“ a „Obchodní podmínky“ (čl. 2). Ty obsahovaly dostatečné
informace o zpracování osobních údajů ve smyslu čl. 12 a informace o právech
subjektů údajů podle čl. 13 a násl. obecného nařízení. Interní
předpisy kontrolované osoby též obsahovaly dostatečné informace o ochraně
osobních údajů a jejich zabezpečení ve smyslu čl. 5 odst. 1 písm. f) obecného nařízení. Ve smyslu čl. 32 obecného nařízení měla
kontrolovaná osoba zpracována konkrétní rizika plynoucí ze zpracování a
posouzení vlivu na ochranu osobních údajů. Přístupy do jednotlivých databází
kontrolované osoby byly logovány.
Kontrolující v závěru kontroly nekonstatovali
žádné porušení obecného nařízení.
