Kontrola byla provedena na základě Kontrolního
plánu Úřadu pro rok 2021. Jejím předmětem bylo ověření postupů při zpracovávání
osobních údajů a povinností vyplývajících z obecného nařízení při
využívání věrnostního programu a věrnostních karet, včetně rodinných karet
zákazníků, a to především zaměřené na:
- ověření zásad zpracování dle čl. 5 (zákonnost,
minimalizace, omezení uložení, integrita a důvěrnost),
- zákonnost zpracování dle čl. 6 (včetně
případného profilování),
- podmínky udílení souhlasu dle čl. 7,
- výkon práv subjektů údajů stanovených čl. 12
až čl. 22 (zaměření na poskytování informací subjektům údajů a právo na výmaz),
- využití zpracovatelů dle čl. 28,
- zabezpečení zpracování dle čl. 32 (zabezpečení
databáze klientů) obecného nařízení.
Provedená kontrola zjistila, že kontrolovaná osoba zpracovává při
využívání věrnostního programu a věrnostních karet, včetně rodinných karet
zákazníků, přiměřený, relevantní a nezbytný rozsah osobních údajů. Osobní údaje
jsou zpracovávány korektně, zákonným a transparentním způsobem.
Z kontrolních zjištění je zřejmé, že
zpracování osobních údajů probíhá buďto na základě souhlasu, na základě plnění
smlouvy nebo na základě oprávněného zájmu. Kontrolovaný poskytuje informace o zpracování
osobních údajů v požadovaném rozsahu.
Kontrolující dále zjistili, že v rámci věrnostního programu
dochází k automatizovanému zpracování osobních údajů.
Subjekt
údajů však není předmětem žádného rozhodnutí založeného výhradně na
automatizovaném zpracování, včetně profilování. Kontrolovaná osoba vede záznamy o
činnostech zpracování v souladu s čl. 30 obecného nařízení. Kromě
toho přijala technická a organizační opatření, aby zajistila úroveň zabezpečení
odpovídající danému riziku.
Kontrolou
nebylo zjištěno porušení obecného nařízení.
