Kontrola byla provedena na základě Kontrolního
plánu Úřadu pro rok 2020. Předmětem kontroly bylo
dodržování povinností při:
- ověření postupů při zpracovávání
osobních údajů u žádosti o finanční produkt,
především ve vztahu k procesu získání osobních údajů,
- pořizování kopií občanských
průkazů a doby jejich uchování (zejména pokud není obchod vůbec uzavřen, ať již
z popudu společnosti či klienta),
- plnění řádné informační povinnosti,
- naplnění práva subjektu údajů „být
zapomenut“ ve smyslu čl. 17 obecného nařízení.
Kontrolující zjistili, že kontrolovaná osoba zpracovává
přiměřený, relevantní
a nezbytný rozsah osobních údajů ve vztahu k jednotlivým účelům, pro které
jsou zpracovávány, korektně, zákonným a transparentním způsobem, přičemž osobní
údaje nezpracovává po dobu delší, než je nezbytné k dosažení účelů, pro které
byly zpracovány. Zpracování osobních údajů kontrolovanou
osobou probíhá:
- na základě souhlasu
subjektu údajů se zpracováním jeho osobních údajů pro jeden či více konkrétních
účelů (např. právo kontrolované osoby v souvislosti s vymáháním
pohledávek zveřejnit údaje o subjektu údajů spolu s údajem o existenci
dluhu, souhlas subjektu údajů pro marketingové účely, souhlas se zpracováním
elektronického podpisu atd.),
- na základě plnění
smlouvy,
- pro provedení opatření
přijatých před uzavřením smlouvy
na žádost subjektu údajů,
- zpracování je nezbytné
pro splnění právní povinnosti (např. zákon č.
257/2016 Sb., o spotřebitelském úvěru, zákon č. 634/1992 Sb., o ochraně
spotřebitele, zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci
výnosů z trestné činnosti a financování terorismu, zákon č. 586/1992 Sb.,
o daních z příjmů, zákon č. 563/1991 Sb., o účetnictví),
- na základě oprávněných zájmů kontrolovaného či třetí strany, kromě
případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a
svobody subjektu údajů vyžadující ochranu osobních údajů.
Kopírování občanských průkazů provádí
kontrolovaná osoba na základě zákona
č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné
činnosti a financování terorismu, a tudíž jako povinná osoba musí provést
identifikaci a kontrolu klienta. Kontrolovaný rozlišuje dvě možné
varianty:
- uzavírání smlouvy výlučně prostřednictvím
prostředků komunikace na dálku. Klient je kontrolované osobě povinen zaslat
podle § 11 odst. 7 zákona č. 253/2008 Sb. kopii průkazu totožnosti a dalšího
podpůrného dokladu, z něhož lze zjistit jeho identifikační údaje dle
zákona č. 253/2008 Sb. Právním základem pro pořízení kopie občanského průkazu
je tedy plnění právní povinnosti.
- uzavírání smlouvy,
která není uzavírána výlučně prostřednictvím prostředků komunikace na dálku.
Klient kontrolované osobě předkládá svůj průkaz totožnosti (občanský průkaz),
ze kterého kontrolovaná osoba zaznamená jeho identifikační údaje. Kopii
občanského průkazu kontrolovaná osoba pořizuje v těchto případech pouze
s předchozím souhlasem klienta (souhlas je dobrovolný, uzavření smlouvy
není podmíněno tímto souhlasem).
Doba
uchovávání osobních údajů kontrolovanou osobou je 10 let a vychází
z maximální délky promlčecí doby podle zákona č. 89/2012 Sb., občanský
zákoník, a dále ze zákona č. 253/2008 Sb. Kontrolovaná osoba informace o ochraně
osobních údajů, tedy i o jejím zpracování, poskytuje na svých webových
stránkách.
Kontrolovaná
osoba vyhodnotila závažnost a pravděpodobnost rizik spojených se zpracováním
osobních údajů a v návaznosti na to přijala technická a organizační
opatření, aby zajistila úroveň zabezpečení odpovídající danému riziku.
Kontrolou
nebylo zjištěno porušení obecného nařízení.
