Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Nebankovní subjekty

 

 
 

Jako modelový příklad pochybení lze uvést kontrolní zjištění u podnikatele fyzické osoby, který je prodejcem spotřebního zboží a pro zákazníky zprostředkovává zaplacení prodávaného zboží sjednáním úvěru u finanční společnosti, přičemž prodejce je zároveň obchodním zástupcem na základě smlouvy o obchodním zastoupení s nebankovním subjektem. Nastala zde, z pohledu zákona o ochraně osobních údajů, zajímavá situace, kdy prodejce zboží získává osobní údaje svých zákazníků, což však nečiní pro účel prodeje zboží, ale pro účel sjednání úvěru. Prakticky došlo k tomu, že údaje zákazníka získané pro uzavření úvěru použil i k jinému účelu. Tento kontrolovaný si neuvědomil, že jedná v rozporu se zákonem, když osobní údaje zákazníka použil k jinému než stanovenému účelu a zároveň tak učinil bez souhlasu subjektu údajů pro takové zpracování.

Jako další příklad lze uvést stížnost na to, že během platnosti smlouvy a pravidelného splácení se klientovi několikrát stalo, že na číslo jeho účtu připisovala jistá společnost platby od cizího (jiného) klienta, což bylo dokonce uváděno i na výpisech, které mu při každém pohybu na jeho účtu společnost na jeho náklady posílala, takže platil i výpisy, které se týkaly cizích úhrad na jeho účet. Na všechny případy cizích plateb na jeho účet vždy okamžitě společnost telefonicky upozornil, ta ale, přestože si telefony nahrávala, nikdy nesjednala nápravu. V tomto případě bylo kontrolou zjištěno, že se kontrolovaná společnost dopustila spáchání správního deliktu, když zpracovávala nepřesné osobní údaje v případě plateb k účtu, které neodpovídaly povinnosti správce zpracovávat pouze přesné osobní údaje, které získal v souladu se zákonem; že věc neprověřil a neprovedl potřebnou nápravu, takto zpracovával nepřesné osobní údaje.

Porušení bylo zjištěno ve vztahu ke klientům kontrolovaného, když kontrolovaný získal vinou selhání telefonní operátorky nepřesné údaje o svém klientovi, údaje dále zpracovával a přes telefonické upozornění subjektu údajů věc neprověřil a neprovedl potřebnou nápravu. Takto bylo porušeno ustanovení § 5 odst. 1 písm. c) zákona o ochraně osobních údajů. Zpracováním nepřesného osobního údaje z důvodu selhání telefonní operátorky, přestože na to subjekt údajů opakovaně upozorňoval a kontrolovaný nesjednal nápravu, nebankovní subjekt zpracovával nepřesné osobní údaje, které neodpovídaly povinnosti správce zpracovávat pouze přesné osobní údaje, a tak porušil i ustanovení § 21 odst. 2 zákona o ochraně osobních údajů. Další stížnost byla podána na jinou společnost (nebankovní subjekt), která měla nahrávat veškeré telefonní hovory, aniž by o tom informovala svoje potencionální nebo i stávající klienty, kteří běžně sdělují svoje interní, mnohdy i velmi osobní informace nebo iniciály, neboť se firma zabývá půjčováním peněz formou zpětných nebo obyčejných leasingů; navíc do firmy zpravidla telefonují lidé, kteří jsou ve finanční tísni, telefonní hovory jsou ukládány v archivu a mají k nim přístup prakticky všichni zaměstnanci. U této společnosti bylo zjištěno porušení povinnosti ve vztahu k zpracovávaným osobním údajům zaměstnanců společnosti.

Jako další příklad lze uvést i stížnost na společnost, která měla zneužít osobní údaje klienta získané za účelem uzavření smlouvy o úvěru prodejcem spotřebního zboží tak, že je použil ve svém vyjádření v otištěném novinovém článku jako reakci ve sporu o reklamaci zboží. I zde inspektor Úřadu zjistil porušení zákona o ochraně osobních údajů.

Právně zajímavá situace u nebankovních subjektů byla zjištěna při určování správce a zpracovatele osobních údajů. Nebankovní subjekty totiž poskytují služby (zpravidla půjčky a úvěry) jednak přímo, a takto stojí v pozici správce osobních údajů podle ustanovení § 4 písm. j) zákona o ochraně osobních údajů, ale také velmi často služby poskytují prostřednictvím jiných osob. Tito obchodní zástupci pak podle vztahu mohou být samostatnými správci osobních údajů, nebo jsou zpracovateli osobních údajů ve smyslu ustanovení § 4 písm. k) zákona o ochraně osobních údajů. V takovém vztahu správce zpracovatel bylo téměř pravidlem zjištění porušení ustanovení § 6 zákona o ochraně osobních údajů a z kontrol vyplývá obecné zjištění, že řádně uzavřená zpracovatelská smlouva je více výjimkou než pravidlem. Takto pro provázanost ustanovení zákona o ochraně osobních údajů bylo velmi častým zjištěním porušení ustanovení § 13 zákona o ochraně osobních údajů, tedy zjištění, že nebyla přijata dostatečná opatření při zabezpečení osobních údajů.

Dalším zjištěným porušením bylo to, že kontrolované subjekty buď vůbec nestanovily lhůty pro uchovávání osobních údajů zejména ze zpracování osobních údajů zaměstnanců, uchazečů o zaměstnání a bývalých zaměstnanců, nebo lhůty stanovily bezúčelně dlouhé, nebo také tak, že nevytvořily tlak na odpovědné zaměstnance, aby nepotřebné dokumenty okamžitě zlikvidovali.

Kontrolovaní často nedbali na ochranu soukromého a osobního života subjektu údajů, ale naopak tam, kde kontrolovaný pořizoval kopie dokladů s údaji, které vypovídaly o soukromí osob, aniž byl dán účel jejich zpracování do jeho soukromí a osobního života zasahovali. V mnoha případech kontrolované subjekty odstranily zjištěná porušení již v průběhu kontroly tak, že nebylo třeba ukládat nápravná opatření, čímž došlo k odstranění protiprávního stavu, tedy nejvýznamnějšímu cíli prováděných kontrol Úřadem. Tam, kde k tomu nedošlo, pro odstranění zjištěných nedostatků byla uložena nápravná opatření spočívající zejména v ukončení shromažďování osobních údajů - pořizování fotokopie občanského průkazu, fotokopie karty VZP, fotokopie vysvědčení o státní závěrečné zkoušce a shromažďování evidenčního čísla občanského průkazu, neprodlenému naplňování informační povinnosti v rozsahu stanoveném ustanovením § 11 odst. 1 zákona o ochraně osobních údajů, a také o dalších právech stanovených v § 21 zákona o ochraně osobních údajů; musely být zlikvidovány nadbytečné osobní údaje ze zpracování osobních údajů - to vše dle výsledků jednotlivých posouzení. Na základě výsledků kontrol vedl Úřad s kontrolovanými subjekty také správní řízení, v nichž byla vždy za porušení zákona uložena sankce.

Kontrolami bylo zjištěno, že porušení ustanovení zákona o ochraně osobních údajů se v zásadě opakují bez ohledu na předmět činnosti kontrolovaného. Lze zobecnit, že činnost nebankovních subjektů sice má svá specifika, avšak četnost ani druhy spáchaných správních deliktů se od jiných kontrolovaných výrazně neodlišují. Zjištěná porušení zákona o ochraně osobních údajů nasvědčují spíše neznalosti zákonných ustanovení a z nich plynoucích práv a povinností, než vědomému a úmyslnému porušování zákona o ochraně osobních údajů, což ovšem nikterak nesnižuje odpovědnost za spáchané správní delikty.

Činnost nebankovních subjektů nelze paušálně negativně posuzovat. Musí si však uvědomit, že se při zpracovávání osobních údajů nemohou chovat úplně stejně jako bankovní instituce. Především je však třeba, aby si klienti i v rizikové situaci, jakou je potřeba financí či úvěru, uvědomili, že zpracování osobních údajů a s tím související operace může znamenat riziko pro jejich soukromí a neposkytovali osobní údaje bez rozmyslu výměnou za získání zdánlivých výhod.

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 13.12.2013 / 13.12.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém