Předmětem kontroly u této
společnosti bylo dodržování povinností stanovených obecným nařízením
v souvislosti se zpracováním osobních údajů a zákonem č. 110/2019 Sb., o
zpracování osobních údajů, při provozování obchodní činnosti kontrolované
osoby, a to se zaměřením na právní základ získání osobních údajů, jejich
následné zpracování, včetně podmínek zabezpečení osobních údajů a dále také
v souvislosti s třemi podanými stížnostmi též na dodržování
povinností při šíření obchodních sdělení stanovených zákonem č. 480/2004 Sb., o
některých službách informační společnosti.
Kontrolovaná osoba ke své
činnosti používá webové stránky, na kterých má vytvořen přístup do e-shopu, kde
se nachází objednávkový formulář, registrační formulář a další informace o její
činnosti, jako dokument „Ochrana osobních údajů“, „Zpracování osobních údajů“
či „Všeobecné obchodní podmínky“. Kontrolující zjistil, že kontrolovaná osoba
zpracovává osobní údaje dle čl. 4 bodu 1 a 2 obecného nařízení, nachází se
v postavení správce ve smyslu čl. 4 bodu 7 obecného nařízení. Ke své
činnosti využívá též zpracovatele, se kterými má uzavřeny příslušné smlouvy.
Dále kontrolující prověřoval, na
základě jakého právního titulu jsou kontrolovanou osobou zpracovávány osobní
údaje zákazníků či potenciálních zákazníků. Kontrolovaná osoba tak činí na
základě právního titulu souhlasu, za účelem plnění smlouvy (a to již ve fázi
jednání o uzavření smlouvy), plnění právních povinností, kdy jsou tyto
povinnosti definovány právními normami
(účetními, daňovými), a v neposlední řadě též na základě právního titulu
oprávněného zájmu, kdy je prováděno zpracování osobních údajů za účelem přímého
marketingu, a to prostřednictvím listovní a e-mailové komunikace a za účelem
profilování. Kontrolující v této souvislosti zjistil, že informace o
souhlasu se zpracováním osobních údajů jsou poskytovány zmatečně, souhlas se
vyskytuje v různých částech dokumentace týkající se ochrany osobních
údajů, a pro roztříštěnost úpravy je pro subjekt údajů netransparentním.
Kontrolující tak konstatoval, že kontrolovaná osoba porušila zásadu zákonnosti,
korektnosti a transparentnosti uvedenou v čl. 5 odst. 1 písm. a) obecného
nařízení a že nebyla dodržena podmínka srozumitelnosti a transparentnosti
souhlasu se zpracováním osobních údajů dle čl. 7 odst. 2 obecného nařízení,
jakož i jednoduchosti při jeho odvolání dle čl. 7 odst. 3 obecného nařízení.
Vzhledem ke skutečnosti, že
profilování je prováděno za účelem přímého marketingu, musí mít subjekt údajů
možnost vznést proti tomuto zpracování námitku a na toto právo musí být
upozorněn zřetelně a odděleně od jiných informací. To však nebylo kontrolovanou
osobou náležitě splněno. Kontrolující tak konstatoval také porušení čl. 21
odst. 4 obecného nařízení.
Ve vztahu k rozsahu
zpracovávaných osobních údajů kontrolující konstatoval porušení zásady uvedené
v čl. 5 odst. 1 písm. c) obecného nařízení, podle které musí být osobní
údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu
k účelu, pro který jsou zpracovávány, a to z důvodu zpracování
osobního údaje „pohlaví“, který není pro daný účel relevantní.
Z kontrolních zjištění dále
vyplynulo, že kontrolovaná osoba nedostatečně splnila tzv. informační povinnost
ve vztahu k subjektům údajů. Proto kontrolující konstatoval porušení
povinností vyplývajících z čl. 12, čl. 13 a čl. 14 obecného nařízení,
konkrétně proto, že kontrolovaná osoba neposkytovala subjektům údajů relevantní
informace a neusnadňuje tím výkon jejich práv a nejméně v případě
profilování nepodávala či nezveřejnila relevantní informace o tomto zpracování
osobních údajů.
Dále kontrolující zjišťoval, zda
je řádně plněna informační povinnost i ve vztahu k využívání souborů
cookies na internetových stránkách kontrolované osoby. Dospěl ke zjištění, že
v souvislosti s používáním cookies kontrolovaná osoba porušila čl. 13
odst. 1 písm. e) obecného nařízení. Nesdělila totiž případné další příjemce
osobních údajů (cookies), jakož i čl. 13 odst. 2 písm. a) obecného nařízení,
neboť neuvedla, po jakou dobu jsou jednotlivé osobní údaje (cookies) uloženy.
S ohledem na skutečnost, že
kontrolovaná osoba zasílá obchodní sdělení také prostřednictvím elektronických
prostředků, a to zejména formou elektronické pošty, zaměřil se kontrolující
také na dodržování podmínek stanovených zákonem č. 480/2004 Sb., který je
v této oblasti speciálním k obecné úpravě přímého marketingu uvedené
v obecném nařízení. V této části posuzoval kontrolující to, jak
kontrolovaná osoba dodržuje podmínky, za kterých lze šířit obchodní sdělení
elektronickými prostředky, a jak o tom informuje subjekty údajů – jak
v obecné rovině, tak ve vztahu k podaným stížnostem (tedy ve vztahu
k jednotlivým stěžovatelům).
V této části kontrolující
konstatoval, že právní titul souhlasu, jak je dosud kontrolovanou osobou
nastaven, neodpovídá zákonným požadavkům, jelikož použitý pojem „důležité
informace“ je velice zavádějící a subjekt údajů tak není dostatečně informován
o tom, že pokud zaškrtne příslušné pole, souhlasí tak se zasíláním obchodních
sdělení ve smyslu § 7 zákona č. 480/2004 Sb., a že musí tento souhlas odpovídat
též požadavkům na souhlas dle obecného nařízení (k tomu viz výše). Proto
kontrolující posoudil předmětná obchodní sdělení (zasílaná zákazníkům
kontrolované osoby) na základě použití tzv. zákaznické výjimky uvedené v § 7
odst. 3 zákona č. 480/2004 Sb.
V případě dodržování dalších
podmínek stanovených v § 7 odst. 4 zákona č. 480/2004 Sb. neshledal
kontrolující ve vztahu k zaslaným obchodním sdělením (viz podané
stížnosti) porušení.
