Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Dozorová a rozhodovací činnost > Ukončené kontroly > Kontroly za rok 2017 > Kontrolní činnost podle zákona o ochraně osobních údajů - 2. pololetí > Kontrola zpracování osobních údajů v modulu „Exekutor“ (Exekutorská komora České republiky)

 

Společnost provozující hazardní hry - archiv dokumentů

UOOU-00687/20

 
 
 
Kontrola této společnosti byla zahájena na základě plánu kontrol pro rok 2020, a to z důvodu, že doména společnosti provozující hazardní hry se v posledních letech objevovala na předních místech v zásazích do spamových pastí, přestože v roce 2019 ani 2020 nebyl Úřadu podán žádný podnět či stížnost. Příslušná kontrola tak byla zaměřena jak na dodržování podmínek, za kterých lze šířit obchodní sdělení elektronickými prostředky podle zákona č. 480/2004 Sb., o některých službách informační společnosti, tak ve vztahu ke zpracování osobních údajů a plnění informační povinnosti při šíření obchodních sdělení dle obecného nařízení ve vztahu k přímému marketingu.

Kontrolující zjišťovali, na základě jakých právních titulů kontrolovaná osoba odesílá, resp. šíří obchodní (marketingová) sdělení elektronickými prostředky a zda jsou obchodní sdělení odesílána (šířena) kontrolovanou osobou nebo zda k zasílání kontrolovaná osoba využívá jiných subjektů. 

Kontrolou bylo zjištěno, že obchodní sdělení si zasílá kontrolovaná osoba pomocí vlastních prostředků (e-mailová komunikace) či využívá SMS bránu třetího subjektu. Osobní údaje pro tyto účely získává kontrolovaná osoba přímo od subjektů údajů, a to při registraci zákaznického online účtu nebo prostřednictvím mobilní aplikace. Uživatel si tak sám může již při registraci, a i kdykoli později, sám nastavit preferovaný způsob komunikace, či zasílání obchodních sdělení rovnou zrušit. Při registraci dochází také k ověřování e-mailové adresy (prostřednictvím zaslaného potvrzovacího linku) či telefonního čísla (prostřednictvím zaslaného potvrzovacího PIN kódu). Ve všech případech má subjekt údajů k dispozici znění souhlasu včetně dokumentu Ochrana osobních údajů, ve kterém jsou informace o způsobu, jakým kontrolovaná osoba zpracovává osobní údaje uživatelů. Posledním způsobem poskytnutí osobních údajů je jejich dobrovolné poskytnutí prostřednictvím obchodní sítě nebo v rámci různých projektů, soutěží nebo marketingových akcí. Samotné nastavení souhlasů, ale i jejich udělení či odvolání, tedy to, jak se tyto změny promítnou v systémech kontrolované osoby, bylo ověřeno přímo při místním šetření. Stejně tak byly prověřeny i veškeré dokumenty, které jsou součástí informační povinnosti. 

Z kontrolního zjištění je tak patrné, že kontrolovaná osoba zasílá obchodní sdělení pouze na základě souhlasu dle § 7 odst. 2 zákona č. 480/2004 Sb., přičemž však dává svým zákazníkům možnost zasílání obchodních sdělení předem odmítnout, a to tím, že nezaškrtnou pole pro udělení souhlasu již při prováděné registraci k hráčskému online účtu či v rámci mobilní aplikace. Úřad k tomu uvádí, že je na vůli kontrolované osoby, jaký právní titul pro zasílání obchodních sdělení využije (z pohledu zákona č. 480/2004 Sb.), tedy i to, že například nevyužije tzv. zákaznickou výjimku (§ 7 odst. 3 zákona č. 480/2004 Sb.). V rámci místního šetření byla požadována taktéž ukázka příslušné kampaně, a to jak e-mailové, tak i SMS kampaně, a to z důvodu posouzení, zda zasílaná obchodní sdělení splňují též další podmínky (v souvislosti s jejich podobou) stanovené § 7 odst. 4 zákona č. 480/2004 Sb. Kontrolující v této souvislosti konstatovali, že tyto další podmínky (označení, uvedení toho, v čí prospěch je obchodní sdělení zasíláno a v neposlední řadě i uvedení platné adresy, na kterou lze obchodní sdělení odmítnout) byly kontrolovanou osobou splněny. 

Úřad měl pouze jedinou výhradu a v této souvislosti doporučil kontrolované osobě její úpravu, a to v případě uvedení odesílatele, v jehož prospěch je obchodní sdělení šířeno. V textech obchodních sdělení bylo totiž uváděno zcela zažité označení kontrolované osoby, nicméně bylo doporučeno uvádět celý název společnosti, včetně ještě dalšího identifikačního údaje, např. IČO či sídla. A v případě obchodních sdělení zasílaných prostřednictvím SMS zpráv bylo kontrolované osobě doporučeno umožnit odhlášení z dalšího zasílání obchodních sdělení též pomocí tohoto kanálu (tedy telefonem – SMS zprávou), nikoli pouze pomocí přihlášení do profilu zákazníka přes webové rozhraní. K tomu pak kontrolovaná osoba uvedla, že toto nastavení je momentálně ve vývoji.

Ve vztahu k dodržování čl. 17 obecného nařízení (právo na výmaz – právo být zapomenut), čl. 21 obecného nařízení (právo vznést námitku) a čl. 12 obecného nařízení (informační povinnost) v souvislosti se zasíláním obchodních sdělení v rámci přímého marketingu byly kontrolovanou osobou předvedeny konkrétní postupy při vyřizování těchto požadavků, doloženy interní směrnice, které souvisejí s nakládáním s osobními údaji, a ve kterých jsou blíže popsány způsoby, jakými se zpracovávají žádosti subjektů údajů, dále byly též doloženy dokumenty týkající se informační povinnosti. Současně bylo dodržování těchto ustanovení prověřeno též při místním šetřením a též prostřednictvím náhledů na internetové stránky či prostřednictvím provedení zkušebního vytvoření zákaznického (hráčského) účtu. Úřad v této souvislosti konstatoval, že v době prováděné kontroly nebylo u kontrolované osoby zjištěno porušení čl. 12, čl. 17 ani čl. 21 obecného nařízení.

Doporučení:

Zasílat obchodní sdělení elektronickými prostředky lze na základě dvou legitimních důvodů, a to souhlasu, který je uveden v § 7 odst. 2 zákona č. 480/2004 Sb., o některých službách informační společnosti, a na základě tzv. zákaznické výjimky, tedy bez souhlasu, za splnění podmínek uvedených v § 7 odst. 3 zákona č. 480/2004 Sb. Subjekt údajů však musí být dostatečně informován o tom, jaký právní titul k zasílání obchodních sdělení šiřitel využívá. Pokud se tedy šiřitel například rozhodne využívat pouze souhlas, a tedy výjimku dle § 7 odst. 3 zákona č. 480/2004 Sb. vůči svým zákazníkům nepoužít, musí o této skutečnosti subjekt údajů náležitě informovat. Často se stává, že jsou tyto právní tituly v rámci obchodních podmínek zaměňovány, nejsou dostatečně vysvětleny nebo jsou využívány tak, jak se to zrovna šiřiteli obchodních sdělení hodí.
 

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém