ÚOOÚ v prvním pololetí pokutoval hlavně nevyžádanou reklamu
Úřad pro ochranu osobních údajů zveřejnil přehled kontrol za první pololetí roku 2021. Nejčastěji a nejpřísněji pokutoval zasílání nevyžádaných obchodních sdělení. Postihy padaly i za nesprávně nastavené souhlasy s cookies nebo za nesmazání účtů bývalým zaměstnancům. Úřad kontroloval jak soukromé subjekty, tak i neziskové organizace a státní správu.
Většina provedených kontrol byla zahájena na základě podnětu (stížnosti) ze strany veřejnosti, zpravidla subjektu osobních údajů, jehož osobní údaje byly kontrolovanou osobou zpracovávány. Případy bývalých zaměstnanců či nespokojených zákazníků nejsou v tomto směru ničím neobvyklým.
Pokud jde o oblast ochrany osobních údajů, v průběhu kontrol se ÚOOÚ nejčastěji zaměřoval na
- kontrolu zákonných titulů pro zpracování osobních údajů,
- plnění informačních povinností správců osobních údajů,
- umožnění uplatnění práv subjektů údajů nebo
- zajištění dostatečného zabezpečení osobních údajů.
V souvislosti se zabezpečením osobních údajů ÚOOÚ například shledal pochybení u pojišťovny, která svému bývalému zaměstnanci (stěžovateli) nezrušila přístup do datové schránky pojišťovny ke dni skončení pracovního poměru. Ten tak měl i po skončení pracovního poměru přístup k osobním údajům v datové schránce kontrolované pojišťovny.
V oblasti kontroly titulů pro zpracování osobních údajů a plnění informační povinnosti obrátil ÚOOÚ svou pozornost kupříkladu na zákaznické a věrnostní programy pro zákazníky. U maloobchodních prodejců především kontroloval, zda při využívání věrnostních programů a karet, včetně rodinných karet zákazníků, dochází ke zpracování osobních údajů v přiměřeném, relevantním a nezbytném rozsahu. Zároveň v této souvislosti posuzoval, zda jsou osobní údaje zpracovávány korektně, transparentně a na základě zákonných titulů. V neposlední řadě se ÚOOÚ zaměřoval na plnění informačních povinností vůči subjektům údajů, využití zpracovatelů a na úroveň zabezpečení databází osobních údajů zákazníků.
ÚOOÚ se ve vztahu ke zpracovávání osobních údajů dále také zabýval neoprávněným (bezdůvodným) pořizováním a uchováváním kopií občanských průkazů nebo zákonnými tituly v souvislosti s využíváním souborů cookies. Pokud jde o cookies, tak kontrola například odhalila, že na stránkách internetového obchodu uživatel nemohl udělit informovaný souhlas se zpracováním osobních údajů. Uživatel totiž kliknutím na odkaz pro zjištění více informací udělil (neinformovaný) souhlas automaticky.
Ve smyslu ukládání sankcí a jejich výše byla nejproblematičtější oblast zasílání nevyžádaných obchodních sdělení. Pokuty se pohybovaly v řádech od desítek tisíc až po nižší stovky tisíc korun. V rámci kontrol týkajících se nevyžádaných obchodních sdělení ÚOOÚ věnoval pozornost primárně titulům pro zasílání obchodních sdělení a informační povinnosti zasílatelů.
V návaznosti na výsledky kontrol lze doporučit, aby společnosti věnovaly náležitou pozornost nejen plnění své informační povinnosti vůči příjemcům obchodních sdělení, ale zejména také svým databázím elektronických kontaktů, které pro zasílání obchodních sdělení využívají. Měly by dbát na to, aby tyto databáze obsahovaly jen kontakty, které jsou jejich zákazníky, a současně neodmítly zasílání obchodních sdělení nebo kontakty, které udělily se zasíláním obchodních sdělení souhlas. Pro tyto účely je vhodné zavést dostatečné kontrolní mechanismy. Společnosti by neměly podceňovat nastavení vnitřních procesů a jejich soulad s pravidly na ochranu osobních údajů. Ať už se tedy dostanete do hledáčku ÚOOÚ nebo chcete „pouze“ v klidu spát a mít vše v pořádku, neváhejte se na nás obrátit.