Osobní údaje opět jinak: Neudělejte chybu, hrozí sankce
Prodáváte nebo pronajímáte databáze s kontakty, například na farmaceutické společnosti, lékaře nebo zubaře, realitní makléře či právníky? Donedávna bylo předávání osobních údajů obchodními společnostmi za účelem nabízení obchodu a služeb relativně benevolentní a Úřad pro ochranu osobních údajů byl ochoten akceptovat i takřka "bezbřehé" souhlasy se zpracováním osobních údajů (stanovisko úřadu z 12. prosince 2013). Úřad pro ochranu osobních údajů ale nedávno zpřísnil požadavky na pořizování a používání těchto databází. Dejte si pozor, abyste novým podmínkám dostáli a nebyli sankcionováni.
Dle stanoviska Úřadu pro ochranu osobních údajů je pro získání souhlasu k zařazení údajů do databáze potřeba:
- předem konkrétně specifikovat všechny osoby, kterým budou databáze prodávány, a to alespoň v rozsahu název a IČO;
- konkretizovat, jak bude s osobními údaji těmito subjekty dále nakládáno, třeba s uvedením, že budou dále využívány k zasílání obchodních sdělení v určité oblasti (například ve zdravotnictví).
Představme si tedy situaci, kdy výše uvedená pravidla dodržena nebudou a společnost prodávající databázi s obchodním údaji fyzických třetích osob sestávající například z jejich jména, příjmení, povolání a e-mailu, tuto databázi údajů fyzických osob někomu prodá. Společnost kupující tuto databázi, kupříkladu pojišťovna, následně takto získané údaje využije pro cílené oslovení potenciálních zákazníků prostřednictvím e-mailu.
Pokud však již při pořizování databáze nebyly dodrženy výše uvedené podmínky, mohla by se zmíněná pojišťovna dopustit jak rozesílání takzvaných nevyžádaných obchodních sdělení, tak i neoprávněného zpracování osobních údajů (bez náležitého souhlasu). Úřad by jí (jakož i společnosti, která databázi pořídila a prodala) v takovém případě mohl uložit pokutu (po nabytí účinnosti nového nařízení GDPR až do výše 20 000 000 EUR, popřípadě do výše 4 % jejího celosvětového ročního obratu).
Pro každého zájemce o koupi databáze údajů třetích osob bude proto důležité vědět, jaké informace byly subjektům údajů při získání jejich dat poskytnuty a zda udělený souhlas pokrývá i použití osobních údajů zamýšleným způsobem. Prodejci jakýchkoli databází s osobními údaji budou muset subjekty údajů předem informovat, kterým subjektům budou údaje v budoucnu předány a za jakým účelem.
Prakticky to mimo jiné znamená, že v informacích pro subjekty údajů musejí být uvedeni jmenovitě všichni potenciální kupci databáze a také alespoň dva účely zpracování – jedním bude samotný prodej či pronájem údajů, druhým jejich následné využití pro obchodní a marketingové účely (pro konkrétní oblast, například nabízení obchodu a služeb v oblasti prodeje nemovitostí nebo zdravotních pomůcek).
Lze očekávat, že plnění výše uvedených povinností bude ze strany úřadu kontrolováno a v případě porušení sankcionováno, a to i proto, že ve svém posledním vyjádření se nechal slyšet, že "v rámci prováděných kontrol se bude tímto tématem nadále intenzivně zabývat". Nebylo by překvapení, kdyby došlo ke zvýšení počtu kontrol cílených právě na podnikatele zabývající se úplatným předáváním osobních údajů.
Autory textu jsou Eva Radová a Matěj Grödl.
Zdroj: Rada & Partner advokátní kancelář
Aktuality
