Na základě stížnosti z Německa na firmu z německého holdingu zapsanou v českém obchodním rejstříku zkontroloval český Úřad pro ochranu osobních údajů Kreditech ČR, s.r.o. Výsledek byl pokuta 50 tisíc za sběr osobních dat bez souhlasu a předávání těchto dat dál do USA a do Singapuru. Firma rovněž ověřovala totožnost lidí na sociálních sítích. Předání sebraných osobních dat občanů do jiných zemí EU je bez rizika, nejde o dobývání soukromých údajů, ale o svobodu.
Vyplývá to z přehledu uskutečněných kontrol Úřadem v závěru loňského roku. Podnětem ke kontrole firmy Kreditech Česká republika, s.r.o., byla stížnost německého komisaře pro ochranu osobních údajů a svobodný pohyb informací v Hamburku – pobočky spolkového úřadu pro ochranu osobních dat a svobodný pohyb informací. „Kontrola na základě stížnosti Hamburské kanceláře zmocněnce pro ochranu osobních údajů a svobodný pohyb informací, ve které byl požádán o prošetření postupů při nakládání s osobními údaji společností Kreditech Česká republika, s.r.o., součástí německého holdingu Kreditech Holding SSL GmbH,“ uvádí se v informaci.
Firma ověřovala totožnost na sociálních sítích
Německý úřad českému úřadu popsal masivní porušování pravidel zacházení s osobními daty ze strany německé firmy registrované v českém obchodním rejstříku i u Úřadu pro ochranu osobních údajů, rozsáhlý sběr dat bez souhlasu a neomezené ukládání: „V podnětu bylo poukazováno na „extensive data collection, automated individual decision, no freely given consent, endless retention“.Předmětem činnosti společnosti Kreditech Česká republika je mimo jiné poskytování nebo zprostředkování spotřebitelského úvěru, a to formou online půjčky, která díky automatizovanému úvěrovému systému funguje 24 hodin denně. Společnost je registrována u Úřadu,“ uvádí popis případu poskytovatele úvěrů Kreditech, s.r.o.
Podle ÚOOÚ se kontrola Úřadu zaměřila také na zpracovávání osobních údajů ze sociálních sítí a zjistil, že firma používá sociální sítě k ověřování totožnosti žadatelů o půjčky: „Ze zjištění vyplynulo že Kreditech tyto údaje využívá k částečnému ověření totožnosti žadatele o úvěr a pro zabránění podvodným žádostem. Data získaná z připojení prostřednictvím sociálních sítí nepoužívá k hodnocení. Kreditech Česká republika, s.r.o. využívá know-how mateřské společnosti Kreditech Holding SSL GmbH, Hamburg, a to na základě smlouvy,“ stojí v shrnutí případu kontroly firmy Kreditech.
Kreditech o nakládání s daty podrobně informuje
Na webové stránce firmy Kreditech Česká republika je ovšem nyní tak rozsáhlá informace o tom, které osobní údaje a jakým způsobem a proč firma získává včetně informace o sdílení dat od Německa přes Španělsko a Polsko až do Ruska a USA, že klienti kontaktující firmu přes web nemohou nevědět o sběru, předávání a archivování jejich dat.
Firma Kreditech také – na rozdíl od mnoha dalších firem – informuje, co znamenají cookies a co s nimi Google činí: Informace, které „cookies“ vygenerovaly na základě Vaší činnosti na našich webových stránkách (včetně IP adresy) jsou přenášeny na server Google. Ty jsou pak použity k vytváření statistických zpráv o aktivitě na webových stránkách. Ani Společnost, ani společnost Google se nepokusí propojit s žádnými jinými uchovávanými informacemi. Nebudeme kombinovat informace shromažďované na našich webových stránkách s žádnými osobními identifikovatelnými informacemi z jiných zdrojů za předpokladu, že výše uvedené informace již nejsou veřejně zpřístupněny jejich majitelem. Můžete nastavit svůj webový prohlížeč tak, aby Vás upozornil, kdy zapisuje „cookies“, nebo jejich přenos zcela zablokovat. Musíte si nicméně uvědomit, že zablokování „cookies“ Vám brání ve využívání některých funkcí, které nabízíme na našich stránkách… Společnost o Vás může shromažďovat informace spojené s návštěvou naší stránky nebo ty, které jsou spojeny s Vaším uživatelským profilem. Tyto informace mohou zahrnovat údaje o navštívených stránkách, prohlížení obsahu, frekvenci a délce návštěvy, typu transakce, stažených dokumentech a dalších činnostech spojených s našimi stránkami, jako Vaše IP adresa, jméno domény, typ prohlížeče a operační systém,“ popisuje firma na svém webu běžnou činnost mnoha firem, se kterou by měli lidé počítat.
Předávání údajů o lidech do EU je jejich volný pohyb
Jak dále popisuje zpráva ÚOOÚ, kontrolou Úřadu byly prověřovány povinnosti správce ve smyslu § 5 odst. 1 písm. a) a b), (stanovení účelu a prostředků), § 5 odst. 1 písm. d) (údaje odpovídající účelu), § 5 odst. 1 písm. e) (doba uchování), § 5 odst. 2 (právní titul) a § 4 písm. n) (definice pojmu souhlas) a § 11 odst. 1 a odst. 2 informační povinnost. „Dále bylo kontrolováno ustanovení § 27 týkající se předávání osobních údajů do členských států EU, resp. do třetích zemí. Kontrolovaný předává osobní údaje do USA a Singapuru, tj. do zemí, které jsou z hlediska úrovně ochrany osobních údajů považovány za tzv. třetí země,“ uvádí zpráva o kontrole.
Do třetích zemí však smějí firmy předávat osobní data jen za zákonných podmínek, na rozdíl od zemí EU, kam podle § 27 zákona 101 o ochraně osobních údajů předávají bez jakýchkoli omezení.
Zákon 101, §27:
(1) Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.
(2) Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, 1a) nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.
(3) Není-li podmínka podle odstavců 1 a 2 splněna, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že
S odkazem na stanovisko Úřadu č. 3/2014 k nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a ke kontrolním zjištěním bylo konstatováno porušení § 11 odst. 2 zákona č. 101/2000 Sb. a v návaznosti na stanovisko Úřadu č. 2/2010. Předání osobních údajů do jiných států nebylo možné výjimku uvedenou v ustanovení § 27 odst. 3 písm. a) zákona č. 101/2000 Sb. použít a kontrolou bylo konstatováno porušení § 27 zákona č. 101/2000 Sb. Kontrolované osobě byla ve správním řízení uložena sankce ve výši 50.000 Kč, uzavírá zpráva o kontrole.
Irena Válová
