Smlouvy uzavírané bez vědomí zákazníků
Celý případ začal stížnostmi zákazníků týkajících se nevyžádaných smluv na dodávky elektřiny a plynu. Tyto smlouvy byly registrovány na jména konkrétních lidí, ovšem bez jejich vědomí. Klienti se tak o novém smluvním vztahu dozvěděli až poté, co obdrželi oznámení o ukončení smlouvy od předchozího dodavatele energií, nebo upomínku na neuhrazenou fakturu od Axpo Italia.
Stěžovatelé, kteří se obrátili na italský dozorový úřad, tvrdili, že s uvedenou společnostní nikdy nebyli v osobním kontaktu a že smlouvu neuzavřeli. Dále namítali, že jejich osobní údaje uvedené ve smlouvě (jako například e-mailová adresa, telefonní číslo a údaje o dodávce) byly nepřesné nebo neaktuální.
Nekontrolovaná síť zprostředkovatelů
V průběhu vyšetřování dozorový úřad zjistil, že Axpo uzavírala nové smluvní vztahy prostřednictvím sítě asi 280 dalších prodejců (zprostředkovatelů). Společnost však neměla zavedené vhodné kontrolní nástroje a postupy k ověření, že údaje zadané prodejci do zákaznické databáze odpovídají skutečným uživatelům služeb. Tyto nedostatky vedly k registraci nevyžádaných smluv, často obsahujících nepřesné a zastaralé osobní údaje.
Axpo proto neoprávněně zpracovávala osobní údaje více než 5.000 lidí. Extrémním případem byl zákazník, u kterého bylo evidováno 23 smluv s totožným datem zahájení a ukončení dodávky.
Ponechme nyní stranou, že řada zákazníků namítala i nicotnost smluv či se domáhala náhrady způsobené škody. Italský dozorový úřad se zabýval čistě otázkou porušení povinností v oblasti zpracování osobních údajů.
Nedostatečná kontrola zpracovatele je porušením GDPR
Zprostředkovatelé uzavírající smlouvy se zákazníky byli v pozici zpracovatele osobních údajů ve smyslu čl. 28 GDPR. Zpracovatel je povinen zpracovávat osobní údaje pouze na základě doložených pokynů správce. Společnost Axpo v průběhu kontroly argumentovala tím, že zpracovatelé postupovali v rozporu s jejími pokyny, a proto jsou za porušení GDPR odpovědní právě oni.
Tato argumentace ovšem společnosti nepomohla. V průběhu řízení se ukázalo, že dodavatel energií neměl zavedená dostatečná, resp. skoro žádná technická a organizační opatření pro celý systém kontraktace. Společnost neprováděla žádné kontroly či šetření (ani namátkově) za účelem ověření přesnosti získaných osobních údajů. A nedodržení povinnosti zadat zpracovateli jasné pokyny a kontrolovat jejich dodržování je nutno přičíst k tíži právě společnosti Axpo jako správci osobních údajů.
Podle italského úřadu společnost Axpo porušila články 5(1)(a), 5(1)(d), 5(2) a 24 GDPR. Jedná se o základní povinnosti a principy ochrany osobních údajů, a to povinnost zpracovávat osobní údaje zákonným, korektním a transparentním způsobem, povinnost zpracovávat osobní údaje přesné a aktualizované a povinnost zavést vhodná technická a organizační opatření k zajištění a doložení souladu s GDPR.
Výsledek? Pokuta 10 milionů EUR a nápravná opatření
Za porušení GDPR uložil italský úřad Garante společnosti pokutu ve výši 10 milionů EUR. A nejen to. Dozorový úřad společnosti Axpo Italia nařídil přijmout řadu nápravných opatření, která povedou k ověření správnosti smluvních údajů získaných prostřednictvím zprostředkovatelů. Mimo jiné zavedení systémů upozornění schopných odhalit případné nesprávné nebo podvodné chování zprostředkovatelů při získávání údajů potenciálních zákazníků; ověření skutečného přijetí komunikace zaslané zákazníkům během fáze uzavírání smlouvy; přijetí procesních pravidel směřujících k posílení kontroly práce zprostředkovatelů. Dále úřad zakázal jakékoliv další činnosti zpracování týkající se osobních údajů dotčených cca 5.000 nelegálně získaných zákazníků.
Axpo uvedla, že zváží možnost odvolání proti udělené pokutě. Nicméně již v průběhu řízení s dozorovým úřadem spolupracovala a řadu opatření přijala ještě před samotným rozhodnutím, což bylo regulátorem posouzeno jako polehčující okolnost při stanovení výše pokuty.
I český Úřad pro ochranu osobních údajů ukládá nápravná opatření
Ani náš ÚOOÚ neváhá kromě pokuty řešit porušení GDPR i prostřednictvím nápravných opatření. V dosavadních řízeních tak uložil kontrolovaným osobám např. povinnost vymazat osobní údaje bezodkladně po dosažení účelu jejich zpracování, splnit informační povinnost vůči subjektům údajů, přijmout vhodná technicko-organizační opatření k zajištění bezpečnosti zpracování osobních údajů, uzavřít zpracovatelskou smlouvu, odpovědět stěžovateli na jeho žádost o přístup k osobním údajům apod.
V případě, že nápravná opatření nejsou provedena, ÚOOÚ zpravidla udělí další finanční sankci.
Získáváte zákazníky prostřednictvím sítě zprostředkovatelů?
V takovém případě lze doporučit těchto 8 tipů na snížení rizika GDPR pokuty:
uzavření smlouvy o zpracování osobních údajů se všemi zprostředkovateli;
pravidelné školení zprostředkovatelů v oblasti zpracování osobních údajů;
systematickou kontrolu nově uzavřených smluv;
kontrolní kontaktování zákazníka, např. formou „check-call“ či uvítacího dopisu včetně ověření jeho doručení (např. zprávou potvrzující přijetí a přečtení e-mailů zaslaných zákazníkovi);
ověřování přesnosti a aktuálnosti získaných údajů;
zavedení kontrolního systému schopného odhalit zjevné procesní anomálie (např. opakující se telefonní čísla či e-mailové adresy, vysoký počet smluv uzavřených jedním zprostředkovatelem, vysoký počet smluv evidovaných u jednoho zákazníka apod.);
zavedení dalších technických a organizačních opatření, periodické ověřování jejich účinnosti, případně schopnost demonstrovat jejich účinnost na požádání;
provádění interních/externích auditů k ověření funkčnosti kontrolního systému.
Jak nám demonstroval příklad z Itálie, řádný a efektivní dohled nad zpracovateli osobních údajů je nezbytný pro dodržení pravidel dle GDPR a za chyby nedostatečně kontrolovaných dodavatelů odpovídá správce.
