Dostali jsme nabídku od jedné firmy, že nám, tedy call centru, předá svou databázi pro
marketingové účely a ústně potvrdili, že předání i celá databáze je v souladu se
zákonem o ochraně osobních údajů. Jaká ustanovení je
třeba zohlednit, aby vše proběhlo v souladu se zákonem?
JUDr.
Eva
Janečková
Související předpisy:
-
zákon č. 101/2000 Sb., o ochraně
osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
Z dotazu vyplývá, že databáze bude obsahovat osobní údaje nejméně v rozsahu jméno,
příjmení a telefonní číslo, je-li databáze určena pro call centrum. Nelze tedy postupovat podle
ustanovení § 5 odst. 6 zákona č. 101/2000 Sb., o
ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o
ochraně osobních údajů“), podle něhož správce, který zpracovává osobní údaje podle odstavce 5
(jméno, příjmení a adresu subjektu údajů), může tyto údaje předat jinému správci pouze za splnění
těchto podmínek:
a)
údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o
zveřejněné osobní údaje,
b)
údaje budou využívány pouze za účelem nabízení obchodu a služeb,
c)
subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto
postupem nesouhlas.
Bude nutné postupovat podle ustanovení § 5
odst. 2, které říká, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu
údajů. V případě, že neexistuje souhlas subjektu údajů, je možné údaje zpracovávat v rámci některé z
výjimek uvedených v písm. a) až g) téhož ustanovení.
Podle ustanovení § 5 odst. 4 zákona o ochraně
osobních údajů musí být správce schopen prokázat souhlas subjektu údajů se zpracováním
osobních údajů po celou dobu zpracování.
Jestliže Vám někdo předá databázi klientů pouze na základě ústní smlouvy, nebudete schopni
plnit povinnost prokázat souhlas se zpracováním tak, jak vyžaduje zákon. Zpracování by tak mohlo být
vyhodnoceno jako nezákonné.