Na základě dvou podnětů a ohlášení porušení zabezpečení osobních údajů provedl Úřad kontrolu dle nařízení (EU) 2016/679, jejímž předmětem bylo zejména zabezpečení osobních údajů v aplikaci „Chceme lepší Česko“ provozované politickým hnutím ANO 2011.
Úřad zjistil, že kontrolovaná osoba provozuje prostřednictvím svých webových stránek aplikaci určenou ke shromažďování názorů registrovaných uživatelů k určité aktuální problematice či otázce, jejich vyhodnocování a následné vytváření statistik. V rámci registrace do aplikace je vyžadováno vyplnění údajů v rozsahu e-mailová adresa, přístupové heslo, poštovní směrovací číslo, pohlaví, věkové rozmezí a nejvyšší dosažené vzdělání.
V okamžiku odeslání dotazníku je nicméně přerušena původní vazba aplikace s e-mailovou adresou uživatele. Kontrolovaná osoba tak spolu s dotazníkem obdrží pouze údaje o věkovém rozmezí, pohlaví, poštovním směrovacím číslu a dosaženém vzdělání uživatele. Zpětné propojení těchto údajů a e-mailové adresy uživatelů již není technicky proveditelné. Informace, které kontrolovaná osoba z dotazníku získává, tak obecně nelze přiřadit ke konkrétní fyzické osobě. V ojedinělých případech však může dojít k situaci, kdy bude možné konkrétní osobu identifikovat i pouze na základě těchto informací.
S ohledem na uvedené je pak důvodné přistupovat ke shromážděným informacím jako k osobním údajům a kontrolovanou osobu považovat za správce. Právním titulem ke zpracování osobních údajů je v daném případě souhlas dotčených osob, který zahrnuje i souhlas se zpracováním zvláštní kategorie osobních údajů – informací o politických názorech.
Provoz předmětné aplikace zajišťuje kontrolovaná osoba prostřednictvím zpracovatele osobních údajů, s nímž uzavřela smlouvu splňující požadavky na smlouvu o zpracování osobních údajů.
Ve vztahu k porušení zabezpečení osobních údajů kontrola prokázala, že došlo ke zneužití slabiny v technickém řešení odhlašování uživatelů aplikace z odběru e-mailů neznámou osobou, která pomocí automatického skriptu odhlásila z odběru e-mailů všechny uživatele aplikace. Přitom mohly být této osobě zpřístupněny e-mailové adresy uživatelů aplikace. Kontrolovaná osoba předmětný nedostatek napravila bezprostředně poté, co se o něm dozvěděla. Možné porušení zabezpečení osobních údajů, včetně přijatých opatření, kontrolovaná osoba ohlásila Úřadu v požadovaném termínu.
Kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené čl. 32 nařízení (EU) 2016/679, neboť nepřijala dostatečná technicko-organizační opatření pro zabezpečení osobních údajů.
Vzhledem k tomu, že kontrolovaná osoba závadný stav neprodleně napravila, Úřad neuložil opatření k nápravě a od uložení pokuty upustil.
Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.
