Na základě stížnosti podané britskému dozorovému úřadu provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů bývalého zaměstnance kontrolované osoby, a to se zaměřením na dodržení práv subjektu údajů při vyřizování žádosti o přístup k osobním údajům dle čl. 15 nařízení (EU) 2016/679.
Stěžovatel uvedl, že se obrátil na kontrolovanou osobu (svého bývalého zaměstnavatele) s žádostí o přístup k osobním údajům. Této žádosti bylo dle stěžovatele vyhověno pouze částečně, neboť neobdržel informace v požadovaném rozsahu, a to ani na základě opakované žádosti.
Kontrolující vyřízení této žádosti prověřili a dospěli k závěru, že stěžovateli nebyly poskytnuty informace o konkrétních příjemcích osobních údajů, resp. mezi příjemci nebyli uvedeni někteří zpracovatelé osobních údajů. V tomto směru proto kontrolující konstatovali, že kontrolovaná osoba porušila povinnost uvedenou v čl. 15 odst. 1 písm. c) nařízení (EU) 2016/679, neboť v návaznosti na žádost subjektu je v zásadě nezbytné poskytnout informaci o konkrétních příjemcích osobních údajů.
Ve vztahu k dalším informacím o zpracování osobních údajů a kopiím osobních údajů však kontrolující dospěli k závěru, že kontrolovaná osoba poskytla stěžovateli všechny údaje, které mu byla povinna poskytnout. Další údaje, které stěžovatel vyžadoval, již povinnosti kontrolované osoby vyplývající z čl. 15 nařízení (EU) 2016/679 nepodléhají, tj. nebyla povinna je zpřístupnit, a to s odkazem na ochranu práv třetích osob, resp. proto, že požadované informace nejsou předmětem práva na přístup k osobním údajům.
Kontrolující dále vyhodnotili, zda kontrolovaná osoba spolupracuje se zpracovateli osobních údajů, resp. zda uzavřené smlouvy odpovídají požadavkům čl. 28 odst. 3 nařízení (EU) 2016/679 a dále, zda kontrolovaná osoba zpracovala záznamy o činnostech zpracování podle čl. 30 tohoto nařízení. V tomto směru nebylo shledáno žádné pochybení.
Úřad tedy zjistil, že kontrolovaná osoba výše uvedeným jednáním porušila čl. 15 odst. 1 písm. c) nařízení (EU) 2016/679 (poskytnutí informací o konkrétních příjemcích osobních údajů). Předsedkyně Úřadu zamítla námitky, které proti kontrolním zjištěním kontrolovaná osoba podala.
S ohledem na skutečnost, že kontrolovaná osoba je společností působící pouze v České republice a dané zpracování tak není přeshraničním zpracováním, zabýval se Úřad věcí na základě žádosti o vzájemnou pomoc podané dle čl. 61 nařízení (EU) 2016/679. O vyřízení této věci byl britský dozorový úřad informován.
Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.
Doporučení:
Na žádost dle čl. 15 odst. 1 nařízení (EU) 2016/679 je žadateli nutné poskytnout mimo jiné informaci o konkrétních příjemcích osobních údajů. Kategorie příjemců lze poskytnout pouze tehdy, není-li identita příjemců správci (prozatím) známa, například proto, že osobní údaje jim mají (nebo mohou) být předány až v budoucnu.
