Na základě kontrolního plánu pro rok 2019 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů prováděné politickým hnutím Svoboda a přímá demokracie – Tomio Okamura (SPD) a za něj jeho jménem, a to se zaměřením, jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo něj, tedy na čekatele na členství, zájemce o členství, příznivce a jiné oslovované osoby (potenciální voliči) kontrolované osoby. Tato kontrola byla do kontrolního plánu pro rok 2019 zařazena s ohledem na aktuální téma spravedlivých voleb v rámci celé Evropské unie.
Kontrolující se zaměřili na plnění povinností správce osobních údajů stanovených zejména čl. 5 (základní zásady), čl. 6 (zákonnost zpracování), čl. 9 (zpracování zvláštních kategorií) a čl. 32 (zabezpečení) nařízení (EU) 2016/679. Při kontrole bylo zjištěno, že kontrolovaná osoba jednala v rozporu s čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679, neboť zpracovávala osobní údaje skupiny dárců nad rámec nutný k jednoznačné identifikaci smluvní strany. Dále bylo zjištěno, že kontrolovaná osoba nezpracovávala přesné osobní údaje dle požadavku čl. 5 odst. 1 písm. d) nařízení (EU) 2016/679, což bylo ověřeno na osobních údajích konkrétního člena. Kontrolující dále zjistili, že kontrolovaná osoba nastavila nepřiměřenou lhůtu pro výmaz osobních údajů nepřijatých zájemců o čekatelství a nepřijatých čekatelů v rozporu s čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679. Nepřiměřená retenční doba byla nastavena také ve vztahu k dárcům, pro které byla lhůta stanovená právními předpisy kontrolovanou osobou bezdůvodně prodloužena o dva roky.
Kontrolující dále zjistili, že kontrolovaná osoba porušila čl. 6 nařízení, neboť nesprávně určila právní titul, na jehož základě osobní údaje zpracovává. Zpracování osobních údajů členů není totiž založeno na základě právního titulu čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679 (plnění právní povinnosti).
Z kontrolních zjištění tak vyplynulo porušení čl. 5 odst. 1 písm. c), d), e) a čl. 6 odst. 1 nařízení (EU) 2016/679.
Úřad ve věci zahájí řízení o uložení opatření k odstranění zjištěných nedostatků a řízení o přestupku.
Kontrolu řídil inspektor Mgr. Daniel Rovan.
Doporučení:
Úřad v návaznosti na kontroly, které provedl u politických stran a hnutí v rámci tématu spravedlivých voleb, na které je kladen důraz v celé Evropské unii, doporučuje těmto subjektům následující postup:
1. prověřit úplnost a přesnost záznamů o činnostech zpracování, které jsou povinny vést, a přitom zejména věnovat pozornost jednotlivým kategoriím subjektů údajů (například členové, podporovatelé), jejichž osobní údaje zpracovávají,
2. prověřit postavení spolupracujících subjektů, vyhodnotit jejich postavení z hlediska právních předpisů upravujících ochranu osobních údajů (tj. zda jde o zpracovatele, samostatného správce, společného správce nebo jiný subjekt) a případně přizpůsobit smluvní dokumentaci, aby odpovídala stanoveným požadavkům. Ve vztahu k osobám, které jsou oslovovány prostřednictvím kampaní zadaných na sociálních sítích, je třeba zmínit rozsudek velkého senátu Soudního dvora Evropské unie ze dne 5. června 2018 ve věci C 210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH). Dle tohoto rozsudku je za správce osobních údajů, resp. společné správce nutno považovat jak společnosti Facebook Ireland Ltd. a Facebook Inc., tak i jednotlivé vlastníky fanouškovských stránek (profilů) na sociální síti Facebook. Ačkoli tedy v tomto případě politické strany či hnutí fakticky nedisponují informacemi o identitě osob, které byly osloveny (tj. osobními údaji), je třeba je jako vlastníka fanouškovské stránky považovat za společné správce spolu s uvedenými společnostmi, které tuto sociální síť provozují.
3. v případě, že některé osobní údaje zpracovávají na základě právního titulu oprávněného zájmu, vypracovat tzv. balanční test, tedy poměřit zájmy správce a třetích osob na jedné a zájmy a základní práva subjektů údajů na druhé straně, a současně nastavit postupy pro vyřizování námitek podaných subjekty údajů proti dalšímu zpracování. Za zpracování založené na oprávněném zájmu lze obecně považovat zpracování za účelem oslovování členů a jiných osob, které o činnost politické strany projevily zájem. Případné vyhodnocování osobnostních aspektů („profilování“) za účelem cílení informací však bude již zpravidla muset být založeno na souhlasu subjektu údajů.
