Kontrola byla zahájena na základě stížnosti, jež směřovala proti postupu města při zpracování osobních údajů v rámci rezervačního systému. O zahájení kontroly Úřad rozhodl též na základě poznatků uskutečněných v rámci úkonů předcházejících kontrole.
Předmětem kontroly bylo dodržování povinností stanovených kontrolované osobě obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti s využíváním rezervačního systému města provozovaného prostřednictvím objednávkové aplikace, poskytované soukromou společností. Stěžovatel uvedl, že se prostřednictvím webových stránek kontrolované osoby chtěl objednat na správní odbor za účelem vyhotovení občanského průkazu, přičemž po kliknutí na příslušný odkaz byl přesměrován na webovou stránku soukromého subjektu. Zde mělo dojít k vyplnění jeho osobních údajů, avšak nebyl nikterak poučen, jakým způsobem budou jeho osobní údaje zpracovávány. Kontrola byla s ohledem na obsah stížnosti zaměřena zejména na plnění informační povinnosti.
Provedenou kontrolou bylo zjištěno porušení povinností správce osobních údajů, a to porušení zásady minimalizace údajů ve smyslu čl. 5 odst. 1 písm. c) obecného nařízení, kontrolovaná osoba dále nepostupovala v souladu s čl. 6 odst. 1 obecného nařízení, neboť souhlas subjektu údajů nebylo možné považovat za souhlas ve smyslu definice uvedené v čl. 4 bod 11 obecného nařízení, a to z hlediska informovanosti, a taktéž nebyla při jeho získání splněna povinnost dle čl. 7 odst. 3 obecného nařízení. Z provedené kontroly dále vyplynulo, že poskytnuté informace ve smyslu čl. 13 obecného nařízení jsou natolik zobecněny, že nelze považovat za splněnou zásadu dle čl. 5 odst. 1 písm. a) obecného nařízení ve smyslu transparentnosti, a taktéž uvedené nelze považovat za transparentní poskytnutí informací ve smyslu čl. 12 odst. 1 obecného nařízení.
Kontrolovaná osoba proti kontrolním zjištěním nepodala námitky a již v průběhu kontroly navrhla opatření, jež by při vhodné realizaci mohla vést k nápravě uvedeného stavu. Po ukončení kontroly Úřad na porušení povinností při zpracování osobních údajů upozornil též dodavatele rezervačního systému, jenž se v daném případě nachází v roli zpracovatele osobních údajů. Z dalších zjištění Úřadu bylo totiž zřejmé, že některé nedostatky lze shledat i u jiných správců osobních údajů, využívajících tentýž rezervační systém. Zpracovatel na základě upozornění provedl úpravy základního nastavení rezervačního systému s cílem účinně eliminovat možná pochybení při předmětném zpracování osobních údajů. Konečné nastavení však zůstává v plné kompetenci správce.
Doplňující informace:
Nezbývá než opětovně připomenout, že za zpracování osobních údajů je v souladu s čl. 5 odst. 2 a čl. 24 obecného nařízení vždy odpovědný správce, a to i v případě, že se rozhodne využít systém od dodavatele konkrétní služby.
