Jak si v minulém roce vedl neziskový sektor při kontrolách Úřadu pro ochranu osobních údajů? Vysoké pokuty sice nepadly, ale potvrdil se trend, že ÚOOÚ se věnuje i jednotlivým stížnostem.
Na Nový rok máme u nás hned několik tradic, které nám mají zajistit (když je dodržíme), že se budeme mít dobře. Pokud například na Nový rok budeme jíst čočku či jiné luštěniny, měli bychom v nadcházejícím roce zbohatnout – což se nám určitě nepodaří, pokud si dáme na oběd kuře nebo kachnu, pak totiž riskujeme, že štěstí v novém roce odletí.
Co by měl ale člověk dělat, aby ho nepotkalo neštěstí v podobě kontroly ze strany ÚOOÚ? Na to bohužel naše tradice nepamatují, a nám tak nezbývá nic jiného než se připravit nejlépe, jak umíme, a poučit se z chyb minulých. Proto se dnes podíváme na to, jak ÚOOÚ hodnotil úroveň dodržování povinností dle GDPR v rámci neziskového sektoru.
Kontrola komunitní počítačové sítě
První z kontrol (UOOU-03254/20) byla zahájena na základě stížnosti bývalého člena spolku, který zajišťuje komunitní počítačovou síť. Stěžovatel podal námitku proti neoprávněnému předávání a zpracování osobních údajů a upozornil na pochybení v oblasti zabezpečení systémů, které jsou spolkem prověřovány.
ÚOOÚ se rozhodl, že na základě stížnosti zahájí kontrolu, a to jak z pohledu zákonnosti právních titulů, tak i se zaměřením na zabezpečení. Z toho, co víme a co nám ÚOOÚ sdělil, vyplývá, že tato kontrola ani v jedné oblasti žádné pochybení neobjevila.
Ačkoliv byla kontrola zahájena na základě podání stížnosti bývalého člena, sama žádné provinění neshledala. Jako jediné ponaučení si tedy můžeme vzít to, že dříve uváděná legenda, že pokud ÚOOÚ dostane „jednu, dvě“ stížnosti, tak se věci nevěnuje, není a nebyla úplně pravdivá. Ostatně svědčí o tom i následující kontrola.
ÚOOÚ se věnuje i jednotlivým stížnostem, ne vždy jim však vyhoví
Testování historických vozidel
I druhá kontrola (UOOU-02990/20) se týkala spolku a byla zahájena na základě stížnosti jediného stěžovatele. Ten oslovil ÚOOÚ s podezřením na neoprávněné zpracování osobních údajů zapsaným spolkem při testování historických vozidel.
V daném případě byla kontrolovaná osoba pověřená určitým výkonem v rámci veřejné působnosti, neboť tento spolek byl pověřen Mezinárodní federací historických vozidel (samozřejmě v souladu se zákonem o podmínkách provozu vozidel na pozemních komunikacích) k testování historických vozidel. V rámci provedeného testování se vyplňuje žádost, která má náležitosti vyhlášky a vyhotovuje se celkem ve čtyřech stejnopisech – jeden pro spolek, další pro předsedu krajské testovací komise, třetí si ponechá testovací komise ústavu, která testování provedla, a poslední žádost se dává žadateli.
ÚOOÚ v tomto případě vyhodnotil, že předmětné zpracování probíhá na základě právního titulu dle čl. 6 odst. 1 písm. c) GDPR, neboť správci předmětné zpracování přikazuje zákon.
Kontrola politicky exponovaných osob
Třetí kontrolovanou osobou byla obchodní společnost (UOOU-02940/20). Je tedy otázkou, z jakého důvodu ji ÚOOÚ v rámci výsledků kontrol řadí do neziskového sektoru, ale to není až tak důležité.
Kontrola byla zahájena na základě stížností osob, které jsou politicky exponované ve smyslu zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. Osoby obdržely oznámení, že jejich osobní údaje budou kontrolovanou osobou zpracovány za účelem plnění povinností podle § 2 a § 8 odst. 3 zákona č. 253/2008 Sb., a to zejména zjištění a zaznamenání, zda osoba není politicky exponovanou osobou, zda vůči ní Česká republika uplatňuje mezinárodní sankce podle zákona č. 69/2006 Sb., o provádění mezinárodních sankcí, a zda jsou údaje o politicky exponovaných osobách vedené v národních sankčních seznamech.
Celý případ je poněkud komplikovaný, neboť v rámci kontroly ÚOOÚ došel k tomu, že stěžovatelé nejsou politicky exponovanými osobami, a tudíž dochází ke zpracování osobních údajů bez řádného právního titulu. Ačkoliv se kontrolovaná osoba bránila námitkami, ÚOOÚ těmto námitkám nevyhověl a zahájil s kontrolovanou osobou správní řízení ve věci uložení opatření k nápravě zjištěných nedostatků. Toto opatření mělo být dle slov ÚOOÚ splněno, a jelikož další informace chybí, předpokládáme, že se toto provinění obešlo bez pokuty.
Zveřejňování osobních údajů na internetu
Čtvrtá kontrola (UOOU-02741/19) je poměrně zajímavá. Celá věc začala podnětem, který byl ÚOOÚ doručen již 10. června 2019. Motivem kontroly byl zapsaný ústav jako kontrolovaná osoba, který provozuje internetové stránky, na nichž se dle slov ÚOOÚ zaměřuje na transparentnost politického života a dále na „využití práva na informace ve smyslu čl. 17 Listiny základních práv a svobod, na posílení důvěry v demokratický právní stát České republiky a ochranu před zneužitím státní moci a veřejných funkcí či zamezení podvodům a korupci“. Kontrolovaná osoba spojuje údaje z několika veřejných databází, jako je registr smluv, věstník veřejných zakázek a mnohé další, spolu s dalšími informacemi o jednotlivých sponzorech politických stran a politiků jako takových.
A zde právě přichází podnět stěžovatele, kterému se nelíbilo, že na konkrétní webové stránce byly zveřejnovány jeho osobní údaje poskládané z jednotlivých veřejných rejstříků. ÚOOÚ tedy zahájil úkony předcházející kontrole a projednal s kontrolovanou osobou předmětnou stížnost. Kontrolovaná osoba následně přijala a provedla opatření na svých internetových stránkách, načež ÚOOÚ danou stížnost odložil. Následně byl o tomto prostřednictvím svého právního zástupce informován i stěžovatel (konkrétně 27. února 2020, tedy po více než půl roce od stížnosti). Stěžovatel s tím však nesouhlasil, neboť po zadání jeho jména tyto vyhledávače stále zobrazovaly ve svých výsledcích odkaz na internetové stránky kontrolované osoby.
ÚOOÚ tak chtě nechtě zahájil kontrolu a prověřoval právní titul k takovému zpracování osobních údajů. Úřad k tomu uvádí následující: „Na základě výše uvedeného kontrolující konkrétně hodnotili, zda ústavu jako správci svědčí některý z právních titulů dle čl. 6 obecného nařízení. V daném případě při zpracování osobních údajů stěžovatele (po odvolání jeho souhlasu se zpracováním osobních údajů) přicházel v úvahu pouze právní titul podle čl. 6 odst. 1 písm. f) obecného nařízení. Při vyhodnocení balančního testu kontrolující dospěli k závěru, že ústav při plnění uvedené povinnosti toto ustanovení porušil a není tak možné na jeho jednání, tedy na zpracování osobních údajů stěžovatele realizované prostřednictvím webových stránek ústavu, aplikovat žádný z právních titulů dle čl. 6, včetně čl. 6 odst. 1 písm. f) obecného nařízení. Ústav proto není oprávněn shromažďovat a dále zveřejňovat osobní údaje stěžovatele.“
Zajímavé je to, že ÚOOÚ kontrolované osobě neuložil žádnou sankci s odůvodněním, že „došlo k nápravě závadného stavu (likvidaci osobních údajů stěžovatele na webu ústavu) v době ukončení kontroly“. Jistě si kladete otázku, jak ústav odůvodnil zpracování osobních údajů ostatních subjektů údajů, kteří ho nenapadali, nebo jak se s tím vypřádal ÚOOÚ. K tomuto však již Úřad další informace neposkytl.
Chybí peníze na právní poradenství
Co se týče zpracování osobních údajů, neziskový sektor do jisté míry trpí specifickými problémy, které vyplývají zejména z toho, že je většinou podfinancovaný a na právní poradenství týkající se compliance s GDPR obvykle nemá peníze. To však bohužel neznamená, že se jim vyhnou kontroly ze strany ÚOOÚ. Ačkoliv z uvedených kontrol vyplývá, že ÚOOÚ sankcemi spíše šetřil, na přítomnosti předmětného rizika to nic nemění.
Článek byl publikován v Elektronickém zpravodaji pro pověřence