Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Politická strana TOP 09

Kontrola zpracování osobních údajů politickou stranou se zaměřením na cílené oslovování jednotlivců pro politické účely

Na základě kontrolního plánu pro rok 2019 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů prováděné politickou stranou (nebo za ni jejím jménem) se zaměřením na cílené oslovování jednotlivců pro politické účely, a to jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni, tedy na čekatele na členství, zájemce o členství, příznivce a jiné oslovované osoby (potenciální voliči). Tato kontrola byla do kontrolního plánu pro rok 2019 zařazena s ohledem na aktuální téma spravedlivých voleb v rámci celé Evropské unie.

Kontrolující zjistili, že kontrolovaná osoba shromažďuje informace o zájemcích o zasílání newsletteru (registrují svoji e-mailovou adresu), podporovatelích (registrují se prostřednictvím webové stránky nebo portálu my.top09.cz) a členech strany, resp. uchazečích o členství (vyplňují přihlášku). Kontrolovaná osoba dále využívá sociální sítě (Facebook, Instagram, Twitter), kde má tzv. fanouškovskou stránku, resp. účet. Kontrolovaná osoba tedy zpracovává osobní údaje zájemců o zasílání newsletteru, podporovatelů, uchazečů o členství a členů a dále se podílí na zpracování osobních údajů uživatelů sociálních sítí, kteří navštívili její fanouškovské stránky. S ohledem na uvedené je tedy kontrolovaná osoba v postavení správce, resp. ve vztahu k osobám, které jsou oslovovány prostřednictvím kampaní zadaných na sociálních sítích, v postavení společného správce. Ve smyslu rozsudku velkého senátu Soudního dvora Evropské unie ze dne 5. června 2018 ve věci C-210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH) je totiž za správce osobních údajů, resp. společné správce nutno považovat jak společnosti Facebook Ireland Ltd. a Facebook Inc., tak i jednotlivé vlastníky fanouškovských stránek (profilů) na sociální síti Facebook. Ačkoli tedy v tomto případě kontrolovaná osoba fakticky nedisponuje informacemi o identitě osob, které byly osloveny (tj. osobními údaji), je třeba ji jako vlastníka fanouškovské stránky považovat za společného správce spolu s uvedenými společnostmi, které tuto sociální síť provozují.

V souvislosti s předmětným zpracováním pak kontrolovaná osoba využívá služeb zpracovatelů a spolupracuje s dalším společným správcem, přičemž kontrolou bylo ověřeno, že uzavřela smlouvy vyhovující požadavkům čl. 26 odst. 1 a 28 odst. 3 nařízení (EU) 2016/679. Předmětné zpracování je dle kontrolních zjištění založeno na souhlasu se zpracováním osobních údajů, resp. oprávněném zájmu správce a na plnění smlouvy.

Kontrolující dále zjistili, že kontrolovaná osoba poskytuje subjektům údajů, od nichž shromažďuje osobní údaje, informace v rozsahu a způsobem odpovídajícím požadavkům uvedeným v čl. 12 odst. 1 a 13 nařízení (EU) 2016/679. Porušení nebylo zjištěno ani v oblasti zabezpečení osobních údajů, tj. povinností vyplývajících z čl. 32 nařízení (EU) 2016/679. Kontrolující však zjistili porušení povinnosti podle čl. 30 nařízení (EU) 2016/679, neboť předložené záznamy o činnostech zpracování neobsahovaly veškeré požadované náležitosti, resp. jednu kategorii subjektů údajů (zájemce o zasílání newsletteru) neobsahovaly vůbec.

Vzhledem k tomu, že kontrolovaná osoba závadný stav neprodleně napravila, Úřad neuložil opatření k odstranění zjištěných nedostatků a od uložení pokuty upustil.

Kontrolu řídila inspektorka JUDr. Jiřina Rippelová.

Doporučení

Úřad v návaznosti na kontroly, které provedl u politických stran a hnutí v rámci tématu spravedlivých voleb, na které je kladen důraz v celé Evropské unii, doporučuje těmto subjektům následující postup:

  1. prověřit úplnost a přesnost záznamů o činnostech zpracování, které jsou povinny vést, a přitom zejména věnovat pozornost jednotlivým kategoriím subjektů údajů (například členové, podporovatelé), jejichž osobní údaje zpracovávají,
  2. prověřit postavení spolupracujících subjektů, vyhodnotit jejich postavení z hlediska právních předpisů upravujících ochranu osobních údajů (tj. zda jde o zpracovatele, samostatného správce, společného správce nebo jiný subjekt) a případně přizpůsobit smluvní dokumentaci, aby odpovídala stanoveným požadavkům. Ve vztahu k osobám, které jsou oslovovány prostřednictvím kampaní zadaných na sociálních sítích, je třeba zmínit rozsudek velkého senátu Soudního dvora Evropské unie ze dne 5. června 2018 ve věci C 210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH). Dle tohoto rozsudku je za správce osobních údajů, resp. společné správce nutno považovat jak společnosti Facebook Ireland Ltd. a Facebook Inc., tak i jednotlivé vlastníky fanouškovských stránek (profilů) na sociální síti Facebook. Ačkoli tedy v tomto případě politické strany či hnutí fakticky nedisponují informacemi o identitě osob, které byly osloveny (tj. osobními údaji), je třeba je jako vlastníka fanouškovské stránky považovat za společné správce spolu s uvedenými společnostmi, které tuto sociální síť provozují.
  3. v případě, že některé osobní údaje zpracovávají na základě právního titulu oprávněného zájmu, vypracovat tzv. balanční test, tedy poměřit zájmy správce a třetích osob na jedné a zájmy a základní práva subjektů údajů na druhé straně, a současně nastavit postupy pro vyřizování námitek podaných subjekty údajů proti dalšímu zpracování. Za zpracování založené na oprávněném zájmu lze obecně považovat zpracování za účelem oslovování členů a jiných osob, které o činnost politické strany projevily zájem. Případné vyhodnocování osobnostních aspektů („profilování“) za účelem cílení informací však bude již zpravidla muset být založeno na souhlasu subjektu údajů.