Společnost 42 Financial Services a.s.
Kontrola zpracování osobních údajů bývalých zaměstnanců
Na základě stížnosti podané britskému dozorovému úřadu provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů bývalého zaměstnance kontrolované osoby, a to se zaměřením na dodržení práv subjektu údajů při vyřizování žádosti o přístup k osobním údajům dle čl. 15 nařízení (EU) 2016/679.
Stěžovatel uvedl, že se obrátil na kontrolovanou osobu (svého bývalého zaměstnavatele) s žádostí o přístup k osobním údajům. Této žádosti bylo dle stěžovatele vyhověno pouze částečně, neboť neobdržel informace v požadovaném rozsahu, a to ani na základě opakované žádosti.
Kontrolující vyřízení této žádosti prověřili a dospěli k závěru, že stěžovateli nebyly poskytnuty informace o konkrétních příjemcích osobních údajů, resp. mezi příjemci nebyli uvedeni někteří zpracovatelé osobních údajů. V tomto směru proto kontrolující konstatovali, že kontrolovaná osoba porušila povinnost uvedenou v čl. 15 odst. 1 písm. c) nařízení (EU) 2016/679, neboť v návaznosti na žádost subjektu je v zásadě nezbytné poskytnout informaci o konkrétních příjemcích osobních údajů.
Ve vztahu k dalším informacím o zpracování osobních údajů a kopiím osobních údajů však kontrolující dospěli k závěru, že kontrolovaná osoba poskytla stěžovateli všechny údaje, které mu byla povinna poskytnout. Další údaje, které stěžovatel vyžadoval, již povinnosti kontrolované osoby vyplývající z čl. 15 nařízení (EU) 2016/679 nepodléhají, tj. nebyla povinna je zpřístupnit, a to s odkazem na ochranu práv třetích osob, resp. proto, že požadované informace nejsou předmětem práva na přístup k osobním údajům.
Kontrolující dále vyhodnotili, zda kontrolovaná osoba spolupracuje se zpracovateli osobních údajů, resp. zda uzavřené smlouvy odpovídají požadavkům čl. 28 odst. 3 nařízení (EU) 2016/679 a dále, zda kontrolovaná osoba zpracovala záznamy o činnostech zpracování podle čl. 30 tohoto nařízení. V tomto směru nebylo shledáno žádné pochybení.
Úřad tedy zjistil, že kontrolovaná osoba výše uvedeným jednáním porušila čl. 15 odst. 1 písm. c) nařízení (EU) 2016/679 (poskytnutí informací o konkrétních příjemcích osobních údajů). Předsedkyně Úřadu zamítla námitky, které proti kontrolním zjištěním kontrolovaná osoba podala.
S ohledem na skutečnost, že kontrolovaná osoba je společností působící pouze v České republice a dané zpracování tak není přeshraničním zpracováním, zabýval se Úřad věcí na základě žádosti o vzájemnou pomoc podané dle čl. 61 nařízení (EU) 2016/679. O vyřízení této věci byl britský dozorový úřad informován.
Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.
Doporučení
Na žádost dle čl. 15 odst. 1 nařízení (EU) 2016/679 je žadateli nutné poskytnout mimo jiné informaci o konkrétních příjemcích osobních údajů. Kategorie příjemců lze poskytnout pouze tehdy, není-li identita příjemců správci (prozatím) známa, například proto, že osobní údaje jim mají (nebo mohou) být předány až v budoucnu.