Svoboda a přímá demokracie – Tomio Okamura (SPD)
Kontrola zpracování osobních údajů politickým hnutím se zaměřením na cílené oslovování jednotlivců pro politické účely
Na základě kontrolního plánu pro rok 2019 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů prováděné politickým hnutím Svoboda a přímá demokracie – Tomio Okamura (SPD) a za něj jeho jménem, a to se zaměřením, jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo něj, tedy na čekatele na členství, zájemce o členství, příznivce a jiné oslovované osoby (potenciální voliči) kontrolované osoby. Tato kontrola byla do kontrolního plánu pro rok 2019 zařazena s ohledem na aktuální téma spravedlivých voleb v rámci celé Evropské unie.
Kontrolující se zaměřili na plnění povinností správce osobních údajů stanovených zejména čl. 5 (základní zásady), čl. 6 (zákonnost zpracování), čl. 9 (zpracování zvláštních kategorií) a čl. 32 (zabezpečení) nařízení (EU) 2016/679. Při kontrole bylo zjištěno, že kontrolovaná osoba jednala v rozporu s čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679, neboť zpracovávala osobní údaje skupiny dárců nad rámec nutný k jednoznačné identifikaci smluvní strany. Dále bylo zjištěno, že kontrolovaná osoba nezpracovávala přesné osobní údaje dle požadavku čl. 5 odst. 1 písm. d) nařízení (EU) 2016/679, což bylo ověřeno na osobních údajích konkrétního člena. Kontrolující dále zjistili, že kontrolovaná osoba nastavila nepřiměřenou lhůtu pro výmaz osobních údajů nepřijatých zájemců o čekatelství a nepřijatých čekatelů v rozporu s čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679. Nepřiměřená retenční doba byla nastavena také ve vztahu k dárcům, pro které byla lhůta stanovená právními předpisy kontrolovanou osobou bezdůvodně prodloužena o dva roky.
Kontrolující dále zjistili, že kontrolovaná osoba porušila čl. 6 nařízení, neboť nesprávně určila právní titul, na jehož základě osobní údaje zpracovává. Zpracování osobních údajů členů není totiž založeno na základě právního titulu čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679 (plnění právní povinnosti).
Z kontrolních zjištění tak vyplynulo porušení čl. 5 odst. 1 písm. c), d), e) a čl. 6 odst. 1 nařízení (EU) 2016/679.
Úřad ve věci zahájí řízení o uložení opatření k odstranění zjištěných nedostatků a řízení o přestupku.
Kontrolu řídil inspektor Mgr. Daniel Rovan.
Doporučení
Úřad v návaznosti na kontroly, které provedl u politických stran a hnutí v rámci tématu spravedlivých voleb, na které je kladen důraz v celé Evropské unii, doporučuje těmto subjektům následující postup:
- prověřit úplnost a přesnost záznamů o činnostech zpracování, které jsou povinny vést, a přitom zejména věnovat pozornost jednotlivým kategoriím subjektů údajů (například členové, podporovatelé), jejichž osobní údaje zpracovávají,
- prověřit postavení spolupracujících subjektů, vyhodnotit jejich postavení z hlediska právních předpisů upravujících ochranu osobních údajů (tj. zda jde o zpracovatele, samostatného správce, společného správce nebo jiný subjekt) a případně přizpůsobit smluvní dokumentaci, aby odpovídala stanoveným požadavkům. Ve vztahu k osobám, které jsou oslovovány prostřednictvím kampaní zadaných na sociálních sítích, je třeba zmínit rozsudek velkého senátu Soudního dvora Evropské unie ze dne 5. června 2018 ve věci C 210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v. Wirtschaftsakademie Schleswig-Holstein GmbH). Dle tohoto rozsudku je za správce osobních údajů, resp. společné správce nutno považovat jak společnosti Facebook Ireland Ltd. a Facebook Inc., tak i jednotlivé vlastníky fanouškovských stránek (profilů) na sociální síti Facebook. Ačkoli tedy v tomto případě politické strany či hnutí fakticky nedisponují informacemi o identitě osob, které byly osloveny (tj. osobními údaji), je třeba je jako vlastníka fanouškovské stránky považovat za společné správce spolu s uvedenými společnostmi, které tuto sociální síť provozují.
- v případě, že některé osobní údaje zpracovávají na základě právního titulu oprávněného zájmu, vypracovat tzv. balanční test, tedy poměřit zájmy správce a třetích osob na jedné a zájmy a základní práva subjektů údajů na druhé straně, a současně nastavit postupy pro vyřizování námitek podaných subjekty údajů proti dalšímu zpracování. Za zpracování založené na oprávněném zájmu lze obecně považovat zpracování za účelem oslovování členů a jiných osob, které o činnost politické strany projevily zájem. Případné vyhodnocování osobnostních aspektů („profilování“) za účelem cílení informací však bude již zpravidla muset být založeno na souhlasu subjektu údajů.