Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Město (UOOU-01419/20)

Kontrola zpracování osobních údajů v aplikaci Mobilní rozhlas

Kontrola byla zahájena na základě ohlášení porušení zabezpečení osobních údajů ze strany pověřence pro ochranu osobních údajů města – kontrolované osoby, ze kterého vyplývaly možné nedostatky v rámci zpracování osobních údajů.

Předmětem kontroly bylo dodržování povinností stanovených kontrolované osobě obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů subjektů údajů v aplikaci Mobilní rozhlas ze strany města. V předmětném ohlášení pověřence bylo uvedeno, že došlo k vědomému zneužití osobních údajů kontrolovanou osobou, resp. konkrétně starostou města, a to tím, že údajně neoprávněně získaná databáze kontaktů zaměstnanců a zákonných zástupců žáků místní základní školy byla ze strany starosty použita pro registraci jednotlivců do aplikace Mobilní rozhlas, přičemž starosta měl za tyto subjekty údajů sám ze své vůle udělit souhlas se zpracováním jejich osobních údajů.  

Do aplikace Mobilní rozhlas, ve vztahu k informacím týkajícím se daného města, je možné se zaevidovat prostřednictvím registračního formuláře umístěného na webových stránkách této aplikace, provozované soukromou společností, dále přes registrační formulář umístěný na webových stránkách města a taktéž využitím registračního formuláře v listinné podobě.

Osobní údaje skupiny subjektů údajů z místní základní školy předal starostovi ředitel, a to v období vyhlášeného nouzového stavu v souvislosti s výskytem koronaviru (Covid-19). Na pokyn starosty pak byly tyto osobní údaje do databáze importovány technickou podporou aplikace Mobilní rozhlas.

Provedenou kontrolou bylo konstatováno, že souhlas se zpracováním osobních údajů není možné v daném případě považovat za souhlas ve smyslu jeho definice dle čl. 4 bod 11 obecného nařízení, a to zejména z hlediska jeho informovanosti, kdy mimo jiné kontrolovaná osoba před jeho udělením subjekt údajů neinformovala o možnosti souhlas odvolat, čímž došlo též k porušení ustanovení čl. 7 odst. 3 obecného nařízení.

K zákonnosti zpracování ve vztahu k registrovaným osobním údajům předaným místní základní školou v době nouzového stavu bylo kontrolou konstatováno, že kontrolovaná osoba porušila povinnosti vyplývající z čl. 6 odst. 1 obecného nařízení, neboť nedisponovala řádným právním titulem ke zpracování výše uvedených osobních údajů. Aplikaci právního titulu ochrany životně důležitých zájmů subjektů údajů nebo jiné fyzické osoby ve smyslu čl. 6 odst. 1 písm. d) obecného nařízení nebylo v tomto případě možné akceptovat.

S ohledem na absenci a zmatečnost některých informací kontrolovaná osoba porušila též povinnosti stanovené čl. 13 a čl. 14 obecného nařízení, přičemž nebyla dodržena ani lhůta pro poskytnutí těchto údajů ve smyslu čl. 14 odst. 3 obecného nařízení, a zároveň nebyla zajištěna dostatečná transparentnost a korektnost vyplývající z čl. 5 odst. 1 písm. a) obecného nařízení.

Z informací zjištěných v průběhu kontroly bylo konečně též konstatováno, že se ze strany kontrolované osoby v daném případě nejednalo o porušení zabezpečení osobních údajů, jak bylo původně pověřencem pro ochranu osobních údajů ohlášeno. Zároveň zjištěný stav týkající se spolupráce mezi kontrolovanou osobou a pověřencem pro ochranu osobních údajů kontrolující vyhodnotili jako stav mající značné rezervy z hlediska nastavení efektivní spolupráce, a hraničící s porušením povinností stanovených čl. 39 obecného nařízení.

Kontrolovaná osoba proti kontrolním zjištěním námitky neuplatnila.

Doplňující informace

Při výběru a jmenování pověřence pro ochranu osobních údajů dle čl. 37 obecného nařízení je nutno pamatovat nejen na to, aby tento byl jmenován na základě svých profesních kvalit, odborných znalostí práva a praxe v oblasti ochrany osobních údajů, ale také na základě schopnosti plnit úkoly stanovené čl. 39 obecného nařízení. Uvedené však musí být též podpořeno postavením pověřence pro ochranu osobních údajů ve smyslu čl. 38 obecného nařízení a správce či zpracovatel musí zajistit, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.