Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Obec (UOOU-00722/21)

Kontrolu Úřad realizoval na základě dvou doručených podnětů. Oba směřovaly proti postupu kontrolované osoby (města) při realizaci veřejného průzkumu spokojenosti obyvatel s tamějším životem.

V rámci průzkumu město vyžadovalo vyplnění osobních údajů v rozsahu datum narození respondenta a číslo občanského průkazu. Oproti těmto údajům pak mělo ověřovat, zda má respondent v daném městě veden trvalý pobyt nebo zde vlastní nemovitost. Dotazníky, které by nebyly vyplněny občanem města, měly být z veřejného průzkumu vyřazeny. Dotazník bylo možno vyplnit v elektronické či listinné podobě. Kontrola konstatovala celou řadu pochybení.

Předně kontrolující zjistili, že do výsledků veřejného průzkumu byly zahrnuty i vyplněné dotazníky osob, které nejsou občany města. Důvod, pro který měly být osobní údaje shromažďovány, tak byl zcela popřen. Město neprokázalo zákonný titul pro zpracování osobních údajů a porušilo ustanovení čl. 6 odst. 1 obecného nařízení. V této souvislosti Úřad konstatoval též porušení zásady zákonnosti a korektnosti ve smyslu čl. 5 odst. 1 písm. a) obecného nařízení.

Kontrola také ověřila, že do zpracování osobních údajů je zapojen zpracovatel. S tím však město jakožto správce neuzavřelo zpracovatelskou smlouvu a porušilo tak ustanovení čl. 28 odst. 3 obecného nařízení. Mezi správcem a zpracovatelem neexistovaly žádné předané pokyny pro zpracování osobních údajů, a to ani ve věci zapojení dalšího zpracovatele do zpracování ve smyslu čl. 28 odst. 2 a 4 obecného nařízení. Dotazník však byl v elektronické podobě vyplňován prostřednictvím služby Google Forms. V důsledku chybějící zpracovatelské smlouvy a pokynů pro zpracování osobních údajů nebyla ani nijak nastavena pravidla týkající se zabezpečení osobních údajů. Nadto kontrolovaná osoba deklarovala, že ověření oprávnění účastnit se průzkumu je realizováno anonymně. K žádné anonymizaci však nedocházelo. Ve vztahu k zabezpečení kontrolující konstatovali porušení povinností společně stanovených čl. 5 odst. 1 písm. f), čl. 5 odst. 2, čl. 24 odst. 1, čl. 25 odst. 1 a 2 a čl. 32 obecného nařízení.

Nadto nebyla městem ve vztahu ke zpracování osobních údajů z vyplněného dotazníku řádně plněna ani informační povinnost. Kontrola tak zjistila, že město porušilo povinnosti stanovené čl. 13, resp. též zásadu transparentnosti dle čl. 5 odst. 1 písm. a) obecného nařízení.

Proti kontrolním zjištěním město nepodalo námitky.

Doporučení:

Uvedená kontrola je jedním z případů, kdy správce ochranu osobních údajů a plnění jednotlivých ustanovení obecného nařízení podcenil. V této souvislosti však Úřad apeluje též na zpracovatele, který je zjevně zapojen do zpracování osobních údajů (ať už jako celku či jen v konkrétní části), avšak nedisponuje zpracovatelskou smlouvou. Připomíná se, že zpracovatel má ve smyslu čl. 28 odst. 3 obecného nařízení povinnost informovat neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje obecné nařízení či jiné právní předpisy týkající se ochrany osobních údajů.