Společnost s ručením omezeným (UOOU-2744/21)
Úřad společně s Českým úřadem zeměměřickým a katastrálním (ČÚZK) provedl kontrolu zpracování osobních údajů v rámci služeb poskytovaných kontrolovanou osobou. Kontrolovaná osoba poskytovala mimo jiné služby založené na zpracování katastrálních dat, přičemž na tyto služby se kontrola primárně zaměřila.
Kontrolovaná osoba kategoricky odmítala, že by v rámci služeb, v jejichž rámci zpracovává osobní údaje vlastníků nemovitostí v České republice, byla v pozici správce. Dále kontrolovaná osoba ke konci roku 2021 ze svých serverů vymazala software, který zajišťoval provoz služeb, jež byly předmětem kontroly, a všechna s ním související data.
V rámci kontroly bylo dále v datech extrahovaných od poskytovatele IT služeb pro kontrolovanou osobu nalezeno 427 300 rodných čísel. Argumentace kontrolované osoby, že není v roli správce osobních údajů vlastníků nemovitostí, byla vyvrácena na základě skutečností zjištěných mimo jiné na základě studia dat získaných od poskytovatele IT služeb pro kontrolovanou osobu a na základě dat poskytnutých ČÚZK. Z těchto dat vyplývalo, že kontrolovaná osoba v rámci poskytovaných služeb nevyužívala osobní údaje dostupné skrze oficiální dálkový přístup do katastru nemovitostí, nýbrž musela využívat svoji databázi osobních údajů, čímž se nacházela bez jakýchkoliv pochybností v postavení správce osobních údajů, jež zpracovávala nejméně v rozsahu jméno, příjmení, adresa trvalého bydliště, seznam vlastněného nemovitého majetku. Z této databáze byla následně získávána data pro jednotlivé klienty, kteří předmětné služby kontrolované osoby využívali.
Úřad v rámci kontroly shledal množství porušení, mimo jiné porušení čl. 14 odst. 1 nařízení (EU) 2016/679, jelikož kontrolovaná osoba nedoložila, že by v souvislosti s databází vlastníků/spoluvlastníků nemovitostí informovala subjekty údajů, jejichž osobní údaje byly zpracovávány, o podmínkách tohoto zpracování. Dále Úřad shledal porušení čl. 24 odst. 1 nařízení (EU) 2016/679, jelikož kontrolovaná osoba v rámci kontroly nepředložila podklady dokládající plnění opatření dle čl. 25 odst. 1 a čl. 32 odst. 1 nařízení (EU) 2016/679, přijatá v souvislosti s provozem této databáze a porušení čl. 30 odst. 1 nařízení (EU) 2016/679, jelikož do doby vydání kontrolního protokolu nepředložila záznamy o činnostech zpracování.
V rámci kontrolního protokolu bylo v souladu s ustanovením § 10 odst. 2 zákona č. 255/2012 Sb., kontrolní řád, uloženo kontrolované osobě podání písemné zprávy o odstranění nedostatků zjištěných kontrolou, a to ve lhůtě 30 dnů ode dne formálního ukončení kontroly ve smyslu § 18 zákona č. 255/2012 Sb.
Kontrola byla ukončena marným uplynutím lhůty pro podání námitek. V návaznosti na učiněná zjištění Úřad zahájí správní řízení.
Článek 5 odst. 2 GDPR zakotvuje nejen odpovědnost správce za dodržování povinností dle GDPR, ale upravuje též jeho odpovědnost doložit dodržování tohoto souladu. Správce se tedy nemůže zprostit odpovědnosti například tím, jak se o to pokusila kontrolovaná osoba, že smaže předmětný software a s ním spojené osobní údaje. Správce je stále odpovědný za to, aby doložil soulad jím prováděného zpracování osobních údajů s GDPR, nedoložení tohoto souladu zakládá porušení GDPR a lze jej trestat pokutou.
Dále je třeba uvést, že plnění informační povinnosti, ať již dle čl. 13 či 14 GDPR, je zcela zásadní povinností správce osobních údajů. Pouze řádně informovaný subjekt údajů má možnost se kvalifikovaně rozhodnout, zda své osobní údaje svěří správci, či zda neuplatní některé ze svých práv, jež mu dle GDPR náleží. Pokud subjekt údajů nemá reálnou představu o tom, jak zpracování jeho osobních údajů probíhá, je mu tato možnost odepřena a ve svém důsledku tím může v některých případech až znemožnit právo svobodné volby subjektu údajů stran toho, jakým způsobem může být s jeho osobními údaji nakládáno. Pokud pak Úřad dospěje k závěru, že ze strany správce došlo k takovému jednání proto, že se před subjekty údajů snažil utajit, jakým způsobem nakládá s osobními údaji, může se jednat o přestupek obdobně závažný jako například zpracování osobních údajů bez řádného právního titulu dle čl. 6 odst. 1 GDPR.