Španělé kárali město za nevhodné použití WhatsApp
Katalánský úřad pro ochranu osobních údajů udělil pokárání městské radě za vytvoření skupiny v aplikaci WhatsApp, která umožňovala účastníkům vidět jména, telefonní čísla a profilové fotografie ostatních účastníků, aniž by byla zohledněna zásada ochrany osobních údajů již od návrhu a aniž by byly řádně poskytnuty informace požadované článkem 13 GDPR..
Fakta
Subjekt údajů podal stížnost katalánskému úřadu pro ochranu osobních údajů (APDCAT), v níž uvedl, že městská rada vytvořila skupinu WhastApp, aniž by získala výslovný souhlas účastníků a poskytla informace požadované GDPR; přestože o dva dny později byly do popisu skupiny zahrnuty zásady ochrany osobních údajů. Žadatel tvrdil, že telefonní číslo, jméno a obrázky účastníků byly viditelné pro všechny.
Subjekt údajů se ke skupině připojil klikem na odkaz, který byl sdílen prostřednictvím aplikace WhatsApp s textem, který uváděl, že lidé budou dostávat informace týkající se městské rady a že kdokoli může do skupiny vstoupit prostřednictvím následujícího odkazu, pokud se chce připojit.
APDCAT ověřil, že při připojení ke skupině byly účastníkům nabídnuty informace o totožnosti správce, právním základu zpracování, době uchovávání údajů, možnosti uplatnění práv subjektu údajů a odkaz na web městské rady, kde bylo možné uplatnit svá práva nebo kontaktovat pověřence pro ochranu osobních údajů (nikoli však o možnosti podat stížnost u APDCAT).
Tyto informace byly rovněž uvedeny v popisu skupiny a v informacích o skupině. V informacích o skupině bylo možné nahlížet také na jména, telefonní čísla a profilové fotografie účastníků.
Městská rada tvrdila, že jako právní základ používá čl. 6 odst. 1 písm. e) GDPR, tj. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu, neboť článek 25 zákona upravujícího základy režimu místní správy (Ley reguladora de las Bases del Régimen Local - LBRL), který umožňuje městské radě zapojit se do institucionální komunikace se svými občany. Podle městské rady byli účastníci informováni, že účastníci skupiny mohou vidět jména, telefonní čísla a profilové fotografie ostatních účastníků. Městská rada se však již dříve rozhodla, že bude své občany nadále informovat spíše prostřednictvím seznamu v aplikaci WhatsApp, než prostřednictvím skupiny.
APDCAT považoval čl. 6 odst. 1 písm. e) GDPR za platný právní základ, stejně jako čl. 6 odst. 1 písm. a) GDPR, protože účastníci s tím souhlasili.
Závěry
Za prvé, APDCAT zjistil, že při vytvoření skupiny nebyly poskytnuty informace požadované článkem 13 GDPR.
Když byly tyto informace poskytnuty, tedy dva dny po vytvoření skupiny, stále chyběly některé informace požadované čl. 13 odst. 2 písm. d) GDPR, konkrétně právo podat stížnost u dozorového úřadu, kterým by v tomto případě byl APDCAT.
Poskytnuté informace navíc nebylo možné považovat za poskytnuté ve stručné, transparentní, srozumitelné a snadno dostupné formě, jak požaduje čl. 12 odst. 1 GDPR. Informace rovněž nebyly poskytnuty bezprostředně, jak vyžaduje článek 11 LOPDGDD (španělský zákon o ochraně údajů), neboť subjekty údajů by neměly informace vyhledávat, ale měly by mít možnost vědět, jak a kde se k nim okamžitě dostat. To se nestalo, neboť subjekty údajů byly odkázány na internetové stránky městské rady, aniž by bylo uvedeno, kde se k informacím mohou dostat. Také v první vrstvě informací některé informace chyběly.
Městská rada také při vytváření skupiny nezavedla vhodná technická nebo organizační opatření k zajištění důvěrnosti osobních údajů, protože všichni účastníci mohli vidět jména, telefonní čísla a profilové fotografie ostatních účastníků.
Během průběhu vyšetřování městská rada přiznala, že skupinu vytvořila, aniž by předvídala jakákoli opatření, která by zabránila účastníkům vidět jména, telefonní čísla a profilové fotografie ostatních účastníků.
Podle APDCAT měla městská rada vzít v úvahu zásadu ochrany údajů již od návrhu z čl. 25 odst. 1 GDPR a uvědomit si, že vzhledem k tomu, že měla zabránit tomu, aby účastníci viděli jména, telefonní čísla a profilové obrázky ostatních účastníků, měla upustit od používání skupiny WhatsApp jako vhodného nástroje pro tyto účely.
Městská rada tvrdila, že skupinu přestala používat, ale APDCAT ověřil, že ačkoli skupina již nebyla aktivní, stále existovala a k osobním údajům bylo možné se stále dostat.
Podle APDCAT proto městská rada porušila článek 13 GDPR a čl. 25 odst. 1 GDPR.
Jelikož však byly nedostatky týkající se článku 13 GDPR odstraněny před ukončením řízení, měl APDCAT za to, že v tomto ohledu není třeba přijímat žádná další opatření.
Na druhou stranu APDCAT nařídil městské radě, aby skupinu na WhatsAppu vymazala, a udělil jí výtku za porušení článku 13 GDPR a čl. 25 odst. 1 GDPR.