Francouzské ministerstvo porušilo GDPR: nesprávné použití elektronických adres zaměstnanců

04.12.2023

Francouzský úřad pro ochranu údajů zjistil, že dvě francouzská ministerstva porušila čl. 5 odst. 1 písm. b) GDPR. Ministerstva použila e-mailové adresy 2 346 303 státních zaměstnanců ke sdílení videa propagujícího důchodovou reformu - v rozporu s původním účelem zpracování údajů, který byl omezen na administrativní komunikaci se zaměstnanci.

Francouzský úřad pro ochranu údajů obdržel 1 590 stížností na ministerstvo hospodářství, ministerstvo financí, ministerstvo hospodářské a digitální suverenity (dále jen "ministerstvo hospodářství") a ministerstvo transformace a veřejné služby (dále jen "ministerstvo transformace") v souvislosti s e-mailem zaslaným dne 26. ledna 2023 sektoru státní služby, který obsahoval krátké video, v němž ministr transformace hovořil o důchodové reformě. Stížnosti se týkaly především přijímání politických sdělení a v některých případech přijímání e-mailu v době, kdy subjekty údajů již nebyly veřejnými činiteli.

Úřad pro ochranu osobních údajů se u pověřence pro ochranu osobních údajů obou ministerstev dotazoval na užitý právní základ pro e-mail, původ údajů použitých k odeslání e-mailu, příjemce e-mailu, počet osob, kterých se zpracování týká, totožnost správce (správců), účely zpracování a případné důkazy o zákonnosti zpracování.

Dne 2. února 2023 pověřenec pro ochranu osobních údajů odpověděl, že e-mail byl zaslán 2 346 303 osobám a že údaje pocházejí z databáze obsahující všechny aktivní, úřadující i neúřadující veřejné činitele registrované online.

V návaznosti na to úřad pro ochranu údajů jmenoval referenta, který provedl šetření. Na jeho konci referent předložil oznámení o porušení zásady účelového omezení podle čl. 5 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů, podle které musí být osobní údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Cílem daného zpracování bylo zaslání zprávy zahrnující politickou komunikaci, což bylo neslučitelné s původním shromažďováním údajů: omezilo se na administrativní komunikaci se zaměstnanci. Dne 26. října 2023 proto referent a společnost předložili úřadu pro ochranu údajů připomínky.

Stanovisko

Úřad pro ochranu osobních údajů potvrdil, že ministerstva jsou společnými správci podle článku 26 GDPR. To bylo možné zjistit z důkazů, které předložil pověřenec pro ochranu osobních údajů, pokud jde o příslušné role ministerstev při zasílání e-mailu. Ministerstvo transformace například vydalo pokyny k vložení videa, aby bylo možné jej v e-mailu sledovat, a k tomu, aby byly shromažďovány statistiky o míře otevření, míře zobrazení a počtu kliknutí na doprovodný PowerPoint; tím byly vymezeny účely a prostředky zpracování. Na druhé straně bylo Ministerstvo hospodářství společným správcem údajů tím, že provádělo automatizované zpracování osobních údajů.

Pokud jde o údajné porušení čl. 5 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů, společní správci údajů zpochybnili politickou povahu zpracování, jelikož obecný obsah a video e-mailu byly informativním sdělením o dopadech navrhované reformy. V tomto ohledu úřad pro ochranu osobních údajů nesouhlasil, neboť e-mail zaslal jeden z ministrů odpovědných za důchodovou reformu a obecný tón sdělení měl za cíl přesvědčit lidi o potřebě a výhodách reformy. Úřad pro ochranu údajů rovněž připomněl předchozí rozhodnutí, v němž bylo stanoveno, že automatizované zpracování osobních údajů veřejných činitelů, jehož účel je omezen na sdělení administrativní povahy, nelze použít pro sdělení politické povahy.

Úřad pro ochranu údajů proto konstatoval, že použití databáze bylo v rozporu s původním účelem zpracování a porušovalo čl. 5 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů.

Úřad proto vydal "výzvu k nápravě" vůči společným správcům údajů za porušení čl. 5 odst. 1 písm. b) GDPR a pokuta nebyla udělena v souladu s článkem 20 zákona č. 78-17, pokud zpracování osobních údajů provádí stát.

Zdroj: https://www.legifrance.gouv.fr/cnil/