Komu nehrozí pokuty podle GDPR? K výkladu pojmu veřejný subjekt ve smyslu zákona č. 110/2019 Sb., o zpracování osobních údajů
Podle zákona 110/2019 Sb., o zpracování osobních údajů (dále jen „zákon o zpracování osobních údajů“) Úřad pro ochranu osobních údajů (dále jen „Úřad“) upustí od uložení správního trestu za vybrané přestupky, pokud tyto byly spáchány orgánem veřejné moci nebo veřejným subjektem usazeným v České republice. Zákon o zpracování osobních údajů ani GDPR[1] na něž odkazuje však blíže nedefinují, kdo jsou tyto subjekty, na které by potenciálně výluka měla dopadat. S ohledem na možný dopad uplatnění tohoto ustanovení pro konkrétní subjekty navrhujeme níže vymezení rozsahu subjektů, které lze považovat za veřejný subjekt ve smyslu § 61 odst. 3 a § 62 odst. 5 zákona o zpracování osobních údajů.
Spolu s nabytím účinnosti zákona o zpracování osobních údajů, vyvstaly některé výkladové nejasnosti. Jednu z nich přinesl § 61 odst. 3 a § 62 odst. 5 zákona o zpracování osobních údajů, ve kterém český zákonodárce určil subjekty, u nichž musí Úřad upustit od uložení správního trestu, odkazem do GDPR. Tento odkaz směřuje konkrétně ke čl. 83 odst. 7 GDPR, který v české jazykové verzi vymezuje tyto subjekty jako „orgán veřejné moci a veřejný subjekt“. Díky absenci legální definice jsou však tyto pojmy neurčité a stanovení rozsahu subjektů může podléhat výkladovým tendencím zájmových skupin.
Orgán veřejné moci
Orgány veřejné moci jsou definovány relativně jasně, a to jako orgány vykonávající veřejnou moc[2], tj. „moc, která autoritativně rozhoduje o právech a povinnostech subjektů, ať již přímo nebo zprostředkovaně. Subjekt, o jehož právech nebo povinnostech rozhoduje orgán veřejné moci, není s ním v rovnoprávném postavení a obsah rozhodnutí tohoto orgánu nezávisí od vůle subjektu.“[3] Výčet orgánů veřejné moci je dostupný online, například na portálu veřejné správy (K dispozici >>> zde). Subjekty veřejné moci – tedy právnické osoby jako celek, pak navenek jednají právě skrze tyto příslušné orgány veřejné moci. V tomto pojetí není rozdílu mezi přístupem k tomuto pojmu mezi právem evropským a českým (viz dále). Proto v praxi pravděpodobně nebude jeho výklad činit problémy.
V užším vymezení se pak za orgány veřejné moci dají považovat jednoznačně všechny orgány státní správy (ministerstva a další ústřední správní úřady). U těchto orgánů lze předpokládat záměr zákonodárce vyloučit ukládání správních pokut v zájmu zachování jejich efektivity při plnění služeb občanům.
Veřejný subjekt
Pojem veřejný subjekt však český právní řád nezná, nijak s ním doposud nepracoval, a proto je jeho výklad předmětem polemik. Při jeho výkladu jsme porovnávali pojmy příbuzné, některé jazykové verze ustanovení GDPR a zkoumali jsme účel vyloučení některých orgánů ze správního trestání podle § 61 a 62 zákona o zpracování osobních údajů.
Subjekt veřejné moci
Subjekty veřejné moci jsou podle teorie správního práva subjekty odlišné od státu, které plní úkoly hlavně v oblasti veřejné správy. Lze tedy předpokládat, že se jedná o určité užší vymezení těchto subjektů v tom smyslu, že jim je zákonem svěřena ta část agendy veřejné správy, kterou nevykonává stát jako agendu/správu státní. Teorie správního práva typově člení tyto subjekty veřejné správy odlišné od státu na veřejnoprávní korporace (územní samosprávné celky či profesní komory), veřejné ústavy, veřejné podniky, státní fondy a fyzické[4] a právnické osoby soukromého práva. Z materiálního hlediska spočívá tedy výkon veřejné moci v plnění zákonem svěřených záležitostí (věcná působnost) v určitém územním prostoru (územní působnost).[5] Přitom pak hledisko územní/místní působnosti je významným prvkem i pro určení působnosti GDPR, včetně všech vyvstalých výjimek, které by naopak působnost a dopady GDPR pro tyto konkrétní orgány relativizovaly anebo jinak omezovaly.
Z obecného hlediska však mnohdy, a to nejen v tuzemských právních předpisech, dochází ke směšování jednotlivých výrazů, kdy v jednom předpise je poukazováno na konkrétní úřady (přímo vykonavatele) státní správy, potažmo veřejné moci (tedy včetně samosprávných celků), v jiném pak na subjekty jako takové (právnické osoby[6])[7]. To může značně problematizovat již tak zákonodárcem nejednoznačné vymezení pojmu veřejného subjektu i v kontextu vztahu těchto úřadů (příp. veřejnoprávních subjektů) k ostatním podřízeným orgánům či samosprávným celkům, na které by se také měly vztahovat (vztahují) obecná pravidla a dopady GDPR.
Veřejnoprávní subjekt
Dalším teoreticky příbuzným pojmem k pojmu veřejný subjekt ve smyslu GDPR je „veřejnoprávní subjekt“. Tento pojem využívá evropské právo např. ve Směrnici Evropského Parlamentu a Rady 2003/98/ES ze dne 17. 11. 2003 o opakovaném použití informací veřejného sektoru, čl. 2 odst. 2. Veřejnoprávní subjekt je „a) zřízený za zvláštním účelem uspokojování potřeb veřejného zájmu, který nemá průmyslovou nebo obchodní povahu[8]; a b) který má právní subjektivitu; a c) je financován převážně státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty nebo je těmito subjekty řízen, nebo v jeho správním, řídicím nebo dozorčím orgánu je více než polovina členů jmenována státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty.“[9] S ohledem na to, že se jedná o pojem využívaný v právu EU a evropský zákonodárce se v GDPR rozhodl využít v čl. 83 odst. 7 odlišný pojem „veřejný subjekt“, je možné argumentovat, že tyto pojmy nejsou totožné, byť je otázka, zda skutečně bylo úmyslem zákonodárce směřovat k jiné definici a zda je tedy daný rozdíl skutečně zamýšlen v rovině významové nebo k němu došlo jen v rovině formulační. Je ovšem třeba upozornit, že formulační rozdíl vyplývá i z jiných jazykových verzí obou pojmů – např. z anglického ekvivalentu pojmu veřejnoprávní subjekt, tj. „body governed by public law“ (oproti pojmu veřejný subjekt, v anglické jazykové verzi jako „public body“) je zřejmé, že zákonodárci nemířili na zcela stejnou skupinu subjektů, neboť se dá presumovat, že by v takovém případě použili přímo tento zavedený pojem.
Stejný pojem, tedy „veřejnoprávní subjekt“, používá i Směrnice Evropského Parlamentu a Rady (EU) 2019/1024 ze dne 20. června 2019 o otevřených datech a opakovaném použití informací veřejného sektoru (čl. 2 odst. 2), která výše uvedenou směrnici nahradí, nebo například Nařízení Evropského Parlamentu a Rady (EU) 2018/1807 o rámci pro volný tok neosobních údajů v Evropské unii.
Veřejná instituce
Pojem „veřejná instituce“ definuje § 2 odst. 1 zákona 106/1999 Sb., o svobodném přístupu k informacím, který byl judikaturou opakovaně upřesněn. Důvodová zpráva k zákonu o zpracování osobních údajů však upozorňuje ve vztahu k čl. 37 odst. 1 písm. a) GDPR, že pojem veřejná instituce byl definován pro jiný účel a pro výklad pojmů dle GDPR má omezenou relevanci. Konkrétně důvodová zpráva uvádí, že smyslem ustanovení čl. 37 odst. 1 písm. a) GDPR „není kontrola moci ze strany veřejnosti, ani kontrola hospodaření s veřejnými prostředky, jako u zákona 106/1999 Sb. a dalších předpisů o přístupu k informacím. Proto nemá smysl vykládat tuto povinnost v rozsahu daném takovými zájmy.“[10] Přestože je tento argument v důvodové zprávě použit ve vztahu k čl. 37 odst. 1 písm. a) GDPR domníváme se, že jej lze shodně aplikovat i ve vztahu k čl. 83 odst. 7 GDPR, a tudíž nelze konstatovat, že je vůlí českého zákonodárce veřejný subjekt ztotožnit s pojmem veřejná instituce[11].
Pojem veřejný subjekt v čl. 37 a čl. 83 GDPR
Při výkladu pojmu veřejný subjekt ve smyslu čl. 83 odst. 7 GDPR lze vzít v úvahu také výklad totožného pojmu užitého v čl. 37 odst. 1 GDPR, který označuje subjekty povinné ke jmenování pověřence pro ochranu osobních údajů (ve znění GDPR také totožně orgán veřejné moci a veřejný subjekt).
Pro účely práva EU je pravděpodobně pojem veřejný subjekt použitý v čl. 37 odst. 1 GDPR nutné považovat za významově totožný s pojmem veřejný subjekt použitý v čl. 83 odst. 7 GDPR.
Pojem veřejný subjekt v § 14 a § 61 a 62 zákona o zpracování osobních údajů
Český zákonodárce pojem veřejný subjekt dle čl. 37 odst. 1 GDPR upřesňuje v prováděcím § 14 zákona o zpracování osobních údajů, když ukládá povinnost jmenovat pověřence pro ochranu osobních údajů nejen orgánům veřejné moci, ale také orgánům zřízeným zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu.
Podle důvodové zprávy k § 14 zákona o zpracování osobních údajů je „Smyslem ustanovení čl. 37 odst. 1 písm. a) lépe chránit osobní údaje v případech, kdy existuje dostatečná formální i materiální nerovnováha mezi subjektem údajů a správcem, například protože příslušný zákon, podle kterého se správce řídí, může stanovit řadu omezení práv subjektu údajů.“[12]
Pokud tedy vycházíme z předpokladu, že čl. 37 odst. 1 GDPR a čl. 83 odst. 7 GDPR odkazují na totožné subjekty, pak by se upřesnění pojmu veřejný subjekt, které český zákonodárce přijal v § 14, mohlo za použití analogie uplatnit i pro výklad pojmu veřejný subjekt pro účely § 61 odst. 3 a § 62 odst. 5 zákona o zpracování osobních údajů.
Na druhou stranu je možné argumentovat, že pojem „orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu“, využitý v § 14 zákona o zpracování osobních údajů, nesměřuje přímo k definici pojmu „veřejný subjekt“, ale pouze využívá možnosti dané čl. 37 odst. 4 GDPR a rozšiřuje dopad povinnosti jmenovat pověřence podle GDPR na další osoby.
Porovnání jazykových verzí GDPR
Při výkladu pojmu veřejný subjekt jsme rovněž porovnali některé jazykové verze[13] čl. 83 odst. 7 GDPR. Ačkoli výsledek nepřináší zcela jednoznačný závěr, domníváme se, že porovnávané jazykové verze českého pojmu veřejný subjekt tendují k pojmům cílícím na orgány veřejné moci.
Účel ustanovení § 61 a 62 zákona o zpracování osobních údajů
Záměrem evropského zákonodárce bylo umožnit členským státům, aby vyloučily sankcionování veřejným subjektům tam, kde to neodpovídá jejich ústavní úpravě či správní praxi, případně tehdy, pokud to členské státy shledají z jiných důvodů nedůvodné.
Pravděpodobným úmyslem českého zákonodárce bylo zřejmě omezit negativní dopady správních pokut na fungování státní správy a potažmo zájmy občanů, a zároveň zachovat co nejvyšší úroveň ochrany soukromí a osobních údajů. Z pravděpodobného úmyslu zákonodárce, který navíc není v důvodové zprávě jasně formulován, je obtížné usuzovat na přesnou definici veřejného subjektu. Lze pouze nepřímo dovozovat, že definice veřejného subjektu pravděpodobně míří zejména na subjekty financované ze státního rozpočtu.
Výklad WP29
Skupina WP29 (dnes Evropský sbor pro ochranu osobních údajů, European Data Protection Board) se ve svém Stanovisku[14] pro účely ustanovení pověřence pro ochranu osobních údajů vyjadřuje k pojmu veřejný subjekt použitém v čl. 37 odst. 1 písm. a) GDPR. WP29 v tomto kontextu zaujala stanovisko, že definování konkrétního rozsahu subjektů spadajících do kategorie orgán veřejné moci/veřejný subjekt v GDPR je věcí národního práva. Přesto však WP29 specifikuje, že pojem veřejný subjekt bude zahrnovat řadu subjektů řídících se veřejným právem při výkonů úkolů veřejné moci a veřejného zájmu.[15]
Tudíž již z této argumentace mohou plynout relativně rozdílná pojetí napříč evropskými státy, v procesu implementace a následného vynucování GDPR, právě z důvodu rozdílného postavení legislativy, resp. konkrétních legislativních pojmů (pojmosloví) a vzájemného postavení jednotlivých státních (veřejných) orgánů v těchto zemích – např. v oblasti správního práva. Jako problematickou oblastí se poté může zdát i uplatňování budoucích navazujících legislativních předpisů v souvislosti s ochranou soukromí, které by v konečném důsledku mohly mít odlišné právní dopady a účinky na dotčené subjekty údajů.
WP29 ve svém stanovisku doporučuje zahrnout pod pojem veřejný subjekt i soukromé osoby při výkonu veřejné moci, a to z důvodu podobnosti těchto soukromých osob a orgánů veřejné moci při zpracování dat (zejména podobný účel zpracování, omezení vlivu jednotlivců na zpracování a způsob zpracování dat). WP29 z toho dovozuje vhodnost rozšíření povinnosti zvýšení ochrany dat prostřednictvím pověřence i na soukromé subjekty.[16] V kontextu omezení ukládání pokut Úřadem však tento argument pro co nejširší možný okruh postižených subjektů nemá žádné opodstatnění, resp. účel sledovaný WP29 není aplikovatelný ani nemá přímé opodstatnění pro jeho využití a vedl by k nedůvodnému snížení úrovně ochrany osobních údajů.
Domníváme se zároveň, že výše uvedený názor, přenechávající výklad tohoto pojmu zcela vnitrostátnímu právu, není zcela správný. Pokud i jiné právní předpisy EU obecně definují pojmy jako „orgán veřejné správy“, „veřejnoprávní subjekt“ apod., tím spíše by měl být při výkladu pojmu užitého v evropském právním předpise (navíc ve formě nařízení a nikoliv směrnice) a nedefinovaného výslovně v národním právu, preferován jednotný evropský výklad. Zde je třeba upozornit i na to, že na rozdíl od některých jiných předpisů Nařízení nijak nenaznačuje, že by výklad tohoto pojmu měl být zcela přenechán národnímu právu. To samozřejmě neznamená, že by evropské právo nemohlo definovat pouze obecná kritéria pro vymezení tohoto pojmu a jeho konkrétní naplnění nemohlo být ponecháno právu národnímu.
Závěr
Pro účely práva EU je pravděpodobně pojem veřejný subjekt použitý v čl. 37 odst. 1 GDPR nutné považovat za významově totožný s pojmem veřejný subjekt použitý v čl. 83 odst. 7 GDPR.
Pojem veřejný subjekt použitý v čl. 37 odst. 1 GDPR vyložil český zákonodárce v ustanovení § 14 zákona o zpracování osobních údajů jako „orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu.“.
Kromě podmínky „plnění zákonem stanovených úkolů ve veřejném zájmu“ a podmínky „zřízení zákonem“ musí být splněna i podmínka, že se jedná o „orgán“. Tato podmínka není v rámci pojmů „subjekt veřejné moci“ a „veřejnoprávní subjekt“ relevantní, a tudíž k ní neexistují zavedená výkladová pravidla. Pojem „orgán“ je v českém právním řádu používán spíše pro vnitřní orgány právnických osob (např. statutární orgán). S ohledem na absenci legální definice pojmu „orgán“ a účel ustanovení se domníváme, že tento pojem ve smyslu § 14 zákona o zpracování osobních údajů není míněn jako formální definiční znak a veřejný subjekt podle § 14 a potažmo i § 61 a 62 zákona o zpracování osobních údajů zahrnuje subjekty veřejné správy, případně veřejnoprávní subjekty naplňující zbylé dva definiční znaky („plnění zákonem stanovených úkolů ve veřejném zájmu“ a „zřízení zákonem“). Za takové subjekty lze považovat například Českou národní banku, Nejvyšší kontrolní úřad, Správu hmotných rezerv, veřejného ochránce práv, Všeobecnou zdravotní pojišťovnu, Českou televizi nebo Český rozhlas a „další instituce, které plní veřejnoprávní funkce státu, aniž nutně autoritativně rozhodují o právech a povinnostech.“[17]
Tento článek byl zpracován kolektivem autorů jako poziční dokument Spolku pro ochranu osobních údajů.
Mgr. Jana Pattynová, LL.M.,
PIERSTONE
e-mail: jana.pattynova@pierstone.com
JUDr. Klára Kocarová
Ing. Václav Mach
Mgr. František Nonnemann
JUDr. Vladan Rámiš PhD.
Mgr. Vojtěch Rusz
PIERSTONE s.r.o., advokátní kancelář
Perlová 371/5
110 00 Praha 1
Tel.: +420 224 234 958
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[2] Zákon 89/2012 Sb., občanský zákoník, § 12 „Každý, kdo se cítí ve svém právu zkrácen, může se domáhat ochrany u orgánu vykonávajícího veřejnou moc (dále jen „orgán veřejné moci“). Není-li v zákoně stanoveno něco jiného, je tímto orgánem veřejné moci soud.“
[3] Rozhodnutí I. senátu Ústavního soudu ze dne 10. 11. 1998, sp. zn.: I. ÚS 229/98.
[4] Pokud je subjektem veřejné moci na základě zákonného pověření fyzická osoba, pak subjekt a vykonavatel z hlediska svých rolí reálně splývají.
[5] HÁLOVÁ Miloslava, Ján MATEJKA. K vymezení a aplikaci pojmu „orgán veřejné moci“ podle zákona o základních registrech, 2015. Článek vznikl s podporou na dlouhodobý koncepční rozvoj výzkumné organizace Ústavu státu a práva AV ČR, v. v. i. (RVO: 68378122), s. 21-23.
[6] Např. v zákoně 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů.
[7] Srov. HÁLOVÁ Miloslava, Ján MATEJKA. K vymezení a aplikaci pojmu „orgán veřejné moci“ podle zákona o základních registrech, 2015. Článek vznikl s podporou na dlouhodobý koncepční rozvoj výzkumné organizace Ústavu státu a práva AV ČR, v. v. i. (RVO: 68378122).
[8] Tudíž proto z tohoto zákonného vymezení „veřejnoprávního subjektu“ stojí mimo státní podniky typu České pošty s.p., Lesů ČR s.p. či Národní agentury pro komunikační a informační technologie s.p. aj. Ty ze svého pohledu nelze řadit ani mezi subjekty čistě soukromé, komerční povahy, jelikož obdobně jako orgány veřejné moci poskytují některé ze služeb občanům za účelem uspokojování potřeb veřejného zájmu (např. skrze veřejnoprávní regulaci), avšak na rozdíl od těchto orgánů podnikají a vytvářejí zisk (přičemž je jejich majetek držen státem).
[9] Např. Směrnice Evropského Parlamentu a Rady 2003/98/ES ze dne 17. 11. 2003 o opakovaném použití informací veřejného sektoru, čl. 2 odst. 1.
[11] Veřejné instituce jsou zřízeny státem, sledují veřejný účel a jejich orgány jsou vytvářeny či spoluvytvářeny státem a stát na jejich činnost dohlíží (více viz MADEJ, Jan: Extenzivní výklad pojmu veřejná instituce: obchodní společnosti jako povinné subjekty v právu na informace, 2017, dostupné z: https://www.mvcr.cz/soubor/madej-pdf.aspx).
[13] Porovnávané jazykové verze: česká („orgán veřejné moci a veřejný subjekt“); slovenská („orgán verejnej moci a verejnoprávny subjekt“); francouzská („D’autorité publiques et d’organisme publics“, k výkladu: La désignation d'un Délégué est obligatoire pour les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics). https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-le-delegue-la-protection-des-donnees-cest-obligatoire); německá („Behörde und öffentliche Stelle“, k výkladu: Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Německý adaptační zákon k GDPR, Bundesdatenschutzgesetz, §2. Dostupné z: https://www.gesetze-im-internet.de/bdsg_2018/__2.html); anglická („public authority or body“, k výkladu: A ‘public body’ is a formally established organization that is (at least in part) publicly funded to deliver a public or government service, though not as a ministerial department. The term refers to a wide range of entities that are covered as within the Public Sector. This does not include forms of public entity that do not require staff to carry out their functions, such as public funds or trusts. Public Bodies Handbook – Part 1, Classification Of Public Bodies: Guidance For Departments. Dostupné z: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/519571/Classification-of-Public_Bodies-Guidance-for-Departments.pdf).
[14] Pracovní skupina podle článku 29, Pokyny k funkci pověřence pro ochranu osobních údajů ze dne 13. 12. 2016, WP243. K dispozici >>> zde.
[15] Tamtéž, s. 4 a 5.
[16] Tamtéž, s. 4 a 5.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
