Seriál specifické aspekty ochrany osobních údajů 5/5 Činnosti Úřadu pro ochranu osobních údajů
Úřad pro ochranu osobních údajů („ÚOOÚ“) byl zřízen jako nezávislý správní orgán v dané oblasti dne 1. června 2000. Právě kvůli dvacetiletému výročí jeho vzniku jsme se rozhodli v posledním dílu našeho pětidílného seriálu o specifických aspektech ochrany osobních údajů zaměřit pozornost na jeho činnost a pravomoci.
Kromě obecných pravomocí vyplývajících zejména z GDPR a ZZOÚ jakožto obecných předpisů upravujících oblast ochrany a zpracování osobních údajů, má ÚOOÚ i další pravomoci vyplývající ze speciálních právních předpisů. ÚOOÚ tak rovněž provádí dozor nad dodržováním povinností při zpracování osobních údajů v oblasti elektronických komunikací[1] a nad šířením obchodních sdělení elektronickými prostředky.[2] Rovněž pak projednává přestupky v dalších zvláštních oblastech.[3] Do působnosti ÚOOÚ dále patří provoz informačního systému ORG, který je součástí systému základních registrů podle zákona 111/2009 Sb., o základních registrech. Zajímavé rozšíření kompetencí ÚOOÚ pak přinesla novela zákona 106/1999 Sb., o svobodném přístupu k informacím.
V textu se zaměříme na působení ÚOOÚ v oblasti ochrany osobních údajů, a to i na jeho limity. S tímto souvisí i vydávání akreditací subjektům pro vydávání osvědčení o ochraně osobních údajů. Další část článku bude věnována oblasti dozoru nad šířením obchodních sdělení, a to zejména s ohledem na rozsudek Městského soudu v Praze ze dne 7. 4. 2020, č. j. 14 A 242/2018, který staví najisto, že za šíření obchodních sdělení elektronickými prostředky je odpovědný i objednatel této služby. Poslední část bude věnovaná oblasti svobodného přístupu k informacím.
Působnost ÚOOÚ na poli ochrany osobních údajů a její limity
ÚOOÚ je ústředním správním úřadem pro oblast ochrany osobních údajů. Rozsah jeho pravomoci je stanovený zejména ZZOÚ a dále pak speciálními právními předpisy, mezinárodními smlouvami a přímo použitelnými předpisy Evropské unie.[4] ZZOÚ v § 54 rozděluje základní činnosti ÚOOÚ ve vztahu k zpracování osobních údajů podle toho zda se zpracování osobních údajů řídí hlavou II nebo hlavou III. Toto základní rozdělení doplňuje v odst. 3 téhož ustanovení výčtem zbytkových, ale neméně důležitých činností, jakými jsou např. legislativní připomínková činnost nebo vypracovávání výročných zpráv.
ZZOÚ v hlavě II adaptuje GDPR – tj. přizpůsobuje některá ustanovení GDPR, a to v míře předvídané a povolené tímto evropským nařízením. Hlava III ZZOÚ je jednou z transpozic Směrnice (EU) 680/2016,[5] která se zaměřuje na zpracování osobních údajů příslušnými orgány za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech. Činnosti vyjmenované v § 54 odst. 1 tak představují oblast dozoru nad zpracováním osobních údajů v režimu GDPR, odst. 2 téhož ustanovení představuje oblast dozoru v režimu Směrnice (EU) 680/2016. Ačkoliv jde o podobné agendy, je třeba mezi nimi rozlišovat.
Hlava IV ZZOÚ upravuje zpracování osobních údajů v oblasti, která je vyňata z pravomoci EU, a to zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky. Není tedy přímou reakcí na unijní předpis.
Kompetence ÚOOÚ jsou v některých ohledech limitovány více než za účinnosti předešlé právní úpravy. Podle § 62 odst. 5 ZZOÚ upustí ÚOOÚ od uložení správního trestu tehdy, jde-li o správce a zpracovatele, jimiž jsou orgány veřejné moci a veřejné subjekty usazené v České republice. Je třeba upozornit, že správní trest nelze uložit výše uvedeným subjektům za zpracovatelské aktivity spadající do působnosti hlavy II ZZOÚ, respektive pod působnost GDPR. Orgány veřejné moci zpracovávající osobní údaje v režimu hlavy III ZZOÚ pokutovat podle tohoto zákona lze.[6]
Dle důvodové zprávy k ZZOÚ je pokutování orgánů veřejné moci s ohledem na jejich financování z veřejných rozpočtů de facto jen přesunutím finančních prostředků v rámci státního rozpočtu, Toto ustanovení ale potenciálně zavádí nerovné postavení subjektů, na něž se vztahují povinnosti založené GDPR a vnitrostátními předpisy v oblasti ochrany a zpracování osobních údajů. Nejvyšší správní soud ve své rozhodovací praxi poukazoval na to, že má-li být Česká republika vnímána jako právní stát, je nutné důslednou ochranu osobních údajů vyžadovat zejména od orgánů veřejné moci.[7] Nejvyšší správní soud ale zároveň, v rozsudku ze dne 11. 2. 2020, sp. zn. 4 As 376/2019, zastává možnost neuložit správní trest orgánu veřejné moci, neboť jde o „výkon diskrece zákonodárce, pro který lze najít racionální odůvodnění (veřejné subjekty zpravidla nedisponují vlastním majetkem, nýbrž jsou financovány z veřejných rozpočtů, přičemž výnos uložených pokut je opět příjmem veřejných rozpočtů).“
Podle Výroční zprávy ÚOOÚ bylo ustanovení § 62 odst. 5 ZZOÚ v roce 2019 aplikováno u sedmi subjektů.[8] Došlo tedy ke konstatování porušení pravidel při zpracování osobních údajů stanovených obecným nařízením, ale bez následné aplikace správního trestání.
Rozdílné režimy mají dopad i na omezení působnosti ÚOOÚ. Dle ZZOÚ tak ÚOOÚ nevykonává dozor nad zpracováním osobních údajů, které provádějí soudy nebo státní zastupitelství podle hlavy III ZZOÚ. Zákonodárce tak využívá možnost stanovenou v čl. 45 odst. 2 Směrnice (EU) 2016/680, který říká, že „členské státy mohou stanovit, že jejich dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí jiné nezávislé justiční orgány v rámci svých justičních pravomocí“. Dozor nad zpracováním osobních údajů soudy upravuje § 122d zákona 6/2002 Sb., o soudech a soudcích, který dozorovou pravomoc svěřuje vždy nadřízenému soudu. V případě Nejvyššího soudu a Nejvyššího správního soudu plní tuto funkci zaměstnanec, kterého za tímto účelem určí předseda daného soudu. Ustanovení § 121 zákona 283/1993 Sb., o státním zastupitelství, pak dozor nad celou soustavou státních zastupitelství svěřuje Nejvyššímu státnímu zastupitelství.
Z působnosti ÚOOÚ je vyňatý i dozor nad zpravodajskými službami,[9] což byla praxe i za účinnosti předešlých předpisů. Tato výjimka je potřebná zejména vzhledem ke speciální povaze zpravodajských služeb, která vychází z principu utajení.
Akreditace
Ustanovení § 15 ZZOÚ upravuje vydávání akreditací subjektům pro vydávání osvědčení o ochraně osobních údajů. Vydáváním akreditací byl pověřen Český institut pro akreditaci. ÚOOÚ je v souladu s výše uvedeným ustanovením oprávněn vydávat podzákonné právní předpisy stanovující kritéria pro akreditaci subjektů pro vydávání osvědčení a kritéria pro vydávání osvědčení. Návrh kritérií však dodnes nebyl schválen Evropským sborem pro ochranu osobních údajů („Sbor“), a proto stále nelze o vydání osvědčení žádat. ÚOOÚ rovněž bude moci Českému institutu pro akreditaci nařídit, aby osvědčení odebral.[10]
Vydávání osvědčení upravuje čl. 42 a násl. GDPR. Osvědčení bude dokladem o tom, že činnosti zpracování prováděné správcem nebo zpracovatelem jsou v souladu s GDPR. Nejde o další povinnost stanovenou správcům či zpracovatelům, získání osvědčení bude čistě dobrovolné. Lze ale předpokládat, že osvědčení budou v budoucnu sloužit jako konkurenční výhoda, a to jak v obchodních vztazích, tak vůči samotným subjektům údajů.
Sbor zveřejnil dne 25. 5. 2020 stanovisko k výše zmíněnému návrhu ÚOOÚ akreditačních kritérií. Podle čl. 43 odst. 3 GDPR může akreditace subjektů pro vydávání osvědčení probíhat na základě kritérií schválených dozorovým úřadem. Akreditační kritéria, kterými se vnitrostátní akreditační orgán musí řídit, jsou tvořena normou ISO 17065/2012 a doplněna dodatečnými požadavky stanovenými dozorovým úřadem. Sbor posuzoval navrhované akreditační požadavky zejména ve vztahu k normě ISO 17065/2012 a zkoumal, zda jsou tato kritéria schopna umožnit Českému institutu pro akreditaci akreditovat subjekt pro vydávání osvědčení odpovědný za vydávání a obnovení osvědčení v souladu s článkem 42 GDPR.[11] Sbor nejčastěji ÚOOÚ vytýká nejednoznačnost některých ustanovení (u některých náležitostí není např. jasné, zda jsou obligatorní, či ne).[12] Kritéria se místy neřídí Pokyny 4/2018 týkajícími se akreditace subjektů vydávajících osvědčení podle GDPR, zejména Přílohou 1 těchto Pokynů, které upravují akreditační požadavky na subjekty pro vydávání osvědčení, nebo duplikují kritéria již stanovená v normě ISO 17065/2012.[13]
Zvláště problematické se jeví nejasné nastavení podmínek pro využití služeb externích dodavatelů při vydávání osvědčení. Návrh ÚOOÚ outsourcing zakazuje, ale zároveň umožňuje využití externích auditorů a externích odborníků pro hodnocení shody, nepředstavuje-li toto využití “certifikační činnost”. Sbor doporučuje objasnit, co znamená “certifikační činnost”, nebo najisto postavit podmínku, že si subjekt pro vydávání osvědčení ponechá odpovědnost za rozhodování, i když využívá externích odborníků.[14]
Podle Sboru by návrh akreditačních požadavků ÚOOÚ v podobě, jaké byl předložen, mohl vést k nekonzistentní akreditační činnosti příslušných orgánů. ÚOOÚ má dva týdny od zveřejnění stanoviska k vyjádření se, zda doporučení Sboru zapracuje, nebo ne; tato odpověď musí být odůvodněna.[15]
Dozorová činnost v oblasti šíření obchodních sdělení
Jak vyplývá z Výroční zprávy ÚOOÚ za rok 2019, podnětů týkajících se obchodních sdělení podle zákona o některých službách informační společnosti byla téměř polovina ze všech přijatých podnětů a stížností[16] a ÚOOÚ uložil 28 subjektům za přestupky na poli šíření obchodních sdělení sankce v celkové výši přes 2 000 000 Kč.[17]
V tomto ohledu je vhodné upozornit na rozsudek Městského soudu v Praze, který ÚOOÚ zveřejnil na svých webových stránkách.[18] Soud se v rozsudku zabývá otázkou odpovědnosti objednatele marketingové kampaně za šíření obchodních sdělení v situaci, kdy zprávu fakticky odesílá smluvní partner zajišťující danou kampaň. Soud uvedl, že za šiřitele obchodních sdělení elektronickými prostředky “nelze považovat pouze jejich přímého odesílatele, nýbrž též osobu, která jejich odeslání iniciovala, dala k němu příkaz či z něj také profitovala.”[19] Cílem právní úpravy je totiž ochrana adresátů obchodních sdělení a v případě opačného výkladu by se skutečný šiřitel obchodního sdělení mohl jednoduše zbavit odpovědnosti tím, že by pověřil zasíláním obchodních sdělení jinou osobu, ideálně tu, která by se nacházela v jiné jurisdikci, tedy mimo dosah českých orgánů. V daném případě shledal soud objednatele odpovědným za přestupky spočívající mimo jiné v odesílání sdělení adresátům, kteří k tomu neudělili souhlas. To i přesto, že ve smlouvě se svým partnerem fakticky odesílajícím tyto zprávy stanovil partnerovu povinnost jednat v souladu s právními předpisy; obdržení souhlasů pak mělo být z partnerovy strany dokonce potvrzeno.
Městský soud v Praze svým rozsudkem potvrdil správnost dlouhodobé praxe ÚOOÚ deklarovanou i na stránkách tohoto úřadu.[20] I přes obecnou odpovědnost objednatele lze doporučit řádné ošetření vztahu s dodavatelem marketingové kampaně. Tato odpovědnost totiž nemusí být bezbřehá. Do smlouvy mohou být zakotveny i další instituty, které ve svém souhrnu, společně s obecnou povinností jednat v souladu s právními předpisy, mohou napomoci k případnému naplnění liberačního důvodu dle § 21 zákona 250/2016 Sb., o odpovědnosti za přestupky. Zejména lze zmínit možnost zakotvení namátkových kontrol i pravidelných auditů (důležitý je pak pochopitelně i faktický výkon těchto možností a dokumentace celého procesu). Pro naplnění liberačního důvodu musí objednatel vynaložit veškeré možné úsilí, aby přestupku předešel. I nadále platí, že je do smlouvy mezi objednatelem a rozesílatelem možné zakotvit regresní nárok pro případ, že by objednatel byl v souvislosti s rozesíláním obchodních sdělení shledán vinným z přestupku.
Působnost ÚOOÚ v oblasti svobodného přístupu k informacím
Zákon 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím ZZOÚ, kromě jiného změnil zákon o svobodném přístupu k informacím. ÚOOÚ byla přiznána nová působnost v oblasti práva na informace. Ačkoliv původně mělo být toto rozšíření pravomocí reflektováno i v ZZOÚ, příslušná ustanovení byla v legislativním procesu vypuštěna.
ÚOOÚ je od začátku tohoto roku příslušný podle § 16b zákona o svobodném přístupu k informacím posuzovat podněty a vést přezkumná řízení o rozhodnutí nadřízeného orgánu povinného subjektu.[21] Dále je odvolacím orgánem pro povinné subjekty (a rozhoduje též v řízení o stížnostech), a to pokud nelze určit jejich nadřízený orgán podle zákona č. 500/2004, správní řád („správní řád”).[22] Rovněž poskytuje ochranu před nečinností[23] nadřízených orgánů v oblasti svobodného přístupu k informacím.[24]
Zákon o svobodném přístupu k informacím umožňuje provedení přezkumného řízení o rozhodnutí nadřízeného orgánu povinného subjektu. Například žadatel o informace, jehož žádost o rozklad byla zamítnuta, se tedy může s žádostí o přezkum rozhodnutí obrátit na ÚOOÚ.
S výše zmíněným souvisí i § 16 odst. 4 zákona o svobodném přístupu k informacím, který umožňuje nadřízenému orgánu zrušit rozhodnutí povinného subjektu, neshledá-li tento důvody pro odmítnutí žádosti. Současně tímto rozhodnutím nadřízený orgán přikáže povinnému subjektu požadovanou informaci žadateli poskytnout ve lhůtě, která nesmí být delší než 15 dnů ode dne oznámení rozhodnutí o odvolání povinnému subjektu. Proti rozhodnutí nadřízeného orgánu podle věty první se nelze odvolat. Poskytnutí informace povinným subjektem lze vykonat i exekučně. Obdobnou možnost má podle § 16b odst. 2 zákona o svobodném přístupu k informacím i ÚOOÚ.
Určení nadřízeného orgánu přichází v úvahu pouze u povinných subjektů, u kterých nelze určit nadřízený orgán.[25] Působnost ÚOOÚ tak musí být vždy posouzena na individuální bázi. Podle Výroční zprávy ÚOOÚ za rok 2019 se bude jednat zejména působnost tohoto úřadu pro o obchodní společnosti ve 100% vlastnictví státu, krajů, měst či obcí.[26]
Závěr
Během dvacetileté existence ÚOOÚ došlo k proměně a posílení jeho kompetencí. Silným impulsem bylo v tomto ohledu nabytí použitelnosti GDPR a účinnosti ZZOÚ. ÚOOÚ je ústřední správní orgán a plní roli dozorového úřadu pro veřejný i soukromý sektor. Jeho pravomoci ve veřejném sektoru jsou ale omezené, ať už vynětím některých orgánů z působnosti ÚOOÚ, nebo povinností v některých případech upustit od uložení sankce. Neméně důležitá je role ÚOOÚ v oblasti osvětové a konzultační činnosti, a to zejména ve vztahu k zástupcům odborných, profesních a průmyslových sdružení či orgánů veřejné moci. ÚOOÚ tak bezpochyby plní důležitou roli ve společnosti. Vzhledem k neustále se měnícím způsobu zpracování osobních údajů a nárůstu počtu aktérů na tomto poli je možné očekávat, že jeho společenská důležitost dále poroste.
Andrea Lančová
Jan Svoboda
Veronika Šípošová
PricewaterhouseCoopers Legal s.r.o., advokátní kancelář
PwC Legal
City Green Court
Hvězdova 1734/2c
140 00 Praha 4
Tel.: +420 251 151 111
Fax: +420 251 156 111
Svobody 91/20
602 00 Brno
Tel.: +420 542 520 111
Fax: +420 542 214 796
e-mail: info@pwc.cz
[1] Podle zákona 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích)
[2] Podle zákona 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti)
[3] Podle zákona 329/1999 Sb., o cestovních dokladech a o změně zákona 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o cestovních dokladech), zákona 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel) a zákona 159/2006 Sb., o střetu zájmů
[4] Viz § 50 ZZOÚ.
[5] Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV
[6] Viz § 63 ZZOÚ.
[7] Viz rozsudek Nejvyššího správního soudu ze dne 27. 6. 2019, 4 As 140/2019: „Nejvyšší správní soud nesouhlasí s bagatelizací vytýkaného porušení povinností správce osobních údajů stěžovatelkou. (…) Od stěžovatelky, kterou je Česká republika definovaná v ústavě jako právní stát, je nutno vyžadovat důslednou ochranu těchto osobních údajů a respektování jejích zákonných povinností.“
[9] § 54 odst. 4 ZZOÚ
[10] § 54 odst. 1 písm. e) ZZOÚ
[11] EDBP. Opinion 16/2020 on the draft decision of the competent supervisory authority of the Czech Republic regarding the approval of the requirements for accreditation of a certification body pursuant to Article 43.3 (GDPR) [online]. 2020, s. 4. K dispozici >>> zde.
[12] EDBP. Opinion 16/2020 on the draft decision of the competent supervisory authority of the Czech Republic regarding the approval of the requirements for accreditation of a certification body pursuant to Article 43.3 (GDPR) [online]. 2020, s. 7. K dispozici >>> zde.
[13] Tamtéž
[14] EDBP. Opinion 16/2020 on the draft decision of the competent supervisory authority of the Czech Republic regarding the approval of the requirements for accreditation of a certification body pursuant to Article 43.3 (GDPR) [online]. 2020, s. 8. K dispozici >>> zde.
[15] EDBP. Opinion 16/2020 on the draft decision of the competent supervisory authority of the Czech Republic regarding the approval of the requirements for accreditation of a certification body pursuant to Article 43.3 (GDPR) [online]. 2020, s. 11. K dispozici >>> zde.
[16] Z celkových 4489 podnětů se 2007 týkalo šíření obchodních sdělení podle zákona o některých službách informační společnosti, výroční zpráva. ÚOOÚ pro ochranu osobních údajů. Výroční zpráva 2019 [online]. 2020, s. 8-9. [cit. 2. 6. 2020]. K dispozici >>> zde.
[18] ÚOOÚ. Za šíření obchodních sdělení je kromě rozesílatele odpovědný i objednavatel [online]. 2020 [cit. 2. 6. 2020]. K dispozici >>> zde.
[19] Rozsudek Městského soudu v Praze ze dne 7. dubna 2020, č. j. 14 A 242/2018, bod 45. K dispozici >>> zde.
[20] ÚOOÚ. Za šíření obchodních sdělení je kromě rozesílatele odpovědný i objednavatel [online]. 2020 [cit. 2. 6. 2020]. K dispozici >>> zde.
[21] Viz § 2 zákona o svobodném přístupu k informacím: „Povinnými subjekty, které mají podle tohoto zákona povinnost poskytovat informace vztahující se k jejich působnosti, jsou státní orgány, územní samosprávné celky a jejich orgány a veřejné instituce.”
[22] § 20 odst. 5 zákona o svobodném přístupu k informacím
[23] Viz § 16b odst. 4 zákona o svobodném přístupu k informacím
[24] Opatření proti nečinnosti jsou upravena v § 80 správního řádu.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
