Ochrana osobních údajů - kontrolní činnost 

Závěr dokumentu "Ochrana osobních údajů", který přináší základní informace k problematice ochrany osobních dat při jejich zpracování.

zpět na Obsah dokumentu

Kontrolní činnost

Kontrolní činnost provádějí inspektoři a další pověření zaměstnanci Úřadu a je do ní zapojen i předseda Úřadu. Kontrolovanými mohou být ústřední orgány státní správy, jiné veřejnoprávní subjekty, banky, dopravní podniky provozující hromadnou městskou dopravu, veřejné knihovny, obce, podnikatelské subjekty s různým oborovým zaměřením i společenské organizace. Kontrolující jsou ze zákona vybavení řadou standardních oprávnění. Některá jsou shodná s oprávněním dozorových orgánů podle jiných zákonů, některá jsou specifická pro ochranu osobních údajů.

Při provádění kontroly jsou kontrolující oprávněni vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, pokud to souvisí s předmětem kontroly. Do obydlí mohou vstupovat pouze v případě, že slouží také k provozování podnikatelské činnosti.

Dále mohou požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat, pokud to souvisí s předmětem kontroly. Mohou také provádět vlastní dokumentaci, seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním právním předpisem, a dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti.

Dále mohou požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech, zajišťovat v odůvodněných případech doklady, jejich převzetí ovšem musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů, pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného, požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků, používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

K jejich povinnostem naproti tomu patří: prokázat se kontrolovanému průkazem kontrolora, oznámit kontrolovanému zahájení kontroly, šetřit práva a právem chráněné zájmy kontrolovaných, předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí, řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití, pořizovat o výsledcích kontroly kontrolní protokol, zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností.

Povinností kontrolních pracovníků je zjistit při kontrole skutečný stav věci. Kontrolní zjištění jsou kontrolní pracovníci povinni prokázat doklady. Inspektoři i další kontrolující mají samozřejmě také oznamovací povinnost podle zvláštních zákonů. Pokud by kontrolující nesplnil oznamovací povinnost, dopustí se trestného činu neoznámení trestného činu podle § 168 nebo nepřekažení trestného činu podle § 167 trestního zákona.

Kontrolující disponuje také oprávněním podat podnět podle § 25 zákona o státní kontrole. Pokud v souvislosti s výkonem kontroly zjistí potřebu změnit, popřípadě zrušit platné právní předpisy, učiní k tomu podnět u příslušných státních orgánů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Z účasti na kontrole vylučuje kontrolujícího podjatost. Průkaz kontrolora vystavuje Úřad pro ochranu osobních údajů a vzor průkazu je upřesněn nařízením vlády č. 8/2005 ze dne 15. prosince 2004. V současné době je průkaz opatřen fotografií a jménem a funkcí kontrolujícího, státním znakem, názvem a adresou Úřadu. Obsahuje také číslo průkazu a datum jeho vydání. Předložení průkazu je postačující formalitou k tomu, aby zahájil inspektor kontrolu a vyžadoval součinnost tak, jak ji zakotvuje zákon o ochraně osobních údajů a zákon o státní kontrole. U ostatních kontrolujících Úřad vyžaduje ještě písemné pověření k dané kontrole. Zahájení kontroly oznamuje kontrolující buď na místě, tj. při vstupu do objektu kontrolovaného, nebo předem dopisem.

Formální charakter má povinnost pořizovat o výsledcích kontroly kontrolní protokol, který obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označením ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě, a stanovením lhůt, do kdy je třeba je učinit. Uvádí se označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo seznámení potvrdit, vyznačí se to v kontrolním protokolu.

Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží podle ustanovení § 40 odst. 1 zákona o ochraně osobních údajů inspektor (nikoli tedy jiný zaměstnanec), jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění. Jejich konkrétní podoba musí odpovídat druhu porušené povinnosti. Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních. Opatření k nápravě jsou nástrojem k dosahování účelu kontrolní činnosti, stejně jako sankce.

V této souvislosti je nutno zdůraznit, že okruh opatření k nápravě není omezen na ta opatření, která dává zákon subjektu údajů vůči správcům a zpracovatelům, jejich zaměstnancům a jiným subjektům. Také jejich podstata je jiná: jedná se totiž o veřejnoprávní mocenský akt, zatímco zmíněná opatření subjektů údajů náleží do oblasti soukromoprávní. Inspektor tedy může uložit správci a zpracovateli, jako nápravné opatření, aby zlikvidoval osobní údaje, provedl opravu údajů, ale také, aby zajistil bezpečnost osobních údajů, aby údaje anonymizoval, přesně vymezil účel zpracování, přestal je předávat do zahraničí atd.

Stejným zákonem je definována likvidace, a to jako fyzické zničení nosiče osobních údajů, fyzické vymazání osobních údajů nebo jejich trvalého vyloučení z dalších zpracování. Při uložení likvidace jsou osobní údaje do jejího provedení blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby než bude o námitce rozhodnuto, musí být osobní údaje rovněž blokovány. Proti rozhodnutí předsedy v této věci lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje opět blokovány. Naproti tomu nepřichází v úvahu možnost uložení omluvy či jiného zadostiučinění nebo zaplacení peněžité úhrady za poškození cti a dobrého jména, takové nároky by musel subjekt údajů vymáhat soudní cestou. Pochopitelně i v tomto případě musí být údaje blokovány.

Dodržování povinností při zpracování osobních údajů je zajišťováno též stanovením správních sankcí. Tím je i naplněn požadavek, aby byla zajištěna rychlá a efektivní ochrana osobních údajů.

Zákon ukládá každému, aby poskytl kontrolujícím potřebnou součinnost. Tato povinnost se tedy týká nejen správců či zpracovatelů a jejich zaměstnanců, ale i všech ostatních osob. Tím se má zabránit tomu, aby např. správce neodeslal osobní údaje, které zpracovává, v průběhu kontroly třetí osobě, a tím ji zmařil. Tomuto tématu náleží následující kapitola.

zpět na Obsah dokumentu

Zneužití osobních údajů

Jako generální interpretační klauzule platí, že každý správce a zpracovatel musí při zpracování osobních údajů dbát, aby subjekt údajů neutrpěl újmu na svých právech. Jedná se především o právo na zachování lidské důstojnosti a na ochranu před neoprávněným zasahováním do soukromého a osobního života. Podle tohoto ustanovení je třeba se řídit při každém zpracování osobních údajů a v tomto duchu je nutno vykládat veškerá ustanovení zákona. Porušení stanovených povinností může mít za následek uložení pokuty Úřadem pro ochranu osobních údajů.

Odpovědnost správců a zpracovatelů je postavena na tzv. objektivním principu s možností liberace. To znamená, že se u nich nezkoumá, zda k porušení povinností došlo jejich zaviněním, postačuje fakt, že v důsledku jejich činnosti (resp. činnosti jejich zaměstnanců) byl porušen zákon. Odpovědnosti se ovšem mohou zprostit, jestliže prokáží, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které od nich lze požadovat. Pokud by například došlo v souvislosti s teroristickým útokem k odcizení osobních údajů a jejich následnému zneužití, nebude možno vyvodit vůči správci či zpracovateli odpovědnost. Jestliže však nezajistí banka databázi klientů proti jejich odcizení vlastními zaměstnanci, bude za to odpovědná. I když se správci a zpracovateli podaří odpovědnosti zprostit, má subjekt údajů právo dožadovat se, aby se zdrželi závadného jednání, odstranili závadný stav a provedli opravu, doplnění, blokování nebo likvidaci údajů. Jinak by totiž fakticky trval závadný stav a byla by porušována práva subjektu údajů.

V § 180 trestního zákoníku č. 40/2009 Sb., ve znění pozdějších předpisů, je vymezena skutková podstata trestného činu neoprávněného nakládání s osobními údaji. Trestného činu se dopustí ten, kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v souvislosti s výkonem veřejné moci a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Stejného trestného činu se dopustí i ten, kdo byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní , sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Objektem tohoto trestného činu je zájem státu resp. společnosti na dodržování zákonem stanovené povinnosti mlčenlivosti. Objektivní stránku naplňuje jednání spočívající v současném splnění několika výše uvedených podmínek.

Porušení, nedodržení nebo případné zneužití osobních údajů s sebou nese patřičné sankce a tím je dle zákona pokuta. Sankce jsou vymezené přiměřeně vzhledem k neoprávněnosti úkonu a výše pokut správcům či zpracovatelům, je ukládána Úřadem. Úřad také projednává porušení povinností. Při vymáhání pokut pomáhá Úřadu finanční orgán a vybrané pokuty jsou příjmem státního rozpočtu. Přestupky projednává Úřad podle zákona č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.

Osoba, která neposkytne kontrolním osobám při výkonu jejich práce potřebnou součinnost, může být pokutována pořádkovou pokutou do výše 25 000,- Kč. Tato pokuta může být uložena i opakovaně.

V Hlavě VII. zákona o ochraně osobních údajů jsou upraveny sankce. Zákon rozlišuje sankce za přestupky a jiné správní delikty.

Za přestupek se např. ve smyslu § 44 odst. 1 považuje porušení povinnosti mlčenlivosti u osoby, která je ke správci nebo zpracovateli osobních údajů v pracovním či obdobném poměru, nebo která přichází do styku s osobními údaji správce či zpracovatele. Výše pokuty v tomto případě může činit až 100 000,- Kč.

Další přestupky jsou specifikovány v § 44 odst. 2 a 3. Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů např. nestanoví účel, prostředky nebo způsob zpracování nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, zpracovává nepřesné osobní údaje, shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu, uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování, zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem, odmítne subjektu údajů poskytnout požadované informace, nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů, nesplní oznamovací povinnost podle tohoto zákona.

Přestupkem je podle § 44a rovněž zveřejnění osobních údajů i přes zákaz stanovený zvláštním právním předpisem. Zákon zde má na mysli zejména ustanovení zákona č. 141/1961 Sb., trestního řádu ve znění novely - tzv. „náhubkového zákona". Trestní řád zakazuje zveřejnění:

• informace umožňující zjištění totožnosti poškozeného, který je buď mladší 18 let, nebo vůči němuž byl spláchán některý z vyjmenovaných trestných činů (trestné činy proti životu a zdraví, svobodě a lidské důstojnosti, proti rodině a mládeži, trestný čin kuplířství a šíření pornografie),
• jakéhokoliv záznamu z průběhu hlavního líčení nebo veřejného zasedání soudu, pokud by umožnily zjištění totožnosti dle předchozího odstavce,
• pravomocného rozsudku s údaji umožňujícími identifikaci (tedy takové údaje je třeba při případném zveřejnění začernit),
• informací o nařízení či provedení odposlechu a záznamu telekomunikačního provozu stejně jako informací z odposlechu získaných.

Za přestupek podle § 44a zákona lze udělit pokutu až do 1 000 000 Kč. Pokud byl takový přestupek spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, lze uložit pokutu až do 5 000 000 Kč.

Správního deliktu se právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů jako správce nebo zpracovatel dopustí tím, že při zpracování osobních údajů nestanoví účel, prostředky nebo způsob zpracování, nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, zpracovává nepřesné osobní údaje, shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování, zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem, odmítne subjektu údajů poskytnout požadované informace, nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů, nesplní oznamovací povinnost podle tohoto zákona.

Správním deliktem je podle § 45a rovněž zveřejnění osobních údajů i přes zákaz stanovený zvláštním právním předpisem. Zákon zde má na mysli zejména ustanovení zákona č. 141/1961 Sb., trestního řádu ve znění novely - tzv. „náhubkového zákona". Trestní řád zakazuje zveřejnění:

• informace umožňující zjištění totožnosti poškozeného, který je buď mladší 18 let, nebo vůči němuž byl spláchán některý z vyjmenovaných trestných činů (trestné činy proti životu a zdraví, svobodě a lidské důstojnosti, proti rodině a mládeži, trestný čin kuplířství a šíření pornografie),
• jakéhokoliv záznamu z průběhu hlavního líčení nebo veřejného zasedání soudu, pokud by umožnily zjištění totožnosti dle předchozího odstavce,
• pravomocného rozsudku s údaji umožňujícími identifikaci (tedy takové údaje je třeba při případném zveřejnění začernit),
• informací o nařízení či provedení odposlechu a záznamu telekomunikačního provozu stejně jako informací z odposlechu získaných.

Za správní delikt podle § 45a zákona lze udělit pokutu až do 1 000 000 Kč. Pokud byl takový správní delikt spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, lze uložit pokutu až do 5 000 000 Kč.

Úřad přihlíží při rozhodování o výši pokuty zejména k povaze, závažnosti, způsobu jednání, míry zavinění, doby trvání a následků protiprávního jednání. Pokutu lze uložit do 1 roku ode dne, kdy příslušný orgán porušení zjistil, nejdéle však do 3 let ode dne, kdy k porušení povinnosti došlo.

zpět na Obsah dokumentu

Předávání osobních údajů do jiných států

Zvláštní ustanovení je věnováno předávání osobních údajů do jiných států (§ 27 zákona). Do jiných států lze tyto údaje předávat za podmínky, že jejich právní úprava odpovídá požadavkům stanoveným v tomto zákoně.

Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.

Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů nevyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.

Pokud nejsou osobní údaje předávány do členského státu Evropské unie nebo z mezinárodní smlouvy nevyplývá zákaz omezování volného pohybu osobních údajů, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že:

1. předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů,
2. v třetí zemi, kde mají být osobní údaje zpracovány, jsou vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu,
3. jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem,
4. předání je nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,
5. předání je nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů,
6. předání je nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo
7. předání je nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotní péče.

Před předáním osobních údajů do třetích zemí podle předchozích bodů je správce povinen požádat Úřad o povolení k předání.

Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.

Doporučení zpracovatelům osobních údajů

• Hlavní úprava ochrany osobních údajů je obsažena zejména v zákoně č. 101/2000 Sb. o ochraně osobních údajů v platném znění.
• Úřad pro ochranu osobních údajů je nezbytné před započetím zpracování osobních údajů o této skutečnosti informovat
• Doporučujeme získat písemný souhlas od subjektu údajů v případě zpracování osobních údajů.

Pro základní informace k problematice zacházení s osobními údaji a jejich ochraně se obracejte na adresu:

Úřad pro ochranu osobních údajů
Pplk. Sochora 27
170 00 Praha 7
internet: http://www.uoou.cz/

Vzory oznámení a stížností

• Oznámení o zpracování osobních údajů
• Oznámení o zpracování (změně zpracování) osobních údajů podle § 16 zákona č. 101/2000 Sb. (elektronická verze oznámení)
• Stížnost ve věci zpracování osobních údajů v národní části Schengenského informačního sytému (N.SIS) České republiky

Související zákony

Literatura

1. Hejlík, L., Matoušková, M. Osobní údaje a jejich ochrana. Knížka pro praxi. Praha, ASPI, 2003.

zpět na Obsah dokumentu

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Přehled všech témat Orientace v právních úkonech