Ochrana osobních údajů

Ochrana práv subjektu údajů

Pokud subjekt údajů zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem (zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování) může požádat správce nebo zpracovatele o vysvětlení a/nebo požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav.

Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů. Správce je povinen bez zbytečného odkladu informovat každého, komu jsou osobní údaje zpřístupněny, o žádosti subjektu údajů a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.

Je-li žádost subjektu údajů podle předešlého odstavce shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.

Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.

Úřad pro ochranu osobních údajů (ÚOOÚ)

Úřad pro ochranu osobních údajů sídlí v Praze. Postavení a působnost Úřadu jsou stanoveny v hlavě IV zákona o ochraně osobních údajů, organizace Úřadu v Hlavě V zákona a jeho činnost v hlavě VI zákona. Úřad je nezávislým orgánem, nepodléhá žádnému ministerstvu ani jinému státnímu orgánu. Jsou mu svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném zákonem o ochraně osobních údajů. Je velmi důležitý pro zajištění nezávislosti při dozoru nad zpracováním osobních údajů. Do činnosti Úřadu lze zasahovat pouze na základě zákona. Jeho činnost je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

V čele Úřadu je předseda a sedm inspektorů. Ti jsou jmenováni a odvoláváni prezidentem republiky na návrh Senátu Parlamentu České republiky. Toto ustanovení spolu s vymezením kvalifikačních předpokladů, např. stanovením neslučitelnosti funkce předsedy či inspektora s určitými činnostmi, stanovením přesných podmínek, za nichž mohou být předseda a inspektoři odvoláni apod., slouží k zajištění nezávislosti nejen předsedy, ale celého Úřadu. Obdobně to platí také o inspektorech, jimž náleží vykonávat kontrolu nad dodržováním povinnosti v oblasti ochrany osobních údajů.

Předseda Úřadu je jmenován na dobu pěti let a může být jmenován nejvýše na dvě po sobě jdoucí období. Inspektor je jmenován na období deseti let a může být jmenován opakovaně. Inspektor vykonává a řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům (svéprávný ve smyslu NOZ), bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem (zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky) a má ukončené odborné vysokoškolské vzdělání.

S funkcí inspektora jsou neslučitelné funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor dále nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

Předseda Úřadu řídí Úřad, zastupuje Českou republiku v Poradním výboru Rady Evropy k tzv. Úmluvě č. 108 (Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat). Dále předkládá výroční zprávu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky, rozhoduje o námitce podjatosti kontrolujícího a zbavuje kontrolujícího mlčenlivosti.

Úkoly Úřadu jsou např. provádění dozoru nad dodržováním povinností stanovených zákonem při zpracování osobních údajů, vedení registru zpracování osobních údajů, přijímání podnětů a stížností občanů na porušení zákona, zpracovávání a zpřístupnění veřejnosti výroční zprávy o činnosti Úřadu, projednávání přestupků a jiných správních deliktů a udělování pokut podle zákona o ochraně osobních údajů, zajišťování plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, poskytování konzultací v oblasti ochrany osobních údajů a spolupráce s obdobnými úřady jiných států.

Ovšem prvořadým úkolem Úřadu je dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů. Dozorovou činnost a působnost spoluvytvářejí registrace zpracování osobních údajů, přijímání podnětů a stížností občanů na porušení zákona o ochraně osobních údajů, kontrolní činnost a do jisté míry také poskytování konzultací.

Anonymně má každý možnost přistupovat na webové stránky Úřadu. Identifikace návštěvníků těchto webových stránek tedy není možná. To se však netýká informací, které jsou sdělovány dobrovolně, například prostřednictvím e-mailu nebo při použití webového formuláře „Stížnost“, kde je zřejmý souhlas s jejich použitím pro příslušný účel. Žádná informace, která je poskytnuta prostřednictvím webových stránek Úřadu, není bez jeho souhlasu zpřístupněna třetí straně a Úřad ji použije pouze pro účely, pro které byly poskytnuty.

Při zpracování osobních údajů Úřad dbá na dodržování nejpřísnějších norem zabezpečení a důvěrnosti zaručující soulad se zákonem o ochraně osobních údajů. Úřad plně respektuje právo na soukromí a neshromažďuje žádné osobní údaje, pokud k tomu nebyl dán prokazatelný souhlas.

Kontrolní činnost

Kontrolní činnost provádějí inspektoři a další pověření zaměstnanci Úřadu a je do ní zapojen i předseda Úřadu. Kontrolovanými mohou být ústřední orgány státní správy, jiné veřejnoprávní subjekty, banky, dopravní podniky provozující hromadnou městskou dopravu, veřejné knihovny, obce, podnikatelské subjekty s různým oborovým zaměřením i společenské organizace. Kontrolující jsou ze zákona vybavení řadou standardních oprávnění. Některá jsou shodná s oprávněním dozorových orgánů podle jiných zákonů, některá jsou specifická pro ochranu osobních údajů.

Při provádění kontroly jsou kontrolující oprávněni vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, pokud to souvisí s předmětem kontroly. Do obydlí mohou vstupovat pouze v případě, že slouží také k provozování podnikatelské činnosti.

Kontrolující mohou dále požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat, pokud to souvisí s předmětem kontroly. Mohou také provádět vlastní dokumentaci, seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním právním předpisem, a dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti.

Dále mohou požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech, zajišťovat v odůvodněných případech doklady, jejich převzetí ovšem musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů, pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného, požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků, používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

K jejich povinnostem naproti tomu patří: prokázat se kontrolovanému průkazem kontrolora, oznámit kontrolovanému zahájení kontroly, šetřit práva a právem chráněné zájmy kontrolovaných, předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí, řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití, pořizovat o výsledcích kontroly kontrolní protokol, zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností.

Povinností kontrolních pracovníků je zjistit při kontrole skutečný stav věci. Kontrolní zjištění jsou kontrolní pracovníci povinni prokázat doklady. Inspektoři i další kontrolující mají samozřejmě také oznamovací povinnost podle zvláštních zákonů. Pokud by kontrolující nesplnil oznamovací povinnost, dopustí se trestného činu neoznámení trestného činu podle § 368 nebo nepřekažení trestného činu podle § 367 trestního zákoníku.

Kontrolující disponuje také oprávněním podat podnět podle § 25 zákona o státní kontrole. Pokud v souvislosti s výkonem kontroly zjistí potřebu změnit, popřípadě zrušit platné právní předpisy, učiní k tomu podnět u příslušných státních orgánů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Z účasti na kontrole vylučuje kontrolujícího podjatost.

Průkaz kontrolora vystavuje Úřad pro ochranu osobních údajů a vzor průkazu je upřesněn nařízením vlády č. 277/2011 ze dne 31. srpna 2011. V současné době je průkaz opatřen fotografií a jménem a funkcí kontrolujícího, státním znakem a názvem Úřadu. Obsahuje také číslo průkazu a datum jeho vydání. Předložení průkazu je postačující formalitou k tomu, aby zahájil inspektor kontrolu a vyžadoval součinnost tak, jak ji zakotvuje zákon o ochraně osobních údajů a zákon o státní kontrole. U ostatních kontrolujících Úřad vyžaduje ještě písemné pověření k dané kontrole. Zahájení kontroly oznamuje kontrolující buď na místě, tj. při vstupu do objektu kontrolovaného, nebo předem dopisem.

Formální charakter má povinnost pořizovat o výsledcích kontroly kontrolní protokol, který obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označením ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě, a stanovením lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá.

Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo seznámení potvrdit, vyznačí se to v kontrolním protokolu.

Zjistí-li kontrolující, že došlo k porušení povinností uložených zákonem, uloží podle ustanovení § 40 odst. 1 zákona o ochraně osobních údajů inspektor (nikoli tedy jiný zaměstnanec), jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění. Jejich konkrétní podoba musí odpovídat druhu porušené povinnosti. Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních. Opatření k nápravě jsou nástrojem k dosahování účelu kontrolní činnosti, stejně jako sankce.

V této souvislosti je nutno zdůraznit, že okruh opatření k nápravě není omezen na ta opatření, která dává zákon subjektu údajů vůči správcům a zpracovatelům, jejich zaměstnancům a jiným subjektům. Také jejich podstata je jiná: jedná se totiž o veřejnoprávní mocenský akt, zatímco zmíněná opatření subjektů údajů náleží do oblasti soukromoprávní. Inspektor tedy může uložit správci a zpracovateli, jako nápravné opatření, aby zlikvidoval osobní údaje, provedl opravu údajů, ale také, aby zajistil bezpečnost osobních údajů, aby údaje anonymizoval, přesně vymezil účel zpracování, přestal je předávat do zahraničí atd.

Stejným zákonem je definována likvidace, a to jako fyzické zničení nosiče osobních údajů, fyzické vymazání osobních údajů nebo jejich trvalého vyloučení z dalších zpracování. Při uložení likvidace jsou osobní údaje do jejího provedení blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy v této věci lze podat žalobu podle předpisů o správním soudnictví.

Do doby, než bude soudem rozhodnuto, jsou údaje opět blokovány. Naproti tomu nepřichází v úvahu možnost uložení omluvy či jiného zadostiučinění nebo zaplacení peněžité úhrady za poškození cti a dobrého jména, takové nároky by musel subjekt údajů vymáhat soudní cestou. Pochopitelně i v tomto případě musí být údaje blokovány.

Dodržování povinností při zpracování osobních údajů je zajišťováno též stanovením správních sankcí. Tím je i naplněn požadavek, aby byla zajištěna rychlá a efektivní ochrana osobních údajů.

Zákon ukládá každému, aby poskytl kontrolujícím potřebnou součinnost. Tato povinnost se tedy týká nejen správců či zpracovatelů a jejich zaměstnanců, ale i všech ostatních osob. Tím se má zabránit tomu, aby např. správce neodeslal osobní údaje, které zpracovává, v průběhu kontroly třetí osobě, a tím ji zmařil. Tomuto tématu náleží následující kapitola.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.




• Oblasti podnikání: Právo, právní služby | Služby