Rozhovor s Jiřím Žůrkem, pověřeným řízením odboru dozoru ÚOOÚ

Jak byste laikovi ve stručnosti vysvětlil, co to je kontrolní plán?

Kontrolní plán je předem připravený seznam kontrol vymezených oblastí či subjektů, které kontrolní orgán hodlá v daném roce uskutečnit. Vypracovává se každoročně k začátku roku na základě kontrolního řádu. Účelem plánu je tedy stanovit předem dané oblasti, na které se kontroly zaměří, či subjekty, u nichž se kontroly provedou, přičemž primárním cílem kontrol je reflektovat a částečně i předvídat aktuální problematické oblasti zpracování údajů.

Velká část kontrol prováděných ÚOOÚ se ale iniciuje na základě stížností či podnětů. V takovém případě jde o incidenční kontroly. Rozdíl mezi kontrolou na základě kontrolního plánu a incidenční kontrolou je v tom, že první zmíněná kontrola je zpravidla hlubší (kontrolující se zaměřují na širší okruh plněných povinností), zatímco u incidenčních kontrol se kontrolující zaměřují na soulad zpracování oproti meritu stížnosti či podnětu. Pro úplnost ještě dodám, že kontrola může být iniciována i ad hoc v případě, kdy takový krok odůvodňují například informace z médií.

Podle čeho byly vybírány subjekty a druhy zpracování osobních údajů, které se podle plánu stanou předmětem kontroly v roce 2020?

Při přípravě kontrolního plánu se bere v úvahu rozvoj a využívání nových technologií, aktuální poznatky ze stížností a podnětové agendy a vývoj ve zpracování osobních údajů ve veřejném a soukromém sektoru. Právě tyto aspekty byly podkladem pro vytvoření kontrolního plánu Úřadu pro rok 2020. Jeho shrnutí lze nalézt na stránkách ÚOOÚ.

Kontrola může proběhnout i u subjektů, které nejsou v kontrolním plánu

Mohou si subjekty, které se na kontrolním plánu nenašly, oddechnout a kontroly se v tomto roce nemusí bát?

To rozhodně nikoli. Vzhledem k tomu, co již bylo řečeno, může být kontrola zahájena i na základě podnětu či stížnosti nebo i poznatků z médií a podobně. Kontrolní plán může být navíc v reakci na aktuální dění i doplněn. Správce či zpracovatel by měl pokud možno vždy jednat tak, jako by kontrolu očekával, tedy být připraven při kontrole obstát. Ostatně samo GDPR konstatuje, že správce odpovídá za dodržení základních zásad zpracování, respektive za přijetí vhodných technicko-organizačních opatření, a musí zajistit a být schopen doložit, že zpracování je prováděno v souladu s tímto nařízením (projev zásady odpovědnosti). Ostatně tím, že bude řádně plnit povinnosti vyplývající z GDPR, správce výrazně minimalizuje možnost, že by někdo pojal za nutné si na něj stěžovat. V některých případech si za kontrolu či správní řízení mohou správci i sami právě tím, že například vůbec nereagují na důvodnou žádost subjektu údajů či dokonce, pokud již Úřad takový případ řeší, nezareagují na jeho výzvu k vysvětlení.

Jak taková kontrola probíhá? Jedná se spíše o „papírovou záležitost“, kdy Úřad zajímá, zda má subjekt veškerou potřebnou dokumentaci, nebo se přímo na místě zjišťuje, jak skutečně subjekt s osobními údaji nakládá?

Kontrola se procesně řídí zákonem č. 255/2012 Sb., o kontrole (kontrolní řád). Tento zákon upravuje postup kontrolního orgánu vůči kontrolované osobě a zároveň oběma přiznává práva i stanovuje povinnosti. Povinnosti vztahující se ke zpracování osobních údajů není často v rámci kontroly potřebné ověřovat na místě. Kontroly se tak mohou vést korespondenčně, ověřují se zjištěné okolnosti, a to i na základě vyjádření kontrolované osoby, a porovnávají se s ideálním stavem, tedy stavem, který má být podle GDPR, respektive podle zákona č. 110/2019 Sb., o zpracování osobních údajů. Zpravidla půjde o kontrolu výkonu práv subjektu údajů (plnění informační povinnosti, přístupu k osobním údajům) či právního důvodu zpracování – tyto kontroly lze zpravidla provést bez fyzické přítomnosti kontrolujících u kontrolovaného. To ale nemusí být pravidlem a i kontrola plnění těchto povinností si může vyžádat osobní přítomnost kontrolujících u správce. Jsou ale samozřejmě i kontroly, které s ohledem na svůj předmět vyžadují osobní přítomnost kontrolujících, typicky pokud jde o kontrolu zabezpečení osobních údajů v určitém informačním systému.

Na co se ÚOOÚ při kontrolách nejvíce zaměřuje?

Každá příprava kontroly musí obsahovat i podrobné vymezení předmětu kontroly a tomu předchází analýza věci, v rámci které se určuje i potřebný rozsah kontrolovaných povinností. Přesné vymezení kontroly je obsaženo v pověření ke kontrole, jež podepisuje předsedkyně Úřadu a které obdrží každý kontrolovaný při zahájení kontroly. Pověření ke kontrole stanovuje, na co se Úřad v rámci ověřování souladu prováděného zpracování osobních údajů v rámci kontroly primárně zaměří. Rozsah kontroly je dán i tím, zda-li jde o kontrolu z plánu kontrol, či incidenční kontrolu.

Pokud bych měl odpovědět na otázku, jaké plnění povinností úřad nejčastěji kontroluje, je to samozřejmě: řádný právní důvod ke zpracování osobních údajů, minimalizace, účelové omezení či omezení uložení, přijetí technicko-organizačních opatření, zabezpečení a také plnění práv subjektu údajů od plnění informační povinnosti, přístupu subjektu údajů po aplikaci práva na výmaz.

Jaká oprávnění mají kontroloři?

Práva kontrolujících jsou stanovena v zákoně o kontrole. Úřad v rámci svých kontrol využívá zejména možnost vstupovat do prostor, jež kontrolovaná osoba vlastní nebo užívá anebo jinak přímo souvisejí s výkonem a předmětem kontroly. Dále využívá oprávnění požadovat poskytnutí údajů, dokumentů a věcí vztahujících se k předmětu kontroly nebo k činnosti kontrolované osoby. Využívá se i možnost pořizovat obrazové nebo zvukové záznamy. Rád bych zde ale zmínil, že kontrolující mají i povinnosti, a to opět dané zákonem o kontrole. Byť je při kontrole využíváno oprávnění vyplývající z veřejné moci, není absolutní a nejde o jednostranný vztah.

S jakým přijetím se kontroloři u kontrolovaných subjektů setkávají?

Velká část kontrolovaných subjektů poskytuje požadovanou součinnost a spolupracuje, přijetí bývají vesměs korektní. Chyby, které se v průběhu kontroly naleznou, se snaží ihned odstranit. Najdou se však i tací, kteří od počátku součinnost setrvale neposkytují, a v takovém případě se musí přikročit k udělení pořádkové pokuty. V důsledku toho, že kontroly Úřadu jsou z velké části korespondenční, se však kontroloři nesetkávají s fyzickými napadeními. Někteří kontrolovaní se nicméně uchylují ke slovním nadávkám a tyto nadávky se neštítí publikovat veřejně na internetu.

Kontroloři se sice nesetkávají s fyzickými útoky, ale nadávky zveřejňované na internetu jsou časté

Je v budoucnu potřeba počítat s vyšším množstvím kontrolních akcí ze strany ÚOOÚ a s vyššími pokutami?

Cílem Úřadu je bezproblémové fungování GDPR v České republice a přijetí GDPR veřejností. Jeho prvotní rolí tak bylo osvětlovat veřejnosti aspekty, respektive pravidla GDPR. První měsíce po účinnosti GDPR byla role dozoru upozaděna (mimo jiné z důvodu chybějící adaptační legislativy). V porovnání s obdobím po účinnosti GDPR samozřejmě dojde ke zvýšení počtu kontrol či udílených sankcí, a to i co do jejich výše. Vyšší pokuty oproti minulosti budou zejména na místě tam, kde dochází k úmyslnému hrubému porušování GDPR.

Jaký je váš názor na to, že veřejným subjektům nelze za porušení GDPR udělit pokutu? Může být pouhé napomenutí účinné?

Osobně vnímám absenci pokut pro orgány veřejné moci a veřejné subjekty jako určitý test právního uvědomění české společnosti, jelikož v našem prostředí je pokuta tradičně vnímána jako silný donucující prostředek. Je nutno i říci, že akceptace právní normy společností roste na základě toho, jak společnost potřebnost dané normy vnímá. Někdo argumentuje ve prospěch absence pokut tím, že GDPR umožňuje členským státům vyjmout z pokutování orgány veřejné moci a veřejné subjekty. K tomu je ale nutné dodat, že tato pasáž byla do GDPR přidána z důvodu, že právní řády některých členských zemí EU neumožňují tyto subjekty pokutovat, nicméně historicky již mají ve svém právním řádu vůči těmto vyňatým subjektům vyřešen postup dozorového úřadu, který může například dát podnět k soudu. Nadto v České republice vůbec neproběhla v rámci legislativního procesu debata o bližším vymezení zejména pojmu veřejného subjektu, což vnímám jako velký problém pro právní jistotu. A jelikož i napomenutí je trest, nelze ani to udělit. Ale to neznamená, že nejde tyto subjekty kontrolovat a eventuálně při konstatovaném porušení vést správní řízení. Jen se na jeho konci v rámci rozhodnutí upustí od potrestání, jak požaduje litera zákona.

Spolupracuje ÚOOÚ s jinými evropskými dozorovými orgány? Jak taková spolupráce probíhá a lze předpokládat, že ÚOOÚ převezme například německou metodiku na určování výše pokuty?

Jednou z výrazných změn, kterou GDPR přineslo, je větší sjednocení pravidel ochrany osobních údajů při jejich zpracování v Evropské unii. Byť stále pro členské státy existuje možnost se v některých případech odchýlit, už nedochází k transpozici nařízení, jak to bylo nutné u směrnice 95/46/ ES, kdy vznikaly čím dál větší odchylky v jednotlivých transpozičních úpravách členských států. Zároveň si musíme uvědomit, že zpracování osobních údajů probíhá v mnoha případech napříč různými zeměmi a o účelu zpracování je v rámci EU rozhodováno z jednoho sídla v jedné členské zemi. Představme si například český e-shop, který působí z České republiky a dodává i do okolních zemí. Je na místě, aby aspekty zpracování, které přesahují z České republiky do zahraničí, řešil český Úřad, jelikožje k tomu místně příslušný. Kvůli tomu (a samozřejmě i pro některé jiné další způsoby přeshraničního zpracování) obsahuje GDPR zvláštní část týkající se vzájemné spolupráce a pomoci. Cílem je efektivněji řešit právě ty případy, kdy v důsledku přeshraničního zpracování je zainteresováno více dozorových úřadů, a nastavit mechanismy, aby se věcí vážně zabýval pouze jeden z nich a zároveň věc vyřešil vůči všem.

Vzájemná spolupráce dozorových úřadů má v GDPR stanovena přesná procesní pravidla. Prakticky se přeshraniční spolupráce děje předáváním podnětů, výměnou zjištěných informací, připomínkováním návrhů i oponováním (například rozhodnutí v dané věci), a to prostřednictvím Systému pro výměnu informací o vnitřním trhu (tzv. „IMI“). Co se týče přebírání metodik, jsem toho názoru, že každá země má svá specifika a nelze bez dalšího přebírat metodiky, které byly vypracovány na podmínky jiné země.

Může projekt Chytrá karanténa, na kterou se spoléhá jako na účinnou zbraň v boji s koronavirem, podle vás představovat riziko z hlediska zpracování a zabezpečení osobních údajů?

Zde bych parafrázoval známé rčení, a to, že moderní technologie mohou být dobrým sluhou, ale i zlým pánem. Riziko při jejich užití existuje vždy. A proto je nutné se s tímto rizikem adekvátně vypořádat jak v rámci samotného nastavení chytré karantény, které by mělo být od počátku v souladu se zásadami „privacy by desing“ a „privacy by default“, což i znamená, že by od počátku koncipování takového projektu měl být zainteresován i odborník na ochranu soukromí, resp. osobních údajů, tak i vůči veřejnosti, kterou je nutné transparentně informovat o aspektech chytré karantény, včetně toho, kdo všechno je do procesu zapojen a v jaké roli vystupuje. Zároveň před spuštěním chytré karantény musí být vůči veřejnosti předem deklarovány a zajištěny záruky, že jde pouze o časově omezené opatření po dobu trvání pandemie.      

Z dotazů našich čtenářů:

V čem se podle vás stále nejvíce chybuje?

Medializace ochrany osobních údajů v souvislosti s účinností GDPR jednoznačně přinesla vyšší uvědomění správců i veřejnosti, že v současné době je aktualizace legislativního rámce zpracování osobních údajů nezbytná. Chybují tak zejména ti, kteří ochranu osobních údajů nadále podceňují (typicky výkon práv subjektu údajů) nebo ji záměrně ignorují například tím, že zastávají z mého pohledu archaický názor, že jednou zveřejněné osobní údaje ztrácejí jakoukoli ochranu a lze s nimi dle libosti do nekonečna nakládat, například je zveřejňovat a podobně.

Plánuje ÚOOÚ připravit oficiální metodiku pro školy i obce na základě zkušeností z dozorové činnosti?

ÚOOÚ je dozorový, nikoliv regulační úřad, ač je za něj někdy mylně považován. Hlavním úkolem dozorového úřadu je monitorovat a vymáhat uplatňování GDPR a dalších zvláštních předpisů. Úkolem jednotlivých resortů je, aby případně připravily metodiky pro svoji oblast, přičemž ÚOOÚ bude vždy připraven podat pomocnou ruku při její přípravě ve formě posouzení. V nedávné době se kolegové z úřadu významně obsahově podíleli na příručce Správa osobních údajů v praxi obcí a měst, kterou publikoval Svaz měst a obcí.

Jde v souvislosti s aktuální hrozbou koronaviru počítat s tím, že pravidla zpracování, respektive předávání osobních údajů budou méně striktní, když je zdraví nejpřednější?

Současná situace nemůže představovat rezignaci na ochranu osobních údajů při jejich zpracování, potažmo rezignaci na ochranu soukromí. S mimořádnými situacemi, jakými jsou u nás také například povodně nebo události v jiných částech světa, jimiž jsou dotčeni občané ČR, GDPR počítá. Tento předpis se ovšem použije současně s dalšími předpisy, které jsou na rozdíl od GDPR výlučně národní. Obecně nelze připustit, aby přehnaná či formalistická pojetí pravidel ochrany osobních údajů byla na překážku úspěšnému zvládnutí současné pandemie. Poslední vyjádření úřadu k současné pandemii koronaviru proto zdůrazňují rychlá, účinná a časově omezená opatření.

JUDr. Jiří Žůrek

Vystudoval Právnickou fakultu Univerzity Karlovy v Praze. Od května 2010 působí na Úřadu pro ochranu osobních údajů v odboru konzultačních agend, od června 2013 je jeho ředitelem. V říjnu 2019 byl pověřen řízením odboru dozoru. V rámci své činnosti se zabývá stížnostní a konzultační agendou. Je držitelem certifikátu CIPP/E Mezinárodní asociace profesionálů v oblasti ochrany soukromí.

Napsat komentář