Role Úřadu pro ochranu osobních údajů

Že osobní údaje jsou zpracovávány statisíci subjekty, je dnes již celkem známá věc. Postupem času se odstraňují i některé mýty, které zpočátku okolo ZoOU kolovaly. Dnes se již jen výjimečně setkáme s tvrzením nějakého správce osobních údajů, že určitě zpracovává osobní údaje dobře a správně, protože je zaregistrován v registru správců, který jako veřejný registr vede ÚOOÚ, a jeho zpracování je tedy povolené. Je však otázkou, zda ÚOOÚ může správci zakázat osobní údaje zpracovávat. Odpověď je relativně jednoduchá. Může. Ale jen za jistých podmínek a stanoveným postupem. Především je třeba vnímat, že podle § 16 odst. 1 ZoOU je ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit registrované zpracování podle tohoto zákona, s výjimkou zpracování uvedených v § 18, povinen tuto skutečnost písemně oznámit ÚOOÚ před zpracováváním osobních údajů. V ustanovení § 18 je stanoveno, že oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů:

Pokud by se tedy jednalo o taková zpracování, která jsou vyňata z oznamovací povinnosti, a tedy se o nich ÚOOÚ jaksi z moci úřední hned nedozví, musel by, jak ostatně z jeho pravomocí plyne, např. na základě něčího podnětu vykonat státní kontrolu a při ní by mohl např. konstatovat, že zpracovávané osobní údaje jsou sice obecně vyňaty z oznamovací povinnosti, ale že např. jsou zpracovávány i pro jiný účel, než jak zní zákonný důvod zpracování, a mohl by tedy uložit nápravné opatření spočívající v tom, že některé osobní údaje již nesmí být nadále zpracovávány, a i uložit likvidaci osobních údajů, pokud by po pravomocně ukončeném kontrolním řízení bylo takového opatření třeba. Reálně to znamená, že by skutečně mohl ÚOOÚ zpracování některých osobních údajů zakázat a to i tehdy, pokud by jejich zpracování i probíhala relativně dlouhou dobu.

Je skutečností, že samotné uložení likvidace osobních údajů, které zpracovávány být nemají, má svá specifická pravidla plynoucí přímo z právní úpravy ZoOU. Ten v § 40 stanoví, že zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění. A dále byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi ÚOOÚ. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány. Je tedy možná i soudní ochrana, ale pokud nebude správce v případném soudním řízení správním s žalobou úspěšný, reálně to znamená, že mu je opatřením uloženo, a tedy vlastně zakázáno, některé osobní údaje zpracovávat.

Poněkud jiná situace by vznikla, kdyby se mělo jednat o zpracování, které oznamovací povinnosti podléhá. Zde je v ZoOU nastaven proces, který by měl správci předem říct, že něco asi nebude správně. Totiž oznamovací povinnost znamená, že správce sdělí ÚOOÚ svůj úmysl údaje zpracovávat a k tomu doplní zákonem požadované informace. Je možné i využít registrační formulář prostřednictvím internetu. Podoba registračního formuláře především zahrnuje všechny informace důležité pro posouzení daného oznámení z hlediska rizik zamýšleného zpracování, a tudíž lépe odpovídá potřebám ÚOOÚ pro další výkon dozorové činnosti. Správcům by mělo zavedení elektronického formuláře především zjednodušit a ulehčit plnění registrační povinnosti. Jestliže oznámení o zpracování osobních údajů podané správcem posoudí ÚOOÚ jako nedostatečné a neobsahující všechny náležitosti požadované ustanovením § 16 odst. 2 ZoOU, zašle správci výzvu, v níž upozorní na chybějící nebo nedostatečné informace a stanoví lhůtu k doplnění oznámení. Jakmile správce své oznámení doplní, dnem doručení doplnění oznámení začíná běžet 30denní lhůta stanovená ÚOOÚ k tomu, aby oznámení zaregistroval.

V případě, že ÚOOÚ neobdrží doplnění oznámení ve stanovené lhůtě, nahlíží na učiněné oznámení tak, jako by nebylo podáno a registrační řízení dále nepokračuje, což současně znamená, že oznamovatel není oprávněn uvažované zpracování osobních údajů realizovat. Reálně to znamená, že je mu zamýšlené zpracování vlastně zakázáno. Stejná situace nastane, pokud bude mít ÚOOÚ všechny potřebné informace, ale z oznámení a jeho analýzy a posouzení vznikne důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení ZoOU. V takovém případě pak zahájí ÚOOÚ z vlastního podnětu řízení (§ 17 ZoOU). Jeho cílem je správním procesem zjistit (na toto řízení se vztahuje správní řád, zatím co na řízení podle § 16, tedy samotnou registraci, se správní řád nevztahuje), jaká je skutečnost. K tomu může vlastními postupy využít jakýkoliv prostředek a nástroj, který správní řád aprobuje. Zjistí-li ÚOOÚ, že oznámeným zpracováním neporušuje správce podmínky stanovené zákonem, řízení zastaví a provede zápis podle § 16 odst. 3, tedy oznámené zpracování zaregistruje, když platí, že nejdříve dnem následujícím po provedení zápisu lze zahájit zpracování osobních údajů. V případě, že oznámené zpracování nesplňuje podmínky stanovené zákonem, zpracování osobních údajů ÚOOÚ nepovolí. Tedy vlastně zakáže. Důvodů může být celá řada, ale všechny je musí ÚOOÚ ve svém rozhodnutí řádně odůvodnit. Dá se dokonce odhadnout, že budou existovat takové rizikové kombinace uvažovaných zpracování, které výše naznačený proces bezpečně vyvolají. Může se třeba jednat o zpracování citlivých osobních údajů bez rozumného důvodu, nebo se bude jednat o rozsáhlejší komplex údajů s výrazným potenciálem zásahu do soukromí apod. Vzhledem k tomu, že se jedná v tomto případě o správní řízení, má subjekt, který oznámení podal, všechna práva řádných i mimořádných opravných prostředků podle správního řádu, ale také může v průběhu řízení získat takové informace, které nakonec povedou k tomu, že případné nové oznámení, které by ÚOOÚ zaslal, bude bez problémů zaregistrováno.

Varianty registračního řízení (bez opravnách prostředků) lze znázornit takto:

Dá se tedy říci, že pokud některý z budoucích správců projde registračním procesem, má poměrně velkou jistotu, že se jeho uvažované zpracování osobních údajů zákonu (ZoOU) zjevně nepříčí, pokud samozřejmě dodrží podmínky a parametry zpracování v oznámení uvedené. Současně je však třeba vnímat, že registrace není povolení (jako opak zákazu). Neskonale větší riziko budoucího možného zákazu zpracování hrozí u těch zpracování, o nichž se správce domnívá, že podléhají výjimce z oznamovací povinnosti, zejména pak podle písm. b)³⁾ již zmíněného § 18. Zatím jen poměrně málo zákonů obsahuje výčtovým způsobem možné rozsahy zpracovávaných osobních údajů, když účel zpracování mnohdy ze zákonné úpravy plyne zřetelněji. To na jednu stranu eliminuje riziko zpracování údajů v rozporu s účelem, na druhou stranu nepřiměřený rozsah zpracovávaných je vlastně implicitně zakázán zněním § 5 odst. 1 písm. d) ZoOU⁴⁾. Jistým vodítkem pro poznání, jaké všechny právní předpisy mohou dopadnout na správce osobních údajů ať už ze sféry veřejnoprávních institucí nebo subjektů soukromého práva, jsou další ÚOOÚ. Mimo svůj, takříkajíc „základní zákon“, tedy ZoOU, vykonává tento dohledový a dozorový orgán buď dohled nad dodržováním celých specifických zákonů, nebo jen jejich některých částí. Jedná se tak o zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů. Dalšími jsou např. zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a zákon č. 40/1995 Sb., o regulaci reklamy a o změně a doplnění zákona č. 468/1991 Sb., o provozování rozhlasového a televizního vysílání, ve znění pozdějších předpisů.

Projednávání správních deliktů a přestupků v oblastech zvláštních zpracování osobních údajů stanoví zákon č. 328/1999 Sb., o občanských průkazech, ve znění pozdějších předpisů, zákon č. 329/1999 Sb. o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o cestovních dokladech), dále zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů, zákon č. 159/2006 Sb., o střetu zájmů, ve znění pozdějších předpisů, a zákon č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o azylu). Naposledy byly další svěřeny ÚOOÚ zákonem č. 111/2009 Sb., o základních registrech, v § 11 stanoví, že ÚOOÚ vytváří zdrojové identifikátory fyzických osob a agendové identifikátory fyzických osob a vede jejich seznamy a zajišťuje převod agendového identifikátoru fyzické osoby v agendě na agendový identifikátor této fyzické osoby v jiné agendě, a to na základě zákonného požadavku.⁵⁾

Dá se tedy shrnout, že ÚOOÚ může zpracování některých osobních údajů skutečně zakázat, nebo může také zakázat zpracování osobních údajů pro některé účely (např. formou uložených opatření) a může také uložit i přímou likvidaci zpracovávaných osobních údajů. Je pak téměř jisté, že pokud k některým z těchto kroků dojde, a bude se třeba navíc jednat o zjištění na základě výkonu státní kontroly, bude nejspíše výše uvedená opatření doprovázet i možná nemalá finanční pokuta.