V České republice sledujeme vysoký nárůst počtu stížností, ale zároveň pokles počtu kontrol. Úřadu pro ochranu osobních údajů (dále jen „Úřad“) přišlo od účinnosti GDPR zhruba dva tisíce stížností, což je obrovská administrativní zátěž, navíc Úřadu přibyla přeshraniční agenda, ale přitom nedošlo k žádným strukturálním změnám nebo personálnímu posílení Úřadu.
Kontroly podle GDPR jsou výrazně komplexnější než kontroly podle předcházející legislativy. Můžeme proto pozorovat jistý optický pokles dozorové činnosti. V prvním pololetí roku 2018, tedy převážně před účinností GDPR, proběhlo 53 kontrol, ve druhém pololetí roku 2018 jen 33 kontrol. Ve druhém pololetí roku 2018 nebyly uděleny žádné pokuty dle GDPR. Souvisí to se dvěma aspekty – jednak Úřad už před GDPR indikoval, že bude preferovat nápravná opatření, a jednak jsou dnes při absenci adaptačního zákona oprávněné obavy, zda Úřad má vůbec kompetenci ukládat pokuty dle GDPR.
První kontroly v jiných členských státech
Trendy jsou podobné i v jiných členských státech – zajímavé je například Nizozemsko, kde si dozorový orgán vytipoval 250 subjektů, které by chtěl kontrolovat, přitom za rok stihne 30 kontrol. Hodně se zde zdůrazňuje plán činnosti. Rumunsko zase uplatňuje retroaktivitu – tedy uplatňuje GDPR i na řízení zahájená před jeho účinností. Velmi efektivní přístup má britský regulátor, který je schopen dát slevu na ukládané pokutě, pokud se podnikatel pokutě nebudete bránit opravnými prostředky. Tento koncept je pro mě v kontinentálním správním právu nepředstavitelný, ale britský regulátor (ICO) ho nedávno aplikoval například na pokutu uloženou Facebooku za porušení soukromí související s případem Cambridge Analytica.
Pokud jde o pokuty dosud uložené dle GDPR v Evropské unii, jedna pokuta byla udělena v Rakousku. Jednalo se o pokutu za kameru, která zabírala i část veřejného prostranství; pokuta byla udělena v řádu několika tisíců eur, tedy v rozumné výši. Větší pokuty se očekávají u British Airways, kde došlo k hackerskému útoku a souvisejícímu úniku údajů, a také u Heathrow Airport, kde došlo v podstatě k banální situaci, kdy někdo našel flashku, která se zpřístupnila novinářům, a následně se řešilo, jaká opatření na ochranu osobních údajů Heathrow Airport má. Zjistilo se, že skoro žádná. Tato řízení nyní běží a mají velkou publicitu.
Jak vlastně kontrola podle GDPR probíhá?
Z 16 kontrol, které v České republice probíhají, jsme měli možnost zastupovat klienty ve dvou případech. Jedna z nich byla vůbec první kontrola dle GDPR v České republice.
Kontrola se řídí kontrolním řádem, jedná se o řízení sui generis. Správní řád se užije pouze subsidiárně.
Prvním krokem je předběžné šetření. Dozorovaný subjekt o něm zpravidla vůbec neví. Předběžné šetření může začít podnětem nebo na základě plánu činností Úřadu. Domnívám se, že většina kontrol je vyvolána podnětem nebo stížností. V rámci předběžného šetření se Úřad podívá do veřejně přístupných zdrojů, zkontroluje všechno, co může kontrolovat bez součinnosti dozorovaného subjektu, a zváží, zda zahájit kontrolu či nikoli.
Kontrola začíná tak, že dozorovaný subjekt v datové schránce objeví zprávu o zahájení kontroly, kde je po něm požadována řada dokumentů a je mu sděleno, že v horizontu zhruba dvou až šesti týdnů se k němu dostaví pracovníci Úřadu na kontrolu. Teoreticky si lze představit, že by oznámení bylo doručeno i přímo na místě, tzn. kontrolní orgán by se objevil na recepci a hned by chtěl provést kontrolu. Nevím ale o tom, že by to Úřad někdy učinil.
Následně probíhá šetření na místě, které může být v sídle správce či dozorovaného zpracovatele, ale i v dalších prostorách, například v datovém centru. Úřad má poměrně široká oprávnění – přístup na pozemky, do prostor, vyžádání si informací. Teoreticky by mohl i zabavovat nosiče dat, ale tato praxe u nás není zavedena a ve veřejné správě jí ani v následujících letech neočekávám. Je možné pořizovat záznamy.
Úřad nemá v pravomoc vyslýchat svědky. Pokud se v organizaci rozhodne, že ji v kontrole bude někdo zastupovat, pak Úřad nemá pravomoc vyžádat si hovořit s konkrétním dalším zaměstnancem.
Výsledkem kontroly je protokol o kontrole, kde dozorový orgán shrne skutkový stav. Protokol by neměl obsahovat právní hodnocení. Samozřejmě u GDPR je velmi komplikované shrnout skutkový stav bez právního hodnocení. Pokud například Úřad shledá, že chybí nějaká dokumentace, musí si předem udělat právní závěr, že by danou dokumentaci organizace měla mít. To je obecně problém postupu dle zákona o kontrole, protože protokolu se dozorovaný subjekt nemůže bránit jinak než námitkami, které ale nemají žádný řádný opravný prostředek a je potřeba čekat až na další krok, což je uložení nápravného opatření nebo pokuty, proti kterému je teprve možné se bránit. Vznikají tedy otázky, co všechno protokol může obsahovat a co vlastně přezkoumává. Proti protokolu o kontrole se lze bránit námitkami, které vypadají podobně jako opravný prostředek, až na to, že Úřad se s nimi musí pouze vypořádat, ale nevydává o nich rozhodnutí.
Dalším krokem je správní řízení, které vychází ze závěrů v protokolu o kontrole. Správní řízení může mít dvojí podobu – řízení o přestupku (uložení sankce) nebo řízení o nápravných opatřeních. Obě správní řízení jsou předmětem standardních opravných prostředků.
Jak se na kontrolu připravit
V našem případě byla určitá dokumentace vyžadována přímo v oznámení o zahájení kontroly, tu jsme pak samozřejmě připravili. K tomu i další dokumentaci, která s danou problematikou souvisela. Šli jsme se podívat do spisu, abychom zjistili, co bylo podnětem, a podle toho připravili dokumentaci.
Struktura průběhu kontroly
Tím, že máme zkušenosti i z jiných kontrol, víme, že je dobré nenechat nic náhodě. Je dobré se připravit, mít scénář kontroly, vědět, kdo se jí zúčastní, co bude říkat, zamyslet se, na co se dozorový orgán může zeptat.
Přípravu kontroly by měl organizovat někdo interní. Je potřeba zajistit součinnost celé řady kolegů, ať už HR, IT, nákupu, ale zároveň je potřeba informovat vedení, PR oddělení apod., což určitě není role, kterou by mohl dobře zastat někdo externí. Měl by tedy být určen jakýsi interní „krizový manažer“.
Externí právník Vám může dobře pomoci při samotné kontrole na místě. Tam je zásadní znát procesní práva a povinnosti, umět si představit, jaké důsledky může mít poskytnutí určitých informací, ale je také důležité umět rozpoznat procesní pochybení dozorových orgánů.
Je také dobré vyzkoušet si průběh kontroly nanečisto. Zastávám zásadu, že je-li možné se na důležitou situaci připravit, měli byste se na ní připravit a investovat do přípravy čas, například mít dostatečný počet kopií listin, mít k dispozici pracovníka, který k dané problematice může nejvíce říci a podobně. Všechny tyto okolnosti se při zkoušce nanečisto projeví a je možné je dopředu optimalizovat.
Případové studie a rady, jak lze určité situace řešit
V průběhu kontroly inspektor vyžádá osobní podání informací ze strany pracovníka, který na to není připraven.
Může se stát, že by inspektor mohl chtít hovořit například s ředitelem HR, ale ten s tím nemusí vůbec souhlasit, nemusí to ani být žádoucí. Za této situace podle nás může organizace tento požadavek ze strany inspektora odmítnout, protože si může zvolit, kdo za ni jedná. Jediný způsob, jak by Úřad mohl jednat s jinou osobou, je, že by jí ustanovil tzv. povinnou osobou. Tou je zpravidla někdo třetí, kdo v řízení poskytuje součinnost. Je to ale podle mého názoru velmi nepravděpodobné a nedovedu si představit, že by to proběhlo v průběhu samotné kontroly, neboť tato osoba by musela být předem vyzvána.
Co dělat, když si Úřad vyžádá informace, které obsahují obchodní tajemství?
Pokud se jedná čistě o obchodní tajemství, bylo by tak vedeno ve spise, přičemž poskytnutí dokumentů Úřadu není možné odmítnout. Pravděpodobně by odmítnutí bylo možné u informací, které mají nějaký stupeň utajení, neboť k nim mohou přistupovat jen ti pracovníci, kteří jsou k tomu oprávněni.
Úřad si vyžádá dokumenty a podklady, které jsou k dispozici pouze v podobě softwarového nástroje
Je možné místo poskytnutí dokumentace ukázat na místě daný softwarový nástroj. Je zde ale riziko, že si Úřad vyžádá přístupové údaje nebo vzdálený přístup, a následně se bude v průběhu přípravy protokolu do softwarového nástroje dívat a případně do něj i zasahovat. Z těchto důvodů může být lepší relevantní informace vytisknout. Každopádně se domnívám, že asi nelze přístupové údaje Úřadu odmítnout poskytnout. Je možné předat s nimi samozřejmě bezpečnostní pokyny, případně poskytnout přístup pouze s oprávněním náhledu a nikoli editaci.
V průběhu kontroly si inspektor vyžádá dokumenty nebo podklady, které se předmětu kontroly netýkají nebo nejsou zkontrolované či připravené
Dokumenty, které se netýkají předmětu kontroly organizace poskytnout nemusí. Vystavuje se ale riziku, že Úřad zahájí novou kontrolu, pokud se bude skutečně chtít dokumentů dobrat. Pokud jde o dokumenty, které nejsou připravené, doporučuji požádat o lhůtu k jejich poskytnutí. Úřad má teoreticky pravomoci některé dokumenty zabavit, tedy je zde riziko, že odmítneme-li organizace nějaký dokument vydat, může dojít k jeho zabavení. Avšak domnívám se, že v praxi to není vysoké riziko a je vhodnější požádat o poskytnutí lhůty k doplnění.
Organizace nesouhlasí se závěry kontroly, může se jim bránit?
Sama jsem řešila dvě situace – v první Úřad v průběhu kontroly indikoval, že má obavy, že nějaký konkrétní nástroj by nemusel být v souladu s GDPR. Uvažovali jsme, zda ještě ihned po skončení kontroly lze s Úřadem komunikovat, něco do spisu doložit, případně navrhnout proaktivní nápravné opatření. Nakonec jsme se rozhodli proti tomuto postupu, a to už proto, že kontrola končí šetřením na místě. Následně probíhá jen příprava kontrolního protokolu. Nedovedli jsme si tedy představit, co by to procesně vyvolalo, a zda by to dokonce neznamenalo, že by Úřad musel přijít ještě jednou a kontrolu dokončit. Přidaná hodnota, kterou jsme v takovém postupu viděli, byla menší než případná rizika.
Pokud jde o vydání protokolu o kontrole, je možné podat proti němu námitky. Uvažovali jsme v některých případech nad tím, zda podat námitky proti věcem, které v zásadě nebyly příliš zásadní, např. některá procesní pochybení. Avšak pokud protokol o kontrole klientovi jinak věcně vyhovoval, doporučovali jsme spíše námitky nepodávat. Máme ale zkušenost s jiným řízením, kde pokud s protokolem o kontrole klient věcně nesouhlasil, bylo důležité, aby námitky byly podány a dobře odůvodněny, srovnatelně jako opravný prostředek v následném správním řízení. V následném správním řízení se totiž klient bude bránit zejména proti závěrům kontroly a jen ve velmi omezeném rozsahu procesních aspektů vůči následnému správnímu řízení.
V praxi vidíme, že námitkám úřady málokdy vyhoví. Má-li dozorový orgán určité výsledky kontroly, je pro něj těžké následně závěr přehodnotit. Dozorový orgán vychází z toho, co zjistil na místě. Tedy pravděpodobnost vyhovění námitkám je velmi malá, jsou nicméně užitečné v následném správním řízení.
Konference Právo ve veřejné správě 2018
Dne 27. listopadu 2018 se v Praze konal již 7. ročník odborné konference Právo ve veřejné správě. Konference tematicky navazuje na odborný kongres PRÁVNÍ PROSTOR a je určena pro zástupce z řad státní správy a samosprávy. Letos vystoupilo 7 přednášejících odborníků z oblasti právní praxe i teorie. Pořadatelem byl právní informační systém CODEXIS pod mediální patronací právního portálu Právní prostor.cz. Více na http://www.pvvs.cz/.
Diskuze k článku ()