Jak postupovat při kontrole ochrany osobních údajů

V přechozím článku týkajícím se základních povinností podnikatelů ve vztahu k ochraně osobních údajů (článek s názvem „Ochrana osobních údajů v podnikání“) bylo uvedeno, že kontrolu dodržování předpisů na jejich ochranu vykonává Úřad pro ochranu osobních údajů. Cílem tohoto článku je zevrubné provedení osoby, u které je kontrola prováděna. Základními předpisy použitelnými na kontrolu vykonávanou Úřadem pro ochranu osobních údajů (dále jen ÚOOÚ) je zákon č. č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „OOÚ“) a zákon č. 255/2012 Sb., o kontrole (kontrolní řád), ve znění pozdějších předpisů (dále jen „KŘ“).

Jak je uvedeno výše, ÚOOÚ je speciálním úřadem pro oblast ochrany osobních údajů dle § 2 OOÚ. Řízení o kontrole může zahájit ÚOOÚ na základě vlastní činnosti (např. postupem dle § 17 OOÚ), tak i na základě oznámení třetích osob nebo dle kontrolního pánu (§ 31 OOÚ). Kontrolovaná osoba se zpravidla o kontrole dozví doručením oznámení o zahájení kontroly dle § 5 odst. 2 psím. b) KŘ. V tomto je uveden důvod kontroly, datum a místo jejího provedení a kontrolované povinnosti. Obsahuje poučení o právech a povinnostech kontrolujících a kontrolovaných osob.

Základním právem kontrolující osoby je vstup do staveb, na pozemky a podobně u kontrolované osoby,  dále může požadovat předložení dokumentů vztahujících se k předmětu kontroly, pořizovat obrazové a zvukové záznamy, případně právo požadovat další nezbytnou součinnost kontrolované osoby. Práva jsou uvedeny zejména v § 7 a 8 KŘ. Naopak povinností kontrolující osoby je prokázat svou totožnost dle písemného pověření k jednotlivé kontrole, resp. průkazu. Dále musí zjistit skutkový stav za současného šetrného přístupu ke kontrolované osobě.

Základní povinností kontrolované osoby je podřídit se kontrole. To včetně zajištění podmínek pro výkon kontroly (zpravidla samostatná místnost, umožnění využití technických prostředků – například telefon nebo kopírka). Výsledkem kontroly je protokol o kontrole, který musí obsahovat náležitosti § 12 KŘ. Protokol musí být vyhotoven do 30 dnů od provedení kontroly (posledního kontrolního úkonu), ve složitých případech do 60 dnů. Protokol musí být doručen kontrolované osobě, která proti jeho obsahu (zjištěním) může podat námitky do 15 dnů od doručení protokolu.

Námitky musejí být podány písemně, musí z nich být patrné proti kterému kontrolnímu zjištění směřují a musejí být odůvodněny. Již v rámci kontroly může kontrolovaná osoba předložit důkazy svědčící v její prospěch. Případně je může doložit ve stanovené lhůtě. Námitky vyřizuje vedoucí kontrolní skupiny, pokud nevyhoví do 7 dnů od jejich doručení, vyřídí je jemu nadřízená osoba. Důležité je naplnění všech předpokladů námitek dle § 13 odst. 2 KŘ, protože pokud jejich některá náležitost chybí, může kontrolující osoba zamítnout. Proto je nutné dbát zvýšené pozornosti při jejich vypracování.

V návaznosti na výsledek kontroly (po zohlednění případných námitek) může a nemusí být zahájeno správní řízení. V tom se vychází ze skutkového stavu zjištěného v protokole o kontrole. Pokud je zjištěno porušení předpisů na ochranu osobních údajů, může ÚOOÚ opatřením uložit dle ust. § 40 OOÚ odstranění zjištěných nedostatků s tím, že pokud se tak stane, lze upustit od uložení pokuty.

Sankce za porušení povinností sloužících k ochraně osobní ch údajů jsou stanoveny v § 44 a násl. OOÚ. Maximální výše pokuty může dosahovat až 10.000.000,- Kč. Pokuty vybírá ÚOOÚ a jejich výnos je příjmem státního rozpočtu.

Závěrem je třeba dodat, že kontrolovaná osoba nemusí být při kontrole zastoupena advokátem nebo jiným odborníkem, nicméně zastoupení lze pouze doporučit. Průběh kontroly má několik na sebe navazujících fází. V případě zahájení kontroly je potřeba zejména s kontrolujícím orgánem spolupracovat, předložit všechny relevantní dokumenty a pokud dojde k porušení předpisů na ochranu osobních údajů, je dobré být schopen identifikovat slabé místo a toto odstranit. Případně označit konkrétního viníka.

Zásadně však platí, že správce nebo zpracovatel osobních údajů je odpovědný objektivně, pokud se mu nepodaří určit konkrétní osobu, která je za porušení nebo ohrožení osobních údajů odpovědná, bude vždy odpovídat sám. Je tak na něm mít osobní údaje zabezpečeny takovým způsobem, aby k porušení předpisů nedošlo.

Právník na ochranu osobních údajů v naší kanceláři je Mgr. Miroslav Galvas.