13. Ochrana osobních údajů
7. Dozorový úřad
Jako dozorový úřad ve smyslu čl. 51 GDPR byl zákonem č. 110/2019 Sb. určen Úřad pro ochranu osobních údajů.
Úřad pro ochranu osobních údajů je ústředním správním úřadem pro oblast ochrany osobních údajů, přičemž při výkonu své činnosti postupuje nezávisle a řídí se pouze právním řádem ČR a přímo použitelnými předpisy EU. Je však povolen soudní přezkum jeho rozhodnutí, včetně práva subjektu údajů na soudní ochranu před jeho nečinností. Z pravomoci Úřadu pro ochranu osobních údajů jsou ale vyjmuta zpracování osobních údajů prováděná soudy jednajícími v rámci svých soudních pravomocí a také zpracování prováděná státními zastupitelstvími a zpravodajskými službami.
Úřad pro ochranu osobních údajů řídí jeho předseda a dále má dva místopředsedy.
Úřad pro ochranu osobních údajů vykonává pravomoci na území ČR. GDPR ovšem velkou pozornost věnuje i spolupráci dozorových úřadů, zejména v rámci tzv. mechanismu jednotnosti, kde má významné postavení Evropský sbor pro ochranu osobních údajů.
Jedná‑li se však o zpracování prováděné orgánem veřejné moci anebo soukromým subjektem za účelem výkonu veřejné moci, případně za účelem výkonu právní povinnosti anebo za účelem naplnění veřejného zájmu je vždy příslušný dozorový úřad dotčeného členského státu, tedy v rámci ČR Úřad pro ochranu osobních údajů. Ten bude v zásadě příslušný i v případě stížnosti týkající se výlučně provozovny správce, resp. subjektů údajů v jeho členském státě.
Na tomto místě možno doplnit, že pro případ přeshraničního zpracování je třeba určit vedoucí dozorový úřad, který spolupracuje s ostatními dotčenými úřady ve snaze dosáhnout konsensu. Tato funkce je určena sídlem jediné nebo hlavní provozovny příslušného správce, případně zpracovatele. Za hlavní se považuje ta, která vykonává ústřední správu; eventuálně, ve vztahu ke správci provozovna nadaná pravomocí rozhodovat o zpracování osobních údajů a tato rozhodnutí vymáhat a ve vztahu ke zpracovateli provozovna, kde probíhají hlavní činnosti zpracování.
Z konkrétních poměrně rozsáhle formulovaných pravomocí Úřadu pro ochranu osobních údajů pak je nutno zmínit alespoň provádění auditů (kontrol) zpracování osobních údajů, kdy je postupováno podle kontrolního řádu a s tím fakticky souvisící upozorňování správců nebo zpracovatelů ohledně porušování jejich povinností a uplatňování výzev k vyjasnění nebo k nápravě.
Dále třeba připomenout, že Úřad pro ochranu osobních údajů projednává vymezené přestupky a ukládá pokuty, nicméně od uložení správního trestu upustí, jedná‑li se o orgán veřejné moci nebo veřejný subjekt, a to jedná‑li se o postup podle GDPR. Stejně tak je možno upustit od přestupkového řízení, jestliže je vzhledem k významu a míře porušení nebo ohrožení chráněného zájmu, který byl činem dotčen, způsobu provedení činu, jeho následku, okolnostem, za nichž byl čin spáchán, nebo vzhledem k chování podezřelého po spáchání činu zřejmé, že účelu, jehož by bylo možno dosáhnout provedením řízení o přestupku, bylo dosaženo nebo jej lze dosáhnout jinak.
K povinnostem Úřadu pro ochranu osobních údajů náleží i přijímání podnětů a stížností.
V této souvislosti však je třeba zvláště připomenout, že GDPR jako jeden z institutů ochrany subjektu údajů zavedlo i právo subjektu údajů na účinnou soudní ochranu vůči správci nebo zpracovateli (vizte čl. 79). Toto právo je možno uplatňovat nezávisle na podání stížnosti u Úřadu pro ochranu osobních údajů nebo uplatnění institutů mimosoudní ochrany.
Návrh na zahájení tohoto řízení je třeba podat u příslušného obecného soudu. Musí tedy splňovat veškeré náležitosti předepsané pro občanskoprávní řízení. Subjektu údajů pak náleží veškerá s tím souvisící procesní práva i povinnosti, a to na rozdíl od projednávání stížnosti, resp. podnětu Úřadem pro ochranu osobních údajů, kdy je oznamovatel pouze vyrozumíván o vyřízení svého podání. Prostřednictvím soudního řízení je navíc možno požadovat i náhradu utrpěné újmy ať hmotné nebo nehmotné (vizte čl. 82), což je vyloučeno prostřednictvím stížnosti u Úřadu pro ochranu osobních údajů.