Úřad pro ochranu osobních údajů

Ochrana osobních údajů má mezinárodní základ v úmluvě Rady Evropy č. 108 z roku 1981 a jejích protokolech, článku 8 Charty základních práv EU a článku 16 Smlouvy o fungování Evropské unie. V národním právu je základem článek 7, 10 odst. 3 a 13 Listiny základních práv a svobod a zákon č. 89/2012 Sb., občanský zákoník.

Obecná regulace ochrany osobních údajů spočívá v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), a prováděcím (adaptačním) zákoně č. 110/2019 Sb., o zpracování osobních údajů. Tento zákon pak též mimo jiné transponuje druhý zásadní evropský akt na poli ochrany osobních údajů, a to směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.

V primární působnosti Úřadu je ochrana osobních údajů. Podle § 1 zákona o zpracování osobních údajů jsou k naplnění práva každého na ochranu soukromí dána oprávnění a povinnosti při zpracování osobních údajů. Obecná působnost ÚOOÚ v ochraně osobních údajů je konkrétně vymezena v článku 57 obecného nařízení o ochraně osobních údajů jako „úkoly“ (angl. tasks) a Úřad má k tomu v článku 58 obecného nařízení o ochraně osobních údajů „pravomoci“ (angl. powers), které se promítají do § 54 zákona o zpracování osobních údajů jako „činnosti Úřadu“, přičemž pouze odstavec 1 a částečně odstavec 3 jsou promítnutím obecného nařízení o ochraně osobních údajů.

ÚOOÚ je dozorovým, tedy kontrolním, úřadem ochrany osobních údajů s obecnou působností. Dozor (kontrola) se dělí na správní, vnitřní a státní. Z působnosti Úřadu je na jedné straně vyňato zpracování osobních údajů některými skupinami správců, na straně druhé jeho role zahrnuje ochranu osobních údajů v oblastech nespadajících do působnosti obecného nařízení o ochraně osobních údajů.

Těžištěm činnosti Úřadu je napravit chybné procedury zpracování osobních údajů správci nebo zpracovateli osobních údajů. Úřad se primárně zabývá nedostatečnou ochranou osobních údajů, která má systémový přesah, tj. z její nápravy bude profitovat větší množství subjektů údajů. Tam, kde tato podmínka není splněna, je věcí poškozeného, aby se domohl nápravy žalobou u soudu. Ke zkvalitnění a prohloubení ochrany osobních údajů existuje řada nových nástrojů, k nimž mimo jiné patří regulace předávání osobních údajů do třetích zemí a mezinárodním organizacím, posuzování vlivu na ochranu osobních údajů, kodexy chování a vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů.

Podle článku 57 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů je působností Úřadu zvyšovat povědomí veřejnosti o ochraně osobních údajů (osvětová role) a podle písmene c) poskytovat veřejnému sektoru a zástupcům odborných, profesních a průmyslových sdružení konzultace k aplikaci obecného nařízení o ochraně osobních údajů (konzultační role). Úřad se především vyjadřuje k návrhům postupů při plnění povinností uložených správcům, včetně jejich vztahu s těmi, jejichž osobní údaje tito správci zpracovávají. Konzultace poskytuje jednotlivým správcům a rovněž těm, kteří se domnívají, že jejich osobní údaje jsou zpracovány v rozporu s právními předpisy. Šířeji využitelné výstupy z konzultací následně zveřejňuje a v odůvodněných případech uspořádá veřejnou diskusi k návrhům metodik určených obecně správcům.

Úřad rovněž průběžně zveřejňuje překlady dokumentů ochrany osobních údajů Světového shromáždění pro ochranu soukromí (GPA) a k jednotlivým otázkám aplikace obecného nařízení o ochraně osobních údajů, na jejichž vypracování se spolupodílí jako člen Evropského sboru pro ochranu osobních údajů (EDPB), nebo které vypracoval Evropský inspektor ochrany údajů (EDPS). V rámci poradenství se Úřad vyjadřuje k návrhům právních předpisů, požádá-li ho o to ministerstvo, vláda nebo Parlament, nebo i z vlastního popudu.

Úřad se originárně nezabývá těmi zpracováními osobních údajů, u nichž je normotvorba v působnosti regulátora sektoru – ministerstva. Regulátoři stanoví pravidla správcům a zpracovatelům osobních údajů pro sektorová zpracování osobních údajů a Úřad na dodržování těchto pravidel jen dozírá. Nejedná-li se o obecné zpracování osobních údajů, je v takové věci nutné se obrátit na gestora právní oblasti (ministerstvo), který má k tomu zřízeného pověřence pro ochranu osobních údajů (DPO). Ministerstvo totiž řídí jím spravovanou oblast i v otázkách ochrany osobních údajů, které jsou různou měrou upraveny zvláštními právními předpisy. ÚOOÚ jako úřad pro dozor ochrany osobních údajů neposkytuje detailní vyjádření týkající se ochrany osobních údajů v daných sektorech, aniž by příslušný gestor dostal možnost nápravy, například tvorbou či změnou pravidel, včetně sepisu vhodných příruček, zohledňujících specifika daného odvětví, jež se promítají do práce s osobními údaji. Má-li subjekt údajů se správci osobních údajů přímý právní vztah, měl by se nejdříve obrátit na něj a teprve tehdy, je-li nespokojen s vyřízením své žádosti, na Úřad, který je gestorem oboru státní služby ochrana osobních údajů.

V některých případech však český zákonodárce nebo EU stanovili zvláštní formy součinnosti Úřadu. Tyto působnosti jsou seřazeny chronologicky podle účinnosti této kompetence:

1. správní trestání neoprávněného nakládání nebo využívání rodného čísla podle § 17e zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel) – od 1. dubna 2004,
2. povolení předání osobních údajů do zahraničí podle § 17 odst. 4 zákona č. 435/2004 Sb., o zaměstnanosti – od 1. října 2004,
3. projednání s ČTÚ podle § 130 odst. 3 – od 1. května 2005, příjem informace o žádostech o přístup k osobním údajům uživatelů podle § 88 odst. 1 písm. d) a uložení poskytnout informace o porušení ochrany údajů podle § 88 odst. 5 – od 1. ledna 2012, projednání všeobecného oprávnění s ČTÚ podle § 10 odst. 1 písm. a) zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) – od 1. ledna 2022,
4. správní trestání neoprávněného zpracování údajů v nosiči dat s biometrickými údaji podle § 34a odst. 4 a § 34c odst. 4 zákona č. 329/1999 Sb., o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o cestovních dokladech) – od 1. září 2006,
5. správní trestání neoprávněného sdělení uživatelského jména a přístupového hesla k nahlížení do registru oznámení a používání nebo další zpracování údajů vedených v registru oznámení k jinému účelu než ke zjištění případného porušení povinností při výkonu funkce veřejného funkcionáře stanovených tímto zákonem podle § 25 odst. 1 zákona č. 159/2006 Sb., o střetu zájmů – od 1. ledna 2007,
6. příjem oznámení o vzniku informační databáze o bonitě a důvěryhodnosti spotřebitele podle § 20z odst. 12 a dozor nad informační databází o bonitě a důvěryhodnosti spotřebitele podle § 23 odst. 17 – od 1. února 2016, postavení příslušného orgánu k uplatňování nařízení Evropského parlamentu a Rady (EU) 2017/2394 podle § 24d odst. 2 písm. l) zákona č. 634/1992 Sb., o ochraně spotřebitele – od 1. července 2020,
7. příjem vyrozumění od Ministerstva vnitra ČR podle § 13 odst. 6 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce – od 19. září 2016,
8. správní trestání porušení zákazu zveřejnění osobních údajů podle § 61 zákona o zpracování osobních údajů – od 24. dubna 2019,
9. poskytnutí soudu názoru o otázce ochrany osobních údajů podle § 114a odst. 2 písm. f) zákona č. 99/1963 Sb., občanský soudní řád – od 24. dubna 2019,
10. příjem informace o kategoriích zpřístupnění nebo předání podle § 80b odst. 3 věta druhá a § 80c odst. 4 věta první zákona č. 273/2008 Sb., o Policii České republiky – od 24. dubna 2019,
11. příjem informace o kategoriích zpřístupnění nebo předání podle § 47 odst. 3 zákona č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů – od 24. dubna 2019,
12. příjem informace o kategoriích zpřístupnění nebo předání podle § 13d odst. 3 zákona č. 300/2013 Sb., o Vojenské policii a o změně některých zákonů (zákon o Vojenské policii) – od 24. dubna 2019,
13. sledování zpracování podle článku 6 nařízení Evropského parlamentu a Rady (EU) 2021/1232 ze dne 14. července 2021, o dočasné odchylce od některých ustanovení směrnice 2002/58/ES, pokud jde o používání technologií poskytovateli interpersonálních komunikačních služeb nezávislých na číslech ke zpracování osobních a jiných údajů pro účely boje proti pohlavnímu zneužívání dětí on-line – od 2. srpna 2021 a
14. příjem informace o neoprávněném využívání osobních údajů podle § 7 odst. 7 a vydání stanoviska k části rozsahu údajů nebo rozsahu oprávnění podle § 54a odst. 5 zákona č. 111/2009 Sb., o základních registrech – od 1. února 2022.
    

Kromě právních předpisů stanovujících působnost Úřadu byly vydány zákony, které prolamují mlčenlivost v jeho prospěch:

1. § 128 odst. 1 písm. k) zákona č. 277/2009 Sb., o pojišťovnictví – od 1. ledna 2010,
2. § 168 odst. 1 písm. k) zákona č. 427/2011 Sb., o doplňkovém penzijním spoření – od 1. ledna 2013
3. § 153 odst. 2 zákona č. 234/2014 Sb., o státní službě – od 1. ledna 2015 a
4. § 50a odst. 6 zákona č. 6/1993 Sb., o České národní bance – od 24. dubna 2019.
   

Kromě ochrany osobních údajů plní Úřad další úkoly svěřené mu zákonem. Jedná se o tyto oblasti:

1. šíření obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti),
2. zdrojové a agendové identifikátory fyzických osob podle § 11 zákona č. 111/2009 Sb., o základních registrech, a
3. svobodný přístup k informacím podle § 16b a § 20 odst. 5 zákona č. 106/1999 Sb., o svobodném přístupu k informacím.