Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Postavení Úřadu

  1. Úvod
  2. Úřad
  3. Postavení Úřadu

Postavení Úřadu

Úřad pro ochranu osobních údajů (ÚOOÚ), IČO 70837627, se sídlem Pplk. Sochora 727/27, 170 00 Praha 7, byl zřízen zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, s účinností od 1. června 2000. Tento právní základ byl dne 24. dubna 2019 transformován na zákon č. 110/2019 Sb., o zpracování osobních údajů.

Podle § 50 odst. 1 zákona o zpracování osobních údajů je ÚOOÚ ústřední správní úřad pro oblast ochrany osobních údajů. To, že je úřad, znamená, že stát zákonem stanoví působnost (oblast činnosti) a pravomoci – souhrnně tedy kompetenci – a dá k tomu předpoklady materiální (budova, vybavení) i personální (státní zaměstnanci a prostředky na jejich platy). To, že je správní, znamená, že je součástí exekutivy (výkonné moci) a postupuje prostředky správního práva, primárně vydáváním rozhodnutí (správních aktů). To, že je ústřední, znamená, že pro celou Českou republiku je jen jeden. A konečně je ÚOOÚ dozorový úřad, což znamená, že porovnává ideální stav s reálným a vydává o tom autoritativní rozhodnutí, v čemž se řídí zákonem č. 255/2012 Sb., o kontrole (kontrolní řád).

Dozorový úřad monitoruje dodržování právních předpisů a vymáhá je. ÚOOÚ se řídí právními předpisy pro činnost správních úřadů, jako je zákon č. 500/2004 Sb., správní řád, a zákon č. 234/2014 Sb., o státní službě. Dojde-li spor s ÚOOÚ k soudu, řídí se zákonem č. 150/2002 Sb., soudní řád správní, a podpůrně rovněž zákonem č. 99/1963 Sb., občanský soudní řád.

Podle článku 52 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a § 51 zákona o zpracování osobních údajů je ÚOOÚ zcela nezávislý. To, že je nezávislý, znamená, že mu vláda nesmí udílet žádné pokyny ani jeho činnost přímo ovlivňovat. Příslovečné určení „zcela“ znamená, že nezávislost ÚOOÚ nesmí být vládou ohrožena ani nepřímo, tj. takovým opatřením, které by mělo tyto důsledky.

Působnost Úřadu

V primární působnosti ÚOOÚ je ochrana osobních údajů. Podle § 1 zákona o zpracování osobních údajů jsou k naplnění práva každého na ochranu soukromí upravena práva a povinnosti při zpracování osobních údajů. Soukromí patří mezi obecné osobní projevy, které jsou jedním z prvků ochrany osobnosti jako nehmotného statku. Obecná působnost ÚOOÚ v ochraně osobních údajů je konkrétně vymezena v článku 57 obecného nařízení o ochraně osobních údajů jako „úkoly“ (angl. tasks) a ÚOOÚ má k tomu v článku 58 obecného nařízení o ochraně osobních údajů „pravomoci“ (angl. powers), které se promítají do § 54 zákona o zpracování osobních údajů jako „činnosti Úřadu“, přičemž pouze odstavec 1 a částečně odstavec 3 jsou promítnutím obecného nařízení o ochraně osobních údajů. Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (dále jen „směrnice (EU) 2016/680“)  stanoví v čl. 46 rovněž působnost ÚOOÚ v oblasti zpracováních osobních údajů za účelem předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti státu nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech, přičemž transpozici úkolů ÚOOÚ nalezneme v § 54 odst. 2 zákona o zpracování osobních údajů. 

Ochrana osobních údajů má mezinárodní základ v úmluvě Rady Evropy č. 108 z roku 1981 a jejích protokolech, článku 8 Charty základních práv EU a článku 16 Smlouvy o fungování Evropské unie. V Evropském hospodářském prostoru a Švýcarské konfederaci tak vzniklo území unifikované ochrany osobních údajů. V národním právu je základem článek 7, 10 odst. 3 a 13 Listiny základních práv a svobod a zákon č. 89/2012 Sb., občanský zákoník.

Obecná regulace ochrany osobních údajů spočívá v obecném nařízení o ochraně osobních údajů, směrnici (EU) 2016/680 a prováděcím (adaptačním) a transpozičním zákoně č. 110/2019 Sb., o zpracování osobních údajů.

ÚOOÚ je jediným dozorovým úřadem s obecnou působností v České republice. Z jeho působnosti je na jedné straně vyňato zpracování osobních údajů některými skupinami správců, na straně druhé jeho role zahrnuje ochranu osobních údajů v oblastech nespadajících do působnosti obecného nařízení o ochraně osobních údajů.

Jedním z úkolů ÚOOÚ je napravit chybné procedury zpracování osobních údajů správci nebo zpracovateli osobních údajů. ÚOOÚ se rovněž zabývá nedostatečnou ochranou osobních údajů, která má systémový přesah, tj. z její nápravy bude profitovat větší množství subjektů údajů. Ke zkvalitnění a prohloubení ochrany osobních údajů v mikrosvětě správců osobních údajů existuje řada nových nástrojů, k nimž mimo jiné patří regulace předávání osobních údajů do třetích zemí a mezinárodním organizacím, posuzování vlivu na ochranu osobních údajů, kodexy chování a vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů.

ÚOOÚ se originárně nezabývá těmi zpracováními osobních údajů, u nichž je normotvorba v působnosti regulátora sektoru – ministerstva. Regulátoři stanoví pravidla správcům a zpracovatelům osobních údajů pro sektorová zpracování osobních údajů a ÚOOÚ nad tím jen dozírá. Nejedná-li se o obecné zpracování osobních údajů, je v takové věci nutné se obrátit na gestora právní oblasti (ministerstvo), který má k tomu jmenovaného pověřence pro ochranu osobních údajů (DPO). Ministerstvo totiž řídí jím spravovanou oblast i v otázkách ochrany osobních údajů, které jsou různou měrou upraveny zvláštními právními předpisy. Do systémových selhání regulátora ÚOOÚ jako úřad pro dozor ochrany osobních údajů obvykle vstupuje až následně. Neposkytuje tedy detailní vyjádření týkající se ochrany osobních údajů v daných sektorech, aniž by příslušný gestor dostal možnost nápravy, například tvorbou či změnou pravidel, včetně sepisu vhodných pravidel, zohledňujících specifika daného odvětví, jež se promítají do práce s osobními údaji. Má-li subjekt údajů ke správci osobních údajů přímý právní vztah, měl by se nejdříve obrátit na něj a teprve tehdy, je-li nespokojen s vyřízením své žádosti, na ÚOOÚ.

Podle článku 57 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů je působností ÚOOÚ zvyšovat povědomí veřejnosti o ochraně osobních údajů (osvětová role) a podle písmene c) veřejnému sektoru a zástupcům odborných, profesních a průmyslových sdružení poskytovat konzultace k aplikaci obecného nařízení o ochraně osobních údajů (konzultační role). ÚOOÚ se především se vyjadřuje k návrhům postupů při plnění povinností uložených správcům, včetně jejich vztahu s lidmi, jejichž osobní údaje tito správci zpracovávají. Konzultace poskytuje jednotlivým správcům a rovněž lidem, kteří se domnívají, že jejich osobní údaje jsou zpracovávány v rozporu s právními předpisy. Šířeji využitelné výstupy z konzultací zveřejňuje ÚOOÚ na svých stránkách a v odůvodněných případech organizuje veřejnou diskusi k návrhům metodik určených obecně správcům.

ÚOOÚ rovněž zveřejňuje překlady dokumentů ochrany osobních údajů Globálního shromáždění pro ochranu soukromí (GPA) a k jednotlivým otázkám aplikace obecného nařízení o ochraně osobních údajů, na jejichž vypracování se spolupodílí jako člen Evropského sboru pro ochranu osobních údajů (EDPB), nebo které vypracoval Evropský inspektor ochrany údajů (EDPS). V rámci poradenství se ÚOOÚ vyjadřuje k návrhům právních předpisů, požádá-li ho o to ministerstvo, vláda nebo Parlament, nebo i z vlastního popudu.

Vedle ochrany osobních údajů je dalším pilířem činnosti ÚOOÚ agenda svobodného přístupu k informacím, v níž je ÚOOÚ svěřena dílčí působnost nadřízeného, přezkumného a nečinnostního orgánu v rozsahu vymezeném ustanoveními § 16b a § 20 odst. 5 zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

Třetím pilířem činnosti ÚOOÚ je provozování kritického informačního systému poskytujícího základní a agendové identifikátory fyzických osob (elektronické identifikátory podle § 11 zákona č. 111/2009 Sb., o základních registrech).  Uzavřený a organizačně oddělený systém (IS ORG) funguje jako součást základních registrů.

V některých případech však český zákonodárce nebo EU stanovili zvláštní formy součinnosti Úřadu. Tyto působnosti jsou seřazeny chronologicky podle účinnosti této kompetence
 

  1. správní trestání neoprávněného nakládání nebo využívání rodného čísla podle § 17e zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel) – od 1. dubna 2004,
  2. povolení předání osobních údajů do zahraničí podle § 17 odst. 4 zákona č. 435/2004 Sb., o zaměstnanosti – od 1. října 2004,
  3. projednání s ČTÚ podle § 130 odst. 3 – od 1. května 2005, příjem informace o žádostech o přístup k osobním údajům uživatelů podle § 88 odst. 1 písm. d) a uložení poskytnout informace o porušení ochrany údajů podle § 88 odst. 5 – od 1. ledna 2012, projednání všeobecného oprávnění s ČTÚ podle § 10 odst. 1 písm. a) zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) – od 1. ledna 2022,
  4. správní trestání neoprávněného zpracování údajů v nosiči dat s biometrickými údaji podle § 34a odst. 4 a § 34c odst. 4 zákona č. 329/1999 Sb., o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o cestovních dokladech) – od 1. září 2006,
  5. správní trestání neoprávněného sdělení uživatelského jména a přístupového hesla k nahlížení do registru oznámení a používání nebo další zpracování údajů vedených v registru oznámení k jinému účelu než ke zjištění případného porušení povinností při výkonu funkce veřejného funkcionáře stanovených tímto zákonem podle § 25 odst. 1 zákona č. 159/2006 Sb., o střetu zájmů – od 1. ledna 2007,
  6. příjem oznámení o vzniku informační databáze o bonitě a důvěryhodnosti spotřebitele podle § 20z odst. 12 a dozor nad informační databází o bonitě a důvěryhodnosti spotřebitele podle § 23 odst. 17 – od 1. února 2016, postavení příslušného orgánu k uplatňování nařízení Evropského parlamentu a Rady (EU) 2017/2394 podle § 24d odst. 2 písm. l) zákona č. 634/1992 Sb., o ochraně spotřebitele – od 1. července 2020,
  7. příjem vyrozumění od Ministerstva vnitra ČR podle § 13 odst. 6 zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce – od 19. září 2016,
  8. správní trestání porušení zákazu zveřejnění osobních údajů podle § 61 zákona o zpracování osobních údajů – od 24. dubna 2019,
  9. poskytnutí soudu názoru o otázce ochrany osobních údajů podle § 114a odst. 2 písm. f) zákona č. 99/1963 Sb., občanský soudní řád – od 24. dubna 2019,
  10. příjem informace o kategoriích zpřístupnění nebo předání podle § 80b odst. 3 věta druhá a § 80c odst. 4 věta první zákona č. 273/2008 Sb., o Policii České republiky – od 24. dubna 2019,
  11. příjem informace o kategoriích zpřístupnění nebo předání podle § 47 odst. 3 zákona č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů – od 24. dubna 2019,
  12. příjem informace o kategoriích zpřístupnění nebo předání podle § 13d odst. 3 zákona č. 300/2013 Sb., o Vojenské policii a o změně některých zákonů (zákon o Vojenské policii) – od 24. dubna 2019,
  13. sledování zpracování podle článku 6 nařízení Evropského parlamentu a Rady (EU) 2021/1232 ze dne 14. července 2021, o dočasné odchylce od některých ustanovení směrnice 2002/58/ES, pokud jde o používání technologií poskytovateli interpersonálních komunikačních služeb nezávislých na číslech ke zpracování osobních a jiných údajů pro účely boje proti pohlavnímu zneužívání dětí on-line – od 2. srpna 2021 a
  14. příjem informace o neoprávněném využívání osobních údajů podle § 7 odst. 7 a vydání stanoviska k části rozsahu údajů nebo rozsahu oprávnění podle § 54a odst. 5 zákona č. 111/2009 Sb., o základních registrech – od 1. února 2022.

Další oblasti, ve kterých ÚOOÚ plní úkoly svěřené mu zákonem 

  1. šíření obchodních sdělení podle zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti),
  2. zvláštní dozor, například § 80b odst. 3 věta druhá a § 80c odst. 4 věta první zákona č. 273/2008 Sb., o Policii České republiky, a
  3. zvláštní správní trestání, například porušení zákazu zveřejnění osobních údajů podle § 61 zákona o zpracování osobních údajů, § 7 písm. f) zákona č. 40/1995 Sb., o regulaci reklamy a o změně a doplnění zákona č. 468/1991 Sb., o provozování rozhlasového a televizního vysílání, ve znění pozdějších předpisů, § 34a odst. 4 a § 34c odst. 4 zákona č. 329/1999 Sb., o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o cestovních dokladech), § 17e odst. 6 zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), § 25 odst. 2 zákona č. 159/2006 Sb., o střetu zájmů, a § 61 zákona o zpracování osobních údajů.