Připravuje se nařízení EU pro procesní pravidla k GDPR – povede k účinnější ochraně osobních údajů v přeshraničních případech?
Není žádným překvapením, že v dnešní době řada podniků zpracovává osobní údaje fyzických osob z mnoha členských států Evropské unie prostřednictvím své sítě dceřiných společností či různých poboček. Pokud poruší svoje povinnosti v oblasti ochrany osobních údajů, pak vzniká otázka, jak takový případ přeshraničního zpracování mají dozorové úřady v členských státech EU řešit a jak mají spolupracovat.
Nařízení GDPR[1] je v tomto směru velmi obecné[2], přičemž celý proces může v praxi narážet na různorodé názory dozorových úřadů i rozmanitost vnitrostátní úpravy v oblasti správního řízení a kontroly. Evropská komise proto představila v létě tohoto roku návrh nového nařízení[3], které si klade za cíl stanovit řadu procesních pravidel, které by napomohly účinnějšímu prosazování nařízení GDPR v těchto přeshraničních případech.
Nařízení GDPR je účinné již více jak 5 let. Za tuto dobu se v mnoha případech ukázalo, že přišlo v pravou chvíli a významně pozvedlo dosavadní úroveň ochrany osobních údajů. V praxi přitom nejvyšší pokuty bývají udělovány právě při porušení pravidel GDPR v rámci přeshraničního zpracování, které se dotýká vysokého počtu subjektů údajů napříč členskými státy EU.
Aby každý dozorový úřad v EU neposuzoval totéž porušení zvlášť ve své zemi (a aby i vyšetřovaný subjekt neobdržel v každé zemi samostatnou pokutu), GDPR zavedlo pravidlo tzv. One Stop Shop. Zjednodušeně řečeno toto pravidlo znamená, že při přeshraničním zpracování osobních údajů se podle hlavní provozovny či jediné provozovny[4] vyšetřovaného subjektu určí tzv. vedoucí dozorový úřad jako jediné kontaktní místo a ten potom koordinuje celou činnost a spolupracuje s dalšími národními (tzv. dotčenými) dozorovými úřady. Tyto dotčené dozorové úřady mají možnost se ke způsobu řešení záležitosti vyjádřit, např. jsou-li vyšetřovanou činností zpracování dotčeny fyzické osoby s bydlištěm v zemi, kde má dotčený dozorový úřad svoji pravomoc. Je to logické, neboť právě tyto dozorové úřady jsou těmto subjektům údajů nejblíž.
Dozorové úřady by se primárně měly snažit najít vzájemně přijatelné řešení. To se ale ne vždy v praxi daří. GDPR obecně zakotvuje roli tzv. Evropského sboru pro ochranu osobních údajů (EDPB, dále také jako „sbor“) při řešení takových sporů. Tento sbor má přitom mimo jiné i pravomoc projednávat námitky dozorových úřadů proti návrhu rozhodnutí vedoucího dozorového úřadu a vydat v tomto sporu rozhodnutí, které pak slouží vedoucímu dozorového úřadu jako závazný podklad pro konečné rozhodnutí.
V praxi však často právě rozdíly v procesních pravidlech i v názorech mohou bránit účinnému a rychlému řešení celé věci a mohou mít i významné důsledky pro práva vyšetřovaných stran i stěžovatelů.
Návrh nového nařízení, kterým se stanoví další procesní pravidla týkající se prosazování nařízení GDPR, si proto klade za cíl zejména:
- sjednotit požadavky na formu stížnosti tak, aby úřady nemohly zamítat stížnosti pro např. nedostatek některé náležitosti. Nové nařízení proto bude v příloze obsahovat závazný formulář stížnosti a zároveň bude zakotvovat i procesní pravidla pro posuzování přípustnosti a zamítání stížností. Stížnosti jsou základním zdrojem informací pro odhalování porušování GDPR a je nutné ujasnit postupy pro jejich vyřízení, neboť o stížnosti bude v závěru rozhodovat jiný dozorový úřad, než u kterého byla podána. Dozorový úřad by měl zároveň potvrdit stěžovateli ve lhůtě 1 týdne, že stížnost přijal, a zajišťovat překlad dokumentů pro vedoucí dozorový úřad i stěžovatele.
- stanovit možnost smírného řešení mezi stěžovatelem a vyšetřovanými stranami. To by mělo fungovat tak, že dozorový úřad , pokud se domnívá, že lze stížnost vyřešit smírně, sdělí stěžovateli řešení a pokud ten nevznese námitky, považuje se stížnost za staženou. Toto by bylo z hlediska českého práva revoluční novinkou, neboť to uzavření smíru ve správním řízení u dozorového úřadu v tomto smyslu neumožňuje.
- posílit právo na obhajobu vyšetřovaných stran, zejména stanovením podrobností pro výkon práva být vyslechnut a práva na přístup ke spisu (včetně podrobností ohledně označování a ochrany důvěrných informací), neboť členské státy k těmto právům přistupují rozdílně.
- stanovit podrobnější pravidla pro řešení sporů mezi dozorovými úřady a rozhodování sboru o jejich námitkách včetně určení procesních lhůt. Před přijetím rozhodnutí o námitkách má přitom sbor poskytnout stěžovateli i vyšetřovaným stranám opět možnost vyjádřit se k odůvodnění rozhodnutí, které sbor zamýšlí přijmout.
- stanovit podrobnější pravidla pro postup v naléhavých případech dle čl. 66 odst. 2 GDPR, zejména pro případy vydání naléhavého stanoviska či naléhavého rozhodnutí sboru.
- stanovit podrobnosti pro postup spolupráce dozorových úřadů při řešení sporů včetně stanovení formy a struktury námitek a procesních lhůt, aby se zabránilo zbytečným průtahům. Jedná se o celou řadu pravidel pro vzájemnou komunikaci a vypracování různých procesních dokumentů, přičemž z hlediska českého práva jde opět o novinky, neboť povinnost úřadu informovat předem o tak podrobných aspektech rozhodnutí vyšetřovanou stranu či stěžovatele v něm v takové podobě není zakotvena. Konkrétněji půjde například o:
a) shrnutí klíčových otázek, což je dokument připravený v příslušném řízení vedoucím dozorovým úřadem pro ostatní dozorové úřady, které k němu následně mohou dávat připomínky.
b) předběžné zjištění, což je v podstatě jakýsi předběžný návrh rozhodnutí zpracovaný vedoucím dozorovým úřadem, ve kterém jsou již označeny veškeré skutečnosti a provedeno i právní posouzení věci včetně označení zamýšlených nápravných opatření (např. pokuty včetně jejího výpočtu). Toto předběžné zjištění bude nutné předložit vyšetřovaným stranám i stěžovateli k vyjádření a umožnit vyšetřovaným i nahlédnout do spisu.
c) předběžné stanovisko, které vedoucí dozorový úřad připraví pro případ, kdy bude chtít stížnost zcela nebo částečně zamítnout. Stěžovatel pak bude mít i možnost se k důvodům pro zamítnutí stížnosti vyjádřit.
Jak je z uvedeného zřejmé, tak řada nových povinností dozorových úřadů i práv vyšetřovaných a stěžovatelů by mohla být z pohledu českého práva do budoucna legislativním oříškem. České procesní právní předpisy aplikovatelné na výkon státní kontroly a správní řízení u Úřadu pro ochranu osobních údajů (zejména zákon č. 500/2004 Sb. , správní řád, a zákon č. 255/2012 Sb. , kontrolní řád) totiž úpravu takových práv a povinností neobsahují a část z nich (např. smírné řešení) jsou jim již z povahy věci naprosto neznámé. Lze také předpokládat, že celý proces při vyšetřování porušení GDPR v rámci přeshraničního zpracování osobních údajů může být mnohem náročnější co do zpracování a výměny dokumentace mezi zapojenými úřady, sledování lhůt i opakovanému předkládání dokumentů k vyjádření vyšetřovaným či stěžovateli, což v závěru může vést spíše k zatížení dozorových úřadů a prodloužení celého procesu.
Aktuálně je návrh nového nařízení v legislativním procesu u Evropského parlamentu a má tedy před sebou ještě dlouhou cestu.[5]
Mgr. Lenka Hanková,
advokátka / Senior Associate
Platnéřská 2
110 00 Praha 1
Tel.: +420 236 163 111
e-mail: lenka.hankova@roedl.com
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dostupné ZDE
[2] Viz zejména kapitoly VI a VII nařízení GDPR
[3] návrh Nařízení Evropského parlamentu a Rady, kterým se stanoví další procesní pravidla týkající se prosazování nařízení (EU) 2016/679, dostupný ZDE
[4] Pro podrobnosti viz Pokyny pro určení vedoucího dozorového úřadu správce nebo zpracovatele Pracovní skupiny WP 29, ze dne 5.4.2017 dostupné například ZDE
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz