Soudní ochrana při neposkytnutí kopií osobních údajů
Právo dotčené osoby na informace o zpracování jejích osobních údajů, včetně práva na přístup ke kopii zpracovávaných údajů, bylo zakotveno již v zákoně č. 101/2000 Sb. , o ochraně osobních údajů[1]. Nový právní rámec pro zpracování osobních údajů, představovaný především obecným nařízením o ochraně osobních údajů (GDPR)[2] a tzv. trestněprávní směrnicí[3], toto právo subjektu údajů zachoval, resp. částečně formulačně upřesnil. Oba předpisy rovněž výslovně stanovily právo subjektu údajů obrátit se v případě odmítnutí nebo nedostatečného vyřízení žádosti o poskytnutí přístupu k osobním údajů na dozorový úřad nebo na soud a dále povinnost správce, který žádosti nevyhoví, subjekt údajů o této možnosti informovat.
Nejvyšší správní soud aktuálně rozhodoval v kauze týkající se odepření práva na přístup k osobním údajům, resp. nevyřízení této žádosti, ze strany veřejnoprávního správce, Policie České republiky. Závěry soudu jsou důležité jak pro zpracování osobních údajů a uplatňování práv subjektu údajů při vyšetřování a stíhání trestných činů nebo výkonu trestů, tak obecně pro zpracování dat veřejnou sférou. Jedná se o rozsudek ze dne 18. listopadu 2020, čj. 4 Azs 246/2020 - 27.
Uplatnění práva na přístup k osobním údajům po zamítnutí žádosti o vízum
Oč se v řízení jednalo?
Žalobce podal u zastupitelského úřadu České republiky v Egyptě žádost o tzv. krátkodobé schengenské vízum. Jeho žádost byla zastupitelským úřadem zamítnuta s odůvodněním, že některý z členských států Evropské unie považuje žalobce za hrozbu pro veřejný pořádek, vnitřní bezpečnost, veřejné zdraví nebo mezinárodní vztahy. Žalobce požádal Ministerstvo zahraničních věcí o přezkum rozhodnutí, ministerstvo však s odkazem na stanovisko Policie ČR jeho žádost zamítlo.
Žalobce tedy následně s odkazem na GDPR a zákon č. 111/2019 Sb. , o zpracování osobních údajů, který transponuje tzv. trestněprávní směrnici, požádal Policii ČR o informaci o zpracování svých osobních údajů a o kopii zpracovávaných údajů. Konkrétně se dotázal na to, kterým členským státem či státy je považován za hrozbu, za jakou hrozbu a proč. Na tuto žádost police reagovala po téměř třech měsících[4] přípisem, ve kterém žalobci sdělila, že vydávání víz je v gesci Ministerstva zahraničních věcí a ať se žalobce se svou žádostí obrátí na toto ministerstvo.
Žalobce postup policie napadl správní žalobou. Městský soud v Praze jeho žalobu usnesením odmítl s tím, že přípis Policie České republiky není správním rozhodnutím ve smyslu soudního řádu správního a že police ani nebyla nečinná, protože na žádost o přístup k osobním údajům reagovala. Žalobce proto dle názoru Městského soudu v Praze neměl žalobní legitimaci. Toto usnesení žalobce napadl kasační stížností k Nejvyššímu správnímu soudu s tím, že přípis od policie je správním rozhodnutím, který byla zkrácena jeho práva.
Vyřízení žádosti o přístup k osobním údajů je správním rozhodnutím
Nejvyšší správní soud v této věci nejprve konstatoval, že napadený přípis Policie České republiky je správním rozhodnutím, které lze napadnout správní žalobou. S odkazem na svoji předchozí judikaturu[5] to odůvodnil tím, že se jedná o materializovaný individuální akt, který dle zákona musí splňovat určité náležitosti, je vydáván v alespoň částečně formalizovaném řízení, o průběhu tohoto řízení se vede elementární dokumentace a toto rozhodnutí má konkrétního adresáta.
Jinými slovy řečeno, vyjádření k žádosti o uplatnění práva na přístup k osobním údajům je vždy adresováno konkrétní osobě, žadateli, zákon[6] upravuje náležitosti procesu vyřízení podnětu i odpovědi subjektu údajů, např. lhůtu pro vyřízení, odůvodnění postupu spravujícího orgánu, povinnosti informovat žadatele o možnosti podat stížnost k Úřadu pro ochranu osobních údajů či žalobu k soudu, a o tomto procesu je spravující orgán povinen vést příslušnou dokumentaci. Proto se jedná o rozhodnutí přezkoumatelné ve správním soudnictví.
Soudně se lze bránit i při odmítnutí práva na výmaz či opravu osobních údajů
Výše uvedený závěr Nejvyššího správního soudu je jistě možné vztáhnout i na případy uplatnění dalších práv dle Hlavy III zákona č. 110/2019 Sb. , které spravující orgán[7] nevyřídí. Konkrétně se tak může jednat o právo na opravu osobních údajů, omezení jejich zpracování nebo výmaz[8]. Pravidla pro zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, výkonu trestů, zajišťování bezpečnosti a veřejného pořádku, se z pochopitelných důvodů v řadě aspektů liší od pravidel a postupů pro zpracování dat v soukromém sektoru, stejně tak i práva dotčených osob jsou v řadě aspektů oslabena. V omezeném rozsahu však subjekt údajů tato práva může uplatnit i vůči orgánům činným právě v těchto oblastech.
Nejvyšší správní soud pak v komentovaném rozhodnutím vyjasnil, že i pouhý přípis, jímž je žadatel odkázán na jiný orgán či jiného správce údajů, či obdobně neformální reakce, je správním rozhodnutím, proti kterému se lze bránit žalobou k příslušnému správnímu soudu.
Před podáním žaloby není nutná stížnost k Úřadu pro ochranu osobních údajů
Soud se rovněž zabýval tím, zda je podmínkou pro podání správní žaloby proti postupu při vyřizování žádosti o přístup k osobním údajů předchozí podání stížnosti k Úřadu pro ochranu osobních údajů. Soud konstatoval, že pravomoci úřadu jsou „pouze“ kontrolní a dozorové a že stížnost, kterou mu mohou subjekty údajů zasílat, rozhodně nelze s ohledem na platnou právní úpravu považovat za jakýkoliv druh opravného prostředku. Z toho plyne, že správní žalobu ve výše popsaných případech lze zásadně podat i bez toho, aby neúspěšný žadatel o přístup k osobním údajům nejprve postup příslušného spravující orgánu napadl u Úřadu pro ochranu osobních údajů.
A co další veřejnoprávní subjekty?
Otázkou by mohlo být, zda se uvedené závěry Nejvyššího správního soudu uplatní i v případě dalších veřejnoprávních správců údajů, kteří sice zpracovávají osobní údaje při výkonu veřejné moci, nejsou ale spravujícími orgány ve smyslu Hlavy III zákona č. 110/2019 Sb. a tato část zákona se na ně tedy neaplikuje. Jedná se typicky o ministerstva či další ústřední orgány státní správy, samosprávu atd.
Pro posouzení této otázky je důležité zohlednit, jaké je postavení takovýchto správců a dále jak je upraven proces vyřizování podnětů subjektů údajů přímo v GDPR, které se bude aplikovat.
I další veřejnoprávní správci zpracovávají osobní údaje zejména při výkonem zákonem upravených kompetencí a agend. Pokud v tomto kontextu někdo uplatní své právo, lze podle mého názoru konstatovat, že daný správce rozhoduje rovněž v rámci veřejnoprávní agendy, tedy vrchnostensky. Z tohoto důvodu se na jeho postup obecně uplatní správní řád.
Dále je nutno posoudit, zda reakce takového správce údajů, zejména odmítnutí či částečné odmítnutí žádosti o uplatnění práv, odpovídá definici správního rozhodnutí tak, jak ji podává Nejvyšší správní soud. Pokud čl. 12 GDPR, který stanovuje obecná pravidla pro vyřizování práv subjektu údajů, posoudíme z pohledu výše uvedených kritérií, pak musíme dospět k závěru, že i v tomto případě se jedná o správní rozhodnutí ve smyslu soudního řádu správního. I za této situace totiž správce, správní orgán, vydává materializovaný individuální akt (např. zamítá žádost subjektu údajů o opravu či výmaz dat), čl. 12 GDPR rovněž upravuje náležitosti takovéhoto procesu i reakce správce (lhůta pro vyřízení, nutnost zdůvodnit odmítnutí žádosti, postup pro potvrzení identity žadatele atd.) a veřejnoprávní správce musí vést alespoň základní dokumentaci, minimálně na základě zákona č. 499/2004 Sb. , o archivnictví a spisové službě a o změně některých zákonů.
Podle mého názoru je tedy nutno komentované závěry Nejvyššího správní soudu vztáhnout i na další veřejnoprávní správce, pokud vyřizují podněty subjekty údajů podle GDPR, zejména pokud se dané zpracování týká výkonu působnosti těchto správců. Nesprávné nebo nedostatečné vyřízení žádosti je nutno považovat za správní rozhodnutí, které může jeho adresát, subjekt údajů neúspěšně uplatňující svá práva podle GDPR, napadnout správní žalobou.
Kdy lze žalovat soukromoprávní správce?
Pro úplnost dodejme, že GDPR v čl. 79 přiznává soudní ochranu rovněž těm subjektům údajům, které svá práva (neúspěšně) uplatní u soukromoprávních správců. V takovém případě je pochopitelně nutné uplatnit žalobu podle civilních předpisů, tzn. podle občanského řádu soudního. Také v tomto případě se subjekty údajů dotčené daným zpracováním dat mohou domáhat toho, aby správce údajů něco učinil, tedy např. zpřístupnil jim jejich osobní údaje, opravil je nebo je vymazal. Jak plyne přímo z uvedeného čl. 79 GDPR, ani v tomto případě není před podáním žaloby nutné podat stížnost k Úřadu pro ochranu osobních údajů.
Mgr. František Nonnemann
Autor je zaměstnancem společnosti MALLPay, s.r.o., a členem výboru Spolku pro ochranu osobních údajů. V článku je prezentován osobní názor autora.
Článek vyjadřuje osobní názor jeho autora.
e-mail: nonnemann@volny.cz
[1] § 12 zákona č. 101/2000 Sb. , zejména s přihlédnutím k recitálu č. 41 Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[3] Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.
[4] Dle § 30 odst. 1 je spravující orgán, v tomto případě police, povinna na žádost subjektu údajů reagovat do 60 dní.
[5] Usnesení rozšířeného senátu Nejvyššího správního soudu ze dne 10.7.2018, č. j. 9 As 79/2016 – 41.
[7] Při zpracování osobních údajů za účelem za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, výkonu trestů, zajišťování bezpečnosti a veřejného pořádku zákon nepoužívá obvyklý pojem správce údajů, ale spravující orgán. Podle § 24 odst. 3 zákona č. 110/2019 Sb. se jím rozumí orgán veřejné moci příslušný k plnění uvedených úkolů, pokud se nejedná o zpravodajskou službou nebo obecní policii.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
