Uplatnění práva na výmaz a povinnost informovat o (ne)přijatých opatřeních pohledem ÚOOÚ
Standardním ustanovením zásad zpracování osobních údajů bývá poučení o postupu správce, uplatní-li subjekt údajů některé ze svých zákonem garantovaných práv, v praxi zřejmě nejčastěji právo na výmaz (tzv. právo být zapomenut) upravené v čl. 17 nařízení GDPR[1]. Podle čl. 12 nařízení GDPR platí, že každý správce je povinen ve stanovených lhůtách subjektu údajů jasně sdělit, zda bylo jeho žádosti vyhověno, či nikoliv, a případně zda a jaká opatření byla nebo nebyla v souvislosti se žádostí přijata.
Poměrně nedávné rozhodnutí předsedy Úřadu pro ochranu osobních údajů[2] se této informační povinnosti správce a jejím souvislostem s dalšími zásadami ochrany osobních údajů věnuje. Konkrétně v dané věci předseda ÚOOÚ potvrdil rozhodnutí, kterým byl obviněný uznán vinným ze spáchání přestupaku podle § 62 odst. 1 písm. c) zákona o zpracování osobních údajů[3], za což mu byla uložena pokuta ve výši 10.000 Kč. Protiprávní jednání obviněného spočívalo v tom, že jako provozovatel internetového portálu, na němž probíhají dražby podle zákona o veřejných dražbách[4] a zároveň jako správce osobních údajů nijak nereagoval na e-mailovou žádost stěžovatele, kterou tento žádal, aby obviněný z portálu vymazal dražební vyhlášku obsahující osobní údaje stěžovatele v rozsahu jméno, příjmení, datum narození a adresa bydliště stěžovatele[5].
Obhajoba obviněného vytýkané jednání nijak nerozporovala. Nad rámec předmětu řízení pouze obviněný konstatoval, že dané osobní údaje zveřejňuje z úřední povinnosti, přičemž nepřímo poukázal na důležitost a význam jím provozovaného portálu dražeb, jakož i na nezbytnost zajištění transparentnosti veřejných dražeb, což má být dle obviněného plněno právě i publikováním osobních údajů, ve vztahu k nimž uplatnil stěžovatel své právo na výmaz.
V rámci komentovaného rozhodnutí především předseda ÚOOÚ upozornil na povinnost správce informovat subjekt údajů na způsob vyřízení jeho žádosti i v případě, že daný požadavek neshledá jako důvodný. Jde-li o obviněným tvrzenou „nutnost“ plnit transparentně úkoly stanovené zákonem o veřejných dražbách, pak podle názoru předsedy ÚOOÚ nelze opomíjet, že při každém zpracování osobních údajů musí být dodržena zásada účelového omezení a minimalizace údajů (čl. 5 odst. 1 písm. b), c) nařízení GDPR) a pro každé zpracování musí mít správce právní titul (čl. 6 nařízení GDPR).
V daném případě však v případě dobrovolné dražby zákon nepřikazoval, aby dražební vyhláška obsahovala označení vlastníka předmětu dražby nebo navrhovatele dražby[6], a proto zpracování osobních údajů bylo v rozporu s nařízením GDPR od počátku, tedy bez ohledu na uplatnění práva na výmaz stěžovatelem. Předseda ÚOOÚ rovněž upozornil, že i v případě, že by uvedení osobních údajů navrhovatele (vlastníka) v dražební vyhlášce bylo v souladu se zákonem, pak by v každém případě takové zpracování muselo skončit naplněním předmětného účelu, kterým zde byl okamžik provedení dražby.
Prostřednictvím komentovaného rozhodnutí tak ÚOOÚ upozornil důležitost dodržování základních zásad nařízení GDPR, na nichž je celá právní úprava ochrany osobních údajů postavená, obviněného však potrestal pokutou ve výši spíše symbolické[7].
Optikou výše uvedeného tak je namístě správcům osobních údajů doporučit, aby věnovali pozornost svým nastaveným interním postupům k vyřizování žádostí subjektů údajů, každé žádosti se věnovali a o způsobu jejího vyřízení učinili záznam a subjekt údajů o přijatých závěrech informovali. Skutečnost, že jsou dodržovány zásady zpracování osobních údajů, je totiž povinen prokazovat právě správce (čl. 5 odst. 2 nařízení GDPR).
Mgr. Karolína Foukalová,
advokátní koncipientka
[1] nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[2] rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 7. 4. 2021, č. j. UOOU-03058/20-30
[5] Stěžovatel tedy uplatnil právo na výmaz ve smyslu čl. 17 nařízení GDPR.
[6] Náležitosti dražební vyhlášky upravuje § 20 zákona o veřejných dražbách.
[7] Za přestupek podle § 62 odst. 1 písm. c) zákona o zpracování osobních údajů lze uložit pokutu ve výši až 20.000.000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší (čl. 83 odst. 5 nařízení GDPR).
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
