• Josef Bátrla

Na co si dát pozor v navazujícím řízení ÚOOÚ

Máte za sebou kontrolu Úřadu pro ochranu osobních údajů, která nedopadla nejlépe? Protokolem o kontrole ještě nic končit nemusí! Jak probíhá navazující řízení a na co si při něm dát pozor? Jaký je rozdíl mezi rozhodnutím a příkazem? Přinášíme přehled opravných prostředků, na něž máte právo, a důležitých lhůt, které byste neměli propásnout.


V předchozích číslech jsme vás detailně informovali o proběhlých kontrolách ze strany ÚOOÚ za poslední půlrok. Dozvěděli jste se, co konkrétně ÚOOÚ vadilo a kde všude konstatoval porušení GDPR. Tyto informace vám mohou umožnit zaměřit se na možné problémy ve vašich organizacích a poskytnou vám drahocenný čas k tomu, abyste se poučili z chyb ostatních a včasně zareagovali na problematické skutečnosti svého zpracování osobních údajů.

Rozhodnutí vs. příkazy

Pravdou je, že samotnou kontrolou a výstupním protokolem o kontrole však případy nekončí. Často se objevuje dotaz, co dělat, když kontrola nedopadne dobře. Víme, že se ÚOOÚ někdy uchýlí k uložení sankce a někdy od jejího uložení naopak upustí. Jak tedy navazující řízení probíhá?

Na základě dvou zveřejněných odpovědí na žádosti dle tzv. „stošestky“ se s námi ÚOOÚ podělil o znění příkazů a rozhodnutí, které zveřejnil podle žádostí ve dvou dnech, 13. a 21. října tohoto roku. Časově se samotná rozhodnutí pohybují od roku 2018 (tedy ještě za staré právní úpravy) až do současnosti. Některá rozhodnutí jsou označena jako Rozhodnutí a některá jako Příkazy. Proč tomu tak je a jaké jsou v tom rozdíly?

Statistiky

Na základě žádosti a odpovědi na ni ze dne 5. října 2020 ÚOOÚ zveřejnil statistiky správního trestání. Kolikrát ÚOOÚ rozhodl o uložení pokuty za období posledních 12 měsíců, tedy od 1. října 2019 do 1. října 2020? Jedná se o číslo snadno zapamatovatelné – takových rozhodnutí bylo padesát. Ve stejném období ÚOOÚ zahájil celkem 58 kontrol a 47 jich ukončil.

Prozatím nejvyšší sankce, jakou ÚOOÚ od účinnosti GDPR udělil (pokud do této statistiky nepočítáme i sankce podle zákona č. 480/2004 Sb., o některých službách informační společnosti, jejíž rekord padl právě v tomto roce ve výši šest milionů korun), dosahovala 250 tisíc korun. Jedná se o pokutu udělenou rozhodnutím ze dne 21. března 2019, které se týkalo nejen zpracování biometrických údajů, ale také nepřiměřené doby uchování telefonických hovorů. Rozhodnutí naleznete zde.

Jak probíhá navazující řízení?

Pokud si otevřete předmětné žádosti, uvidíte, že ÚOOÚ uveřejnil dva typy dokumentů. Jeden je nadepsaný jako Rozhodnutí a druhý jako Příkaz. Pro všechny tyto dokumenty je společné, že jsou označeny spisovou značkou a taktéž dalšími formálními náležitostmi. Jaký je tedy rozdíl mezi rozhodnutím a příkazem? Formální odpověď nalezneme v zákoně č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, konkrétně v ustanovení § 150 správního řádu. Lidské zdůvodnění spočívá v tom, že rozhodnutí je prakticky nadřazeným pojmem, přičemž právě příkaz chápeme jako jednu z forem rozhodnutí. Příkaz tak slouží jako nástroj pro rychlé vyřízení věci, kde zpravidla jediným podkladem může být samotný kontrolní protokol.

Kdy tedy ÚOOÚ k využití příkazu zpravidla přistupuje? Je to právě v případě, kdy kontrolní protokol obsahuje tak kvalifikovaná zjištění, že je ÚOOÚ schopen o případné sankci rozhodnout bez toho, aniž by musel provádět další dokazování, vyžadovat poskytnutí dalších informací od správce či zpracovatele, či zkrátka usoudil, že jako jediný podklad pro rozhodnutí mu bude stačit právě kontrolní protokol.

Může se zdát poměrně přísné, že ÚOOÚ mimo samotnou kontrolu neprovede žádné další úkony a rovnou vydá příkaz, v němž uloží pokutu. Pro takový případ však zákon předpokládá procesní obranu ve formě tzv. odporu proti příkazu. Ten, kdo totiž nesouhlasí se závěry ÚOOÚ v příkazu, může proti takovému rozhodnutí dát odpor, a to do osmi dnů od doručení příkazu.

V případě, že odpor podán není, nabývá příkaz účinnosti a nahlíží se na něj jako na právoplatné rozhodnutí. Nicméně v případě, že je odpor proti příkazu podán, samotný příkaz se tím ruší a ÚOOÚ pokračuje v řízení, které následně ukončí právě finálním rozhodnutím. Prakticky se tak v případě podání odporu na příkaz nahlíží, jako by nikdy nebyl vydán, a pokračuje se ve standardním řízení.

Pokud ÚOOÚ nejde cestou příkazu, vydá po projednání věci standardní rozhodnutí, proti kterému lze jako opravný prostředek podat tzv. rozklad ve lhůtě 15 dnů od doručení. Často se tak stává, že ÚOOÚ vydá nejprve příkaz, proti kterému je podán odpor, příkaz je zrušen a pokračuje se v řízení, které končí rozhodnutím, proti kterému lze podat rozklad. V jedné věci tak lze v zásadě uplatnit dva řádné opravné prostředky.

Proti příkazu je možno do osmi dnů od jeho doručení podat odpor, kterým je příkaz zrušen. Následuje další řízení, jež je ukončeno finálním rozhodnutím. Proti samotnému rozhodnutí jako opravný prostředek slouží tzv. rozklad, který se podává do 15 dnů od doručení rozhodnutí.


Pozor na doručení

Aktuálně bude doručení probíhat nejčastěji prostřednictvím systému datových schránek. Jak víme z předchozích článků, někteří správci či zpracovatelé při samotné kontrole a navazujícím řízení k věci přistupují taktikou „mrtvého brouka“ a kupříkladu si ani nevyzvednou datovou schránku s mylnou nadějí, že tak dokumenty od ÚOOÚ nebudou považovány za doručené.

Pravdou však zůstává, že v takovém případě po deseti dnech od doručení do datové schránky nastává ze strany ÚOOÚ tzv. fikce doručení bez ohledu na to, jestli je datová zpráva stažena, přečtena či je s ní nějak naloženo – přípis se zkrátka považuje za doručený. Pokud vám tedy takový přípis dojde, nespoléhejte na to, že když jej nikdy neotevřete, nic se nestane.

Naopak se totiž připravíte o lhůtu pro podání opravného prostředku, která je velmi důležitá pro zajištění obrany proti možnému nesprávnému přístupu ÚOOÚ. Ne všechny advokátní kanceláře, které vám mohou pomoci, dokáží reagovat ze dne na den a uspokojivě tak hájit vaše práva. Fikci doručení lze také využít tak, že vám těchto deset dní koupí čas, jejž můžete využít k prvním krokům pro minimalizaci rizik. Pokud totiž obdržíte datovou zprávu od ÚOOÚ, díky závěrům z kontroly tak trochu tušíte, co bude jejím obsahem, a máte deset dní, abyste mobilizovali právní ochranu a neukrajovali si ze lhůty pro podání opravného prostředku.

Kdo je připraven, není překvapen

České přísloví říká, že kdo je připraven, není překvapen. Často se jako pověřenci ocitáme v situaci, kdy správce na naše upozornění na možná rizika spíše nereaguje, a pokud ho něco zajímá, je to otázka možné obrany proti případné sankci. Z toho důvodu je velmi dobré znát nejen to, jak k podobným záležitostem ÚOOÚ přistupuje, ale i možný průběh řízení. Nyní byste měli být schopni správce připravit na různé možnosti a vědět, jak se bránit proti jednotlivým rozhodnutím, která můžete od ÚOOÚ obdržet, a taktéž do kdy na ně zareagovat.


Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 29.10.2020