Kauzy týkající se nedostatečné ochrany osobních údajů společností jako je Meta Platforms (Facebook, Instagram, WhatsApp), Amazon, Google či v poslední době sociální sítě TikTok mají jeden společný jmenovatel – jedná se o přeshraniční případy. Dochází ke zpracování osobních údajů obyvatel různých států Evropské unie. A na kontrole souladu s GDPR spolupracuje více národních dozorových úřadů.
V praxi nicméně prosazování GDPR mnohdy naráží na rozdílnou procesní úpravu v jednotlivých členských státech, odlišnéje například postavení stěžovatele, vymezení lhůt, možnosti odvolání atd. To se má ale brzy změnit.
Nové nařízení, které doplní GDPR
Evropská komise dne 4. července 2023 zveřejnila návrh nařízení, které by mělo zpřesnit procesní podmínky uplatňování GDPR. Úprava se bude dotýkat jen případů s přeshraničním prvkem, tj. případů, kdy zpracování probíhá nebo jsou zpracováním podstatně dotčeny subjekty údajů ve více členských státech Evropské unie.
Impulsem pro návrh nového právního předpisu byla zpráva Komise o uplatňování GDPR z roku 2020, z níž vyplývá, jak velké procesní rozdíly v současnosti existují v praxi jednotlivých dozorových úřadů pro ochranu osobních údajů v EU. Ve zkratce by se dalo říci, že co členský stát Evropské unie, to jiné požadavky na přípustnost stížnosti a jiné postupy v následném řízení. Tyto rozdílné přístupy se snaží řešit právě nařízení Evropského Parlamentu a Rady, kterým se stanoví další procesní pravidla týkající se prosazování nařízení (EU) 2016/679.
Uvedené nařízení je v současnosti v prvním čtení v Evropském parlamentu, není proto vyloučeno, že před finálním schválením může dojít k více či méně závažným změnám či úpravám jeho znění. Touto optikou je tak nutné nahlížet na níže uvedený text.
Na co se nové nařízení zaměří? Čeho se naopak vůbec nedotkne?
Komise v důvodové zprávě k návrhu nařízení jasně vytyčuje, do čeho nová právní úprava nezasáhne. Dotčena nebudou práva subjektů údajů chráněných GDPR, povinnosti správců a zpracovatelů, zákonné důvody ani zásady pro zpracování osobních údajů. Změny se nedotknou ani systému jednotného kontaktního místa (one-stop shop) využívaného v případech přeshraničního zpracování osobních údajů.
Nařízení doplňuje GDPR „pouze“ v procesních otázkách přeshraničního prosazování GDPR při výkonu dozoru. Cílem je tyto otázky zpřesnit a zavést pro všechny dozorové úřady jasná a jednotná pravidla, jak mají v přeshraničních případech postupovat. Nové nařízení má dále rozšířit práva stěžovatelů i kontrolovaných správců a zpracovatelů (neboli vyšetřovaných stran), stanovit lhůty pro jednotlivé fáze řízení a postupy pro řešení sporů dozorových úřadů z různých zemí.
Jednotný formulář pro přeshraniční stížnosti
GDPR sice umožňuje subjektům údajů obrátit se na dozorový orgán se stížností na porušení svých práv, nicméně nedefinuje, jak má taková stížnost vypadat a co má obsahovat. To často vede k situacím, kdy shodná stížnost může být v jednom členském státě přípustná a v jiném z formálních důvodů zamítnuta. Nová právní úprava zavádí jednotný formulář pro podávání stížností (obsažený v příloze nařízení), který jasně specifikuje, co všechno musí stížnost obsahovat. To vyřeší nejasnosti ohledně pojmu stížnost a zjednoduší postup pro podávání stížností.
Nařízení také rozšiřuje práva stěžovatelů. Stěžovatel bude mít nově právo na potvrzení přijetí stížnosti od dozorového úřadu a též právo zapojit se do řízení s vyšetřovanou stranou, zejména právo vyjádřit své stanovisko v průběhu řízení, právo nahlížet do nedůvěrných částí spisu, jakož i právo být vyslechnut před částečným nebo úplným zamítnutím své stížnosti. To jsou v kontextu České republiky a řízení před Úřadem pro ochranu osobních údajů novinky. Tyto změny přinesou jak větší informovanost stěžovatele ohledně průběhu vyřizování jeho stížnosti, tak rovněž umožní aktivněji se zapojit do řízení, včetně možnosti získat více informací využitelných v případném soudním řízení.
Je třeba mít na paměti, že i když jsou stěžovateli přiznána celkem značná práva, není účastníkem řízení vedeného vedoucím dozorovým úřadem s vyšetřovanou stranou (řízení je zahajováno ex offo), a proto ani nemůže mít v tomto řízení shodné procesní postavení a procesní práva jako vyšetřovaná strana.
Vyřeší porušení GDPR uzavření smíru?
Novinkou nejen v rámci GDPR, ale i pro české správní právo, je zakotvení možnosti smírného řešení stížnosti navrženého dozorovým úřadem. V případě, že stěžovatel proti dozorovým úřadem navrženému smíru nevznese do jednoho měsíce námitky, bude se stížnost považovat za staženou.
Toto řešení si lze představit například u situací, kdy stížnost směřuje na nedostatečné vyřízení žádosti subjektu údajů ohledně uplatnění výkonu jeho práv u správce či zpracovatele (samozřejmě za předpokladu, že v průběhu řízení vyplývající ze stížnosti dojde k uspokojení práv stěžovatele). Zde je nezbytné upozornit, že i když bude konkrétní stížnost vyřešena smírem, nebrání to dozorovému úřadu, aby vedl další řízení z vlastního podnětu, zejména v případech systematického nebo opakovaného porušování pravidel GDPR, a uložil správci pokutu.
Jednodušší podávání GDPR stížností
V případě uplatnění jakéhokoli z výše uvedených práv se stěžovatel obrací na „svůj“ národní dozorový úřad, nikoli přímo na vedoucí dozorový úřad, který řízení vede. Dozorový úřad následně zajistí sdílení komunikace vedené se stěžovatelem s vedoucím dozorovým úřadem. S tím se pojí explicitně uvedená povinnost dozorového úřadu, u kterého byla stížnost podána, aby zajistil překlady potřebných dokumentů jak pro vedoucí dozorový úřad, tak i pro stěžovatele do jazyka, kterým komunikují.
Posílení práv správců a zpracovatelů osobních údajů
Nové procesní nařízení rovněž do jisté míry posiluje právo na obhajobu, včetně práva být vyslechnut a práva na přístup ke správnímu spisu pro vyšetřované strany (kontrolované subjekty, resp. obecně účastníci řízení).
Nemalé množství přeshraničních případů se správci či zpracovateli vede k ukládání sankcí. Návrh nařízení proto sjednocuje procesní práva pro správce a zpracovatele vyšetřované pro údajné porušení GDPR v souvislosti s přeshraničním zpracováním tak, aby jejich rozsah byl shodný bez ohledu na to, ve kterém členském státě šetření probíhá. Nařízení posiluje právo na obhajobu vyšetřovaných stran, a to zejména v otázkách práva být vyslechnut a práva na přístup ke správnímu spisu. V současnosti totiž není přesně určeno, ve které fázi řízení a v jakém rozsahu mají být vyšetřované strany vyslechnuty, a to včetně řízení před Evropským sborem pro ochranu osobních údajů (Sbor), či v jakém rozsahu mohou nahlížet do správního spisu.
Do nového nařízení je zakomponována povinnost vedoucího dozorového úřadu oznámit vyšetřovaným stranám předběžná zjištění a stanovit jim lhůtu k předložení stanoviska, a to ještě před předložením návrhu rozhodnutí ostatním dotčeným dozorovým úřadům. Předběžná zjištění obsahují veškeré informace nezbytné k tomu, aby se vyšetřované strany mohly řádně hájit, tedy výtky, příslušné skutečnosti, související důkazy, právní analýzu a případně navrhovaná nápravná opatření. Při oznamování předběžných zjištění vedoucí dozorový úřad umožní vyšetřovaným stranám též přístup ke správnímu spisu, což se z pohledu českého práva není žádnou novinkou.
Upřesnění postupu pro dozorové úřady
Procesní nařízení je motivováno rychlejším a snazším dosažením konsenzu u přeshraničních kontrol. Za tímto účelem určuje, co vše si mají dozorové orgány v rámci přeshraniční spolupráce sdílet, jako jsou informace o zahájení a krocích vedoucích ke zjištění případného porušení GDPR, vyjádření vyšetřovaných stran a stanoviska stěžovatelů, ale třeba i jaké vyšetřovací pravomoci dozorový úřad použil.
Nařízení též zavádí instituty pro to, aby měly dotčené dozorové úřady možnost ovlivnit průběh přeshraničních kontrol již od jejich rané fáze. Bude se tak dít prostřednictvím možnosti uplatnění připomínek ke shrnutí klíčových otázek, které má povinnost vypracovat vedoucí dozorový úřad, jakmile si vytvoří předběžný názor na hlavní otázky šetření. Shrnutí klíčových otázek bude obsahovat jak skutková zjištění, či předběžně určený rozsah šetření, tak i právní a technologické posouzení, včetně určení předběžných nápravných opatření.
V případě rozdílných názorů vedoucího a dotčeného dozorového úřadu ohledně například rozsahu šetření, může dotčený dozorový úřad podat ve stanové dvouměsíční lhůtě žádost k použití prostředků pro dosažení konsenzu stanovených pro tyto účely v čl. 61 GDPR (vzájemná pomoc) a čl. 62 GDPR (společné postupy). Pokud ani poté nedojde k dosažení konsenzu, požádá vedoucí dozorový úřad o naléhavé závažné rozhodnutí Sboru dle čl. 66 GDPR. Vyřešením neshod ohledně klíčových otázek v rané fázi šetření by mělo vést k rychlejšímu a snazšímu průběhu následujících fází řízení.
Jaké klíčové novinky procesní nařízení přinese?
Pro subjekty údajů
jednotný formulář pro podávání stížností
potvrzení přijetí stížnosti dozorovým úřadem
právo být vyslechnut v průběhu řízení a po zamítnutí stížnosti
právo nahlížet do nedůvěrných částí spisu
možnost smíru
jednodušší komunikace se zahraničními úřady prostřednictvím svého národního úřadu
pro správce a zpracovatele údajů
posílení práv na obhajobu, včetně určení rozsahu práva být vyslechnut a práva na přístup ke správnímu spisu
právo vyjádřit se
k předběžným zjištěním,
k revidovanému návrhu rozhodnutí,
k odůvodnění před přijetím závažného rozhodnutí sboru
stanovení lhůt pro vyjádření
riziko snadnějšího zásahu do řízení ze strany zahraničního dozorového úřadu
Návrh procesního nařízení přináší další harmonizaci při řešení přeshraničních kauz, kde na sebe v současnosti narážejí právní řády jednotlivých členských států. Kromě toho posiluje procesní práva pro správce a zpracovatele. S ohledem na obvyklou dobu legislativního procesu v EU ovšem ještě chvíli potrvá, než se dočkáme jejich uplatňování v praxi.
