Podle obecného nařízení o ochraně osobních údajů jsou za prosazování odpovědné vnitrostátní orgány pro ochranu osobních údajů. Každá země EHP má svůj nezávislý orgán pro ochranu osobních údajů. Ten dohlíží na uplatňování obecného nařízení o ochraně osobních údajů (GDPR), včetně vyřizování stížností. V případě zpracování osobních údajů, které probíhá ve více než jedné zemi EHP, stanoví obecné nařízení o ochraně osobních údajů systém spolupráce mezi příslušnými úřady pro ochranu osobních údajů, v jehož rámci spolupracují za účelem dosažení konsensu. Zde naleznete přehled orgánů pro ochranu osobních údajů.
GDPR poskytuje určitá práva jednotlivcům, včetně práva podat stížnost u příslušného orgánu, pokud se obávají, že došlo k porušení jejich práv na ochranu údajů.
Úkoly a pravomoci orgánů pro ochranu osobních údajů
Úkoly orgánů pro ochranu osobních údajů
Každý úřad pro ochranu osobních údajů v EHP má povinnost
- sledovat a prosazovat uplatňování obecného nařízení o ochraně osobních údajů
- podporovat informovanost veřejnosti a porozumění rizikům, pravidlům, zárukám a právům v souvislosti se zpracováním osobních údajů.
Orgány pro ochranu osobních údajů mají rovněž za úkol
- poskytovat poradenství vnitrostátnímu parlamentu, vládě a dalším orgánům a institucím
- poskytovat jakékoli osobě informace o výkonu jejích práv
Orgány pro ochranu osobních údajů rovněž podporují informovanost správců a zpracovatelů údajů o jejich povinnostech podle obecného nařízení o ochraně osobních údajů. Úřady pro ochranu osobních údajů vyřizují stížnosti fyzických osob, provádějí šetření týkající se řádného uplatňování obecného nařízení o ochraně osobních údajů a spolupracují s ostatními úřady pro ochranu osobních údajů na uplatňování obecného nařízení o ochraně osobních údajů. Orgány jsou rovněž odpovědné za:
- přijímání a schvalování standardních smluvních doložek
- schvalování závazných podnikových pravidel
- schvalování kodexů chování
- podpora zavedení mechanismů pro vydávání osvědčení o ochraně osobních údajů
- přispívání k činnostem Evropského sboru pro ochranu osobních údajů (EDPB)
- plnění jakýchkoli dalších úkolů souvisejících s ochranou osobních údajů.
Přečtěte si více
Pravomoci orgánů pro ochranu osobních údajů
Podle obecného nařízení o ochraně osobních údajů došlo u vnitrostátních úřadů pro ochranu osobních údajů k výraznému rozšíření jejich donucovacích pravomocí. Článek 58 obecného nařízení o ochraně osobních údajů vymezuje pravomoci každého z těchto vnitrostátních orgánů tím, že je jasně rozděluje do tří hlavních skupin:
- vyšetřovací pravomoci;
- nápravné pravomoci;
- poradní pravomoci
Vyšetřovací pravomoci
Orgány pro ochranu osobních údajů vykonávají své vyšetřovací pravomoci s cílem určit, zda došlo k porušení obecného nařízení o ochraně osobních údajů, jeho přesný rozsah a povahu. Orgány pro ochranu údajů mohou mimo jiné:
- Nařídit organizacím, aby poskytly veškeré informace týkající se vyšetřování.
- Provádět šetření ve formě auditů ochrany osobních údajů a informovat organizace o údajném porušení obecného nařízení o ochraně osobních údajů.
- Získat přístup ke všem osobním údajům v držení organizace a ke všem informacím nezbytným k plnění jejích úkolů, včetně přístupu do všech prostor organizace, včetně přístupu k veškerému zařízení a prostředkům pro zpracování údajů, v souladu s procesním právem EU a vnitrostátním procesním právem.
- Provést přezkum osvědčení vydaných podle čl. 42 odst. 7 obecného nařízení o ochraně osobních údajů.
Opravné pravomoci
Pokud je na základě šetření zjištěno porušení ustanovení obecného nařízení o ochraně osobních údajů nebo se má za to, že operace zpracování s sebou nese riziko nebo nesplňuje konkrétní požadavky, mají úřady pro ochranu osobních údajů právo uplatnit jednu nebo více svých nápravných pravomocí, například:
- Upozornění nebo zákaz zpracování: v případě stávajících rizik by úřady pro ochranu osobních údajů mohly organizacím vydávat varování s cílem zabránit tomu, aby jejich operace zpracování porušovaly ustanovení obecného nařízení o ochraně osobních údajů. Orgány pro ochranu osobních údajů mohou rovněž nařídit dočasné nebo konečné omezení, včetně zákazu činností zpracování organizací, a nařídit jim, aby dotčené fyzické osoby informovaly o porušení zabezpečení osobních údajů, k němuž došlo.
- Příkaz k zajištění souladu: za účelem zajištění souladu s obecným nařízením o ochraně osobních údajů nebo řešení případů, kdy nejsou splněna určitá kritéria nebo požadavky, mají úřady pro ochranu osobních údajů pravomoc nařídit organizacím, aby vyhověly žádostem fyzických osob o výkon jejich práv podle obecného nařízení o ochraně osobních údajů. V případě, že by příslušným organizacím mohlo být nařízeno, aby uvedly své operace zpracování do souladu s ustanoveními obecného nařízení o ochraně osobních údajů, a to konkrétním způsobem a ve stanovené lhůtě.
- Pozastavení toků údajů nebo odnětí certifikace: kromě toho by orgány pro ochranu údajů mohly rovněž vykonávat své pravomoci pozastavit veškeré toky údajů příjemcům ve třetích zemích nebo mezinárodním organizacím. Kromě toho by mohly odejmout osvědčení nebo nařídit subjektu pro vydávání osvědčení, aby odebral vydané osvědčení v souladu s články 42 a 43 obecného nařízení o ochraně osobních údajů. V případech, kdy požadavky na certifikaci nejsou splněny nebo již nejsou splněny, nařídit certifikačnímu orgánu, aby certifikaci nevydával.
- Důtky: v případě zjištěného porušení předpisů mohou orgány pro ochranu údajů organizacím udělit důtku.
- Správní pokuty: Orgány pro ochranu údajů mohou rovněž ukládat správní pokuty vymezené v souladu s článkem 83 obecného nařízení o ochraně osobních údajů, a to vedle nebo namísto jiných výše uvedených opatření. Režim správních sankcí vyžaduje individuální posouzení okolností každého jednotlivého porušení. Posouzení by mělo zohlednit faktory, jako je povaha, závažnost a doba trvání porušení, úmyslná nebo nedbalostní povaha, jakékoli kroky ke zmírnění škody, které mohly být provedeny, technická a organizační (tj. bezpečnostní) opatření, která byla provedena, a způsob, jakým se orgán pro ochranu údajů o problému dozvěděl.
Maximální výše případné sankce bude záviset na druhu porušení zabezpečení osobních údajů:
- může dosáhnout maximálně 10 milionů EUR nebo 2 % celkového celosvětového ročního obratu v předchozím účetním období (například v případě porušení „ochrany soukromí již od návrhu a nastavení ochrany osobních údajů“, nedodržení povinnosti uzavřít dohodu o zpracování osobních údajů nebo neprovedení posouzení vlivu na ochranu osobních údajů nebo nejmenování pověřence pro ochranu osobních údajů) podle čl. 83 odst. 4 obecného nařízení o ochraně osobních údajů
- může dosáhnout maximálně 20 milionů nebo 4 % celkového celosvětového ročního obratu v předchozím účetním období (například za porušení základních zásad týkajících se zpracování, za protiprávní zpracování osobních údajů bez právního základu nebo za porušení práv subjektu údajů) podle čl. 83 odst. 5 nařízení GDPR.
Podrobnější informace o správních pokutách spojených s porušením různých článků obecného nařízení o ochraně osobních údajů naleznete v článku 83 GDPR a v pokynech Evropského sboru pro ochranu osobních údajů k výpočtu správních pokut podle obecného nařízení o ochraně osobních údajů.
Poradenské pravomoci
Každý orgán pro ochranu osobních údajů má podle GDPR určitou povolovací a poradní úlohu, jejímž prostřednictvím může poskytovat podporu organizacím nebo povolovat konkrétní činnosti zpracování. Některé příklady jsou:
- Předchozí konzultace: poskytovat poradenství správcům osobních údajů v souladu s postupem předchozí konzultace podle článku 36 nařízení GDPR.
- Stanoviska k legislativním činnostem: vydávat z vlastního podnětu nebo na žádost stanoviska určená vnitrostátnímu parlamentu, vládě nebo v souladu s vnitrostátním právem jiným orgánům a institucím, jakož i veřejnosti k jakékoli otázce týkající se ochrany osobních údajů.
- Kodexy chování a certifikace: schvalovat návrhy kodexů chování, akreditovat subjekty pro vydávání osvědčení nebo vydávat osvědčení a schvalovat kritéria pro vydávání osvědčení.
Výkon výše uvedených pravomocí orgánů pro ochranu osobních údajů podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, jak je stanoveno v právních předpisech EU a vnitrostátních právních předpisech v souladu s Listinou základních práv EU. Každý úřad pro ochranu osobních údajů má pravomoc upozornit soudní orgány na porušení obecného nařízení o ochraně osobních údajů a případně zahájit soudní řízení nebo se do něj jinak zapojit za účelem prosazování ustanovení obecného nařízení o ochraně osobních údajů. Orgánům pro ochranu osobních údajů mohou být jejich vnitrostátními právními předpisy svěřeny další pravomoci.
Přečtěte si více
Spolupráce a jednotné kontaktní místo (mechanismus One-Stop-Shop)
Obecné nařízení o ochraně osobních údajů platí v celém EHP a používá jeden soubor pravidel ochrany údajů pro všechny země. Tento přístup podporuje mezinárodní společnosti, ale také malé a střední podniky v jejich úsilí o rozvoj a růst tím, že nabízejí své služby ve více než jedné zemi EHP.
Aby se snížila administrativní zátěž spojená se zpracováním osobních údajů ve dvou nebo více zemích EHP, stanoví obecné nařízení o ochraně osobních údajů systém spolupráce mezi úřady pro ochranu osobních údajů – tzv. mechanismus jediného kontaktního místa (mechanismus One-Stop-Shop), jehož cílem je dosáhnout konsenzu mezi četnými úřady pro ochranu osobních údajů.
Pokud organizace zpracovává údaje ve dvou nebo více zemích EHP, je příslušným orgánem, který se zabývá stížností nebo porušením zabezpečení údajů, například orgán země, v níž má správce osobních údajů hlavní místo obchodní činnosti. To správcům osobních údajů usnadňuje práci, protože nemusí dodržovat různé zákony v každé zemi, ve které působí. Kromě toho musí komunikovat pouze s jedním orgánem pro ochranu údajů. V závislosti na typu vašeho podniku a na produktech a službách, které nabízíte, se může přeshraniční zpracování vztahovat i na váš malý nebo střední podnik. Mnoho menších podniků, jako jsou internetové obchody, internetové stránky elektronického obchodování, mobilní a počítačové aplikace, nabízí služby ve více zemích.
Pokud váš malý nebo střední podnik zpracovává údaje fyzických osob v různých zemích EHP, jste povinni určit, který orgán pro ochranu údajů je příslušný nebo který je vedoucím orgánem. Obvykle se jedná o úřad pro ochranu osobních údajů se sídlem v zemi EHP, kde se nachází sídlo vaší organizace a kde jsou přijímána rozhodnutí týkající se účelů a prostředků zpracování osobních údajů.
V praxi
- Online prodejci, například prodej oblečení prostřednictvím internetových obchodů zákazníkům v několika zemích EHP, mohou a často zpracovávají osobní údaje. V takovém přeshraničním případě musí být příslušným orgánem země hlavní provozovny on-line maloobchodníka („zásadní místo podnikání“).
Jakmile zjistíte, který Úřad pro ochranu osobních údajů (Data Protection Authority – DPA) je vedoucí, musíte komunikovat pouze s ním. Vedoucí orgán pro ochranu údajů spolupracuje a účastní se jednání s dalšími dotčenými orgány pro ochranu osobních údajů v EHP.
Pokud je třeba stížnost s přeshraničním prvkem vyřídit v rámci spolupráce s jiným orgánem pro ochranu údajů, přijmou se tato opatření spolupráce:
- Pokud stížnost obdrží jiný orgán pro ochranu údajů, je povinen o případu informovat vedoucí orgán pro ochranu údajů
- Dotčený orgán pro ochranu údajů se může podílet na vypracování rozhodnutí o stížnosti
- Při přípravě rozhodnutí musí hlavní orgán pro ochranu údajů zohlednit stanovisko dotčeného orgánu pro ochranu údajů.
Určení vedoucího orgánu pro ochranu údajů
Hlavní pojmy
Přeshraniční zpracování osobních údajů
Podle obecného nařízení o ochraně osobních údajů je určení vedoucího orgánu pro ochranu údajů relevantní pouze pro organizace, které provádějí přeshraniční zpracování osobních údajů.
Nařízení o ochraně osobních údajů definuje „přeshraniční zpracování“ buď jako:
- zpracování osobních údajů, které probíhá ve více než jedné zemi EHP, pokud je správce nebo zpracovatel usazen ve více než jedné zemi EHP
nebo - zpracování osobních údajů, které probíhá v jediné provozovně organizace v EHP, ale které podstatně ovlivňuje nebo pravděpodobně podstatně ovlivní fyzické osoby ve více než jedné zemi EHP
V praxi
- To znamená, že pokud má organizace provozovny například v Německu a Chorvatsku, a zpracování osobních údajů probíhá v rámci jejích činností, bude se jednat o přeshraniční zpracování.
- Alternativně může mít organizace provozovnu pouze v Německu. Pokud se však jeho činnost zpracování podstatně dotýká – nebo pravděpodobně dotkne – fyzických osob v Německu a Chorvatsku, bude to rovněž představovat přeshraniční zpracování.
Pochopení pojmu „podstatně ovlivňuje“
Skutečnost, že organizace zpracovává v několika zemích EHP určité množství – byť velké – osobních údajů fyzických osob, nutně neznamená, že zpracování má nebo pravděpodobně bude mít podstatný účinek. Zpracování s malým nebo žádným účinkem nepředstavuje přeshraniční zpracování bez ohledu na to, kolik fyzických osob je jím dotčeno.
Orgány pro ochranu údajů budou vykládat pojem „podstatně ovlivňuje“ případ od případu. Zohlední kontext zpracování, druh údajů, účel zpracování a faktory, jako je to, zda zpracování:
- způsobuje nebo může způsobit jednotlivcům škodu, ztrátu nebo utrpení
- má nebo pravděpodobně bude mít skutečný účinek, pokud jde o omezení práv jednotlivců nebo odepření příležitosti
- ovlivňuje nebo pravděpodobně ovlivní zdraví, pohodu nebo duševní pohodu jednotlivců
- ovlivňuje nebo může ovlivnit finanční nebo ekonomické postavení nebo situaci jednotlivců
- vystavuje jednotlivce otevřené diskriminaci nebo nespravedlivému zacházení
- zahrnuje analýzu zvláštních kategorií osobních nebo jiných rušivých údajů, zejména pak osobních údajů dětí
- způsobuje nebo může způsobit, že jednotlivci významným způsobem změní své chování
- má nepravděpodobné, neočekávané nebo nežádoucí důsledky pro jednotlivce
- vytváří bezradnost nebo má jiné negativní dopady, včetně poškození pověsti nebo
- zahrnuje zpracování široké škály osobních údajů
Vedoucí orgán pro ochranu osobních údajů
Jednoduše řečeno, „vedoucím orgánem pro ochranu osobních údajů“ nebo „vedoucím orgánem pro ochranu osobních údajů“ je orgán pro ochranu osobních údajů s primární odpovědností za řešení přeshraniční činnosti zpracování údajů.
Například pokud jednotlivec podá stížnost na zpracování svých osobních údajů. Vedoucí orgán pro ochranu osobních údajů bude koordinovat veškerá vyšetřování a spolupracovat s „dotčenými“ orgány pro ochranu osobních údajů. Určení hlavního orgánu pro ochranu údajů závisí na určení místa „hlavní provozovny“ nebo „jediné provozovny“ správce osobních údajů v EU.
Je-li organizace usazena pouze v jedné zemi EHP, má v EHP jedinou provozovnu a vedoucím orgánem pro ochranu údajů bude orgán pro ochranu údajů této země.
Je-li organizace usazena ve více než jedné zemi EHP, je nutné určit její hlavní provozovnu, aby bylo možné určit hlavní orgán pro ochranu údajů.
Přečtěte si více
Hlavní provozovna
Aby bylo možné určit, kde se nachází hlavní provozovna, je nejprve nutné určit umístění ústřední správy organizace v EHP („místo ústřední správy; ústředí“), pokud existuje. Jedná se o místo, kde jsou přijímána rozhodnutí o účelech a prostředcích zpracování osobních údajů.
V případech, kdy jsou rozhodnutí týkající se různých činností přeshraničního zpracování přijímána v rámci ústřední správy, bude v EHP existovat jediný hlavní orgán pro ochranu údajů pro různé činnosti zpracování údajů prováděné nadnárodní společností. Mohou však nastat případy, kdy jiná provozovna, než místo ústřední správy přijímá samostatná rozhodnutí týkající se účelů a prostředků konkrétní činnosti zpracování osobních údajů. V těchto situacích bude nezbytné, aby společnosti přesně určily, kde jsou přijímána rozhodnutí o účelu a prostředcích zpracování. Správná identifikace hlavní provozovny je v zájmu správců a zpracovatelů údajů, protože poskytuje jasnost, pokud jde o to, s jakým orgánem pro ochranu osobních údajů se musí vypořádat, pokud jde o jejich různé povinnosti v oblasti dodržování předpisů podle obecného nařízení o ochraně osobních údajů.
Přečtěte si více
V praxi
- Prodejce oděvů má své sídlo (tj. „místo ústřední správy“) v bulharské Sofii. Má provozovny v různých dalších zemích EHP, které jsou v kontaktu s jednotlivci. Všechny provozovny používají ke zpracování osobních údajů zákazníků pro marketingové účely stejný software. Veškerá rozhodnutí o účelech a prostředcích zpracování osobních údajů zákazníků pro marketingové účely jsou přijímána v sídle společnosti v Sofii. To znamená, že hlavním orgánem společnosti pro ochranu osobních údajů pro tuto přeshraniční činnost zpracování je bulharský orgán pro ochranu osobních údajů.
Organizace neusazené v EHP
Pokud vaše organizace není usazena v EHP, ale vztahuje se na ni obecné nařízení o ochraně osobních údajů, neboť spadá do územní působnosti obecného nařízení o ochraně osobních údajů, může být nutné jmenovat zástupce v jedné ze zemí EHP.
Pokud však organizace nemá provozovnu v EHP, pouhá přítomnost zástupce v jedné ze zemí EHP nevede k aktivaci systému „jednotného kontaktního místa“. To znamená, že organizace, které nemají provozovnu v EHP, musí jednat s místními úřady pro ochranu osobních údajů v každé zemi EHP, v níž působí, prostřednictvím svého místního zástupce.
Přečtěte si více
Úloha Evropského sboru pro ochranu osobních údajů
EDPB je nezávislý evropský subjekt s právní subjektivitou, který přispívá k jednotnému uplatňování pravidel ochrany osobních údajů v celém EHP a podporuje spolupráci mezi orgány EHP pro ochranu údajů. Evropský sbor pro ochranu osobních údajů se skládá z vedoucích úřadů pro ochranu osobních údajů a evropského inspektora ochrany údajů (EIOÚ) nebo jejich zástupců.
Další informace o Evropském sboru pro ochranu osobních údajů
V rámci Evropského sboru pro ochranu osobních údajů spolupracují úřady pro ochranu osobních údajů na:
- poskytování obecných pokynů (včetně pokynů, stanovisek, doporučení a osvědčených postupů) k právním předpisům o ochraně osobních údajů, zejména k obecnému nařízení o ochraně osobních údajů
- poskytování poradenství Evropské komisi ve všech otázkách týkajících se ochrany osobních údajů a nových navrhovaných právních předpisů v EU
- přijímání rozhodnutí o konzistentnosti a stanoviska v přeshraničních případech ochrany údajů
Namísto odpovědí na konkrétní, individuální žádosti vydává EDPB obecné pokyny.
EDPB přijal několik pokynů, které jsou přímo relevantní pro společnosti, včetně malých a středních podniků. Tyto pokyny objasňují různé pojmy obecného nařízení o ochraně osobních údajů, jako jsou základní zásady zpracování, ‚návrh a nastavení‘ ochrany osobních údajů, mezinárodní předávání údajů a práva subjektů údajů.
Přehled těchto dokumentů naleznete zde.
Mechanismus jednotnosti
Mechanismus jednotnosti může mít přímý dopad na malé a střední podniky. Mechanismus jednotnosti může být v první řadě aktivován, pokud vedoucí orgán pro ochranu údajů a dotčené orgány pro ochranu údajů nemohou dosáhnout konsenzu ohledně konkrétního přeshraničního případu. V takových případech bude případ postoupen Evropskému sboru pro ochranu osobních údajů, který přijme závazné rozhodnutí o urovnání sporu.
Kromě toho EDPB vydává stanoviska ke konzistentnosti některých návrhů rozhodnutí vypracovaných úřady pro ochranu osobních údajů v EHP, která mají přeshraniční účinky (např. k novému souboru standardních smluv nebo ke kodexům chování).
EDPB může rovněž vydávat stanoviska týkající se souladu v jakékoli záležitosti s obecnou působností obecného nařízení o ochraně osobních údajů nebo v jakékoli záležitosti s účinkem ve více než jedné zemi EHP. Cílem této práce je zajistit, aby obecné nařízení o ochraně osobních údajů bylo v různých zemích EHP chápáno a uplatňováno jednotně.