Za první půlku letošního roku provedl Úřad pro ochranu osobních údajů (dále jen jako „ÚOOÚ“) 68 kontrol. Jak tyto kontroly probíhají se Vám pokusíme přiblížit v následujícím článku.
Úkony předcházející kontrole
Průběh kontrolního řízení se řídí zákony č. 255/2012 Sb., o kontrole a č. 500/2004 Sb., správní řád. Nazákladě § 3 zákona o kontrole může ÚOOÚ zaslat kontrolované osobě tzv. předkontrolní žádost k součinnosti, v jejímž rámci je osoba obeznámena s důvody této žádosti a zároveň dostává šanci potenciální protiprávní stav napravit, aniž by došlo k samotné kontrole vedené inspektory ÚOOÚ na ochranu osobních údajů. Tento nástroj je ze strany ÚOOÚ hojně využíván.
Zahájení kontroly
Oznámení o kontrole může být dvojího druhu. Může se jednat o zaslání oznámení poštou či datovou schránku nebo o osobní předání na místě při zahájení kontroly. Tato druhá možnost je ovšem značně nepravděpodobná, ÚOOÚ ji využil jen jednou za posledních 10 let. Oznámení obsahuje důvod kontroly, tedy jestli byla zahájena na základě stížnosti či je součástí kontrolního plánu ÚOOÚ. Dále předmět kontroly a seznam osob, které budou kontrolu provádět. Jak předmět, tak kontrolní tým lze v průběhu kontroly rozšířit s tím, že je nutné kontrolovanou osobu řádně informovat. Samotnou kontrolu řídí jeden ze 7 inspektorů, které jmenuje prezident republiky na návrh Senátu. Součástí oznámení pak může být i seznam dokumentů, které je kontrolovaná osoba povinna zaslat na ÚOOÚ. Dané dokumenty se buď pošlou před zahájením kontroly nebo se předají v rámci ústního jednání.
Ústní jednání a místní šetření
V případě, kdy je ústní jednání naplánované již v rámci úvodního oznámení o kontrole (je určeno místo a čas), uvede ÚOOÚ seznam dokumentů či prostor, které chce zpřístupnit. S tím souvisí i požadavek na účast jak oprávněných zástupců kontrolované osoby, která je nutná při kontrole zmíněných prostor, tak i osob nápomocných kontrole (př. při kontrole informačních systémů je nutná přítomnost zaměstnance IT oddělení kontrolované osoby). Oprávněnou osobou jednat za kontrolovaného je buď statutární orgán nebo osoby jím pověřené.
Termín ústního jednání a místního šetření se oznamuje nejméně 14 dní předem, aby byl dostačený čas na doručení oznámení a přípravu pro kontrolované osoby na stanovené jednání. Zároveň se zpravidla uvádí, že pokud daný termín kontrolované osobě nevyhovuje, ať to oznámí ÚOOÚ, a to prostřednictvím kontaktní osoby ÚOOÚ, která je v oznámení uvedena.
Co když není termín ústního jednání a místního šetření daný?
Pokud v oznámení není uveden termín ústního jednání, pak se jedná pouze o žádost o součinnost – tedy vyžádání si informací a dokumentů, které má kontrolovaná osoba v rámci kontroly ÚOOÚ zaslat. Zpravidla je tak nutné učinit ve lhůtě 14 dní, která je stanovena v oznámení. Jedná-li se o věc složitou, může být termín delší.
Pokud je kontrola zahájena a vedena zatím bez ústního jednání a šetření na místě, může být kdykoliv během kontroly takové jednání stanoveno, opět nejméně se 14 denním předstihem. Kontrolovaná osoba může být v rámci kontroly opakovaně vyzvána k součinnosti, resp. doplnění podkladů.
Závěr
• Kontrolovaná osoba po oznámení kontroly dostává většinou velkou šanci k nápravě protiprávního jednání, a to ještě dříve, než ke kontrole dojde.
- ÚOOÚ zohledňuje, zda tak kontrolovaná osoba učiní či nikoliv. Je tedy zcela legitimní „horečnatě zjednávat nápravu.“
- Jednání kontrolované osoby po zahájení řízení má pochopitelně vliv i na případnou výši sankce.
Zároveň se posuzuje míra a rozsah zásahu do práv subjektu údajů, počet poškozených subjektů a případně zda se zásah dotýká osobních údajů zvláštní kategorie. Pokud k nápravě nedojde, ÚOOÚ zahájí řízení o uložení opatření k nápravě, které může vést k udělení pokuty.
Pokud si nevíte s uvedenou problematikou rady, neváhejte se obrátit na naši obchodní společnost.