Dozorový úřad je nezávislý orgán veřejné moci, jež je pověřen monitorováním uplatňování GDPR – každý členský stát je povinen stanovit alespoň jeden takový úřad, přičemž dozorovým úřadem pro Českou republiku je Úřad pro ochranu osobních údajů. Stížnosti, které lze k těmto dozorovým úřadům podávat, jsou cenným nástrojem prosazování ochrany osobních údajů, protože se jejich prostřednictvím dozorové orgány často dozvídají o porušování pravidel zpracování osobních údajů, jakož i o dalších skutečnostech, jež s uplatňováním GDPR souvisí.
GDPR nicméně upravuje proces vyřizování těchto stížností poměrně stručně – v rozsahu, v jakém GDPR proces vyřizování stížností neupravuje, používají dozorové úřady své vnitrostátní předpisy, což zásadně vede k tomu, že se procesy vyřizování stížností u jednotlivých dozorových úřadů liší. To může být problematické především v případech, kdy spolu musí spolupracovat více dozorových úřadů, zejména v souvislosti s tzv. přeshraničním zpracováním osobních údajů, tedy v případech, kdy jsou údaje zpracovávány ve více členských státech nebo v případech, kdy mohou zpracováním být dotčeny subjekty z více členských států. V červenci 2023 proto přijala Evropská komise návrh nového procesního nařízení k GDPR, které by mělo proces vyřizování stížností podávaných v souvislosti s přeshraničním zpracováním osobních údajů sjednotit na úrovni Evropské unie[2]. K návrhu Komise přijal Evropský parlament v dubnu 2023 pozměňovací návrhy[3] a v červnu 2023 se na svém postoji k procesnímu nařízení k GDPR dohodla i Rada EU[4].
Na jaké situace by mělo procesní nařízení k GDPR dopadat?
Proces vyřizování stížností podle GDPR v situaci, kdy nedochází k přeshraničnímu zpracování osobních údajů, by neměl být plánovaným procesním nařízením k GDPR dotčen – pro vyřizování stížnosti v tomto případě zpravidla nepřipadá v úvahu více dozorových úřadů. Stěžovatel tak prostě podá stížnost u „svého“ dozorového úřadu, který věc vyřídí postupem podle GDPR a podle svých vnitrostátních předpisů.
Jsou-li nicméně osobní údaje zpracovávány „přeshraničně“, připadá pro vyřízení stížnosti teoreticky v úvahu více dozorových úřadů. Aby nedošlo k tomu, že bude jednu stížnost vyřizovat paralelně několik dozorových úřadů najednou, zavedlo GDPR tzv. „One stop shop“ pravidlo, jehož podstata tkví v tom, že se dozorové úřady v každém konkrétním případě rozdělují na úřady vedoucí a úřady dotčené. Pravidla určování toho, jaký subjekt je v konkrétním případě vedoucím či dotčeným dozorovým úřadem, obsahuje GDPR[5]. Vedoucí úřad je zjednodušeně autoritou, která celý proces vyřizování stížnosti vede a dotčený úřad je úřad povinný poskytnout vedoucímu úřadu spolupráci. Tuto spolupráci mezi dozorovými úřady GDPR příliš detailně neřeší, což i s ohledem na to, že každý dozorový úřad subsidiárně postupuje podle svých vnitrostátních předpisů, může vést k zdlouhavosti a neefektivitě vyřizování stížností, a právě tuto oblast by mělo nové procesní nařízení k GDPR především upravit.
Pro úplnost je třeba uvést, že ač GDPR to, co je přeshraničním zpracováním stanoví, je možné, že nové procesní nařízení k GDPR tento pojem rozšíří a nová pravidla se budou vztahovat i na situace, které se podle momentální úpravy za přeshraniční zpracovávání nepovažují.
Jaké změny lze od procesního nařízení k GDPR očekávat?
Jak je uvedeno výše, momentálně jsou k dispozici v zásadě tři varianty toho, jak by mohlo nové nařízení vypadat – existuje návrh Komise, Parlamentu a Rady.
Všechny varianty nového nařízení počítají se zachováním „One stop shop“ pravidla, jež je popsáno výše a rovněž předpokládají, že budou zavedeny lhůty pro jednotlivé kroky tak, aby nebyl proces vyřizování stížností nepřiměřeně dlouhý. V tom, jak dlouhé lhůty by měly být zavedeny a pro které konkrétní kroky by měly lhůty platit, se názory jednotlivých orgánů EU liší.
Nad rámec zakotvení lhůt počítají všechny varianty se zavedením dalších mechanizmů, které by měly celý proces vyřizování stížností urychlit – měla by být například zavedena možnost smíru mezi stěžovatelem a mezi vyšetřovanou stranou (tedy tím, na koho byla stížnost podána). Dalším navrhovaným řešením, které by mělo vést ke zkrácení procesu vyřizování stížností je například to, že v počátcích řízení by měl vedoucí úřad vydávat dokument s názvem „Shrnutí klíčových otázek“, jehož účelem je, aby si všichni, kdo se řízení účastní, již v počátku vyjasnili základní východiska a sporné otázky, což by mělo ušetřit čas v pozdějších stádiích řízení.
Všechny varianty procesního nařízení k GDPR počítají s intenzivnějším zapojením Evropského sboru pro ochranu osobních údajů (EDPB).
Žádný z návrhů nezasahuje do práv, která jsou stávající úpravou garantována subjektům údajů. Naopak ve všech návrzích jsou explicitně zmíněna práva na obhajobu, jež by měla zahrnovat práva na přístup ke spisu, právo vyjádřit se i právo být vyslechnut.
S ohledem na rozsáhlost a odlišnost všech tří návrhů je nicméně jakákoliv snaha o určení budoucího obsahu procesního nařízení k GDPR pouhou spekulací. Jako v rámci každého legislativního procesu dochází postupně ke změnám, které mohou být i zásadního charakteru a i východiska, která se zdála z prvního návrhu Komise jako daná, se nemusí do konečného znění vůbec propsat. Pro příklad – ačkoliv první návrh Komise předpokládal zavedení jednotného formuláře pro podávání stížností, z návrhu Evropského parlamentu, a i z návrhu Rady se zdá, že od tohoto záměru bylo ustoupeno. Přestože nové nařízení pravděpodobně nebude obsahovat povinnou formu stížnosti, zdá se, že bude obsahovat minimální náležitosti, které bude muset stížnost obsahovat.
Přijetím nového procesního nařízení k GDPR by měla být každopádně zavedena jednotná a transparentní pravidla vyřizování stížností souvisejících s přeshraničním zpracováním osobních údajů. Nová pravidla by měla urychlit vyřizování stížností a měla by dát k dispozici nové instituty, které právní úprava vyřizování stížností podle GDPR dosud neznala. Jak bude konkrétně vypadat proces vyřizování stížností po přijetí nového nařízení lze momentálně nicméně pouze odhadovat a pro konkrétnější představu bude třeba počkat na přijetí platného znění nařízení.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dostupné zde
[2] Tisková zpráva; Ochrana údajů: Komise přijala nová pravidla k zajištění důslednějšího prosazování obecného nařízení o ochraně osobních údajů (GDPR) v přeshraničních případech, dostupné zde
[3] Pozměňovací návrhy přijaté Evropským parlamentem dne 10. dubna 2024 k návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví další procesní pravidla týkající se prosazování nařízení (EU) 2016/679 (COM(2023)0348 – C9-0231/2023 – 2023/0202(COD)), dostupné zde
[4] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down additional procedural rules relating to the enforcement of Regulation (EU) 2016/679, dostupné zde
[5] Evropský sbor pro ochranu osobních údajů k určování vedoucího dozorového úřadu vydal Pokyny 8/2022 pro určení vedoucího dozorového úřadu správce nebo zpracovatele, dostupné zde
Diskuze k článku ()