Úřad pro ochranu osobních údajů
Úřad pro ochranu osobních údajů
Rakouský úřad pro ochranu osobních údajů (DSB) je ústředním dozorovým orgánem pro ochranu osobních údajů v Rakousku. Kontroluje dodržování obecného nařízení o ochraně osobních údajů (GDPR) a rakouského zákona o ochraně osobních údajů (DSG), rozhoduje o stížnostech, zahajuje řízení o přezkumu, ukládá sankce a zastupuje Rakousko v Evropském sboru pro ochranu osobních údajů. Jejím úkolem je zajišťovat základní práva, předcházet zneužívání a zavazovat společnosti a úřady k dodržování povinností v oblasti ochrany osobních údajů.
Úřad pro ochranu osobních údajů je státní dozorový úřad pro ochranu osobních údajů v Rakousku.
Úkoly a pravomoci
Úřad pro ochranu osobních údajů vykonává širokou škálu činností, které slouží k ochraně osobních údajů:
- Zpracování stížností dotčených osob
- Provádění úředních přezkumů
- Rozhodování ve správních trestních řízeních a ukládání pokut
- Přijímání a kontrola oznámení o porušení ochrany osobních údajů (Data Breaches)
- Schvalovací řízení, například pro kodexy chování nebo certifikační orgány
- Stanoviska k návrhům zákonů
Je tak ústřední kontaktní osobou pro dotčené osoby, společnosti i pověřence pro ochranu osobních údajů.
Definice ochrany osobních údajů
Ochrana osobních údajů je základní právo samostatně rozhodovat o tom, kdo bude zpracovávat jaké informace o člověku. Osobní údaje jsou veškeré údaje, které se vztahují ke konkrétní osobě nebo osobu identifikují, jako je jméno, adresa, telefonní číslo, e-mailová adresa, ale také fotografie, IP adresy nebo údaje o zdravotním stavu.
Ochrana osobních údajů neznamená, že se nesmějí zpracovávat žádné údaje. Znamená to, že zpracování je povoleno pouze za jasných zákonných podmínek a že dotčené osoby mají rozsáhlá práva. Tato práva chrání před zneužitím a dávají možnost vykonávat kontrolu nad vlastními údaji.
Práva dotčených osob
Každá osoba může od úřadu pro ochranu osobních údajů požadovat, aby byla respektována její základní práva. GDPR k tomu stanoví jasný soubor práv:
- Právo na informace: Před každým zpracováním údajů musí být dotčené osoby jasně a úplně informovány.
- Právo na přístup: Každá dotčená osoba má právo zjistit, jaké údaje jsou uloženy a za jakým účelem.
- Právo na opravu a výmaz: Nesprávné údaje musí být opraveny, nepřípustné údaje musí být vymazány.
- Právo na omezení zpracování: Za určitých podmínek smí být zpracování pokračováno pouze v omezeném rozsahu.
- Právo na námitku: Proti určitému zpracování údajů lze kdykoli vznést námitku.
- Právo na přenositelnost údajů: Dotčené osoby mohou požadovat, aby jejich údaje byly přeneseny v běžném formátu jim samotným nebo jiné společnosti.
- Právo na ochranu před automatizovaným rozhodováním: Nikdo by neměl být znevýhodněn výhradně na základě automatizovaných postupů.
Tato práva nejsou pouze teoretická, ale lze je prosadit – v případě potřeby v řízení o stížnosti před úřadem pro ochranu osobních údajů.
Povinnosti společností
Společnosti a úřady jsou povinny zavést ochranu osobních údajů nejen na papíře, ale i prakticky. Mezi základní povinnosti patří:
- Právní základ zpracování: Každé zpracování údajů musí být založeno na zákonném základě, například na souhlasu nebo smlouvě.
- Povinnosti transparentnosti: Dotčené osoby musí být jasně informovány o tom, co se děje s jejich údaji.
- Technická a organizační opatření (TOM): IT bezpečnost a organizační procesy musí být navrženy tak, aby byly údaje chráněny před ztrátou, zneužitím nebo neoprávněným přístupem.
- Evidence činností zpracování: Společnosti musí srozumitelně dokumentovat, jaké údaje zpracovávají.
- Hlášení případů porušení ochrany osobních údajů: Bezpečnostní incidenty musí být do 72 hodin nahlášeny úřadu pro ochranu osobních údajů.
- Provádění posouzení vlivu na ochranu osobních údajů: U rizikových zpracování musí být provedena podrobná analýza.
Porušení ochrany osobních údajů
Podle GDPR dochází k porušení ochrany osobních údajů, pokud v důsledku nedostatečného zabezpečení dojde k neoprávněné změně, výmazu, zpřístupnění nebo ztrátě údajů. K tomu může dojít v důsledku:
- Zničení, ztráty nebo změny osobních údajů
- Neoprávněného přístupu nebo zpřístupnění – například v důsledku hackerských útoků, zaslání datových nosičů nesprávným příjemcům nebo nezabezpečeného uložení
- Náhodného zpřístupnění údajů – např. v důsledku nezabezpečeného uložení nebo přenosu
- To platí bez ohledu na to, zda k incidentu došlo úmyslně nebo neúmyslně
Příklady, které mohou představovat takové porušení:
- Ztráta dat v důsledku nezašifrovaných souborů nebo USB disků
- Hackerský útok na databáze zákazníků
- Chybně zaslané e-maily s osobními údaji
- Náhodně veřejně přístupné osobní dokumenty
Tyto skutečnosti mohou vést přímo k rizikům, včetně krádeže identity, poškození pověsti nebo finančních škod pro dotčené osoby
Řízení před úřadem pro ochranu osobních údajů
Řízení před úřadem pro ochranu osobních údajů je formalizované a může mít různé podoby:
Řízení o stížnosti
Dotčené osoby mohou podat stížnost u úřadu pro ochranu osobních údajů, pokud se domnívají, že někdo nezákonně zpracovává jejich osobní údaje. Toto řízení je poměrně snadno dostupné.
Průběh:
- Dotčená osoba podá písemnou stížnost – buď prostřednictvím formuláře, e-mailem nebo poštou.
- Úřad pro ochranu osobních údajů přezkoumá, zda je stížnost formálně přípustná.
- Odpůrce stížnosti – většinou společnost nebo úřad – je vyzván, aby se k ní vyjádřil.
- Následuje zjišťování skutkového stavu, případně s doplňujícími otázkami nebo slyšeními.
- Na konci stojí rozhodnutí úřadu pro ochranu osobních údajů, kterým stížnost buď zamítne, nebo jí vyhoví a nařídí nápravná opatření.
Pro dotčené osoby je toto řízení nejdůležitější možností, jak prosadit svá práva vyplývající z GDPR.
Úřední přezkumy
Úřad pro ochranu osobních údajů není závislý pouze na stížnostech, ale může jednat i z úřední povinnosti. K tomu dochází zejména tehdy, pokud existují náznaky systematického porušování nebo bezpečnostních mezer.
Zvláštnosti:
- Řízení začíná bez návrhu dotčené osoby.
- Oznamující osoby nemají postavení strany a nejsou informovány o výsledku.
- Úřad pro ochranu osobních údajů samostatně přezkoumá, zda došlo k porušení, a případně nařídí opatření.
Úřední přezkumy mají silný preventivní účinek, protože zvyšují tlak na společnosti a úřady, aby zajišťovaly ochranu osobních údajů nejen reaktivně, ale i průběžně.
Správní řízení
Pokud úřad pro ochranu osobních údajů zjistí porušení, může zahájit správní trestní řízení. Cílem je zavázat společnosti a veřejné orgány, aby odstranily porušení a uložily citelné sankce.
Možné sankce jsou:
- Pokuty až do výše 20 milionů eur nebo 4 % celosvětového ročního obratu,
- Nařízení k zastavení nebo úpravě zpracování údajů,
- Varování a požadavky.
Výše pokuty se řídí závažností, trváním a úmyslností porušení. Role hrají i dřívější porušení nebo kooperativní chování v řízení.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Opravné prostředky
Rozhodnutí úřadu pro ochranu osobních údajů se vydávají formou rozhodnutí. Proti těmto rozhodnutím mají dotčené osoby možnost odvolání k Spolkovému správnímu soudu (BVwG).
- BVwG přezkoumá rozhodnutí z právního i faktického hlediska.
- Proti jeho rozhodnutí je za určitých okolností možné podat kasační stížnost ke Správnímu soudnímu dvoru (VwGH) nebo ústavní stížnost k Ústavnímu soudu (VfGH).
Tím je zajištěno, že rozhodnutí úřadu pro ochranu osobních údajů podléhají vícestupňovému soudnímu přezkumu.
Vyberte si preferovaný termín:Bezplatná úvodní konzultaceMezinárodní rozměr
Ochrana osobních údajů již není vnitrostátní záležitostí. Úřad pro ochranu osobních údajů spolupracuje s dalšími evropskými dozorovými úřady a je součástí Evropského sboru pro ochranu osobních údajů (EDSA). Podílí se na přeshraničních případech, odsouhlasuje rozhodnutí v rámci mechanismu soudržnosti a zaujímá stanoviska k mezinárodním přenosům údajů, například do USA.
Svoboda informací
Kromě ochrany osobních údajů nabývá na významu i svoboda informací. S novým zákonem o svobodě informací (IFG) převezme úřad pro ochranu osobních údajů v budoucnu roli kontaktní osoby pro otázky transparentnosti a přístupu k úředním informacím.
Tyto povinnosti nejsou volitelné. Jejich nedodržování pravidelně vede k vyšetřování a v krajním případě k citelným pokutám.
Vaše výhody s právní podporou
Řízení před úřadem pro ochranu osobních údajů je spojeno s nemalými výzvami jak pro dotčené osoby, tak pro společnosti. Dotčené osoby riskují, že svá práva bez odborné pomoci plně neprosadí. Společnosti se zase potýkají nejen s vysokými pokutami, ale i s poškozením image a nákladnými úpravami svých procesů. Kromě toho jsou řízení silně formalizovaná a obsahují komplexní právní požadavky, které je bez odborné pomoci obtížné zvládnout.
Právní doprovod specializované advokátní kanceláře poskytuje jistotu a zajišťuje, že vaše zájmy budou od počátku profesionálně zastupovány. Profitujete z fundovaných zkušeností v oblasti práva ochrany osobních údajů a důsledného zastupování vůči úřadu.
- přezkoumá, zda je dané právní téma ve vašem případě použitelné
- doprovází vás celým řízením, resp. vyřízením
- zajišťuje právně bezpečnou koncepci a realizaci všech nezbytných kroků
- podporuje při výpočtu, prosazování nebo odvracení nároků
- chrání vaše práva a zájmy vůči všem zúčastněným
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
