}w !"#$%&'()+,-./012345
Masarykova univerzita Fakulta informatiky
Ochrana osobn´ıch u ´ daj˚ u v informaˇ cn´ıch syst´ emech v kontextu pˇ ripravovan´ ych legislativn´ıch zmˇ en EU ´r ˇska ´ pra ´ ce Bakala
Michal Filipec
Brno, jaro 2013
Shrnut´ı C´ılem pr´ace je zhodnocen´ı souˇcasn´eho stavu ochrany osobn´ıch u ´daj˚ u a pˇredpokl´adan´ y v´ yvoj v t´eto oblasti s d˚ urazem na elektronick´e informaˇcn´ı syst´emy se zamˇeˇren´ım na u ´daje shormaˇzd’ovan´e v oblasti vysok´eho ˇskolstv´ı. Pˇri hodnocen´ı souˇcasn´eho stavu je vych´azeno ze z´akona ˇc. 101/2000 Sb., o ochranˇe osobn´ıch u ´daj˚ u, ve znˇen´ı pozdˇejˇs´ıch pˇredpis˚ u. D´ale jsou hodnoceny technick´e postupy zabezpeˇcen´ı osobn´ıch u ´daj˚ u v informaˇcn´ıch syst´emech. Dalˇs´ı ˇca´st pr´ace pˇredstav´ı anal´ yzu moˇzn´ ych situac´ı, kter´e nastanou ve zkouman´e oblasti pot´e, co vejde vu ´ˇcinnost Naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´av´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u. Konkr´etn´ı potˇreby zmˇen zp˚ usob˚ u nakl´ad´an´ı s osobn´ımi u ´daji, jsou ilustrov´any na Informaˇcn´ım syst´emu Masarykovy univerzity. C´ılem pr´ace je t´eˇz navrhnout postupy, jak splnit nov´a naˇr´ızen´ı s co nejmenˇs´ım poˇctem zmˇen a nejmenˇs´ım vynaloˇzen´ ym u ´sil´ım.
ii
Prohl´ aˇ sen´ı Prohlaˇsuji, ˇze tato bakal´aˇrsk´a pr´ace je m´ ym p˚ uvodn´ım autorsk´ ym d´ılem, kter´e jsem vypracoval samostatnˇe. Vˇsechny zdroje, prameny a literaturu, kter´e jsem pˇri vypracov´an´ı pouˇz´ıval nebo z nich ˇcerpal, v pr´aci ˇra´dnˇe cituji s uveden´ım u ´pln´eho odkazu na pˇr´ısluˇsn´ y zdroj.
iii
Podˇ ekov´ an´ı Za uˇziteˇcn´e pozn´amky k pˇredmˇetu a obsahu t´eto pr´ace dˇekuji vedouc´ımu pr´ace RNDr. Jaroslavu Bayerovi a m´emu konzultantovi JUDr. Jaˇ rom´ırovi Savelkovi. D´ale dˇekuji RNDr. Karlu Neuwirtovi za poskytnut´ı uˇziteˇcn´ ych materi´al˚ u a m´e rodinˇe za podporu pˇri psan´ı t´eto pr´ace.
iv
Kl´ıˇ cov´ a slova ochrana osobn´ıch u ´daj˚ u, z´akon ˇc. 101/2000 Sb., Naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´av´an´ım osobn´ıch u ´daj˚ u, zabezpeˇcen´ı osobn´ıch u ´daj˚ u, IS MU, informaˇcn´ı syst´emy
v
Obsah ´ 1 Uvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Souˇ casn´ y stav . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Z´akladn´ı pojmy . . . . . . . . . . . . . . . . . . . . . . 2.2 Historie . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Ochrana osobn´ıch u ´daj˚ u podle z´akona ˇc. 101/2000 Sb., v platn´em znˇen´ı . . . . . . . . . . . . . . . . . . . . . . ´ rad pro ochranu osobn´ıch u 2.4 Uˇ ´daj˚ u . . . . . . . . . . . . 2.5 Pr´ava a povinnosti uˇzivatel˚ u informaˇcn´ıch syst´em˚ u . . 3 Technick´ e postupy k zajiˇ stˇ en´ı bezpeˇ cnosti osobn´ıch u ´ daj˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Autentizace a internetov´a komunikace . . . . . . . . . . 3.2 Dalˇs´ı prostˇredky ochrany . . . . . . . . . . . . . . . . . 3.3 Bezpeˇcn´e chov´an´ı uˇzivatel˚ u. . . . . . . . . . . . . . . . 4 Pˇ redpokl´ adan´ y stav . . . . . . . . . . . . . . . . . . . . . 4.1 Z´akladn´ı pojmy . . . . . . . . . . . . . . . . . . . . . . 4.2 Oˇcek´avan´ y stav a pˇredpokl´adan´a pozitiva a negativa . 5 Vysok´ eˇ skolstv´ı a Informaˇ cn´ı syst´ em Masarykovy univerzity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Informaˇcn´ı syst´em Masarykovy Univerzity . . . . . . . 6 Z´ avˇ er . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Literatura . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . .
2 4 4 7
. 11 . 17 . 19 . . . . . . .
27 27 31 32 34 35 37
. . . .
44 45 49 50
1
Kapitola 1
´ Uvod ˇ anku 10 n´asleduj´ıc´ı: Listina z´akladn´ıch pr´av a svobod obsahuje v Cl´ Kaˇzd´y m´a pr´avo na ochranu pˇred neopr´avnˇen´ym shro” maˇzd’ov´an´ım, zveˇrejˇ nov´an´ım nebo jin´ym zneuˇz´ıv´an´ım u ´daj˚ u o sv´e osobˇe.“ V souˇcasn´e dobˇe se bez informaˇcn´ıch syst´em˚ u jiˇz neobejdeme. Pouˇz´ıv´a je vˇetˇsina firem, organizac´ı a u ´ˇrad˚ u. Tyto syst´emy maj´ı spoleˇcn´e to, ˇze pracuj´ı s osobn´ımi u ´daji a z´aroveˇ n mus´ı dodrˇzovat urˇcit´e z´asady ochrany tˇechto u ´daj˚ u. Ochranu osobn´ıch u ´daj˚ u upravuje z´akon1 (d´ale jen ZOOU“) o ochranˇe osobn´ıch u ´daj˚ u. Pˇri tvorbˇe tohoto z´akona se ” 2 vych´azelo ze Smˇernice 95/46 Evropsk´e unie (d´ale jen smˇernice EU“). ” Obdobn´a situace nastala ve vˇsech ˇclensk´ ych zem´ı Evropsk´e unie. Kaˇzd´ y ˇ st´at m´a obdobn´ y z´akon jako CR a pˇri tvorbˇe vych´azel z v´ yˇse uveden´e smˇernice EU. I kdyˇz st´aty vych´azely ze stejn´e smˇernice EU, z´akony jednotliv´ ych zem´ı se v urˇcit´ ych ohledech liˇs´ı. Pˇri souˇcasn´ ych snah´ach EU o integraci, je tento fakt ˇcast´ ym probl´emem. Technologie v posledn´ıch letech proˇsly intenzivn´ım v´ yvojem a smˇernice EU z roku 1995 nen´ı na tuto situaci dostateˇcnˇe pˇripravena. To stejn´e by se dalo ˇr´ıci o legislativˇe vˇetˇsiny zem´ı EU, kter´a z t´eto smˇernice EU v´ıce ˇci m´enˇe vych´azela. Vzhledem k tˇemto skuteˇcnostem vydala Rada EU v lednu 2012 N´avrh naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´av´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u, aby sjednotila principy ochrany osobn´ıch u ´daj˚ u a pˇrizp˚ usobila prostˇredky ochrany k souˇcasn´e situaci. 1. Z´ akon ˇc. 101/2000 Sb., o ochranˇe osobn´ıch u ´daj˚ u a o zmˇenˇe nˇekter´ ych z´akon˚ u. 2. Smˇernice Evropsk´eho Parlamentu a Rady 95/46/ES ze dne 24.ˇr´ıjna 1995 o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u.
2
´ 1. Uvod V bakal´aˇrsk´e pr´aci se vˇenuji rozboru souˇcasn´eho stavu ochrany osobn´ıch u ´daj˚ u v informaˇcn´ıch syst´emech a jak tento stav zmˇen´ı naˇr´ızen´ı EU, kter´e by mˇelo b´ yt u ´ˇcinn´e v nejbliˇzˇs´ıch letech. Posledn´ı ˇc´ast pr´ace je vˇenov´ana Informaˇcn´ımu syst´emu Masarykovy univerzity (d´ale jen IS MU“), na kter´em hodnot´ım dopad pˇripravovan´eho pr´avn´ıho r´amce. ”
3
Kapitola 2
Souˇ casn´ y stav 2.1
Z´ akladn´ı pojmy
ZOOU uˇz´ıv´a n´ıˇze uveden´ ych definic. Ty jsou v t´eto pr´aci velmi d˚ uleˇzit´e, protoˇze N´avrh naˇr´ızen´ı EU3 (d´ale jen N´avrh naˇr´ızen´ı“) zav´ad´ı i jin´e ” pojmy ˇci nˇekter´e vynech´av´a a stejn´e pojmy nedefinuje vˇzdy totoˇznˇe. Proto se snaˇz´ım, aby bylo v pr´aci jasn´e pˇri pouˇzit´ı tˇechto pojm˚ u, jestli se jedn´a o definice ze ZOOU nebo N´avrhu naˇr´ızen´ı. V prvn´ı ˇc´asti pr´ace (pokud nen´ı uvedeno jinak) se pˇri pouˇzit´ı nˇekter´eho z n´ıˇze uveden´ ych pojm˚ u jedn´a vˇzdy i o definici k pojmu v t´eto kapitole uvedenou. Definice pouˇz´ıvan´e v N´avrhu naˇr´ızen´ı jsou vysvˇetlen´e v druh´e ˇc´asti pr´ace. 2.1.1 Osobn´ı u ´ daj Jak´akoliv informace t´ykaj´ıc´ı se urˇcen´eho nebo urˇciteln´eho ” subjektu u ´daj˚ u. Subjekt u ´daj˚ u se povaˇzuje za urˇcen´y nebo urˇciteln´y, jestliˇze lze subjekt u ´daj˚ u pˇr´ımo ˇci nepˇr´ımo identifikovat zejm´ena na z´akladˇe ˇc´ısla, k´odu nebo jednoho ˇci v´ıce prvk˚ u, specifick´ych pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturn´ı nebo soci´aln´ı identitu.“ (§ 4 p´ısm. a) ZOOU) Tento z´akon se vztahuje pouze na informace, kter´e dle t´eto definice jsou osobn´ımi u ´daji. Informace o zemˇrel´e osobˇe (pokud se net´ ykaj´ı st´ale ˇzij´ıc´ıch osob) nejsou povaˇzov´any za osobn´ı u ´daje. Mezi nejˇcastˇeji 3. N´ avrh naˇr´ızen´ı Evropsk´eho Parlamentu a Rady ze dne 25.1.2012 o ochranˇe fyzick´ ych osob v souvislosti se zpracov´av´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u (obecn´e naˇr´ızen´ı o ochranˇe u ´daj˚ u).
4
ˇasny ´ stav 2. Souc pouˇz´ıvan´e osobn´ı u ´daje lze zaˇradit jm´eno, pˇr´ıjmen´ı, adresa, datum narozen´ı.4 2.1.2 Citliv´ yu ´ daj Osobn´ı u ´daj vypov´ıdaj´ıc´ı o n´arodnostn´ım, rasov´em nebo ” etnick´em p˚ uvodu, politick´ych postoj´ıch, ˇclenstv´ı v odborov´ych organizac´ıch, n´aboˇzenstv´ı a filozofick´em pˇresvˇedˇcen´ı, odsouzen´ı za trestn´y ˇcin, zdravotn´ım stavu a sexu´aln´ım ˇzivotˇe subjektu u ´daj˚ u a genetick´y u ´daj subjektu u ´daj˚ u; citliv´ym u ´dajem je tak´e biometrick´y u ´daj, kter´y umoˇzn ˇuje pˇr´ımou identifikaci nebo autentizaci subjektu u ´daj˚ u.“ (§ 4 p´ısm. b) ZOOU) ´ rad pro ochranu osobn´ıch u ´ V naˇs´ı historii Uˇ ´daj˚ u (d´ale jen UOOU“) ” ˇreˇsil mnoh´e situace t´ ykaj´ıc´ı se osobn´ıch u ´daj˚ u. Zaj´ımav´ y je nˇekolik ˇ ´ let veden´ y spor s Polici´ı CR. UOOU provedl kontrolu N´arodn´ı datab´aze DNA a zjistil, ˇze v n´ı Policie uchov´avala biometrikc´e u ´daje, kter´e nemˇela. Ze § 79 odst. 1 z´akona o policii5 vypl´ yv´a: Policie m˚ uˇze ” zpracov´avat osobn´ı u ´daje vˇcetnˇe citliv´ych u ´daj˚ u bez souhlasu osoby, j´ıˇz se tyto u ´daje t´ykaj´ı (d´ale jen ”subjekt u ´daj˚ u”), pokud je to nezbytn´e pro plnˇen´ı jej´ıch u ´kol˚ u.“ D´ale v pojmu nezbytnosti lze vych´azet z Doporuˇcen´ı R (92) 1 V´ yboru ministr˚ u ˇclensk´ ych st´at˚ u, kde stoj´ı: V´ysledky ” anal´yzy DNA a informace z nich odvozen´e vˇsak mohou b´yt uchov´any, jestliˇze byl dotˇcen´y jednotlivec odsouzen pro z´avaˇzn´e ˇciny ohroˇzuj´ıc´ı ˇzivot, zdrav´ı nebo bezpeˇcnost osob.“ Proto zjiˇstˇen´e z´aznamy osob, kter´e napˇr. byly zproˇstˇeny ˇzaloby, jednalo se o svˇedky, jednalo se o bagateln´ı ˇciny osob, nemohly b´ yt bez souhlasu osob uchov´av´any.6 4. Ochrana osobn´ıch u ´daj˚ u: vybran´e ot´ azky : pˇr´ıruˇcka pro podnikatele [online]. ´ rad pro ochranu osobn´ıch u Brno: Pro Uˇ ´daj˚ u vydala Masarykova univerzita, 2011, 50 s. [cit. 2013-03-07]. ISBN 978-80-210-5572-8. Dostupn´e z: http://www.uoou.cz/ files/ldv_prirucka_cz.pdf 5. Z´ akon ˇc. 273/2008 Sb., o policii, ve znˇen´ı pozdˇejˇs´ıch pˇredpis˚ u. In: CODEXIS [pr´ avn´ı informaˇcn´ı syst´em]. Atlas Consulting [cit. 29. 4. 2012]. ´ radu pro ochranu osobn´ıch u 6. V´yroˇcn´ı zpr´ ava Uˇ ´daj˚ u za rok 2012 [online]. Masarykova univerzita Brno, 2013 [cit. 2013-03-07]. ISBN 978 - 80 - 210 - 6179 - 8. Dostupn´e z: http://www.uoou.cz/files/vz_2012.pdf
5
ˇasny ´ stav 2. Souc 2.1.3 Subjekt u ´ daj˚ u Fyzick´a osoba, k n´ıˇz se osobn´ı u ´daje vztahuj´ı.“ ” (§ 4 p´ısm. d) ZOOU) 2.1.4 Zpracov´ an´ı osobn´ıch u ´ daj˚ u Jak´akoliv operace nebo soustava operac´ı, kter´e spr´avce ” nebo zpracovatel systematicky prov´adˇej´ı s osobn´ımi u ´daji, a to automatizovanˇe nebo jin´ymi prostˇredky. Zpracov´an´ım osobn´ıch u ´daj˚ u se rozum´ı zejm´ena shromaˇzd’ov´an´ı, ukl´ad´an´ı na nosiˇce informac´ı, zpˇr´ıstupˇ nov´an´ı, u ´prava nebo pozmˇen ˇov´an´ı, vyhled´av´an´ı, pouˇz´ıv´an´ı, pˇred´av´an´ı, ˇs´ıˇren´ı, zveˇrejˇ nov´an´ı, uchov´av´an´ı, v´ymˇena, tˇr´ıdˇen´ı nebo kombinov´an´ı, blokov´an´ı a likvidace.“ (§ 4 p´ısm. e) ZOOU) Pro provozovatele IS je velmi d˚ uleˇzit´ y fakt vych´azej´ıc´ı z § 42 ZOOU, kter´ y za zpracov´an´ı osobn´ıch u ´daj˚ u povaˇzuje podle dosavadn´ıch pˇredpis˚ u samotn´e provozov´an´ı informaˇcn´ıho syst´emu nakl´adaj´ıc´ıho s osobn´ımi u ´daji. 2.1.5 Shromaˇ zd’ov´ an´ı osobn´ıch u ´ daj˚ u Systematick´y postup nebo soubor postup˚ u, jehoˇz c´ılem ” je z´ısk´an´ı osobn´ıch u ´daj˚ u za u ´ˇcelem jejich dalˇs´ıho uloˇzen´ı na nosiˇc informac´ı pro jejich okamˇzit´e nebo pozdˇejˇs´ı zpracov´an´ı.“ (§ 4 p´ısm. f) ZOOU) 2.1.6 Spr´ avce Kaˇzd´y subjekt, kter´y urˇcuje u ´ˇcel a prostˇredky zpracov´an´ı ” osobn´ıch u ´daj˚ u, prov´ad´ı zpracov´an´ı a odpov´ıd´a za nˇej. Zpracov´an´ım osobn´ıch u ´daj˚ u m˚ uˇze spr´avce zmocnit nebo povˇeˇrit zpracovatele, pokud zvl´aˇstn´ı z´akon nestanov´ı jinak.“ (§ 4 p´ısm. j) ZOOU) 6
ˇasny ´ stav 2. Souc 2.1.7 Zpracovatel Kaˇzd´y subjekt, kter´y na z´akladˇe zvl´aˇstn´ıho z´akona nebo ” povˇeˇren´ı spr´avcem zpracov´av´a osobn´ı u ´daje podle tohoto z´akona.“ (§ 4 p´ısm. k) ZOOU) Pokud je zpracovatel povˇeˇren spr´avcem ke zpracov´an´ı osobn´ıch u ´daj˚ u, nest´av´a se spr´avcem, tedy z´akonn´e povinnosti spr´avce nad´ale z˚ ust´avaj´ı spr´avci a na zpracovatele se nevztahuj´ı. Zpracovatel je povinen svˇeˇren´e osobn´ı u ´daje chr´anit. ZOOU v § 4 vymezuje dalˇs´ı pojmy, jsou to pojmy anonymn´ı u ´daj, uchov´av´an´ı, blokov´an´ı a likvidace osobn´ıch u ´daj˚ u. 2.1.8 Rodn´ eˇ c´ıslo V ZOOU nen´ı rodn´e ˇc´ıslo zm´ınˇeno. Vymezuje je z´akon o evidenci obyvatel a rodn´ ych ˇc´ıslech.7 Rodn´e ˇc´ıslo je jednoznaˇcn´ y identifik´ator fyzick´e osoby. Dle ZOOU je rodn´e ˇc´ıslo osobn´ı u ´daj, ale patˇr´ı sp´ıˇse do kategorie citliv´ ych u ´daj˚ u. I kdyˇz dle ZOOU nen´ı probl´em rodn´e ˇc´ıslo zaˇradit do kategorie osobn´ıch u ´daj˚ u, je nutn´e se ˇr´ıdit z´akonem, kter´ y rodn´e ’ ˇc´ıslo vymezuje a tento z´akon rodn´emu ˇc´ıslu zajiˇst uje vyˇsˇs´ı ochranu, neˇz osobn´ımu u ´daji zajiˇst’uje ZOOU. Z hlediska ochrany osobn´ıch u ´daj˚ u m˚ uˇzeme zaˇradit rodn´e ˇc´ıslo mezi osobn´ı u ´daje a citliv´e u ´daje. Spr´avci IS se v praxi snaˇz´ı rodn´e ˇc´ıslo zpracov´avat, protoˇze jakoˇzto jednoznaˇcn´ y identifik´ator fyzick´e osoby se jedn´a o velmi cenn´ y osobn´ı u ´daj. T´ımto jedn´an´ım se ˇcasto dost´avaj´ı do rozporu s vyuˇzit´ım minim´aln´ı nezbytn´e mnoˇziny u ´daj˚ u, kter´a je nutn´a k dosaˇzen´ı u ´ˇcelu (viz z´asada u ´ˇcelovosti v pˇr´ısluˇsn´e ˇca´sti pr´ace).
2.2
Historie
Ochrana osobn´ıch u ´daj˚ u velmi u ´zce souvis´ı s ochranou soukrom´ı, kter´a se s pr´avem na soukrom´ı pomalu vyv´ıjela a nakonec i z nˇej oddˇelila. 7. § 13 Z´ akon ˇc. 133/2000 Sb., o evidenci obyvatel a rodn´ ych ˇc´ıslech a o zmˇenˇe nˇekter´ ych z´ akon˚ u. In: CODEXIS [pr´avn´ı informaˇcn´ı syst´em]. Atlas Consulting [cit. 6. 5. 2012].
7
ˇasny ´ stav 2. Souc Pojem soukrom´ı se v pr´avn´ıch norm´ach vyskytuje dlouhodobˇe, pˇresto definici soukrom´ı nenalezneme.8 Tento, na prvn´ı pohled nedostatek, m´a sv´e od˚ uvodnˇen´ı. Co je soukrom´ı si kaˇzd´ y pˇredstavuje jinak a pohled lid´ı na soukrom´ı se ˇcasto mˇen´ı, takˇze pˇr´ıpadn´a definice soukrom´ı by byla ˇcasto neaktu´aln´ı. Tento fakt dokazuj´ı v souˇcasn´e dobˇe soci´aln´ı s´ıtˇe, na kter´ ych uˇzivatel´e zveˇrejˇ nuj´ı informace, o kter´ ych se d´a tvrdit, ˇze by pˇred nˇekolika lety povaˇzovali za d˚ uleˇzitou souˇc´ast sv´eho soukrom´ı a zveˇrejnˇen´ı tˇechto informac´ı by povaˇzovali za z´asah do soukrom´ı. Pˇekn´ y pˇr´ıklad lze nal´ezt na soci´aln´ı s´ıti Facebook. Uˇzivatel´e zde maj´ı moˇznost nastavit pˇr´ıstupov´a pr´ava ke sv´ ym fotografi´ım. Nˇekteˇr´ı uˇzivatel´e dovol´ı kaˇzd´emu uˇzivateli pˇr´ıstup ke sv´ ym fotografi´ım, jin´ı napˇr. pouze sv´ ym pˇra´tel˚ um. Zde lze pozorovat liˇs´ıc´ı se pohled na soukrom´ı, nˇekteˇr´ı uˇzivatel´e sv´e fotografie urˇcit´ ym zp˚ usobem chr´an´ı a d´a se ˇr´ıci, ˇze je povaˇzuj´ı za souˇc´ast sv´eho soukrom´ı mnohem v´ıce neˇz uˇzivatel´e, kteˇr´ı sv´e fotografie nechaj´ı pˇr´ıstupn´e kaˇzd´emu uˇzivateli. Na t´eto soci´aln´ı s´ıti a jiˇz zm´ınˇen´ ych fotografi´ıch lze pouk´azat i na druh´ y fakt, ˇze lid´e sv˚ uj pohled na soukrom´ı v pr˚ ubˇehu ˇzivota mˇen´ı. Pˇred 10 lety by lid´e asi nezveˇrejˇ novali mnoho fotografi´ı zachycuj´ıc´ı jejich okamˇziky ˇzivota, dnes lid´e uˇz nemaj´ı probl´em, pokud tyto fotografie vid´ı jejich zn´am´ı nebo i ciz´ı ˇclovˇek. Dle pr´avn´ı teorie je na pr´avo na ochranu soukrom´ı moˇzn´e nahl´ıˇzet jako pr´avo fyzick´e osoby rozhodnout podle vlastn´ıho uv´aˇzen´ı ” zda, popˇr. v jak´em rozsahu a jak´ym zp˚ usobem maj´ı b´yt skuteˇcnosti jej´ıho osobn´ıho soukrom´ı zpˇr´ıstupnˇeny jin´ym (pozitivn´ı sloˇzka pr´ava) a z´aroveˇ n se br´anit (vzepˇr´ıt) proti neopr´avnˇen´ym z´asah˚ um do t´eto sf´ery ze strany jin´ych osob s rovn´ym pr´avn´ım postaven´ım (negativn´ı sloˇzka pr´ava).“ ˇ (Knap, K., Svestka, J., Jehliˇcka, O., Pavl´ık, P., Plecit´ y, V.: Ochrana osobnosti, 3. vyd´an´ı, Linde, Praha 1996, str. 288) ´ Veronika. Spr´ 8. ZEHLOVA, avnˇepr´ avn´ı aspekty ochrany osobn´ıch u ´daj˚ u [online]. Brno, 2008 [cit. 2013-03-26]. Diplomov´a pr´ace. Masarykova univerzita. Dostupn´e z: http://is.muni.cz/th/108011/pravf_m/diplomka.pdf.
8
ˇasny ´ stav 2. Souc ˇ se v´ Pr´avo na soukrom´ı poch´az´ı z USA (1850) a v CR yslovn´e u ´pravy doˇckalo v roce 1964 v obˇcansk´em z´akon´ıku demonstrativn´ım v´ yˇctem.9 Hlavn´ı ud´alost´ı bylo pˇrijet´ı Listiny z´akladn´ıch pr´av a svobod10 v 90. letech minul´eho stolet´ı, ve kter´e bylo zakotveno pr´avo na soukrom´ı a soukrom´ y ˇzivot. S pˇrijet´ım Listiny z´akladn´ıch pr´av a svobod a v n´ı zakotven´ ym pr´avem na soukrom´ı, se poprv´e v ˇcesk´em pr´avu tak´e setk´av´ame s pr´avem na ochranu osobn´ıch u ´daj˚ u v ˇcl´anku 10 definovan´em jako pr´avo na ochranu pˇred neopr´avnˇen´ym shromaˇzd’ov´an´ım, zveˇrejˇ nov´a” n´ım nebo jin´ym zneuˇz´ıv´an´ım u ´daj˚ u o svoji osobˇe.“ Dalˇs´ım d˚ uleˇzit´ ym mezn´ıkem byl rok 1992, kdy byl pˇrijat z´akon11 o ochranˇe osobn´ıch u ´daj˚ u v informaˇcn´ıch syst´emech. Tento z´akon byl v dobˇe sv´eho vzniku pˇrevratn´ y, ale vytvoˇril bohuˇzel i urˇcit´e probl´emy. Obsahoval nepˇresn´e definice a mˇel u ´zkou p˚ usobnost. Jako nejvˇetˇs´ı probl´em toho z´akona bylo neefektivn´ı, nˇekdy aˇz nemoˇzn´e, dom´ah´an´ı se pr´av dotˇcen´ ych osob, protoˇze nikdy nebyl zˇr´ızen org´an k ochranˇe osobn´ıch u ´daj˚ u jednotlivc˚ u, i kdyˇz z´akon vznik takov´eho org´anu pˇredpokl´adal.12 D˚ uvod˚ u proˇc vznikly tyto nedostatky m˚ uˇze b´ yt v´ıce, j´a povaˇzuji za hlavn´ı d˚ uvody ˇ nikdy podobn´ fakt, ˇze v CR y z´akon neexistoval a ochrana soukrom´ı mˇela v t´e dobˇe minim´aln´ı tradici. Po rozdˇelen´ı federace tento z´akon st´ale platil a bohuˇzel bˇehem platnosti tohoto z´akona bylo v´ yˇse zm´ınˇen´ ych chyb soukrom´ ymi spoleˇcnostmi zneuˇz´ıv´ano. Z´akon z roku 1992 platil pˇribliˇznˇe 8 let, tedy do roku 2000, kdy pˇriˇsel n´astupce v podobˇe ZOOU a jedn´a se o tzv. harmonizaˇcn´ı pr´avn´ı pˇredpis s pr´avem EU. Vytvoˇren´ı tohoto z´akonu nebylo nutn´e jen d´ıky chyb´am v z´akonˇe z roku 1992, ale tak´e d´ıky naˇs´ı snaze na vstup do EU. Proto se do tvorby tohoto z´akona prom´ıtl jeden ze z´akladn´ıch dokument˚ u v oblasti ochrany osobn´ıch u ´daj˚ u smˇernice EU (tento pˇredpis mus´ı pˇrijmout kaˇzd´ y ˇclensk´ y st´at EU). ´ Veronika. Spr´ 9. ZEHLOVA, avnˇepr´ avn´ı aspekty ochrany osobn´ıch u ´daj˚ u [online]. Brno, 2008 [cit. 2013-03-26]. Diplomov´a pr´ace. Masarykova univerzita. Dostupn´e z: http://is.muni.cz/th/108011/pravf_m/diplomka.pdf. ˇ 10. Usnesen´ı pˇredsednictva CNR ˇc.2/1993 Sb., o vyhl´aˇsen´ı Listiny z´akladn´ıch pr´av ˇ e republiky a svobod jako souˇc´ asti u ´stavn´ıho poˇr´adku Cesk´ 11. Z´ akon ˇc. 256/1992 Sb., o ochranˇe osobn´ıch u ´daj˚ u v informaˇcn´ıch syst´emech. ˇ ´ID, Vladim´ır. Ochrana osobn´ıch u 12. SM ´daj˚ u a informaˇcn´ı syst´emy - dva roky v nov´ ych podm´ınk´ ach. Vladimir Smid [online]. 2002 [cit. 2013-05-12]. Dostupn´e z: http://www.fi.muni.cz/smid/ts02od.html
9
ˇasny ´ stav 2. Souc Historie osobn´ıch u ´daj˚ u v EU sah´a hloubˇeji neˇz ta ˇcesk´a, pˇresto je nutn´e tuto oblast br´at i na mezin´arodn´ım poli jako relativnˇe novou. V 70. letech minul´eho stolet´ı zaˇcaly postupnˇe evropsk´e demokratick´e zemˇe pˇrij´ımat nˇekter´e z´akony k ochranˇe osobn´ıch u ´daj˚ u, hlavnˇe d´ıky rozvoji v´ ypoˇcetn´ı techniky. V roce 1981 byla pˇrijata (ratifikov´ana) teh´ dejˇs´ımi ˇclensk´ ymi st´aty Umluva ˇc. 10813 . Tato u ´mluva byla tak´e raˇ a to Poslaneckou snˇemovnou v roce 2001 a pro pˇrijet´ı tifikov´ana CR t´eto u ´mluvy hlasovali vˇsichni tehdy pˇr´ıtomn´ı poslanci.14 Jej´ı v´ yznam je patrn´ y z toho, ˇze byla v´ ychodiskem pˇri tvorbˇe mnoha mezin´arodn´ıch dokument˚ u, kter´e upravovaly podobnou problematiku. Nutn´e je ˇr´ıci, ˇze slouˇzila i pro tvorbu z´akona ˇc. 256/1992 Sb., ale nebylo dosaˇzeno takov´e harmonizace jako u ZOOU a smˇernice EU.
V souˇcasn´e dobˇe nejd˚ uleˇzitˇejˇs´ı pˇredpis v EU upravuj´ıc´ı problematiku ochrany osobn´ıch u ´daj˚ u je jiˇz v´ yˇse zm´ınˇen´a smˇernice EU, kter´a je sice d˚ uleˇzit´a a pˇr´ınosn´a, ale velmi obs´ahl´a, pˇr´ısn´a a pro kandid´aty na vstup do EU ˇcasto tˇeˇzce aplikovateln´a.15 Smˇernice EU upravuje d˚ uleˇzit´e body ochrany osobn´ıch u ´daj˚ u (napˇr. podm´ınky pˇred´av´an´ı osobn´ıch u ´daj˚ u do tˇret´ıch zem´ı, vytvoˇren´ı org´anu dozoru), pˇresto ji v pr´aci pˇr´ımo hloubˇeji ˇ je rozumnˇejˇs´ı prozkoumat ZOOU, kter´ nerozeb´ır´am. Pro situaci v CR y ze smˇernice EU vych´az´ı.
´ 13. Umluva Rady Evropy o ochranˇe osob se zˇretelem na automatizovan´e zpracov´an´ı osobn´ıch dat ˇc. 108 ˇ ˇ 14. PCR, PS 1998-2002, 34. sch˚ uze, ˇc´ast 216 (28. 2. 2001). In: PCR, PS 19982002, 34. sch˚ uze, ˇc´ ast 216 (28. 2. 2001) [online]. 2001 [cit. 2013-03-05]. Dostupn´e z: http://www.psp.cz/eknih/1998ps/stenprot/034schuz/s034216.htm ˇ ´ID, Vladim´ır. Z´ 15. SM akon ˇc. 101/2000 Sb., o ochranˇe osobn´ıch u ´daj˚ u a o zmˇenˇe nˇekter´ ych z´ akon˚ u, ve znˇen´ı z´ akona ˇc. 227/2000 Sb., z´akona ˇc. 177/2001 Sb., z´akona ˇc. 450/2001 Sb., z´ akona ˇc. 107/2002 Sb., z´akona ˇc. 310/2002 Sb., z´akona ˇc. 517/2002 Sb., z´ akona ˇc. 439/2004 Sb., z´akona ˇc. 480/2004 Sb., z´akona ˇc. 626/2004 Sb., z´ akona ˇc. 413/2005 Sb., z´ akona ˇc. 444/2005 Sb., z´akona ˇc. 109/2006 Sb., z´akona ˇc. 112/2006 Sb., z´ akona ˇc. 342/2006 Sb., z´akona ˇc. 170/2007 Sb. a z´akona ˇc. 52/2009 Sb. (koment´ aˇr). Vladimir Smid [online]. 2009 [cit. 2013-05-12]. Dostupn´e z: http://www.fi.muni.cz/smid/ochdn16.html#_ftnref19
10
ˇasny ´ stav 2. Souc
2.3
Ochrana osobn´ıch u ´ daj˚ u podle z´ akona ˇ c. 101/2000 Sb., v platn´ em znˇ en´ı
Jedn´a se o z´akon, kter´ y upravuje ochranu osobn´ıch u ´daj˚ u v souladu ˇ a s pr´avem Evropsk´e unie a mezin´arodn´ımi smlouvami, kter´ ymi je Cesk´ ´ republika v´az´ana. Na z´akladˇe tohoto z´akona je tak´e zˇr´ızen UOOU. Jedn´a se o u ´stˇredn´ı org´an kompetentn´ı k ochranˇe osobn´ıch u ´daj˚ u v rozsahu stanoven´ ym ZOOU, mezin´arodn´ımi smlouvami a pouˇziteln´ ymi 16 pˇredipsy Evropsk´ ych spoleˇcenstv´ı. ZOOU byl bˇehem let sv´e platnosti nˇekolikr´at novelizov´an, pˇresnˇeji probˇehlo uˇz 23 novel. Prvn´ı novela pˇriˇsla v podstatˇe nˇekolik mˇes´ıc˚ u po zaˇc´atku platnosti ZOOU, naposledy byl ZOOU novelizov´an v roce 2011 (tato posledn´ı novela nab´ yv´a u ´ˇcinnosti 1. dubna 2013). Tento z´akon poprv´e vytv´aˇr´ı u ´ˇcinn´ y n´astroj proti nez´akon´emu nakl´ad´an´ım s osobn´ımi u ´daji subjekt˚ u. A k dosaˇzen´ı efektvin´ı ochrany osobn´ıch u ´daj˚ u subjekt˚ u byly t´ımto z´akonem spr´avc˚ um a zpracovatel˚ um dat stanoveny znaˇcn´e povinnosti.
2.3.1 P˚ usobnost z´ akona ZOOU se vztahuje na osobn´ı u ´daje, zpracov´avan´e st´atn´ımi a u ´zemnˇe samospr´avn´ ymi org´any, org´any veˇrejn´e moci (fyzick´ ymi i pr´avnick´ ymi osobami). D˚ uleˇzit´e je, ˇze ZOOU se vztahuje na osobn´ı u ´daje zpracov´avan´e jak´ ymkoli zp˚ usobem (automatizovanˇe i manu´alnˇe). Existuj´ı i v´ yjimky, kdy se na osobn´ı u ´daje ZOOU nevztahuje a to, pokud jsou osobn´ı u ´daje nahodile shromaˇzd’ov´any a nejsou nijak zpracov´any, nebo pokud jsou zpracov´any fyzickou osobou v´ yhradnˇe pro osobn´ı spotˇrebu. ˇ e republiky a na Pokud se spr´avce u ´daj˚ u nach´az´ı mimo u ´zem´ı Cesk´ ˇ z´akladˇe mezin´arodn´ıho pr´ava veˇrejn´eho je d´ano pr´avn´ımu ˇra´du CR pˇrednost, jsou tito spr´avci tak´e v´az´ani ZOOU. Pokud spr´avce pln´ı nezbytn´e povinnosti stanoven´e zvl´aˇstn´ımi z´akony napˇr. pro zajiˇstˇen´ı ˇ obrany CR, ˇ v´ ˇ bezpeˇcnosti CR, yznamn´emu hospod´aˇrsk´emu z´ajmu CR nebo EU, u ´pln´ y v´ yˇcet v § 3 ZOOU, odpadaj´ı spr´avci urˇcit´e povinnosti, napˇr. stanoven´ı u ´ˇcelu zpracov´an´ı osobn´ıch u ´daj˚ u.
16. § 1 ZOOU
11
ˇasny ´ stav 2. Souc 2.3.2 Z´ asady ochrany osobn´ıch u ´ daj˚ u ZOOU z´asady ochrany osobn´ıch u ´daj˚ u nijak nedefinuje, ani nezmiˇ nuje. N´ıˇze popsan´e z´asady jsou ale vˇseobecnˇe dodrˇzov´any v oblasti ochrany osobn´ıch u ´daj˚ u a jsou prom´ıtnuty i do ZOOU. Rozebr´an´ı z´asad, kter´e ZOOU dodrˇzuje, je pro bˇeˇzn´eho ˇclovˇeka nejjednoduˇsˇs´ı cesta k z´akladn´ımu pochopen´ı smyslu a funkce dan´eho z´akona. Vˇetˇsina z tˇechto z´asad ´ je pops´ana v Umluvˇ e ˇc. 108. Z´asada legitimity zpracov´an´ı Osobn´ı u ´daje, kter´e jsou pˇredmˇetem zpracov´an´ı, mus´ı b´ yt z´ısk´any a 17 zpracov´any poctivˇe a v souladu se z´akonem. Musej´ı b´ yt dodrˇzov´any z´akladn´ı z´asady a svobody subjetk˚ uu ´daj˚ u a tak´e mus´ı b´ yt db´ano na jejich soukrom´ı (dle ˇc´alnku 8 Evropsk´e u ´mluvy o ochranˇe lidsk´ ych pr´av a z´akladn´ıch svobod). Tato z´asada se do ZOOU projevila hlavnˇe § 5 odst. 1 p´ısm. c) a § 5 odst. 3 ZOOU (zajiˇstˇen´ı legality zpracov´an´ı a z´ısk´an´ı u ´daj˚ u). Odraz t´eto z´asady je tak´e patrn´ y v § 5 odst. 1 p´ısm. g), ’ kde ZOOU vyluˇcuje shromaˇzd ov´an´ı u ´daj˚ u pod z´aminkou jin´eho u ´ˇcelu nebo ˇcinnosti a v neposledn´ı ˇradˇe v pravidle (§ 5 odst. 2 ZOOU), kdy spr´avce m˚ uˇze zpracov´avat osobn´ı u ´daje pouze se souhlasem subjektu u ´daj˚ u (aˇz na z´akonn´e v´ yjimky uveden´e v § 5 odst. 2 ZOOU). Z´asada u ´ˇcelovosti Osobn´ı u ´daje, kter´e jsou pˇredmˇetem zpracov´an´ı, musej´ı b´ yt shromaˇzd’ov´any pro stanoven´e a opr´avnˇen´e u ´ˇcely a nesm´ı b´ yt pouˇzity proti p˚ uvodn´ım, zam´ yˇslen´ ym u ´ˇcel˚ um (aˇz na v´ yjimky uveden´e v z´akonˇe).18 Nen´ı dovoleno shromaˇzd’ovat u ´daje pro nedefinovan´e u ´ˇcely a stanoven´ı ´ cel zprau ´ˇcelu mus´ı vˇzdy pˇredch´azet samotn´emu shrom´aˇzdˇen´ı u ´daj˚ u. Uˇ cov´an´ı mus´ı b´ yt vˇzdy v souladu s pr´avn´ımi pˇredpisy. V ZOOU se tato z´asada odr´aˇz´ı v § 5 odst. 1 p´ısm. d), kter´ y nav´ıc ˇr´ık´a, ˇze shromaˇzd’ov´an´ı u ´daj˚ u mus´ı b´ yt v rozsahu nezbytn´em pro naplnˇen´ı stanoven´eho u ´ˇcelu. Spr´avce u ´daj˚ u by tedy mˇel usilovat o pouˇzit´ı co nejmenˇs´ı mnoˇziny u ´daj˚ u o subjektech nutnou ke splnˇen´ı u ´ˇcelu. V praxi se m˚ uˇzeme nejˇcastˇeji setkat s probl´emem odporuj´ıc´ım t´eto z´asadˇe, pokud spr´avce z´ısk´a u ´daje ˇ ´ a V´aclav BART´IK. Ochrana osobn´ıch 17. MATES, Pavel, Eva JANECKOV A u ´daj˚ u. Praha: Leges, 2012, 206 s. Praktik. ISBN 978-808-7576-120. 18. tamt´eˇz
12
ˇasny ´ stav 2. Souc subjekt˚ u k urˇcit´emu u ´ˇcelu zpracov´an´ı a n´aslednˇe pouˇzije stejnou mnoˇzinu u ´daj˚ u ke zpracov´an´ı za jin´ ym u ´ˇcelem. V IS tento probl´em m˚ uˇze velmi snadno nastat a je nutn´e velk´e pozornosti ze strany program´ator˚ u a osob, kteˇr´ı pracuj´ı s osobn´ımi u ´daji, aby tuto z´asadu dodrˇzeli a osobn´ı u ´daje nebyly zpracov´any bez souhlasu subjekt˚ u znovu za jin´ ymi ˇ u ´ˇcely, neˇz bylo zam´ yˇsleno. Casto se tak´e st´av´a, ˇze spr´avce zvol´ı rozsah osobn´ıch u ´daj˚ u ke zpracov´an´ı zbyteˇcnˇe ˇsirok´ y, nemysl´ı ale na to, ˇze mus´ı b´ yt schopen zodpovˇedˇet, proˇc je dan´ yu ´daj nutn´ y k dosaˇzen´ı u ´ˇcelu. Dalˇs´ım probl´emem z praxe je situace, kdy spr´avce zpracov´av´a u ´daje, kter´e jednoznaˇcnˇe identifikuj´ı osobu (jm´eno, pˇr´ıjmen´ı, adresa, datum narozen´ı) a z´aroveˇ n rodn´e ˇc´ıslo. Tato mnoˇzina je zbyteˇcnˇe ˇsirok´a, protoˇze jednoznaˇcn´e identifikace lze dos´ahnout i bez rodn´eho ˇc´ısla.
Z´asada ˇcasov´eho omezen´ı Osobn´ı u ´daje, kter´e jsou pˇredmˇetem zpracov´an´ı, musej´ı b´ yt uchov´av´any ne delˇs´ı dobu, neˇz je tˇreba pro u ´ˇcely, pro kter´e jsou shrom´aˇzdˇeny a musej´ı b´ yt uchov´av´any ve formˇe umoˇzn ˇuj´ıc´ı zjistit totoˇznost sub19 jekt˚ u u ´daj˚ u. Z´asada se snaˇz´ı zabr´anit archivov´an´ı u ´daj˚ u, kter´e by tak mohly b´ yt zneuˇzity k jin´ ym u ´ˇcel˚ um. Kaˇzd´e zpracov´an´ı by mˇelo b´ yt ˇcasovˇe omezen´e a neomezen´a doba nen´ı doba splˇ nuj´ıc´ı poˇzadavek 20 ˇcasov´eho r´amce. Tato z´asada se odrazila v ZOOU v podobˇe § 5 odst. 1 p´ısm. e), kter´ y doplˇ nuje, ˇze osobn´ı u ´daje mohou b´ yt uchov´av´any po dosaˇzen´ı u ´ˇcelu jen pro vˇedeck´e, archivnick´e u ´ˇcely a st´atn´ı statistick´e sluˇzby. Pro tyto u ´ˇcely je nutn´e u ´daje anonymizovat jakmile je to moˇzn´e, aby nedoch´azelo k zasahov´an´ı do soukrom´eho a osobn´ıho ˇzivota subjekt˚ u. Praxe je tedy takov´a, ˇze spr´avce urˇcuje dobu uchov´av´an´ı (je povinen ji dle ZOOU urˇcit a nese za ni zodpovˇednost) a tedy pouze po tuto dobu m´a pr´avo na uchov´av´an´ı u ´daj˚ u. Pro urˇcen´ı doby vych´az´ı prim´arnˇe ze z´akon˚ u, pˇr´ıpadnˇe je urˇcena jen na dobu kdy trv´a dan´a povinnost nebo dokud nedojde k vypoˇr´ad´an´ı pr´av a povinnost´ı.
ˇ ´ a V´aclav BART´IK. Ochrana osobn´ıch 19. MATES, Pavel, Eva JANECKOV A u ´daj˚ u. Praha: Leges, 2012, 206 s. Praktik. ISBN 978-808-7576-120. 20. tamt´eˇz
13
ˇasny ´ stav 2. Souc Z´asada potˇrebnosti a pˇrimˇeˇrenosti dat Osobn´ı u ´daje, kter´e jsou pˇredmˇetem zpracov´an´ı musej´ı b´ yt pˇrimˇeˇren´e, t´ ykaj´ıc´ı se u ´ˇcel˚ u, pro kter´e byly uloˇzeny a nepˇresahuj´ıc´ı tyto u ´ˇcely (aˇz na z´akonn´e v´ yjimky § 3 odst. 6 ZOOU). Velmi u ´zce souvis´ı se z´asadou u ´ˇcelovosti (shromaˇzd’ov´an´ı u ´daj˚ u za u ´ˇcelem a v nezbytn´em rozsahu), je tedy tak´e upravena v § 5 odst. 1 p´ısm. d) ZOOU. Naplnˇen´ı t´eto z´asady je patrn´e tak´e v § 5 odst. 1 p´ısm. f), zpracov´an´ı u ´daj˚ u je moˇzn´e pouze v souladu se stanoven´ ym u ´ˇcelem. Skuteˇcnost, ˇze se tato z´asada prom´ıtla do ZOOU, d´av´a subjekt˚ um jistotu, ˇze jejich osobn´ı u ´daje budou zpracov´av´any (uchov´av´any) zp˚ usobem v´ yˇse uveden´ ym po celou dobu zpracov´an´ı a pokud nastane bˇehem zpracov´an´ı stav, ˇze nˇekter´ yu ´daj nen´ı nad´ale nezbytn´ y k naplnˇen´ı u ´ˇcelu, spr´avce tento u ´daj vymaˇze. Z´asada pr˚ uhlednosti Kaˇzd´a osoba m´a pr´avo zjistit existenci automatizovan´eho souboru obsahuj´ıc´ıho osobn´ı u ´daje, jeho u ´ˇcely a totoˇznost, obvykl´e s´ıdlo nebo pracoviˇstˇe spr´avce u ´daj˚ u. D´ale m´a pr´avo na zjiˇstˇen´ı, jestli se v takov´em souboru objevuj´ı osobn´ı u ´daje, kter´e se osoby t´ ykaj´ı a to bez pˇr´ıliˇsn´ ych 21 pr˚ utah˚ u nebo n´aklad˚ u. D´ıky zakotven´ı t´eto z´asady do ZOOU maj´ı subjekty pr´avo na z´ısk´an´ı u ´pln´ ych a srozumiteln´ ych informac´ı o zpracov´avan´ ych u ´daj´ıch, kter´e se jich t´ ykaj´ı. Pod pojmem srozumiteln´a informace je potˇreba si pˇredstavit kategorii osobn´ıch u ´daj˚ u, u ´ˇcel jejich shromaˇzd’ov´an´ı a zpracov´an´ı, identifikaci spr´avce a dalˇs´ı vhodn´e informace.22 Omezen´ı z´asady pr˚ uhlednosti je moˇzn´e pouze pokud je stanoveno z´akonem, tedy napˇr. kv˚ uli bezpeˇcnosti st´atu. Tato z´asada je prom´ıtnuta v § 11 odst. ZOOU, kter´ y nav´ıc doplˇ nuje, ˇze spr´avce zpracov´avaj´ıc´ı u ´daje mus´ı subjekt u ´daj˚ u pouˇcit, zda je poskytnut´ı u ´daj˚ u povinn´e nebo dobrovoln´e. Nemˇelo by se tedy st´at, ˇze subjekt nem´a alespoˇ n nˇejak´e informace o zpracov´an´ı sv´ ych u ´daj˚ u (pokud na z´akladˇe jin´eho pr´avn´ıho pˇredpisu nemus´ı b´ yt informace poskytnuty). ˇ ´ a V´aclav BART´IK. Ochrana osobn´ıch 21. MATES, Pavel, Eva JANECKOV A u ´daj˚ u. Praha: Leges, 2012, 206 s. Praktik. ISBN 978-808-7576-120. ´ Veronika. Spr´ 22. ZEHLOVA, avnˇepr´ avn´ı aspekty ochrany osobn´ıch u ´daj˚ u [online]. Brno, 2008 [cit. 2013-03-26]. Diplomov´a pr´ace. Masarykova univerzita. Dostupn´e z: http://is.muni.cz/th/108011/pravf_m/diplomka.pdf.
14
ˇasny ´ stav 2. Souc Z´asada bezpeˇcnosti Je nutn´e uˇcinit vhodn´a technick´a, organizaˇcn´ı i person´aln´ı opatˇren´ı na ochranu osobn´ıch u ´daj˚ u uloˇzen´ ych v datov´ ych souborech, proti n´ahodn´e ztr´atˇe a zniˇcen´ı nebo neopr´avnˇen´emu zn´ıˇcen´ı, zmˇen´am, pˇrenos˚ um ˇci ˇs´ıˇren´ı.23 Tato z´asada se prom´ıtla do ZOOU v podobˇe § 13. ZOOU zde tak´e uv´ad´ı, ˇze tato povinnost trv´a i po ukonˇcen´ı zpracov´an´ı u ´daj˚ u. Pokud to spr´avci neudˇeluje z´akon, s´am urˇcuje prostˇredky k zajiˇstˇen´ı bezpeˇcnosti a zp˚ usob zpracov´an´ı a mˇely by b´ yt pˇrimˇeˇren´e charakteru osobn´ıch u ´daj˚ u. K posouzen´ı rizik spr´avci napom´ah´a ZOOU § 13 odst. 3. Pokud zpracov´an´ı u ´daj˚ u neprob´ıh´a u spr´avce, ale je svˇeˇreno zpracovateli, ten je nucen pˇrijmout tak´e bezpeˇcnostn´ı opatˇren´ı dle § 13 ZOOU. Souˇcasn´ y trend zpracov´an´ı (uchov´av´an´ı) osobn´ıch u ´daj˚ u v IS a fakt, ˇze u ´toky na takov´e syst´emy jsou ˇcast´e a nˇekdy tak´e u ´spˇeˇsn´e, nut´ı provozovatele zm´ınˇen´ ych syst´em˚ u (obzvl´aˇstˇe pokud obsahuj´ı citliv´e u ´daje, ˇ napˇr. IS Policie CR) ˇcasto investovat nemal´e prosˇredky k zabezpeˇcen´ı tˇechto syst´em˚ u. Z´asada pr´ava pˇr´ıstupu k dat˚ um Kaˇzd´ y m´a pr´avo na potvrzen´ı o tom, zda jsou v datov´ ych souborech uloˇzeny osobn´ı u ´daje, kter´e se subjektu t´ ykaj´ı a z´ıskat je ve srozumiteln´e formˇe a to bez pˇr´ıliˇsn´ ych pr˚ utah˚ u nebo n´aklad˚ u.24 Prol´ın´a se se z´asadou o pr˚ uhlednosti a m˚ uˇze b´ yt omezena pouze z´akonem a garantuje ji § 12 odst. ZOOU a ZOOU zde upravuje i podobu informace, kter´a je subjektu sdˇelena. Z´asada pr´ava na opravu a v´ ymaz Dle t´eto z´asady mus´ı b´ yt informace pˇresn´e a pokud je to moˇzn´e aktu´aln´ı. Proto kaˇzd´e osobˇe mus´ı b´ yt umoˇznˇena oprava nebo vymaz´an´ı takov´ ych u ´daj˚ u, pokud byly zpracov´any v rozporu s vnitrost´atn´ım pr´avn´ım ˇra´dem, ´ Veronika. Spr´ 23. ZEHLOVA, avnˇepr´ avn´ı aspekty ochrany osobn´ıch u ´daj˚ u [online]. Brno, 2008 [cit. 2013-03-26]. Diplomov´a pr´ace. Masarykova univerzita. Dostupn´e z: http://is.muni.cz/th/108011/pravf_m/diplomka.pdf. ˇ ´ a V´aclav BART´IK. Ochrana osobn´ıch 24. MATES, Pavel, Eva JANECKOV A u ´daj˚ u. Praha: Leges, 2012, 206 s. Praktik. ISBN 978-808-7576-120.
15
ˇasny ´ stav 2. Souc kter´ y uplatˇ nuje z´akladn´ı z´asady ochrany osobn´ıch u ´daj˚ u.25 Z´asada se do naˇseho pr´avn´ıho ˇra´du prom´ıtla v § 5 odst. 1 p´ısm. c) ZOOU, zpracovat lze jen pˇresn´e u ´daje a nepˇresn´e pouze v mez´ıch z´akona. Tuto povinnost nen´ı moˇzn´e ch´apat jako, ˇze spr´avce mus´ı zpracov´avat absolutnˇe pˇresn´e udaje, protoˇze nepˇresnosti nemus´ı vzniknout na stranˇe spr´avce a ten nem˚ uˇze b´ yt za tento stav odpovˇedn´ y. Pokud ale spr´avce nepˇresnosti v u ´daj´ıch zjist´ı, nesm´ı tyto u ´daje zpracov´avat dokud neprovede opravu. Pokud zjist´ı, ˇze oprava nen´ı moˇzn´a, mus´ı tyto u ´daje 26 zlikvidovat. D´ale se tato z´asada prom´ıtla v § 21 ZOOU. Subjekt m˚ uˇze org´an zpracov´avaj´ıc´ı u ´daje poˇza´dat o vysvˇetlen´ı nebo n´apravu osobn´ıch u ´daj˚ u, pokud se domn´ıv´a nebo zjist´ı, ˇze jeho osobn´ı u ´daje jsou zpracov´avan´e v rozporu se z´akonem. Pokud je ˇza´dost opr´avnˇen´a spr´avce mus´ı z´avadu napravit. Subjekt nemus´ı pˇr´ımo kontaktovat spr´avce, ale ´ ´ m˚ uˇze se obr´atit i na UOOU s podnˇetem (UOOU chr´an´ı tak´e subjekt, pokud by doˇslo k neˇcinnosti spr´avce), kter´ y je povinen podnˇet pˇrijmout a vyhodnotit. Z´asada nez´avisl´eho dozoru Je nutn´a existence jednoho nebo nˇekolika org´an˚ u povˇeˇren´ ych dohledem na dodrˇzov´an´ı z´asad a pr´avn´ıch norem v oblasti ochrany osobn´ıch u ´daj˚ u. Uvedn´ y org´an m´a pravomoc vyˇsetˇrovat, u ´ˇcastnit se soudn´ıch ˇr´ızen´ı, upozornit soudn´ı org´any na poruˇsen´ı vnitrost´atn´ıho pr´ava t´ ykaj´ıc´ıho se osobn´ıch u ´daj˚ u. Kaˇzd´ y org´an v r´amci sv´ ych pravomoc´ı projedn´a kaˇzdou st´ıˇznost podanou libovolnou osobou, kter´a se t´ yk´a ochrany jej´ıch pr´av z hlediska zpracov´an´ı osobn´ıch u ´daj˚ u. Org´any dozoru mus´ı b´ yt ve v´ ykonu funkc´ı zcela nez´avisl´e a lze proti rozhodnut´ı tˇechto org´an˚ u podat odvol´an´ı k soudu.27 Zˇr´ızen´ı tohoto org´anu je povinn´e pro kaˇzd´ y ˇclensk´ y st´at EU (ukl´ad´a jej smˇernice EU). Takov´e org´any existuj´ı i ve st´atech mimo EU. V ZOOU se objevuje v § 2, d´ale § 28 a v podstatˇe ´ HLAVA IV, HLAVA V, HLAVA VI ZOOU upravuje postaven´ı UOOU ˇ v CR.
ˇ ´ a V´aclav BART´IK. Ochrana osobn´ıch 25. MATES, Pavel, Eva JANECKOV A u ´daj˚ u. Praha: Leges, 2012, 206 s. Praktik. ISBN 978-808-7576-120. 26. tamt´eˇz 27. tamt´eˇz
16
ˇasny ´ stav 2. Souc ´ Ze ZOOU vypl´ yvaj´ı dalˇs´ı z´asady, kter´e Umluva ˇc. 108 v´ yslovnˇe neobsahuje. Z´asada souhlasu subjektu u ´daj˚ u Nestanov´ı-li z´akon jinak, spr´avce nem´a pr´avo zpracov´avat, osobn´ı u ´daje subjektu, kter´ y k takov´emu zpracov´an´ı nedal souhlas. Projeven´ı souhlasu je dle § 4 p´ısm. n) ZOOU v´yslovn´y a vˇedom´y projev v˚ ule subjektu ” u ´daj˚ u, jehoˇz obsahem je svolen´ı subjektu u ´daj˚ u se zpracov´an´ım osobn´ıch u ´daj˚ u.“ Jak se jiˇz v praxi stalo, za souhlas nelze povaˇzovat neprojeven´ı nesouhlasu se zpracov´an´ım osobn´ıch u ´daj˚ u.28 Z´asada z´akazu sdruˇzov´an´ı osobn´ıch u ´daj˚ u Tato z´asada souvis´ı se z´asadami potˇrebnosti a pˇrimˇeˇrenosti a u ´ˇcelovosti. Odr´aˇz´ı se v § 5 odst. p´ısm. h) a stanovuje nemoˇznost sdruˇzovat u ´daje z´ısk´an´e k rozd´ıln´ ym u ´ˇcel˚ um. Obzvl´aˇst’ v IS k takov´ ym situac´ım m˚ uˇze doch´azet. V tˇechto syst´emech je tˇreba zajistit zamezen´ı propojov´an´ı datab´az´ı u ´daj˚ u, kter´e jsou urˇceny k jin´ ym u ´ˇcel˚ um.
2.4
´ rad pro ochranu osobn´ıch u Uˇ ´ daj˚ u
Jedn´a se o nez´avisl´ y org´an (dle § 28 ZOOU) a v ˇcele stoj´ı pˇredseda, ˇ e republiky na 5 let. Cinnost ˇ kter´eho jmenuje prezident Cesk´ u ´ˇradu je vymezena v ZOOU a nˇekter´ ymi dalˇs´ımi z´akony, kter´ ymi jsou napˇr. ´ rad nen´ı podˇr´ızen vl´adˇe spr´avn´ı ˇr´ad29 , z´akon o st´atn´ı kontrole30 .31 Uˇ (tedy nepodl´eh´a vl´adn´ım naˇr´ızen´ım nebo z´avazn´ ym pokyn˚ um), jeho ˇcinnost podl´eh´a pouze v´ yˇse zm´ınˇen´ ym z´akon˚ um a zmˇeny pravomoci a p˚ usobnosti tohoto u ´ˇradu jsou moˇzn´e tak´e pouze na z´akladˇe z´akona. Obecnˇe lze ˇr´ıci, ˇze se jedn´a o org´an, kter´ y m´a dohl´ıˇzet na dodrˇzov´an´ı prov´adˇen´ı ochrany osobn´ıch u ´daj˚ u v souladu se z´asadami a pˇredpisy ´ radu pro ochranu osobn´ıch u 28. V´yroˇcn´ı zpr´ ava Uˇ ´daj˚ u za rok 2012 [online]. Masarykova univerzita Brno, 2013 [cit. 2013-03-07]. ISBN 978 - 80 - 210 - 6179 - 8. Dostupn´e z: http://www.uoou.cz/files/vz_2012.pdf 29. Z´ akon ˇc. 500/2004 Sb., Spr´avn´ı ˇr´ad, ve znˇen´ı pozdˇejˇs´ıch pˇredpis˚ u 30. Z´ akon ˇc. 552/1991 Sb, o st´atn´ı kontrole, ve znˇen´ı pozdˇejˇs´ıch pˇredpis˚ u ´ radu. Uˇ ´ rad pro ochranu osobn´ıch u 31. O p˚ usobnosti Uˇ ´daj˚ u [online]. 2000 [cit. 201303-20]. Dostupn´e z: http://www.uoou.cz/uoou.aspx?menu=4&submenu=17
17
ˇasny ´ stav 2. Souc upravuj´ıc´ı oblast ochrany osobn´ıch u ´daj˚ u (vych´az´ı ze smˇernice EU, podle kter´e je nutnost takov´eho u ´ˇradu zˇr´ıdit). 2.4.1 P˚ usobnost u ´ˇ radu ´ P˚ usobnost je spoleˇcnˇe s postaven´ım u ´ˇradu vymezena v ZOOU. UOOU mimo jin´e zajiˇst’uje n´asleduj´ıc´ı ˇcinnosti: •
prov´ad´ı dozor nad dodrˇzov´an´ım povinnost´ı stanoven´ ych ZOOU
•
vede registr zpracov´an´ı osobn´ıch u ´daj˚ u
•
pˇrij´ım´a podnˇety a st´ıˇznosti na poruˇsen´ı povinnosti pˇri zpracov´an´ı osobn´ıch u ´daj˚ u a poskytuje konzultace v oblasti ochrany osobn´ıch u ´daj˚ u
•
projedn´av´a pˇrestupky a jin´e spr´avn´ı delikty a udˇeluje pokuty
2.4.2 Dozorov´ aˇ cinnost ´ Jedn´a se o ˇcinnost, pˇri kter´e UOOU sleduje chov´an´ı nepodˇr´ızen´ ych subjekt˚ u a srovn´an´av´a je s ˇza´douc´ım chov´an´ım. Dle zjiˇstˇen´eho stavu pouˇz´ıv´a n´apravn´e nebo sankˇcn´ı prostˇredky.32 Tuto ˇcinnost je moˇzn´e rozdˇelit do dvou f´az´ı a prob´ıh´a formou kontroly: •
zjiˇst’ovac´ı a pozn´avac´ı f´aze
•
n´apravn´e a sankˇcn´ı f´aze
Kontrolu je moˇzn´e zah´ajit na z´akladˇe kontroln´ıho pl´anu nebo na z´akladˇe podnˇet˚ u (napˇr. od soudu, policie) a st´ıˇznosti (typicky od subjektu u ´daj˚ u). Kontrolu mohou prov´adˇet pouze inspektoˇri (v souˇcasn´e 33 ´ dobˇe 7 osob) a povˇeˇren´ı zamˇestnanci UOOU. Zah´ajen´ı kontroly je nutn´e ozn´amit povˇeˇren´ ym kontroluj´ıc´ım na m´ıstˇe kontroly nebo p´ısemn´ ym sdˇelen´ım. Bˇehem t´eto kontroly maj´ı kontroluj´ıc´ı opr´avnˇen´ı ke ´ rad pro ochranu osobn´ıch u 32. Dozorov´ a ˇcinnost. Uˇ ´daj˚ u [online]. 2000 [cit. 201303-21]. Dostupn´e z: http://www.uoou.cz/uoou.aspx?menu=10 ´ rad pro ochranu osobn´ıch u 33. Kontroln´ı ˇcinnost inspektor˚ u. Uˇ ´daj˚ u [online]. 2000 [cit. 2013-03-21]. Dostupn´e z: http://www.uoou.cz/uoou.aspx?menu= 10&submenu=11
18
ˇasny ´ stav 2. Souc kon´an´ı mnoha ˇcinnost´ı, kter´e mus´ı kontrolovan´ y strpˇet, napˇr. poˇrizovat kopie pamˇet’ov´ ych m´edi´ı, vstupovat do zaˇr´ızen´ı kontrolovan´eho, ale jsou v´az´ani tak´e urˇcit´ ymi povinnostmi, napˇr. prok´azat se pr˚ ukazem, ˇr´adnˇe zach´azet se zajiˇstˇen´ ymi vˇecmi, zachov´avat mlˇcenlivost. Kontrola konˇc´ı seps´an´ım kontroln´ıho protokolu. S t´ımto protokolem mus´ı b´ yt kontrolovan´ y sezn´amen (to stvrzuje sv´ ym podpisem). Kontrolovan´a osoba m˚ uˇze s v´ ysledkem kontroly souhlasit nebo podat proti protokolu n´amitku. O n´amitk´ach m˚ uˇze rozhodnout inspektor, jestliˇze ji v pln´em rozsahu vyhov´ı, jinak je pˇredloˇzena pˇredsedovi, proti jehoˇz rozhodnut´ı nen´ı opravn´ y prostˇredek pˇr´ıpustn´ y.34 Pokud kontroluj´ıc´ı zjist´ı poruˇsen´ı povinnost´ı uloˇzen´e ZOOU, uloˇz´ı inspektor jak´a opatˇren´ı je tˇreba uˇcinit k odstranˇen´ı zjiˇstˇen´ ych nedostatk˚ u a tak´e stanov´ y lh˚ utu pro proveden´ı n´apravy a kontrolovan´ y pot´e mus´ı podat zpr´avu o pˇrijat´ ych opatˇren´ıch 35 ve stanoven´e lh˚ utˇe. Kontroluj´ıc´ı m˚ uˇze tak´e zjistit, ˇze se kontrolovan´ y dopustil spr´avn´ıho deliktu a m˚ uˇze mu b´ yt podle povahy deliktu udˇelenu pokuta (´ upln´ y v´ yˇcet delikt˚ u a pokut obsahuje HLAVA VII ZOOU).
2.5
Pr´ ava a povinnosti uˇ zivatel˚ u informaˇ cn´ıch syst´ em˚ u
Pokud mluv´ıme o informaˇcn´ıch syst´emech a ochranˇe osobn´ıch u ´daj˚ u m˚ uˇze lehce doj´ıt k nepochopen´ı pouˇzit´ ych pojm˚ u. Spr´avce u ´daj˚ u je vymezen v ZOOU, ale pokud mluv´ıme o spr´avci v kontextu informaˇcn´ıch syst´emu, je nutn´e tento pojem ch´apat mnohem obecnˇeji. Podobn´a situace nast´av´a i u citiliv´eho u ´daje, kter´ y je vymezen tak´e v ZOOU, ale citliv´ yu ´daj uˇzivatel˚ u IS je nutno ch´apat jako d˚ uleˇzit´ yu ´daj, kter´ y nemus´ı m´ıt ˇza´dnou vypov´ıdaj´ıc´ı hodnotu o dan´em ˇclovˇeku (jako pˇr´ıklad je moˇzn´e uv´est heslo do IS, je velmi d˚ uleˇzit´e, protoˇze umoˇzn ˇuje pˇr´ıstup do IS, ale samotn´e heslo nem´a ˇza´dnou vypov´ıdaj´ıc´ı hodnotu o dan´em ˇclovˇeku).
´ rad pro ochranu osobn´ıch u 34. Kontroln´ı ˇcinnost inspektor˚ u. Uˇ ´daj˚ u [online]. 2000 [cit. 2013-03-21]. Dostupn´e z: http://www.uoou.cz/uoou.aspx?menu= 10&submenu=11 35. § 40 ZOOU
19
ˇasny ´ stav 2. Souc 2.5.1 Povinnosti pˇ redch´ azej´ıc´ı zpracov´ an´ı osobn´ıch u ´ daj˚ u Do IS se osobn´ı u ´daje dost´avaj´ı nejˇcastˇeji prostˇrednictv´ım internetu (pˇr´ımo od subjektu u ´daj˚ u nebo z elektronick´ ych datab´az´ı jiˇz naplnˇen´ ych osobn´ımi u ´daji). K zisku osobn´ıch u ´daj˚ u subjekt˚ u potˇrebuj´ı spr´avci ˇ neexistuje mnoho datab´az´ı, kter´e ˇcasto souhlas dan´eho subjektu (v CR jsou naplnˇeny osobn´ımi u ´daji bez souhlasu subjekt˚ u, jsou to napˇr. daˇ tab´aze st´atn´ı spr´avy, Policie CR). Spr´avci z´ısk´avaj´ı u ´daje od subjekt˚ u velmi ˇcasto pomoc´ı elektronick´eho formul´aˇre (napˇr. pˇri registrac´ıch k vyuˇz´ıv´an´ı sluˇzeb) na internetu, kde subjekt zad´a osobn´ı u ´daje a mus´ı uv´est, ˇze souhlas´ı se zpracov´an´ım osobn´ıch u ´daj˚ u (typicky zaˇskrtnut´ım pol´ıˇcka “souhlas´ım se zpracov´an´ım osobn´ıch u ´daj˚ u”). Jedn´a se o naplnˇen´ı z´asady souhlasu subjektu u ´daj˚ u (spr´avce z´asadu nem˚ uˇze obej´ıt ani automatickou pˇredvolbou zaˇskrtnut´ı pol´ıˇcka souhlas´ım se zpracov´an´ım u ´daj˚ u, t´ım by vzniklo neprojeven´ı nesouhlasu subjektu, coˇz z´asada vylujˇcuje). I kdyˇz v praxi je takov´ y postup ˇcasto dodrˇzov´an, vˇetˇsina subjekt˚ u souhlas ke zpracov´an´ı d´av´a automaticky, aniˇz by si pˇreˇcetli pouˇcen´ı, ve kter´em mus´ı b´ yt informace o nakl´ad´an´ı s osobn´ımi u ´daji subjekt˚ u. T´ım se dost´avaj´ı do nepˇr´ıjemn´ ych situac´ı, kdyˇz daj´ı souhlas napˇr. ke zpracov´an´ı osobn´ıch u ´daj˚ u k reklamn´ım u ´ˇcel˚ um. Kaˇzd´emu zpracov´an´ı (zmˇenˇe zpracov´an´ı) osobn´ıch u ´daj˚ u mus´ı pˇredch´azet mnoho u ´kon˚ u. Kaˇzd´ y spr´avce IS, kter´ y hodl´a zpracov´avat osobn´ı u ´daje a je z´aroveˇ n spr´avce dle ZOOU, mus´ı p´ısemnˇe tuto skuteˇcnost ozn´amit ´ UOOU (nutno podotknout, ˇze je mnoho z´akonn´ ych v´ yjimek, kdy spr´avce 36 tuto povinnost nem´a, napˇr. spr´avci ve sv´ ych IS zpracov´avaj´ı osobn´ı u ´daje o zamˇestnanc´ıch, na takov´e zpracov´an´ı se oznamovac´ı povinnost nevztahuje, takov´e zpracov´an´ı je dokonce ze z´akona povinn´e37 .) Ozn´amen´ı m´a danou formu v ZOOU a vypl´ yvaj´ı z nˇej dalˇs´ı povinnosti 38 pˇredch´azej´ıc´ı samotn´emu zpracov´an´ı: •
Identifikaˇcn´ı u ´daje spr´avce (dle ZOOU)
•
´ cel nebo u Uˇ ´ˇcely zpracov´an´ı
•
Kategorie subjekt˚ uu ´daj˚ u a osobn´ıch u ´daj˚ u, kter´e se tˇechto subjekt˚ u t´ ykaj´ı
36. § 18 odst. 1 ZOOU 37. Tuto povinnost stanovuje napˇr. z´akon ˇc. 262/2006 Sb., z´akon´ık pr´ace, ve znˇen´ı pozdˇejˇs´ıch pˇredpis˚ u 38. § 16 odst. 2 ZOOU
20
ˇasny ´ stav 2. Souc –
Kategorie subjekt˚ u osobn´ıch u ´daj˚ u Rozdˇelen´ı subjekt˚ uu ´daj˚ u do kategori´ı dle spoleˇcn´ ych vlastnost´ı (napˇr. v oblasti vysok´eho ˇskolstv´ı se m˚ uˇze jednat o kategorie: studenti, zamˇestnanci, spolupracuj´ıc´ı osoby, uchazeˇci o studium, uchazeˇci o zamˇestn´an´ı). Kategorizov´an´ı subjekt˚ u uˇcin´ı zpracov´an´ı osobn´ıch u ´daj˚ u mnohem pr˚ uhlednˇejˇs´ı. Spr´avc˚ um IS tyto kategorie pom´ahaj´ı k urˇcen´ı, jestli osobn´ı udaje dan´eho subjektu mohou b´ yt zpracov´any k dan´emu u ´ˇcelu a to zaˇrazen´ım do nˇejak´e kategorie subjektu. Pokud m´a spr´avce probl´em zaˇradit subjekt do nˇekter´e z kategori´ı, je velmi pravdˇepodobn´e, ˇze ke zpracov´an´ı osobn´ıch u ´daj˚ u takov´eho subjektu nem´a pr´avo. Vˇsem uˇzivatel˚ um IS zaˇrazen´ım se do konkr´etn´ıch kategori´ı, umoˇzn´ı rychl´e zjiˇstˇen´ı, k jak´emu u ´ˇcelu budou jejich osobn´ı u ´daje pouˇzity.
–
Kategorie osobn´ıch u ´daj˚ u Jedn´a se o v´ yˇcet osobn´ıch u ´daj˚ u v kategori´ıch, kter´ y bude spr´avce v IS zpracov´avat k dan´emu u ´ˇcelu. Slouˇz´ı obˇema stran´am k ovˇeˇren´ı jestli je zpracov´av´ana pˇrimˇeˇren´a mnoˇzina u ´daj˚ u ke splnˇen´ı dan´eho u ´ˇcelu.
•
Zdroje osobn´ıch u ´daj˚ u Spr´avce mus´ı uv´est zdroj ze kter´eho osobn´ı u ´daje hodl´a z´ıskat. Tato povinnost zvyˇsuje transparentnost cel´eho zpracov´an´ı osobn´ıch u ´daj˚ u.
•
Popis zp˚ usobu zpracov´an´ı K tˇemto informac´ım nemaj´ı subjekty (tedy ani uˇzivatel´e IS) pˇr´ıstup. V mnoha pˇr´ıpadech je zp˚ usob zpracov´an´ı zˇrejm´ y z podstaty urˇcit´e funkce IS. Spr´avci IS tak´e ˇcasto zp˚ usob zpracov´an´ı sami zveˇrejˇ nuj´ı, chtˇej´ı napˇr. zpˇetnou vazbu uˇzivatel˚ u na dan´ y zp˚ usob zpracov´an´ı. Existuj´ı vˇsak spoleˇcnosti, kter´e vyvinuly vy21
ˇasny ´ stav 2. Souc spˇel´e metody zpracov´an´ı osobn´ıch a profituj´ı z nich, proto nen´ı tento popis zveˇrejˇ nov´an. •
M´ısto nebo m´ısta zpracov´an´ı osobn´ıch u ´daj˚ u
•
Pˇr´ıjemce nebo kategorie pˇr´ıjemc˚ u Jedn´a se o v´ yˇcet subjekt˚ u, kter´ ym jsou osobn´ı u ´daje zpracov´avan´ ych subjekt˚ u sdˇelov´any nebo zpˇr´ıstupnˇeny. M´alokdy se setk´ame se situac´ı, kdy m´a spr´avce v u ´myslu zpˇr´ıstupnit osobn´ı u ´daje zpracov´avan´ ych subjekt˚ u veˇrejnosti. Tento fakt nut´ı spr´avce k pˇrijet´ı urˇcit´ ych opatˇren´ı, jako jsou napˇr. pˇr´ıstupov´a pr´ava. Spr´avce ´ m´a pˇrijat´e opatˇren´ı povinnost ozn´amit UOOU (viz n´ıˇze), pokud by ˇza´dn´e opatˇren´ı neuˇcinil, nelze urˇcit kategorii pˇr´ıjemc˚ u jinou, nˇeˇz ˇsirokou veˇrejnost.
•
Pˇredpokl´adan´a pˇred´an´ı osobn´ıch u ´daj˚ u od jin´ ych st´at˚ u
•
Popis opatˇren´ı k zajiˇstˇen´ı ochrany osobn´ıch u ´daj˚ u dle § 13 ZOOU Tyto informace nejsou veˇrejnˇe pˇr´ıstupn´e, coˇz je samozˇrejmˇe logick´e. Spr´avce by mˇel pˇredat popis zabezpeˇcen´ı osobn´ıch u ´daj˚ u. Ot´azkou jak´e zabezpeˇcen´ı a v jak´em rozsahu by mˇel pouˇz´ıt se text vˇenuje pozdˇeji. V jednoduchosti lze ˇr´ıci, ˇze z popisu by mˇelo b´ yt zˇrejm´e jak budou u ´daje zabezpeˇceny a ˇze ochrana je pˇrimˇeˇren´a u ´ˇcelu zpracov´an´ı.
Pokud ozn´amen´ı obsahuje vˇsechny tyto poˇrebn´e n´aleˇzistosti a nen´ı´ li zah´ajeno ˇr´ızen´ı39 ze strany UOOU na z´akladˇe podezˇren´ı, ˇze by mohlo doj´ıt k poruˇsen´ı ZOOU pˇri zpracov´an´ı osobn´ıch u ´daj˚ u, lze po uplynut´ı 30 dn˚ u ode dne doruˇcen´ı ozn´amen´ı zah´ajit zpracov´an´ı osobn´ıch u ´daj˚ u.40 ´ UOOU zap´ıˇse tyto informace do registru, kter´ y je veˇrejnˇe pˇr´ıstupn´ y.41 39. § 17 odst. 1 ZOOU 40. § 16 odst. 3 ZOOU ´ ´ - Veˇrejn´ ´ rad pro ochranu osobn´ıch 41. UOO U y registr zpracov´an´ı osobn´ıch u ´daj˚ u. Uˇ u ´daj˚ u [online]. 2000 [cit. 2013-03-29]. Dostupn´e z: http://www.uoou.cz/uoou. aspx?menu=29&submenu=30
22
ˇasny ´ stav 2. Souc 2.5.2 Pr˚ ubˇ eh zpracov´ an´ı osobn´ıch u ´ daj˚ u a pr´ ava a povinnosti z´ uˇ castnˇ en´ ych stran Povinnosti a pr´ava spr´avcu a uˇzivatel˚ u kter´e bˇehem zpracov´an´ı osobn´ıch u ´daj˚ u vznikaj´ı, vych´azej´ı z jiˇz v´ yˇse popsan´ ych z´asad (at’ jiˇz napˇr. ze strany uˇzivatel˚ u pr´avo zjistit existenci datab´aze obsahuj´ıc´ı u ´daje dan´eho subjektu nebo dodrˇzen´ı u ´ˇcelu po celou dobu zpracov´an´ı ze strany spr´avce). Veˇsker´e povinnosti spr´avc˚ u IS, kter´e i kdyˇz jsou dodrˇzeny, nezabr´an´ı vˇzdy u ´niku osobn´ıch u ´daj˚ u. K takov´ ym situac´ım dopom´ahaj´ı samotn´ı uˇzivatel´e vlastn´ı neopatrnost´ı a za takov´ yu ´nik nen´ı moˇzn´e spr´avce vinit. K dosaˇzen´ı bezprobl´emov´eho zpracov´an´ı osobn´ıch u ´daj˚ u je nutn´e kromˇe povinnost´ı spr´avce db´at tak´e na bezpeˇcn´e chov´an´ı subjekt˚ u. V IS se pracuje s informacemi (v tomhle pˇr´ıpadˇe s osobn´ımi u ´daji), kter´e mus´ı b´ yt nˇekde uloˇzen´e. K ukl´ad´an´ı osobn´ıch u ´daj˚ u jsou nejˇcastˇeji poˇz´ıvan´e elektronick´e datab´aze. Existuj´ı napˇr. relaˇcn´ı, objektovˇe-relaˇcn´ı a objektov´e datab´aze. Objektov´e jsou vhodn´e pro modelov´an´ı sloˇzit´ ych vztah˚ u mezi objekty, relaˇcn´ı je vhodn´a pro ˇr´ızen´ı velk´eho mnoˇzstv´ı dat. Vzhledem k v´ yˇse uveden´ ym vlastnostem jednotliv´ ych datab´az´ı se vyuˇz´ıvaj´ı v IS sp´ıˇse relaˇcn´ı datab´aze, odv´ıj´ı se to od toho, ˇze spr´avci vˇetˇsinou potˇrebuj´ı rychle z´ıskat (vloˇzit, zmˇenit) informace z datab´aze a vazby mezi uloˇzen´ ymi subjekty jsou minim´aln´ı nebo ˇza´dn´e. Tento fakt se projevuje mnohem v´ıce u opravdu rozs´ahl´ ych datab´az´ı (typicky IS st´atn´ı spr´avy pracuj´ı s takov´ ymi datab´azemi), kter´e obsahuj´ı mili´ony z´aznam˚ u. Relaˇcn´ı datab´azi si lze pˇredstavit jako tabulku, kde kaˇzd´ y ˇra´dek pˇredstavuje jeden z´aznam (viz Tabulka 2.1). ID 1 2 3
Jm´ eno Jan Petr Luk´aˇs
Pˇ r´ıjmen´ı Dvoˇr´ak Skoˇcdopole Nov´ak
Adresa N´adraˇzn´ı 2, Brno Plotn´ı 23, Brno Lidick´a 34, Plzeˇ n
Telefon 6453853 4345454 4354253
Tabulka 2.1:
Pr´ace se z´aznamy takov´e datab´aze je velmi rychl´a a tento fakt m˚ uˇze sv´adˇet ke zpracov´an´ı tˇechto u ´daj˚ u nad stanoven´ y r´amec (je to velmi 23
ˇasny ´ stav 2. Souc rychl´e i levn´e). Urˇcit´e postupy, kter´e slouˇz´ı ke zpracov´an´ı informac´ı v IS jsou natolik efektivn´ı, ˇze si spr´avci mohou dovolit tyto postupy pouˇz´ıvat, i kdyˇz v´ ysledky z nich doopravdy nepotˇrebuj´ı, ale jsou urˇcit´ ym zp˚ usobem pro nˇe zaj´ımav´e. D´ıky tomuto faktu se spr´avci ˇcasto dost´avaj´ı k zaj´ımav´ ym informac´ım, ale zpracov´avat takto (pokud nesouvis´ı s u ´ˇcelem) osobn´ı u ´daje nen´ı moˇzn´e. Z toho vypl´ıv´a, ˇze spr´avce si mus´ı velmi dobˇre uvˇedomit velkou moˇznost zpracov´an´ı osobn´ıch u ´daj˚ u, kterou mu v´ ypoˇcetn´ı technika d´av´a a stanovit k takov´ ym zpracov´an´ım u ´ˇcel nebo takov´emu zpracov´an´ı zabr´anit, aby veˇsker´e zpracov´an´ı bylo vedeno v souladu se z´akonem. Dneˇsn´ı ISy zpracov´avaj´ı mnoho osobn´ıch u ´daj˚ u za r˚ uzn´ ymi u ´ˇcely. Ze strany spr´avce by se mohlo zd´at logick´e spojit v´ıce relaˇcn´ıch datab´az´ı do jedn´e. Zv´ yˇsen´ı poˇctu z´azn´am˚ u nem´a v´ yrazn´ y dopad na rychlost vyhled´av´an´ı (pˇrid´an´ı) z´aznam˚ u v datab´azi. Nav´ıc r˚ uzn´e datab´aze obsahuj´ı totoˇzn´e u ´daje (typicky jm´eno, pˇr´ıjmen´ı, adresa), coˇz by zaniklo. Je ˇcasto v´ yhodn´e spojit dvˇe datab´aze obsahuj´ıc´ı vazbu do jedn´e datab´aze (kv˚ uli pˇrehlednosti, v´ ykonnosti). Pˇrestoˇze m´a tento pˇr´ıstup mnoh´e v´ yhody, spojov´an´ı datab´az´ı obsahuj´ıc´ı osobn´ı u ´daje nen´ı moˇzn´e. Tento fakt vych´az´ı ze z´asady z´akazu sdruˇzov´an´ı u ´daj˚ u. U pˇr´ıpadn´eho spojen´ı je mnohem vˇetˇs´ı riziko zpracov´an´ı osobn´ıch u ´daj˚ u za neurˇcit´ ym u ´ˇcelem, napˇr. program´ator implementuj´ıc´ı urˇcitou funkci do IS m˚ uˇze pˇredpokl´adat, ˇze je moˇzn´e pracovat se vˇsemi u ´daji, kter´e mu dan´a datab´aze poskytuje. I kdyˇz pravdˇepodobnost nespr´avn´eho zpracov´an´ı se d´a sn´ıˇzit a zpracov´avat opravdu jen u ´daje pro stanoven´e u ´ˇcely obsaˇzen´e ’ v nˇejak´e rozs´ahl´e relaˇcn´ı datab´azi, samotn´e shromaˇzd ov´an´ı u ´daj˚ u v jedn´e datab´azi m˚ uˇze vyn´est novou informaci, aniˇz by doˇslo ke zpracov´an´ı. Pokud je IS pˇr´ıstupn´ y v s´ıti Internet, vˇetˇsina rizik se zvyˇsuje, v´ yraznˇe z hlediska bezpeˇcnosti (v´ıce v pozdˇejˇs´ı ˇca´sti pr´ace), ale tak´e pˇred´av´an´ı osobn´ıch u ´daj˚ u se st´av´a jednoduch´e a rychl´e. Moˇznost´ı jak z´ıskat osobn´ı u ´daje je mnoho a se st´ale se sniˇzuj´ıc´ı cenou u ´loˇzn´ ych prostor˚ u pˇrich´az´ı snaha uchov´avat jich co nejv´ıce. Proto ze strany spr´avce nemus´ı b´ yt projevena snaha k pravideln´e u ´drˇzbˇe datab´aze a uchov´av´an´ı aktu´aln´ıch a spr´avn´ ych u ´daj˚ u. Znovu je nutn´e ˇr´ıci, ˇze k takov´ ym situac´ım by nemˇelo doch´azet. Nach´az´ıme se v dobˇe, kde zpracov´av´an´ı (uchov´av´an´ı) osobn´ıch u ´daj˚ u se stalo levnou a dostupnou z´aleˇzitost´ı a pokud v minu24
ˇasny ´ stav 2. Souc losti existovaly urˇcit´e technick´e pˇrek´aˇzky, v dneˇsn´ı dobˇe neexistuj´ı. Na z´avˇer uv´ad´ım pˇr´ıklad z USA, kter´ y demostruje s´ılu v´ ypoˇcetn´ı techniky pouˇzitou na osobn´ı u ´daje. V roce 2007 byla uzavˇrena dohoda42 mezi EU a USA o pˇred´av´an´ı urˇcit´ ych osobn´ıch u ´daj˚ u cestuj´ıc´ıch let´ıc´ıch do USA (k takov´emu pˇred´av´an´ı doch´azelo i dˇr´ıve, ale EU pˇred´av´an´ı zruˇsila a USA si nakonec ´ tuto dohodou pˇred´av´an´ı znovu vynutila). Udaje kaˇzd´eho cestuj´ıcho jsou obsaˇzen´e v jmenn´e evidenci cestuj´ıc´ıch (angl. PNR). Kaˇzd´ y cestuj´ıc´ı mus´ı b´ yt pouˇcen o zpracov´an´ı osobn´ıch u ´daj˚ u v PNR a jeho u ´daje jsou leteck´ ym dopravcem pˇred samotn´ ym pˇr´ıletem do USA pˇred´any ministerstvu vnitˇrn´ı bezpeˇcnosti (angl. DHS). USA jiˇz v historii zpracov´avalo informace o cestuj´ıc´ıh pomoc´ı poˇc´ıtaˇcov´ ych syst´em˚ u.43 V souˇcasn´e dobˇe DHS vyuˇz´ıv´a velmi efektivn´ı poˇc´ıtaˇcov´ y syst´em a zpracov´av´a obdrˇzen´e u ´daje z PNR. Jako jeden z hlavn´ıch d˚ uvod˚ u zpracov´an´ı osobn´ıch u ´daj˚ u uv´ad´ı USA boj proti terorismu a USA k tomu vyuˇz´ıv´a 19 kategori´ı u ´daj˚ u o cestuj´ıc´ıch (ne vˇsechny jsou osobn´ı u ´daje), coˇz ale umoˇzn ˇuje shormaˇzd’ovat velk´e mnoˇzstv´ı u ´daj˚ u o cestuj´ıc´ıch (jedna kategorie neodpov´ıd´a jednomu osobn´ımu u ´daji) a vyst´av´a ot´azka jestli takov´ y rozsah odpov´ıd´a dan´emu u ´ˇcelu. Nejv´ıce ot´azek vyvol´av´a, dle v´ yˇse zm´ınˇen´e dohody, moˇznost USA pˇred´av´an´ı tˇechto u ´daj˚ u dalˇs´ım vl´adn´ım org´an˚ um. Je v podstatˇe nemoˇzn´e zjistit kdo pˇresnˇe osobn´ı u ´daje zpracov´av´a. Kaˇzd´ y ˇclovˇek na tento syst´em m˚ uˇze m´ıt jin´ y n´azor, z hlediska pr´ava je nutn´e ˇr´ıci, ˇze v EU by takov´ y syst´em nebylo moˇzn´e provozovat. 2.5.3 N´ asledn´ e povinnosti po zpracov´ an´ı osobn´ıch u ´ daj˚ u Pr´ava a povinnosti je znovu moˇzn´e vyvodit z v´ yˇse zm´ınˇen´ ych z´asad. Pro spr´avce IS tedy po uplynut´ı doby zpracov´an´ı za dan´ ym u ´ˇcelem tohle znamen´a nˇekolik moˇznost´ı. Nejlepˇs´ı variantou je z´ısk´an´ı souhlasu k dalˇs´ımu zpracov´an´ı. Nebo osobn´ı u ´daje mus´ı vymazat, tedy vymazat v pˇr´ıpadˇe relaˇcn´ı datab´aze pˇr´ısluˇsn´e z´aznamy v tabulce. V praxi se ale spr´avci osobn´ı u ´daje snaˇz´ı uchov´avat co nejdelˇs´ı dobu a pokud nedo´ redn´ı vˇestn´ık Evropsk´e unie [online]. 2007 [cit. 2013-0442. Dohoda PNR 2007. Uˇ 05]. Dostupn´e z: http://eur-lex.europa.eu/LexUriServ/site/cs/oj/2007/l_ 204/l_20420070804cs00180025.pdf. 43. Knihovna NKP. Elektronick´e datab´ aze osobn´ıch u ´daj˚ u [online]. 2007 [cit. 201304-05]. Dostupn´e z: http://knihovna.nkp.cz/knihovna72/folda.htm.
25
ˇasny ´ stav 2. Souc stanou souhlas k dalˇs´ımu zpracov´an´ı, maj´ı moˇznost uchov´avat osobn´ı u ´daje pro vˇedeck´e a statistick´e u ´ˇcely. Tuto moˇznost neobsahuje z´akon pouze proto, aby dal spr´avc˚ um moˇznost osobn´ı u ´daje uchov´avat bez souhlasu subjekt˚ u dlouhou dobu. Spr´avci mus´ı osobn´ı u ´daje urˇcit´ ym zp˚ usobem upravit (viz z´asady) a ˇr´ıdit se pˇr´ısluˇsn´ ym z´akonem, tedy 44 napˇr. z´akonem o st´atn´ı statistick´e sluˇzbˇe.
44. Z´ akon ˇc. 89/1995 Sb.,o st´ atn´ı statistick´e sluˇzbˇe, ve znˇen´ı pozdˇejˇs´ıch pˇredpis˚ u
26
Kapitola 3
Technick´ e postupy k zajiˇ stˇ en´ı bezpeˇ cnosti osobn´ıch u ´ daj˚ u S rozvojem internetu se tato ˇca´st st´av´a asi nejd˚ uleˇzitˇejˇs´ı ˇca´st´ı k dosaˇzen´ı ochrany osobn´ıch u ´daj˚ u. Nav´ıc z´akon je ke spr´avc˚ um pomˇernˇe nemilosrdn´ y (nutno pˇrijmout takov´a opatˇren´ı aby k naruˇsen´ı zpracov´avan´ ych u ´daj˚ u nedoˇslo) a za neopr´avnˇen´ y z´asah je zodpovˇedn´ y (nepˇrijal dostateˇcn´a opatˇren´ı). Chr´anit osobn´ı u ´daje je nutn´e ze dvou pohled˚ u: •
proti poˇskozen´ı, ztr´atˇe, neopr´avnˇen´emu pˇr´ıstupu uloˇzen´ ych osobn´ıch u ´daj˚ u
•
proti odposlechu a zmˇenˇen´ı osobn´ıch u ´daj˚ u pˇri pˇren´aˇsen´ı dat po s´ıti
I kdyˇz z N´avrhu naˇr´ızen´ı vypl´ yv´a u ´ˇcinnost nov´eho pr´avn´ıho r´amce v nejbliˇzˇs´ıch letech, na technick´e postupy tento stav nebude m´ıt z´asadn´ı vliv. Zmˇeny kter´e v t´eto oblasti nast´avaj´ı, se dˇej´ı hlavnˇe d´ıky technologick´emu pokroku a tuto kapitolu lze proto br´at jako platnou pro souˇcasn´ y i pˇredpokl´adan´ y stav.
3.1
Autentizace a internetov´ a komunikace
Autentizace znamen´a ovˇeˇren´ı identity uˇzivatele. Metody takov´eho ovˇeˇren´ı jsou zaloˇzen´e na nˇeˇcem, co uˇzivatel zn´a (typicky pˇr´ıstupov´e heslo), m´a (platebn´ı karta), nebo ˇc´ım je (otisk prstu).45 Kaˇzd´ y pˇr´ıstup m´a sv´e v´ yhody a nev´ yhody, v souˇcasn´e dobˇe nejpouˇz´ıvanˇejˇs´ı zp˚ usob autentizace je pomoc´ı hesla (PINu). Ponˇekud naivn´ı pˇredstava ovˇeˇren´ı ´ 45. J. Krhovj´ ak, V. Maty´ aˇs. Autentizace a identifikace uˇzivatel˚ u. Zpravodaj UVT MU. ISSN 1212-0901, 2007, roˇc. XVIII, ˇc. 1, s. 1-5.
27
´ postupy k zajiˇ ˇn´ı bezpec ˇnosti osobn´ıch u ´ daj˚ 3. Technicke ste u pomoc´ı hesla prob´ıh´a t´ım zp˚ usobem, ˇze spr´avce m´a v datab´azi uloˇzen´e vˇsechny uˇzivatele a ke kaˇzd´emu odpov´ıdaj´ıc´ı heslo a pˇrihlaˇsovac´ı u ´daje uˇzivatele jsou pos´ıl´any na server IS, kter´ y je porovn´a s u ´daji v datab´azi. Takto uloˇzen´a hesla v datab´azi spr´avce mohou b´ yt odcizena. Stejnˇe tak m˚ uˇze b´ yt odposlouch´av´ana komunikace mezi uˇzivatelem a spr´avcem a heslo jednoduˇse odcizeno. Proto je praxe ponˇekud odliˇsn´a, spr´avci IS hesla uˇzivatel˚ u do datab´az´ı neukl´adaj´ı a komunikace mezi serverem a uˇzivatelem je zabezpeˇcen´a. K dosaˇzen´ı tˇechto c´ıl˚ u slouˇz´ı napˇr. autentizaˇcn´ı protokoly a ˇsifrov´an´ı. 3.1.1 Symetrick´ eˇ sifrov´ an´ı Heslo nebo jin´a pos´ılan´a data jsou pomoc´ı algoritmu (napˇr. algoritmy AES a DES) zaˇsifrov´any. Dan´ y algoritmus vyuˇz´ıv´a kl´ıˇc k zaˇsifrov´an´ı, kter´ y se pouˇz´ıv´a i k deˇsifrov´an´ı (tzv. sd´ılen´ y kl´ıˇc). V´ yhody takov´eho ˇsifrov´an´ı je jeho rychlost (d´a se pouˇz´ıt k zaˇsifrov´an´ı velk´eho objemu dat) a nev´ yhodou sd´ılen´ y kl´ıˇc.46 Dan´ y kl´ıˇc mus´ı zn´at obˇe strany, kter´e komunikuj´ı. Data jsou pˇren´aˇseny zaˇsifrovan´e, ale k deˇsifrov´an´ı je nutn´ y kl´ıˇc, kter´ y je nutn´ y pˇren´est bezpeˇcnˇe (pˇri odhalen´ı kl´ıˇce m˚ uˇze u ´toˇcn´ık data jednoduˇse deˇsifrovat). 3.1.2 Asymetrick´ eˇ sifrov´ an´ı Tento zp˚ usob m´a oproti symetrick´emu ˇsifrov´an´ı v´ yhodou, ˇze pouˇz´ıv´a 2 kl´ıˇce, veˇrejn´ y a soukrom´ y (je utajen) a strany si nemus´ı ˇz´adn´ y kl´ıˇc vymˇen ˇovat. Nejpouˇz´ıvanˇejˇs´ım asymetrick´ ym algoritmem je RSA.47 Soukrom´ y kl´ıˇc slouˇz´ı k vytvoˇren´ı elektronick´eho podpisu (viz pˇr´ısluˇsn´a ˇca´st pr´ace) a deˇsifrov´an´ı. Veˇrejn´ y slouˇz´ı k ˇsifrov´an´ı dat a ovˇeˇren´ı elektro48 nick´eho podpisu. Tedy data m˚ uˇze ˇsifrovat kaˇzd´ y, kdo zn´a veˇrejn´ y kl´ıˇc (tedy t´emˇeˇr kaˇzd´ y), ale deˇsifrovat pouze ten kdo zn´a soukrom´ y kl´ıˇc. A kaˇzd´ y, kdo zn´a veˇrejn´ y kl´ıˇc a deˇsifruje zpr´avu zaˇsifrovanou pomoc´ı soukrom´eho kl´ıˇce, m´a jistotu, ˇze autorem zpr´avy je ten, kdo 46. Symetrick´e ˇsifrov´ an´ı AES/Rijndael v .NET. Aspnet.cz [online]. 2007 [cit. 2013-04-08]. Dostupn´e z: http://www.aspnet.cz/articles/ 147-symetricke-sifrovani-aes-rijndael-v-ne. 47. Algoritmus RSA (Rivest, Shamir, Aldeman) fungujic´ı na principu Eulerovy vˇety navrˇzen´ y v roce 1977. 48. NAHODIL, Vil´em. Algoritmus RSA [online]. 2002 [cit. 2013-04-08]. Dostupn´e z: http://vychodil.inf.upol.cz/publications/white-papers/rsa.pdf.
28
´ postupy k zajiˇ ˇn´ı bezpec ˇnosti osobn´ıch u ´ daj˚ 3. Technicke ste u ji zaˇsifroval. I kdyˇz jsou kl´ıˇce voleny tak, ˇze je teoreticky moˇzn´e algoritmicky vypoˇc´ıtat jeden kl´ıˇc z druh´eho, jsou z´aroveˇ n voleny tak, aby takov´ y v´ ypoˇcet potˇreboval t´emˇeˇr nedosaˇziteln´ y v´ ypoˇcetn´ı v´ ykon. Vzhledem k n´aroˇcnosti asymetrick´eho ˇsifrov´an´ı se v praxi ˇcasto pouˇz´ıv´a kombinace obou pˇr´ıstup˚ u (asymetrick´eho ˇsifrov´an´ı symetrick´eho kl´ıˇce, kter´ ym jsou data zaˇsifrov´ana). 3.1.3 Hashovac´ı funkce ˇ Sifrov´ an´ı n´am slouˇz´ı k utajen´ı pos´ılan´e zpr´avy (tedy napˇr. hesla). Hashovac´ı algoritmy maj´ı mnoho uplatnˇen´ı, jedn´ım je napˇr. ovˇeˇren´ı integrity pˇren´aˇsen´ ych dat. Pouh´a zmˇena osobn´ıch u ´daj˚ u znamen´a velk´ y probl´em, proto je ovˇeˇren´ı integrity d˚ uleˇzit´e. Teorie je takov´a, ˇze hashovac´ı algoritmus vypoˇc´ıt´a dan´e zpr´avˇe urˇcit´ y k´od naz´ yvan´ y ˇcesky miniatura“, otisk“ (angl. fingerprint“, thumbprint“). Mˇelo by pla” ” ” ” tit, ˇze pro stejnou zpr´avu bude otisk stejn´ y a ze znalosti v´ ysledku nen´ı moˇzn´e dopoˇc´ıtat p˚ uvodn´ı zpr´avu a nen´ı t´emˇeˇr moˇzn´e nal´ezt data, kter´a by mˇela stejn´ y otisk.49 Pˇred odesl´an´ım dat spoˇc´ıt´ame otisk, po pˇr´ıjmu tak´e a pokud se otisky rovnaj´ı, m˚ uˇzeme pˇredpokl´adat, ˇze data jsou totoˇzn´a. Existuje v´ıce hashovac´ıch algoritm˚ u (nˇekter´e starˇs´ı uˇz nejsou povaˇzov´any za bezpeˇcn´e), nejpouˇz´ıvanˇejˇs´ı v dneˇsn´ı dobˇe je algoritmus SHA-2.50 3.1.4 Elektronick´ y podpis Pomoc´ı ˇsifrov´an´ı a hashovac´ıch funkc´ı dok´aˇzeme velmi v´ yraznˇe osobn´ı u ´daje zabezpeˇcit a spojen´ım tˇechto funkc´ı m˚ uˇzeme zaˇc´ıt vyuˇz´ıvat elektronick´ y podpis. Slouˇz´ı n´am k detekci pravosti, jedineˇcnosti a nedotˇcenosti pos´ılan´ ych dat. Praxe je takov´a, ˇze se z pˇren´aˇsen´ ych dat vypoˇc´ıt´a otisk a ten je n´aslednˇe zaˇsifrov´an (napˇr. pomoc´ı RSA algoritmu). Otisk se ˇsifruje pomoc´ı soukrom´eho kl´ıˇce. K ovˇeˇren´ı zpr´avy deˇsifrujeme data pomoc´ı veˇrejn´eho kl´ıˇce, pot´e jiˇz m˚ uˇzeme vypoˇc´ıtat otisk a pokud dva otisky souhlas´ı, m˚ uˇzeme pˇredpokl´adat nedotˇcenost zpr´avy. ´ SEK, ˇ 49. VALA Michal. Pˇr´ısnˇe tajn´e ˇsifry: Hash a snadn´e ovˇeˇren´ı pravosti zpr´ av a odhalen´ı zbyteˇcnost´ı. IHNED.cz [online]. Economia, 2012, ˇc. 2 [cit. 2013-04-08]. Dostupn´e z: http://tech.ihned.cz/geekosfera/ c1-58446560-zaklady-kryptografie-hashovaci-funkce. 50. tamt´eˇz
29
´ postupy k zajiˇ ˇn´ı bezpec ˇnosti osobn´ıch u ´ daj˚ 3. Technicke ste u 3.1.5 Certifik´ aty Asymetrick´e ˇsifrov´an´ı m´a jednu nev´ yhodu, kterou se snaˇz´ı ˇreˇsit certifik´aty. Pokud dvˇe strany komunikuj´ı pomoc´ı zaˇsifrovan´ ych zpr´av, vygeneruj´ı si soukrom´ y a veˇrejn´ y kl´ıˇc. Veˇrejn´ y kl´ıˇc mus´ı pˇredat protistranˇe. Jejich komunikace m˚ uˇze b´ yt odposlouch´av´ana, coˇz m˚ uˇze v´est k z´ısk´an´ı veˇrejn´eho kl´ıˇce, ale pouh´e z´ısk´an´ı veˇrejn´eho kl´ıˇce nen´ı k uˇzitku. Pokud jsou ale pos´ılan´e veˇrejn´e kl´ıˇce pozmˇenˇeny bˇehem pˇrenosu mezi stranami, bezpeˇcnost komunikace je naruˇsena. Jakmile se pos´ılan´ y veˇrejn´ y kl´ıˇc nahrad´ı jin´ ym vygenerovan´ ym veˇrejn´ ym kl´ıˇcem, je moˇzn´e deˇsifrovat, modifikovat a pot´e znovu zaˇsifrovat zpr´avy v komunikaci. Certifik´aty n´am tedy zajiˇst’uj´ı ovˇeˇren´ı identity odes´ılatele zpr´avy. V praxi je nutn´a existence urˇcit´e instituce, kter´a ovˇeˇruje totoˇznosti uˇzivatel˚ u. Takov´a instituce m´a vlastn´ı certifikaˇcn´ı politiku, ze kter´e je moˇzn´e odvodit zp˚ usob ovˇeˇren´ı totoˇznosti a jak´e z toho plynou z´aruky. Uˇzivatel, kter´ y chce vyuˇz´ıt certifik´atu instituce si vygeneruje soukrom´ y a veˇrejn´ y kl´ıˇc (veˇrejn´ y dopln´ı o informace poˇzadovan´e certifikaˇcn´ı instituc´ı) a t´ım je vytvoˇrena ˇza´dost o podpis certifik´atu (naz´ yvan´a CSR), kterou je nutn´e zaslat dan´e instituci.51 Pokud je ˇza´dost schv´alena (ovˇeˇrena identita ˇzadatele, splnˇena politika instituce) vytvoˇr´ı instituce certifik´at. Ten je podepsan´ y veˇrejn´ ym kl´ıˇcem instituce a obsahuje identifikaci vlastn´ıka spojenou s jeho veˇrejn´ ym kl´ıˇcem, identifikaci insituce vyd´avaj´ıc´ı certifik´at, dobu platnosti a dalˇs´ı u ´daje. Nejv´ yznamnˇejˇs´ım certifik´atem v hierarchii certifik´at˚ u je koˇrenov´ ya slouˇz´ı k ovˇeˇrov´an´ı dalˇs´ıch certifik´at˚ u. Koˇrenov´ y certifik´at je importov´an do u ´loˇziˇstˇe d˚ uvˇeryhodn´ ych koˇrenov´ ych certifik´at˚ u uˇzivatele a vˇsechny zabezpeˇcen´e sluˇzby prokazuj´ıc´ı se importovan´ ym koˇrenov´ ym certifik´atem jsou povaˇzov´any za d˚ uvˇern´e. Proto je nutn´e koˇrenov´ y certifik´at z´ıskat opravdu z d˚ uvˇeryhodn´eho zdroje. St´av´a se, ˇze uˇzivatel´e ztr´acej´ı kontrolu nad sv´ ym certifik´atem (nˇekdo zjist´ı soukrom´ y kl´ıˇc). V takov´ ych situac´ı se vyuˇz´ıv´a tzv. revokace certifik´atu a je doc´ıleno pˇredˇcasn´eho zneplatnˇen´ı certifik´atu zveˇrejnˇen´ım ve veˇrejnˇe pˇr´ıstupn´em ´ SEK, ˇ 51. VALA Michal. Pˇr´ısnˇe tajn´e ˇsifry: Jak Alice, Bob a Eva uk´azali, k ˇcemu potˇrebujeme certifik´aty. IHNED.cz [online]. Economia, 2012, ˇc. 4 [cit. 2013-04-08]. Dostupn´e z: http://tech.ihned.cz/geekosfera/ c1-58804400-sifry-certifikaty-elektronicky-podpis.
30
´ postupy k zajiˇ ˇn´ı bezpec ˇnosti osobn´ıch u ´ daj˚ 3. Technicke ste u seznamu revokovan´ ych certifik´at˚ u.52 Jednou z nejzn´amˇejˇs´ıch certifikaˇcn´ıch instituc´ı je spoleˇcnost VeriSign vlastnˇen´a spoleˇcnost´ı Symantec Corp. Uˇzivatel˚ um jsou k dispozici alternativy v podobˇe program˚ u, kter´ ymi jsou napˇr. PGP, GPG zajiˇst’uj´ıc´ı tak´e ovˇeˇren´ı identity uˇzivatele a dalˇs´ı funkce. ˇ 3.1.6 Casov´ e raz´ıtko V pˇr´ıpadˇe dokument˚ u s dlouhou platnost´ı, kter´e je potˇreba ovˇeˇrit s ˇcasov´ ym odstupem se dostaneme do situace kdy certifik´aty slouˇz´ıc´ı k ovˇeˇren´ı jiˇz ztratily svou platnost (nebo byly revokov´any). K ovˇeˇren´ı dokument˚ u i po delˇs´ım ˇcase slouˇz´ı ˇcasov´e raz´ıtko a zajiˇst’uje n´am, ˇze uveden´a data existovala v dan´ y ˇcas.53 Obdobnˇe jako u certifik´at˚ u je nutn´a nˇejak´a ˇ autorita. Zadatel o ˇcasov´e raz´ıtko zaˇsle otisk dat autoritˇe, kter´a k nˇemu pˇripoj´ı ˇcasov´e raz´ıtko. Vˇse se opatˇr´ı elektronick´ ym podpisem autority a zaˇsle ˇzadateli.
3.2
Dalˇ s´ı prostˇ redky ochrany
3.2.1 Volba hesla K ˇcemu slouˇz´ı a jeho ochranu jsem uˇz vysvˇetlil v pˇr´ısluˇsn´e kapitole. I kdyˇz je zajiˇstˇena siln´a ochrana hesla, nemus´ı to nic znamenat. Pokud si uˇzivatel zvol´ı velmi slab´e heslo (re´aln´a slova, pouze p´ısmena, pouze ˇc´ısla, heslo spojen´e s nˇejak´ ym u ´dajem dan´e osoby), je takov´e heslo pro potenci´aln´ıho u ´toˇcn´ıka mnohem jednoduˇseji zjistiteln´e. Na prolomen´ı hesla bez jak´ekoli znalosti o dan´em hesle je dostupn´ ych mnoho program˚ u, re´alnˇe vˇsak u ´toˇcn´ıka brzd´ı pouˇzit´e zabezpeˇcen´ı IS a komunikace mezi n´ım a serverem, proto je pˇr´ıpadn´ y program pouˇziteln´ y pouze v pˇr´ıpadˇe slabˇe zabezpeˇcen´ ych IS a opravdu ˇspatnˇe zvolen´eho hesla. Pokud jsou hesla nebo otisky hesel odcizena, pravdˇepodobnost zjiˇstˇen´ı hesla se zvyˇsuje a daj´ı se prolomit i sloˇzitˇejˇs´ı hesla. Tato rizika jsou hlavn´ımi d˚ uvody, proˇc by mˇely uˇzivatel´e volit siln´a hesla (= do52. PETERKA, Jiˇr´ı. Co je revokace certifik´atu? eArchiv.cz [online]. 2012 [cit. 201305-11]. Dostupn´e z: http://www.earchiv.cz/b12/b0504001.php3. 53. VRABEC, Vladim´ır. Elektronick´e ˇcasov´e raz´ıtko, doplnˇek elektronick´eho podpisu [online]. 2003 [cit. 2013-05-11]. Dostupn´e z: http://interval.cz/clanky/ elektronicke-casove-razitko-doplnek-elektronickeho-podpisu.
31
´ postupy k zajiˇ ˇn´ı bezpec ˇnosti osobn´ıch u ´ daj˚ 3. Technicke ste u stateˇcnˇe dlouh´a kombinace velk´ ych, mal´ ych p´ısmen, ˇc´ıslic a specil´an´ıch znak˚ u), takov´e hesla jsou t´emˇeˇr neprolomiteln´a. I kdyˇz si heslo ˇcasto vol´ı s´am uˇzivatel, je za tuto volbu zodpovˇedn´ y z ˇca´sti i spr´avce. Existuj´ı prostˇredky k donucen´ı uˇzivatele k vytvoˇren´ı siln´eho hesla. Tˇechto prostˇredk˚ u by mˇelo b´ yt pouˇzito u ´mˇernˇe k m´ıˇre moˇzn´eho rizika pˇri zneuˇzit´ı hesla. K zes´ılen´ı ochrany m˚ uˇze b´ yt pouˇzito s heslem nˇejak´ y fyzick´ y identifik´ator (napˇr. identifikaˇcn´ı karta). 3.2.2 Pˇ r´ıstupov´ a pr´ ava K osobn´ım u ´daj˚ um by mˇely m´ıt pˇr´ıstup pouze povˇeˇren´e osoby. Tento pˇr´ıstup je nutn´ y zav´est na v´ıce u ´rovn´ıch. Zajiˇstˇen´ı na fyzick´e u ´rovni (zamˇcen´e dveˇre, skˇr´ıˇ nky) br´an´ı pˇr´ım´emu kontaktu s osobn´ımi u ´daji, sem je moˇzn´e zahrnout i pˇr´ıstup napˇr. k pevn´ ym disk˚ um s osobn´ımi u ´daji. Dalˇs´ı u ´rovn´ı je ta zprostˇredkovan´a, v naˇsem pˇr´ıpadˇe pomoc´ı IS. Pokud IS pouˇz´ıv´a autentizaci kaˇzd´eho pˇristupuj´ıc´ıho k syst´emu, povol´ı pˇr´ıstup (editaci) pouze urˇcit´e skupinˇe uˇzivatel˚ u, kteˇr´ı maj´ı pr´avo s osobn´ımi u ´daji pracovat. 3.2.3 Z´ alohov´ an´ı Kaˇzd´ y spr´avce by mˇel osobn´ı u ´daje z´alohovat, aby nemohlo doj´ıt k neoˇcek´avan´e ztr´atˇe. Vytvoˇren´e z´alohy by mˇely b´ yt stejnˇe d˚ ukladnˇe zabezpeˇceny. Pokud dojde k aktualizaci osobn´ıch u ´daj˚ u nebo pomine u ´ˇcel zpracov´an´ı, stanou se z´alohy neaktu´aln´ı. Dle ZOOU spr´avce mus´ı zpracov´avat pouze pˇresn´e u ´daje a ne vˇsechny osobn´ı u ´daje v z´aloh´ach tuto vlastnost vˇzdy splˇ nuj´ı. Osobn´ı u ´daje v z´aloh´ach lze povaˇzovat dle § 4 p´ısm. h) ZOOU za blokovan´e (jsou vyˇrazeny ze zpracov´an´ı) a jejich neaktu´alnost tedy nen´ı probl´em. D´ale osobn´ı u ´daje mohou b´ yt po uplynut´ı u ´ˇcelu dle § 5 p´ısm. e) ZOOU uchov´av´any pro archivnick´e u ´ˇcely a z´alohy lze povaˇzovat za archiv´alie. Spr´avce by mˇel ale zajistit ˇcast´e z´alohov´an´ı, aby v pˇr´ıpadˇe poruchy a zaˇrazen´ım z´aloh do zpracov´an´ı bylo vˇzdy dosaˇzeno zpracov´an´ı aktu´aln´ıch osobn´ıch u ´daj˚ u.
3.3
Bezpeˇ cn´ e chov´ an´ı uˇ zivatel˚ u
I pˇres veˇskerou snahu spr´avc˚ u je urˇcit´e chov´an´ı uˇzivatel˚ u d˚ uvodem zneuˇzit´ı osobn´ıch u ´daj˚ u. Uˇzivatel´e by mˇely volit dostateˇcnˇe siln´a hesla 32
´ postupy k zajiˇ ˇn´ı bezpec ˇnosti osobn´ıch u ´ daj˚ 3. Technicke ste u (spoleˇcn´a odpovˇednost se spr´avcem). Heslo by nemˇely s nik´ ym sd´ılet, zaznamen´avat si ho na lehce dostupn´a m´ısta (nejl´epe v˚ ubec) a d´avat pozor pˇri jeho zad´av´an´ı. Tyto pˇr´ıpady jsou ojedinˇel´e, ale pˇresto se st´avaj´ı. S ˇc´ım se setk´av´ame ˇcasto, je pouˇzit´ı stejn´eho hesla ke vˇsem sluˇzb´am. Existuj´ı IS s lepˇs´ı a horˇs´ı ochranou a pˇri prolomen´ı hesla, pravdˇepodobnˇe IS s horˇs´ım zabezpeˇcen´ı, m´a u ´toˇcn´ık pˇr´ıstup ke vˇsem sluˇzb´am dotyˇcn´e osoby. Netvrd´ım, ˇze by uˇzivatel´e mˇeli volit ke kaˇzd´e sluˇzbˇe jedineˇcn´e heslo, sp´ıˇse rozdˇelit pouˇz´ıvan´e sluˇzby do kategori´ı dle d˚ uleˇzitosti a pro dan´e kategorie zvolit heslo (tedy jednoduˇseji zjistiteln´e heslo by nebylo stejn´e jako heslo k d˚ uleˇzit´ ym u ´daj˚ um). Ponˇekud diskutabiln´ı je ukl´ad´an´ı hesel v prohl´ıˇzeˇci. V˚ ubec nez´aleˇz´ı na s´ıle a mnoˇzstv´ı hesel, pokud jsou tyto hesla uloˇzena v internetov´em prohl´ıˇzeˇci a poˇc´ıtaˇc pot´e odcizen. Uˇzivatel˚ um tato funkce v´ yznamnˇe ˇsetˇr´ı ˇcas, proto je ve velk´e m´ıˇre obl´ıbena a jedin´a sluˇzba kde z´akaz t´eto funkce uˇzivatel´e toleruj´ı je internetov´e bankovnictv´ı. V neposledn´ı ˇradˇe by mˇely uˇzivatel´e dodrˇzovat bezpeˇcn´e chov´an´ı na internetu, kde existuje velk´e mnoˇzstv´ı ˇskodliv´ ych program˚ u, kter´e napˇr. sn´ımaj´ı znaky zadan´e na kl´avesnici (tedy i heslo). 3.3.1 SSO Je proces, kter´ y umoˇzn ˇuje uˇzivateli se jednou pˇrihl´asit do aplikace a z´aroveˇ n m´ıt pˇr´ıstup do v´ıce aplikac´ı bez nutnosti dalˇs´ıho pˇrihlaˇsov´an´ı.54 Uˇzivatel´e jsou ˇcasto nuceni si pamatovat mnoho hesel. Pokud si vol´ı dostateˇcnˇe siln´a hesla, je velk´e riziko, ˇze heslo zapomenou. Nebo vzhledem k velk´emu mnoˇzstv´ı hesel maj´ı tendenci si volit hesla lehce zapamatovateln´a hesla a t´ım i m´enˇe bezpeˇcn´a. Tento probl´em ˇreˇs´ı SSO. Aby tento proces fungoval je nutn´ y prostˇredn´ık. Princip je takov´ y (konkr´etnˇe v autentizaˇcn´ım protokolu vyuˇz´ıvan´em v SSO Kerberos), ˇze uˇzivatel je ovˇeˇren prostˇredn´ıkem, po u ´spˇeˇsn´em ovˇeˇren´ı je uˇzivateli posl´an tzv. service ticket, kter´ y je zaˇsifrovan´ y pomoc´ı kl´ıˇce aplikace do kter´e se chce uˇzivatel pˇrihl´asit a n´aslednˇe je service ticket posl´an uˇzivatelem aplikaci, kter´a service ticket deˇsifruje sv´ ym kl´ıˇcem a pomoc´ı u ´daj˚ u o uˇzivateli ze service ticketu m˚ uˇze klienta povaˇzovat za autentizovan´eho.55 ˇ 54. BOUSKA, Petr. Kerberos protokol a Single sign-on. [online]. 2010 [cit. 2013-05-11]. Dostupn´e z: http://www.samuraj-cz.com/clanek/ kerberos-protokol-a-single-sign-on/. 55. tamt´eˇz
33
Kapitola 4
Pˇ redpokl´ adan´ y stav Tato kapitola popisuje ochranu osobn´ıch u ´daj˚ u v IS, kter´a s nejvˇetˇs´ı pravdˇepodobnost´ı nastane bˇehem n´asleduj´ıc´ıch 3 let, jakmile vejde v u ´ˇcinnost N´avrh naˇr´ızen´ı. Irsko, kter´e je v souˇcasn´e dobˇe v pˇredsednictv´ı EU, si dalo projedn´an´ı nov´eho r´amce ochrany osobn´ıch u ´daj˚ u jako 56 prioritu. Pˇresto se pl´anovan´e hlasov´an´ı na konci dubna jiˇz odloˇzilo na konec kvˇetna.57 N´avrh naˇr´ızen´ı ruˇs´ı smˇernici EU, ale st´ale respektuje z´akladn´ı lidsk´a pr´ava a svobody i obecn´e z´asady smˇernice EU, je vytvoˇren k dosaˇzen´ı komplexnˇejˇs´ıch a jednotnˇejˇs´ıch pravidel v oblasti osobn´ıch u ´daj˚ u a pˇrizp˚ usoben´ı dneˇsn´ımu obrovsk´emu technologick´emu rozvoji a vˇetˇs´ı m´ıˇre jistoty veˇrejnosti. Tedy souˇcasn´ y stav je st´ale velmi v´ yznamn´ y a z velk´e ˇca´sti bude platit nad´ale. Mnoho let v EU byl nejd˚ uleˇzitˇejˇs´ı dokument v oblasti ochrany osobn´ıch u ´daj˚ u smˇernice, EU nyn´ı pˇripravuje naˇr´ızen´ı (jedn´a se o pr´avn´ı akty sekund´arn´ıho pr´ava), jak´ y je tedy rozd´ıl mezi smˇernic´ı a naˇr´ızen´ım? Naˇr´ızen´ı je silnˇejˇs´ı pr´avn´ı akt neˇz smˇernice. Naˇr´ızen´ı si lze pˇredstavit jako z´akon naˇs´ı zemˇe, jen s t´ım rozd´ılem ˇze naˇr´ızen´ı je z´avazn´e v cel´e EU. Naˇr´ızen´ı nemus´ı b´ yt obsaˇzeno ve vnitrost´atn´ım pr´avu kaˇzd´eho ˇclensk´eho st´atu, pˇresto je v kaˇzd´em z´avazn´e. Pokud je naˇr´ızen´ı v rozporu s vnitrost´atn´ım pr´avem, m´a naˇr´ızen´ı pˇrednost. Smˇernice je z´avazn´a pouze pro urˇcen´e st´aty EU (v pˇr´ıpadˇe smˇernice EU to jsou vˇsechny ˇclensk´e st´aty) a ˇr´ık´a jak´ ych v´ ysledk˚ u mus´ı ˇclensk´ y st´at dos´ahnout, jak´ ym zp˚ usobem tˇechto v´ ysledk˚ u ˇclensk´ y st´at dos´ahne, neurˇcuje. Kaˇzd´ y ˇclensk´ y st´at tedy m˚ uˇze pouˇz´ıt 56. Den ochrany u ´daj˚ u 2013 – plnou parou vpˇred ke spolehliv´ ym a modern´ım pˇredpis˚ um EU pro ochranu u ´daj˚ u. Europa [online]. 2013 [cit. 2013-04-09]. Dostupn´e z: http://europa.eu/rapid/press-release_IP-13-57_cs.htm. 57. European Parliament’s lead committee for the proposed EU General Data Protection Regulation postpones vote. Lexology [online]. 2013 [cit. 2013-04-15]. Dostupn´e z: http://www.lexology.com/library/detail.aspx?g= dead60a5-cdbf-4e67-80d7-abf616dbb830.
34
ˇedpokla ´ dany ´ stav 4. Pr jin´e zp˚ usoby k dosaˇzen´ı v´ ysledku. Pro dosaˇzen´ı v´ ysledku st´aty pouˇz´ıvaj´ı vnitrost´atn´ı z´akony.
4.1
Z´ akladn´ı pojmy
4.1.1 Subjekt u ´ daj˚ u, osobn´ı a citliv´ eu ´ daje N´avrh naˇr´ızen´ı neobsahuje definici citliv´ ych u ´daj˚ u, jednotliv´e citliv´e u ´daje jsou vymezeny samostatnˇe. Subjekt u ´daj˚ u a osobn´ı u ´daje jsou definov´any velmi podobnˇe (liˇs´ı se hlavnˇe pˇr´ıstupem k tˇemto definic´ım, v ZOOU jsou subjekty osoby, k n´ımˇz se vztahuj´ı osobn´ı u ´daje, kter´e obsahuj´ı v´ yˇcet vˇsech moˇzn´ ych u ´daj˚ u, v Naˇr´ızen´ı tomu je pˇresnˇe naopak). V´ yrazn´ y rozd´ıl je ten, ˇze N´avrh naˇr´ızen´ı nav´ıc obsahuje, ˇze osobn´ım u ´dajem urˇcit´eho subjektu m˚ uˇzou b´ yt lokalizaˇcn´ı u ´daje a elektronick´ y identifik´ator. Za elektronick´ y identifik´ator lze povaˇzovat adresy internetov´eho protokolu nebo identifik´atory cookies. N´avrh naˇr´ızen´ı v bodˇe 24 tyto identifik´atory zmiˇ nuje, ˇze nemus´ı b´ yt nezbytnˇe povaˇzov´any za osobn´ı u ´daje. Pokud je subjekt osoba, kterou lze pˇr´ımo ˇci nepˇr´ımo identifikovat pomoc´ı elektronick´eho identifik´atoru a adresa internetov´eho protokolu a indentifik´atory cookies maj´ı takov´e vlastnosti (jsou v praxi pouˇz´ıv´any k identifikaci subjekt˚ u), mˇely by b´ yt povaˇzov´any za osobn´ı u ´daje. Evropsk´ y parlament tuto ˇca´st vˇety jiˇz pˇreformuloval v pozmˇen ˇovac´ım n´avrhu.58
4.1.2 Naruˇ sen´ı bezpeˇ cnosti osobn´ıch u ´ daj˚ u Naruˇsen´ı bezpeˇcnosti, kter´e vede k n´ahodn´emu nebo pro” tipr´avn´ımu zniˇcen´ı, ztr´atˇe, zmˇenˇe ˇci neopr´avnˇen´emu vyzrazen´ı nebo zpˇr´ıstupnˇen´ı osobn´ıch u ´daj˚ u pˇren´aˇsen´ych, uchov´avan´ych nebo jinak zpracov´avan´ych.“ (ˇcl. 4 odst. 9 N´avrhu naˇr´ızen´ı)
58. Pozmˇen ˇovac´ı n´ avrh 15, N´avrhu zpr´avy o n´avrhu naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u (obecn´e naˇr´ızen´ı o ochranˇe osobn´ıch u ´daj˚ u).
35
ˇedpokla ´ dany ´ stav 4. Pr 4.1.3 Z´ astupce Jak´akoli fyzick´a nebo pr´avnick´a osoba usazen´a v Unii, ” kter´a je v´yslovnˇe jmenov´ana spr´avcem k tomu, aby jednala a mohla b´yt oslovov´ana org´anem dozoru a dalˇs´ımi org´any v Unii m´ısto spr´avce, pokud jde o povinnosti spr´avce ve smyslu tohoto naˇr´ızen´ı.“ (ˇcl. 4 odst. 14 N´avrhu naˇr´ızen´ı) 4.1.4 Pseudonym N´avrh naˇr´ızen´ı tento pojem nedefinuje. Definoval ho aˇz Evropsk´ y parlament a d´a se pˇredpokl´adat, ˇze do naˇr´ızen´ı bude vloˇzen. Jedn´a se o identifik´ator, kter´ y je specifick´ y pro jeden konkr´etn´ı kontext a umoˇzn ˇuje zjistit subjekt u ´daj˚ u, ale z´aroveˇ n nen´ı podle nˇej moˇzn´e subjekt identifikovat pˇr´ımo.59 4.1.5 Profilov´ an´ı Jak´akoli forma automatick´eho zpracov´an´ı osobn´ıch u ´daj˚ u, ” jehoˇz u ´ˇcelem je hodnocen´ı urˇcit´ych osobn´ıch aspekt˚ u vztahuj´ıc´ıch se k fyzick´e osobˇe nebo anal´yza ˇci odhad zejm´ena pracovn´ıho v´ykonu fyzick´e osoby, jej´ı ekonomick´e situace, lokalizace, zdrav´ı, osobn´ıch preferenc´ı, spolehlivosti nebo chov´an´ı.“ (Pozmˇen ˇovac´ı n´avrh 87 N´avrhu zpr´avy o n´avrhu naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´dja˚ u a o voln´em pohybu tˇechto u ´daj˚ u.) EU se snaˇz´ı aby se na fyzick´e osoby nevztahovalo profilov´an´ı a pokud se vztahuje je vymezeno z´akonem nebo prob´ıh´a na z´akladˇe souhlasu subjektu. Tato ˇca´st je c´ılena na soci´aln´ı s´ıtˇe, ale pokud je vyuˇz´ıv´ano profilov´an´ı v IS, novˇe by mˇeli spr´avci z´ıskat souhlas subjekt˚ uu ´daj˚ u. 59. Pozmˇen ˇovac´ı n´ avrh 85 N´avrhu zpr´avy o n´avrhu naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u (obecn´e naˇr´ızen´ı o ochranˇe osobn´ıch u ´daj˚ u).
36
ˇedpokla ´ dany ´ stav 4. Pr 4.1.6 Ostatn´ı definice Mnoh´e pojmy lze ch´apat totoˇznˇe jako v ZOOU, napˇr. zpracov´an´ı osobn´ıch u ´daj˚ u, spr´avce, zpracovatel, genetick´e a biometrick´e u ´daje a u ´daje o zdravotn´ım stavu jsou citliv´e u ´daje dle ZOOU. Nˇekter´e dalˇs´ı pojmy ze ZOOU se v Naˇr´ızen´ı znovu objevuj´ı, ale jejich definice nen´ı pro tuto pr´aci d˚ uleˇz´ıt´a: pˇr´ıjemce, evidence, souhlas subjektu u ´daj˚ u. Nˇekter´e pojmy Naˇr´ızen´ı oproti ZOOU nedefinuje: anonymn´ı u ´daj, uchov´av´an´ı, shromaˇzd’ov´an´ı, blokov´an´ı, likvidace. Smˇernice zav´ad´ı nˇekter´e dalˇs´ı pojmy, kter´e se v ZOOU neobjevuj´ı, ale jejich definice nen´ı pro tuto pr´aci d˚ uleˇzit´a: podnik, skupina podnik˚ u, hlavn´ı provozovna, z´avazn´e podnikov´a pravidla, d´ıtˇe.
4.2
Oˇ cek´ avan´ y stav a pˇ redpokl´ adan´ a pozitiva a negativa
Pˇripravovan´e naˇr´ızen´ı by mˇelo pˇrin´est pozitiva, bohuˇzel ale nese i urˇcit´a negativa. Neznamen´a to ovˇsem, ˇze tyto negativa opravdu nastanou. K n´avrhu naˇr´ızen´ı mˇelo moˇznost se vyj´adˇrit (a tak´e vyj´adˇrilo) mnoho subjekt˚ u maj´ıc´ıch zkuˇsenosti s ochranou osobn´ıch u ´daj˚ u a sdˇelit sv´e n´azory. Vˇeˇr´ım, ˇze pˇr´ınosn´e n´azory a zkuˇsenosti povedou k odstranˇen´ı vˇetˇsiny negativ (hlavnˇe tˇech z´asadn´ıch). 4.2.1 Zpracov´ an´ı osobn´ıch u ´ daj˚ u d´ıtˇ ete Zpracov´an´ı osobn´ıch u ´daj˚ u d´ıtˇete mladˇs´ıho jak 13 let v souvislosti s nab´ıdkou sluˇzeb informaˇcn´ı spoleˇcnosti je moˇzn´e pouze se souhlasem rodiˇce nebo z´akonn´eho z´astupce. Spr´avce vyvine pˇrimˇeˇren´e u ´sil´ı o 60 z´ısk´an´ı ovˇeˇriteln´eho souhlasu s ohledem na dneˇsn´ı technologie. Tato ˇca´st je s nejvˇetˇs´ı pravdˇepodobnost´ı m´ıˇrena k soci´aln´ım s´ıt´ım, mus´ı se j´ı ale ˇr´ıdit i napˇr. spr´avci IS, kter´ ych se tento ˇcl´anek dot´ yk´a. V dneˇsn´ı informaˇcn´ı spoleˇcnosti je tˇeˇzk´e zabr´anit lidem lh´at o sv´em vˇeku, protoˇze 60. ˇcl. 8 N´ avrhu naˇr´ızen´ı
37
ˇedpokla ´ dany ´ stav 4. Pr se velmi sloˇzitˇe ovˇeˇruje. Ovˇeˇriteln´ y souhlas ke zpracov´an´ı osobn´ıch u ´daj˚ u z´astupce d´ıtˇete je tˇeˇzce dosaˇziteln´ y, dˇeti starˇs´ı 10 let um´ı s poˇc´ıtaˇcem pracovat (nˇekdy i l´epe jak jejich rodiˇce), takˇze by musel b´ yt zvolen velmi siln´ y ovˇeˇrovac´ı apar´at. Proto tento ˇcl´anek hodnot´ım jako negativum, i kdyˇz vize regulace zpracov´an´ı osobn´ıch u ´daj˚ u dˇet´ı (ˇcasto si neuvˇedomuj´ı hodnotu poskytovan´ ych informac´ı) je dobr´a, ale zvolen´ y apar´at by v praxi nejsp´ıˇse nefungoval. 4.2.2 Pr´ avo b´ yt zapomenut a pr´ avo na v´ ymaz Subjekt m´a pr´avo poˇzadovat od spr´avce v´ ymaz osobn´ıch u ´daj˚ u, kter´e se jej t´ ykaj´ı, za splnˇen´ı d˚ uvod˚ u uveden´ ych v pˇr´ısluˇsn´em ˇcl´anku N´avrhu naˇr´ızen´ı (´ udaje jiˇz nejsou potˇrebn´e pro u ´ˇcel, subjekt odvol´a souhlas ke zpracov´an´ı osobn´ıch u ´daj˚ u. vzn´aˇs´ı n´amitku proti zpracov´an´ı).61 Pokud spr´avce pˇred´aval u ´daje tˇret´ım osob´am, je zodpovˇedn´ y i za tyto u ´daje. Spr´avce mus´ı subjektu vyhovˇet aˇz na vyj´ımky uveden´e v N´avrhu naˇr´ızen´ı.62 Toto pr´avo je moˇzn´e povaˇzovat jako novinku, v souˇcasn´e dobˇe takov´e pr´avo prakticky neexistuje. Je jasn´e, ˇze takov´e pr´avo se nebude zamlouvat spoleˇcnostem provozuj´ıc´ı soci´aln´ı s´ıtˇe napˇr. Facebook, kter´e na osobn´ıch u ´daj´ıch vydˇel´avaj´ı a zadan´e osobn´ı u ´daje ne63 zapom´ınaj´ı. Ostatn´ı spoleˇcnosti provozuj´ıc´ı IS na zpracov´an´ı osobn´ıch u ´daj˚ u v´ yraznˇe neprofituj´ı, d´a se tedy pˇredpokl´adat, ˇze se s t´ımto pr´avem sm´ıˇr´ı l´epe. I kdyˇz samotn´e vymaz´an´ı nˇekter´ ych informac´ı (osobn´ıch u ´daj˚ u) z elektronick´e datab´aze je bezprobl´emov´e a levn´e, zajiˇstˇen´ı v´ ymazu osobn´ıch u ´daj˚ u pˇredan´ ych tˇret´ım osob´am m˚ uˇze b´ yt, obzvl´aˇst’ pro menˇs´ı firmy, velmi problematick´e a n´akladn´e. Evropsk´ y parlament velkou odpovˇednost spr´avce doporuˇcil zm´ırnit, kter´ y m´a povinnost prov´est veˇsker´a nezbytn´a opatˇren´ı k v´ ymazu pˇr´ısluˇsn´ ych dat, ale jiˇz ned´av´a spr´avci odpovˇednost za faktick´e nevymaz´an´ı u ´daj˚ u tˇret´ı osobou.64 61. ˇcl. 17 N´ avrhu naˇr´ızen´ı 62. ˇcl. 17 odst. 3 N´ avrhu naˇr´ızen´ı ˇ ´ 63. SAVELKOV A, Jana. Vˇsechno, co jste chtˇeli vˇedˇet o Facebooku, ale b´ ali jste se zeptat [online]. 2013 [cit. 2013-05-14]. ISSN 1801-0814. Dostupn´e z: http://www.veda.muni.cz/veda-a-vyzkum/ 3379-vsechno-co-jste-chteli-vedet-o-facebooku-ale-bali-jste-se-zeptat. 64. Pozmˇen ˇovac´ı n´ avrh 35, N´avrhu zpr´avy o n´avrhu naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u (obecn´e naˇr´ızen´ı o ochranˇe osobn´ıch u ´daj˚ u)
38
ˇedpokla ´ dany ´ stav 4. Pr 4.2.3 Ohlaˇ sov´ an´ı naruˇ sen´ı bezpeˇ cnosti osobn´ıch u ´ daj˚ u Pokud dojde k naruˇsen´ı bezpeˇcnosti osobn´ıch u ´daj˚ u, mus´ı to spr´avce ozn´amit, pokud je to moˇzn´e nejpozdˇeji do 24 hodin, org´anu dozoru.65 Ohl´aˇsen´ı mus´ı obsahovat alespoˇ n urˇcitou mnoˇzinu informac´ı.66 Pokud se takov´e naruˇsen´ı m˚ uˇze nepˇr´ıznivˇe dotknout subjekt˚ u osobn´ıch u ´daj˚ u mus´ı spr´avce o takov´em naruˇsen´ı informovat samotn´e subjekty. I pˇres vyˇsˇs´ı administrativn´ı z´atˇeˇz podnik˚ u je zde moˇzn´e nal´ezt nˇejak´a po´ zitiva. Utoky veden´e na osobn´ı u ´daje budou evidov´any v r´amci cel´e EU a t´ım je moˇzn´e pˇrij´ımat opatˇren´ı k efektivnˇejˇs´ı ochranˇe osobn´ıch u ´daj˚ u. Informov´an´ı subjekt˚ uu ´daj˚ u m˚ uˇze zm´ırnit n´asledky pˇr´ıpadn´eho u ´toku, protoˇze subjekty mohou podniknout z vlastn´ı iniciativy kroky ke zm´ırnˇen´ı n´asledk˚ u (pˇri u ´niku jm´ena, pˇr´ıjmen´ı a adresy spoleˇcnˇe s u ´daji o platebn´ı kartˇe mohou subjekty pˇri rychl´em informov´an´ı reagovat zablokov´an´ım dan´e platebn´ı karty). Informaˇcn´ı povinnost je v dneˇsn´ı dobˇe rychl´a a levn´a z´aleˇzitost a mnoho spoleˇcnost´ı takovou funkci m´a ve sv´ ych IS implemetov´ano. Evropsk´ y parlament doporuˇcil zv´ yˇsit lh˚ utu 24 hodin na 72.67 4.2.4 Inspektor ochrany u ´ daj˚ u Spr´avce mus´ı v urˇcit´ ych pˇr´ıpadech jmenovat inspektora osobn´ıch u ´daj˚ u (podnik s v´ıce jak 250 zamˇestnanci a jin´e d˚ uvody uveden´e v pˇr´ısluˇsn´em 68 ˇcl´anku N´avrhu naˇr´ızen´ı). Inspektor dohl´ıˇz´ı na ochranu osobn´ıch u ´daj˚ u, informuje spr´avce o moˇzn´ ych chyb´ach v takov´e ochranˇe a ud´ıl´ı spr´avci rady, slouˇz´ı jako kontaktn´ı osoba v oblasti osobn´ıch u ´daj˚ u dan´eho podniku a jsou mu udˇelena dalˇs´ı pr´ava a povinnosti uveden´e v N´avrhu naˇr´ızen´ı.69 Inspektor by mˇel m´ıt dostateˇcn´e vzdˇel´an´ı a zkuˇsenosti k v´ ykonu t´eto ˇcinnosti. S velmi vysokou pravdˇepodobnost´ı m˚ uˇzeme ˇr´ıci, ˇze spoleˇcnosti kter´e mus´ı jmenovat inspektora vyuˇz´ıvaj´ı nˇejak´ y IS. To tedy d´av´a spoleˇcnostem povinnost jmenovat takov´e inspektory, kteˇr´ı maj´ı zkuˇsenosti s ochranou osobn´ıch u ´daj˚ u, maj´ı znalosti z oblasti 65. ˇcl. 31, 32 N´ avrhu naˇr´ızen´ı 66. ˇcl. 31 odst. 3 N´ avrhu naˇr´ızen´ı 67. Pozmˇen ˇovac´ı n´ avrh 45, N´avrhu zpr´avy o n´avrhu naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´dja˚ u a o voln´em pohybu tˇechto u ´daj˚ u (obecn´e naˇr´ızen´ı o ochranˇe osobn´ıch u ´daj˚ u) 68. ˇcl. 35 N´ avrhu naˇr´ızen´ı 69. ˇcl. 37 N´ avrhu naˇr´ızen´ı
39
ˇedpokla ´ dany ´ stav 4. Pr v´ ypoˇcetn´ı techniky a nejl´epe znaj´ı dan´ y IS a maj´ı odborn´e znalosti pr´ava. Nen´ı jist´e, ˇze v EU existuje dostatek tˇechto odborn´ık˚ u. Inspektor m˚ uˇze b´ yt zamˇestnancem spr´avce nebo zpracovatele a m˚ uˇzou nast´avat situace, kdy je na inspektora vyv´ıjen tlak ze strany zamˇestnavatele k urˇcit´e benevolenci v ochranˇe osobn´ıch u ´daj˚ u. Tato novinka by tedy mohla pˇrin´est vˇetˇs´ı jistotu v ochranˇe osobn´ıch u ´daj˚ u, lid´e by vˇedˇeli na koho se u vˇetˇs´ıch firem obr´atit a zvedlo by to vˇetˇs´ı d˚ uvˇeru v takov´e instituce. Zm´ınˇen´a situace ovˇsem nastane pouze v ide´aln´ım pˇr´ıpadˇe, v opaˇcn´em pˇr´ıpadˇe budou spoleˇcnostem pˇrid´any pouze dalˇs´ı povinnosti. Z profesn´ıch krit´eri´ı inspektora by mˇelo b´ yt jasn´e, ˇze je dostatek takov´ ych odborn´ık˚ u nebo je moˇzn´e dostateˇcn´eho poˇctu dos´ahnout urˇcit´ ymi prostˇredky. Evropsk´ y parlament se pokusil profesn´ı schopnosti inspektora vyjmenovat a d´av´a to veˇrejnosti mnohem jasnˇejˇs´ı pˇrehled jak´e kvality inspektor splˇ nuje70 a mˇen´ı poˇzadavek ustanovit inspektora v podnic´ıch s v´ıce jak 250 zamˇestnanci, na podniky zpracov´avaj´ıc´ı u ´daje o v´ıce jak 500 subjektech roˇcnˇe.71 4.2.5 Osvˇ edˇ cen´ı Zaveden´ı mechanism˚ u, kter´e hodnot´ı u ´roveˇ n ochrany osobn´ıch u ´daj˚ u.72 Tedy ˇc´ım vˇetˇs´ı u ´roveˇ n ochrany t´ım lepˇs´ı hodnocen´ı. V oblasti IS by se takov´e hodnocen´ı mohlo odr´aˇzet od pouˇzit´ ych technologi´ı, mnoˇzstv´ı a s´ıle zabezpeˇcen´ı (viz technick´e postupy zabezpeˇcen´ı v IS). Pokud bude vytvoˇren funguj´ıc´ı syst´em hodnot´ıc´ı zabezpeˇcen´ı IS, spoleˇcnostem dobr´e hodnocen´ı pˇrid´a na d˚ uvˇeryhodnosti a uˇzivatel´e mnohem jednoduˇseji rozeznaj´ı jak´ ym instituc´ım mohou sv´e osobn´ı u ´daje svˇeˇrit. 4.2.6 Pˇ red´ av´ an´ı osobn´ıch u ´ daj˚ u do tˇ ret´ıch zem´ı nebo mezin´ arodn´ım organizac´ım ZOOU jiˇz upravuje tuto oblast. V´ıce neˇz o v´ yrazn´e zmˇeny v t´eto oblasti se jedn´a o jednotn´ y zp˚ usob pˇred´av´an´ı osobn´ıch u ´daj˚ u z kaˇzd´eho 70. Pozmˇen ˇovac´ı n´ avrh 49, N´avrhu zpr´avy o n´avrhu naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´dja˚ u a o voln´em pohybu tˇechto u ´daj˚ u (obecn´e naˇr´ızen´ı o ochranˇe osobn´ıch u ´daj˚ u). 71. Pozmˇen ˇovac´ı n´ avrh 182, N´avrhu zpr´avy o n´avrhu naˇr´ızen´ı Evropsk´eho parlamentu a Rady o ochranˇe fyzick´ ych osob v souvislosti se zpracov´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u (obecn´e naˇr´ızen´ı o ochranˇe osobn´ıch u ´daj˚ u). 72. ˇcl. 39 N´ avrhu naˇr´ızen´ı
40
ˇedpokla ´ dany ´ stav 4. Pr ˇclensk´eho st´atu a n´asledn´e zpracov´an´ı osobn´ıch u ´daj˚ u (pokud bude prob´ıhat st´ale v r´amci EU) se stane pr˚ uhledn´e, protoˇze se bude ˇr´ıdit pravidly z N´avrhu naˇr´ızen´ı.73
´ 4.2.7 UOOU a Evropsk´ a rada pro ochranu osobn´ıch u ´ daj˚ u N´avrh naˇr´ızen´ı poˇzaduje zˇr´ızen´ı dozorov´eho org´anu v kaˇzd´em ˇclensk´em ´ st´atˇe. Tedy UOOU svoji ˇcinnost neukonˇc´ı, ale jeho pravomoci a povinnosti budou m´ırnˇe upraveny dle zmˇen v N´avrhu naˇr´ızen´ı. Mezi org´any dozoru jednotliv´ ych st´at˚ u se pˇredpokl´ad´a u ´zk´a spolupr´ace.74 Z tohoto d˚ uvodu se tak´e zˇrizuje Evropsk´a rada pro ochranu osobn´ıch u ´daj˚ u.75 Jedn´a se o vedouc´ı org´an v EU v oblasti ochrany osobn´ıch u ´daj˚ u a tvoˇr´ı jej vedouc´ı ˇclen z kaˇzd´eho ˇclensk´eho st´atu a evropsk´ y inspektor ochrany osobn´ıch u ´daj˚ u. Subjekt, jenˇz se domn´ıv´a, ˇze byl dotˇcen na sv´ ych pr´avech v oblasti ochrany osobn´ıch u ´daj˚ u se m˚ uˇze dovol´avat sv´eho pr´ava u libovoln´eho dozorov´eho org´anu.
4.2.8 Pokuta za poruˇ sen´ı povinnosti Dle ZOOU je moˇzn´e ukl´adat osob´am pokutu dle z´avaˇznosti a charakteru poruˇsen´ı ochrany osobn´ıch u ´daj˚ u aˇz do v´ yˇse 10 000 000 Kˇc. Kaˇzd´ y ˇclensk´ y st´at si v´ yˇsi sankc´ı volil s´am a v sankc´ıch panuje velk´ y ˇ zvyˇsuje a za nepomˇer. N´avrh naˇr´ızen´ı v´ yˇsi sankc´ı v porovn´an´ı s CR nejv´aˇznˇejˇs´ı poruˇsen´ı ochrany osobn´ıch u ´daj˚ u lze udˇelit pokutu aˇz do v´ yˇse 1 000 000 EUR, v pˇr´ıpadˇe podnik˚ u aˇz do v´ yˇse 2 % jejich celosvˇetov´eho pˇr´ıjmu.76 V pˇr´ıpadˇe velk´ ych podnik˚ u 2 % celosvˇetov´ ych pˇr´ıjm˚ u pˇredstavuje ˇc´astku v´ yraznˇe pˇrevyˇsuj´ıc´ı 1 000 000 EUR. Souˇcasn´a situace nahr´av´a velk´ ym podnik˚ um, protoˇze sankce v nˇekter´ ych zem´ıch EU jsou pro nˇe zanedbateln´e. Tuto situaci ˇreˇs´ı zaveden´ı jednotn´ ych vyˇsˇs´ıch sankc´ı v cel´e EU.
73. kapitola V N´ avrhu naˇr´ızen´ı 74. P˚ usobnost a pravomoc org´anu dozoru jsou obsaˇzeny v kapitole VI a VII N´avrhu naˇr´ızen´ı. 75. ˇcl. 64 odst. 1 N´ avrhu naˇr´ızen´ı 76. ˇcl. 79 N´ avrhu naˇr´ızen´ı
41
ˇedpokla ´ dany ´ stav 4. Pr 4.2.9 Ochrana osobn´ıch u ´ daj˚ u jiˇ z od n´ avrhu a standardn´ı nastaven´ı ochrany u ´ daj˚ u Tv˚ urci produkt˚ u, kter´e pracuj´ı s osobn´ımi u ´daji, by mˇely jiˇz od samotn´eho v´ yvoje produktu db´at na ochranu osobn´ıch u ´daj˚ u. Producenti IS by mˇely navrhovat IS takov´ ym zp˚ usobem, aby jejich syst´emy jiˇz od poˇca´tku obsahovaly takov´e technologie a funkce k pˇrimˇeˇren´e ochranˇe osobn´ıch u ´daj˚ u. Spr´avce IS tedy provozuje syst´emy, kter´e zpracov´avaj´ı opravdu minim´aln´ı potˇrebnou mnoˇzinu u ´daj˚ u, osobn´ı u ´daje pˇrimˇeˇrenˇe k dan´emu u ´ˇcelu zabezpeˇcuj´ı, poskytuj´ı funkce k anonymizov´an´ı osobn´ıch u ´daj˚ u.77 Neexistence takov´e z´asady pˇredstavuje v souˇcasnosti probl´em (zm´ınˇeno jiˇz v pˇredchoz´ıch ˇc´astech pr´ace) a z velk´e ˇca´sti zapˇr´ıˇc´ıˇ nuje nˇekter´e neviditeln´e chyby v ochranˇe osobn´ıch u ´daj˚ u. Tato z´asada se odr´aˇz´ı tak´e ve f´azi v´ yvoje software (napˇr. IS), v dneˇsn´ı dobˇe je velmi popul´arn´ı agiln´ı metodika ˇr´ızen´ı v´ yvoje.78 Jednou z vlastnost´ı tohoto pˇr´ıstupu je pravideln´e dod´av´an´ı funguj´ıc´ıch ˇc´asti produktu v tzv. iterac´ıch. V´ yvoj´aˇrsk´e t´ ymy vyuˇz´ıvaj´ıc´ı agiln´ıch metod budou muset dodrˇzovat ochranu osobn´ıch u ´daj˚ u jiˇz od n´avrhu. Tedy dodan´ y software z´akazn´ıkovi po kaˇzd´e iteraci bude muset dodrˇzovat z´asady ochrany osobn´ıch u ´daj˚ u, ne pouze v´ ysledn´ y produkt. Dalˇs´ı zmˇeny pˇrin´aˇs´ı smˇernice v administrativˇe. N´avrh naˇr´ızen´ı ukl´ad´a menˇs´ım podnik˚ um m´enˇe povinnost´ı neˇz velk´ ym a ulehˇcuje jim od administrativn´ıch z´aleˇzitost´ı. Na druhou stranu celkov´e administrativn´ı povinnosti budou nejsp´ıˇse vˇetˇs´ı neˇz v souˇcasn´e dobˇe. N´avrh naˇr´ızen´ı v mnoha bodech d´av´a Komisi pr´avo k vyd´av´an´ı akt˚ u v pˇrenesen´e p˚ usobnosti za u ´ˇcelem dalˇs´ıho vymezen´ı podm´ınek, je pravda, ˇze urˇcit´e ˇca´sti je nutn´e konkretizovat nebo m´ırnˇe upravit. Nˇekdy to je ale zbyteˇcn´e (pravidla ohlaˇsov´an´ı naruˇsen´ı bezpeˇcnosti by mˇela b´ yt jednotn´a a jednoznaˇcnˇe d´any jiˇz v Naˇr´ızen´ı) a nˇekdy pˇrikl´ad´a Komisi aˇz pˇr´ıliˇs velk´e pravomoci (v ˇcl. 9 N´avrhu naˇr´ızeni), tyto pravomoci by mˇely b´ yt svˇeˇreny sp´ıˇse jin´emu org´anu (evropsk´emu z´akonod´arci). Naˇr´ızen´ı by mˇelo chr´anit osobn´ı u ´daje osob ˇzij´ıc´ıch v EU i kdyˇz jsou jejich 77. ˇcl. 23 N´ avrhu naˇr´ızen´ı 78. Jedn´ a se o pˇr´ıstup k v´ yvoji softwaru, kter´ y m´a za c´ıl zlepˇsen´ı v´ yvoje. Vych´az´ı z Manifestu agiln´ıho v´ yvoje software, kter´ y stanovuje z´akladn´ı principy tohoto pˇr´ıstupu, jako je u ´zk´ a spolupr´ ace mezi lidmi, moˇznost zmˇeny poˇzadavk˚ u v pr˚ ubˇehu v´ yvoje, rychl´e a trval´e dod´ avky kvalitn´ıho produktu.
42
ˇedpokla ´ dany ´ stav 4. Pr osobn´ı u ´daje zpracov´av´any mimo EU. Bohuˇzel si nemysl´ım, ˇze EU disponuje prostˇredky k vym´ah´an´ı pr´ava v pˇr´ıpadˇe poruˇsen´ı ochrany osobn´ıch u ´daj˚ u mimo EU. Z n´avrhu naˇr´ızen´ı vypl´ yv´a, ˇze se nevztahuje na zpracov´an´ı osobn´ıch u ´daj˚ u upraven´e odliˇsn´ ymi pr´avn´ımi n´astroji, tedy nelze ˇr´ıci, ˇze d´ıky naˇr´ızen´ı bude dosaˇzeno okamˇz´ıt´e komplexnosti v t´eto oblasti. Pˇresto by mˇely b´ yt pˇredloˇzeny legislativn´ı n´avrhy, jimiˇz by bylo t´eto komplexnosti dosaˇzeno.
43
Kapitola 5
Vysok´ e ˇ skolstv´ı a Informaˇ cn´ı syst´ em Masarykovy univerzity Vˇetˇsina vysko´ ych ˇskol vyuˇz´ıv´a IS, ve kter´ ych osobn´ı u ´daje zpracov´av´a. Oblast vysok´eho ˇskolstv´ı je pomˇernˇe specifick´a a vysok´ ym ˇskol´am je d´ana z´akonem79 pravomoc zpracov´avat ˇsirok´ y rozsah u ´daj˚ u. Tedy kaˇzd´ y kdo studuje, studoval nebo bude studovat na vysok´e ˇskole mus´ı poˇc´ıtat s t´ım, ˇze vysok´a ˇskola bude zpracov´avat urˇcit´e mnoˇzstv´ı jeho osobn´ıch u ´daj˚ u. K prvn´ımu zpracov´an´ı osobn´ıch u ´daj˚ u doch´az´ı pˇri pˇrij´ımac´ım ˇr´ızen´ı. To je zah´ajeno doruˇcen´ım pˇrihl´aˇsky ke studiu, ve kter´e mus´ı b´ yt uvedeno jm´eno (jm´ena), pˇr´ıjmen´ı, rodn´e ˇc´ıslo a trval´ y pobyt na u ´zem´ı ˇ CR. Cizinec uv´ad´ı nav´ıc pohlav´ı, st´atn´ı obˇcanstv´ı, datum narozen´ı a ˇ 80 K dalˇs´ımu zpracov´an´ı osobn´ıch u bydliˇstˇe mimo CR. ´daj˚ u doch´az´ı pˇri studiu. Pˇripom´ın´am, ˇze pravomoc zpracov´avat osobn´ı u ´daje maj´ı vysok´e ˇskoly danou z´akonem. Tedy k takov´emu zpracov´an´ı nepotˇrebuj´ı souhlas student˚ u, ale rozsah zpracov´avan´ ych osobn´ıch u ´daj˚ u nesm´ı b´ yt v rozporu se z´akonem. Jako pˇr´ıklad lze uv´est matriku student˚ u, kterou vede vysok´a ˇskola. Matrika je vedena na z´akladˇe z´akona81 a zaznamen´avaj´ı se do n´ı pouze u ´daje vymezen´e v z´akonˇe.82 V IS je student˚ um ˇ veden rozvrh, v´ ysledky zkouˇsek, term´ıny zkouˇsek a dalˇs´ı u ´daje. Casto se jedn´a o osobn´ı u ´daje a ke zpracov´an´ı tˇehto u ´daj˚ u d´av´a student souhlas dobrovoln´ ym vstupem na vysokou ˇskolu.83
79. Z´ akon ˇc. 111/1998 Sb., o vysko´ ych ˇskol´ach a o zmˇenˇe a doplnˇen´ı dalˇs´ıch z´akon˚ u. 80. § 50 odst. 1 z´ akona o vysok´ ych ˇskol´ach 81. § 88 z´ akona o vysok´ ych ˇskol´ach 82. § 88 odst. 2 z´ akona o vysok´ ych ˇskol´ach ˇ ´ a V´aclav BART´IK. Ochrana osobn´ıch 83. MATES, Pavel, Eva JANECKOV A u ´daj˚ u. Praha: Leges, 2012, 206 s. Praktik. ISBN 978-808-7576-120.
44
´ˇ ˇn´ı syste ´m Masarykovy univerzity 5. Vysoke skolstv´ı a Informac
5.1
Informaˇ cn´ı syst´ em Masarykovy Univerzity
I pˇres zamˇeˇren´ı t´eto kapitoly na IS MU, lze vˇetˇsinou dan´ y probl´em pˇren´est obecnˇe do vysok´eho ˇskolstv´ı, protoˇze ISy ostatn´ıch vysok´ ych ˇskol se v tˇechto ot´azk´ach v´ yraznˇe neliˇs´ı. Nejedn´a se o celkov´e hodnocen´ı IS MU z hlediska ochrany osobn´ıch u ´daj˚ u v kontextu N´avrhu naˇr´ızen´ı, ale pouze o hodnocen´ı ˇc´ast´ı IS MU, kter´e souvis´ı s osobn´ımi u ´daji a jsou poznamen´any N´avrhem naˇr´ızen´ı. D˚ uleˇzit´ ym pˇredpisem je Smˇernice rektora ˇc. 3/2010 Ochrana osobn´ıch u ´daj˚ u na Masarykovˇe univerzitˇe (d´ale jen “smˇernice rektora”), kter´a bude kv˚ uli N´avrhu naˇr´ızen´ı s nejvˇetˇs´ı pravdˇepodobnost´ı v nˇekolika pˇr´ıˇst´ıch letech novelizov´ana. 5.1.1 Inspektor Masarykova univerzita bude muset jmenovat inspektora, kter´ y bude m´ıt na starosti ochranu osobn´ıch u ´daj˚ u. Na prvn´ı pohled se jedn´a o novinku, ale na Masarykovˇe univerzitˇe jiˇz podobn´a funkce existuje. Smˇernice rektora d´av´a manaˇzerovi vnitˇrn´ı spr´avy odpovˇednost za ochranu osobn´ıch u ´daj˚ u.84 Nejedn´a se o osobu se stejn´ ymi funkcemi a pravomocemi jako inspektor, ale mnoh´e u ´ˇcely, za kter´ ymi jsou tyto funkce vytvoˇreny, se shoduj´ı. Jakmile bude inspektor jmenov´an, d´a se pˇredpokl´adat pˇred´an´ı pln´e odpovˇednosti v oblasti osobn´ıch u ´daj˚ u inspektorovi. Vzhledem k d˚ uleˇzitosti IS MU se bude ˇcinnost inspektora z velk´e ˇc´asti skl´adat z ochrany osobn´ıch u ´daj˚ u v tomto IS, ale mohl by jej i efektivnˇe vyuˇz´ıvat. Jednou z ˇcinnost´ı inspektora je poradenstv´ı, coˇz je sluˇzba, kter´a by mohla b´ yt vyuˇz´ıv´ana hojnˇeji a nebylo by ˇspatn´e udˇelat tuto sluˇzbu lehce dostupnou a vˇseobecnˇe zn´amou pomoc´ı implementace nˇejak´e funkce do IS MU, kter´a by tyto vlastnosti splˇ novala. MU m´a v´ yhodu, ˇze zamˇestn´av´a osoby, kter´e splˇ nuj´ı profesn´ı krit´eria inspektora ochrany osobn´ıch u ´daj˚ u, napˇr. manaˇzer vnitˇrn´ı spr´avy a hled´an´ı by tedy nemˇelo b´ yt sloˇzit´e. 5.1.2 Pr´ avo b´ yt zapomenut Tohoto pr´ava lze vyuˇz´ıt jen v urˇcit´ ych pˇr´ıpadech (viz pˇr´ısluˇsn´a ˇc´ast pr´ace), napˇr. pokud jiˇz pominul u ´ˇcel zpracov´an´ı. Proto nen´ı moˇzn´e pˇredpokl´adat u ´pln´e zapomenut´ı osobn´ıch u ´daj˚ u na vysok´e ˇskole, kter´a 84. ˇcl. 7 smˇernice rektora
45
´ˇ ˇn´ı syste ´m Masarykovy univerzity 5. Vysoke skolstv´ı a Informac m´a pr´avo zpracov´avat urˇcit´e osobn´ı u ´daje z´akonem. IS MU za dobu studia zpracov´av´a osobn´ı u ´daje ˇcasto a ne kaˇzd´e zpracov´an´ı je vedeno na z´akladˇe z´akona a je z´aroveˇ n nutn´e ke splnˇen´ı u ´ˇcelu napˇr. po ukonˇcen´ı studia. Omluvenky Student se m˚ uˇze v pˇr´ıpadˇe absence omluvit potvrzen´ım o nemoci od l´ekaˇre. Do IS je tato informace uloˇzena v podobˇe omluvenky, kter´a ob´ sahuje interval ve kter´em je student omluven a d˚ uvod absence. Udaje o zdravotn´ım stavu jsou citliv´e u ´daje, kter´e m˚ uˇze vysok´a ˇskola zpracov´avat, protoˇze jsou vloˇzeny studentem z vlastn´ı v˚ ule ku prospˇechu dan´eho studenta. Jakmile student ukonˇc´ı studium, na tyto informace by se pr´avo zapomenout mohlo vztahovat, protoˇze u ´ˇcel omluvenky jiˇz pominul. Rozvrh studenta Jedn´a se o osobn´ı u ´daj, protoˇze se na jeho z´akladˇe d´a monitorovat pohyb ˇclovˇeka bˇehem dne. Na prvn´ı pohled se po ukonˇcen´ı studia pr´avo na v´ ymaz takov´eho u ´daje vztahuje a k vytv´aˇren´ı statistik staˇc´ı i anonymizovan´e rozvrhy. Fakticky ale IS MU rozvrh neukl´ad´a, ale generuje na z´akladˇe jin´ ych informac´ı (zapsan´e pˇredmˇety studenta, doba vyuˇcov´an´ı dan´eho pˇredmˇetu). V´ ymaz rozvrhu nen´ı moˇzn´ y, protoˇre nen´ı fakticky nikde uloˇzen, ale je generov´an na z´akladˇe poˇzadavku samotn´eho uˇzivatele z jin´ ych u ´daj˚ u. Fotografie v IS MU Je d˚ uleˇzit´a k identifikaci student˚ u napˇr. u zkouˇsek. Kaˇzd´ y uˇzivatel si m˚ uˇze nastavit, jestli jeho fotografie bude veˇrejn´a, viditeln´a pouze dalˇs´ım uˇzivatel˚ um ISu, nebo nen´ı v˚ ubec zveˇrejnˇena. I kdyˇz uˇzivatel nastav´ı svoji fotografii jako neveˇrejnou, uˇcitel´e maj´ı k fotografii st´ale pˇr´ıstup, protoˇze potˇreba identifikace uˇzivatel˚ u na zkouˇsk´ach, kterou prov´adˇej´ı uˇcitel´e, st´ale trv´a. Pokud ale uˇzivatel nastav´ı neveˇrejnou fotografii po ukonˇcen´ı studia, u ´ˇcel identifikace jiˇz pom´ıj´ı a d´a se uvaˇzovat o nemoˇznosti pˇr´ıstupu k dan´e fotografii i ze strany uˇcitel˚ u. 46
´ˇ ˇn´ı syste ´m Masarykovy univerzity 5. Vysoke skolstv´ı a Informac Podobn´ ych detail˚ u by se dalo naj´ıt v´ıce, ale v mnoha tˇechto pˇr´ıpadech m´a s´am uˇzivatel pr´avo takov´e u ´daje mˇenit (mazat, nezveˇrejˇ novat) a tedy poˇzadovat, v tomto pˇr´ıpadˇe po MU, v´ ymaz tˇechto u ´daj˚ u je nelogick´e, protoˇze jej m˚ uˇze uˇcinit s´am uˇzivatel. Tedy v kontextu IS MU pr´avo na v´ ymaz nem´a velk´ y v´ yznam. I kdyˇz budou m´ıt uˇzivatel´e nejsp´ıˇse pr´avo na v´ ymaz nˇekolika informac´ı veden´ ych o jejich osob´ach v IS MU, bude se jednat o m´enˇe zaj´ımav´e u ´daje, protoˇze ty d˚ uleˇzit´e vede vysok´a ˇskola na z´akladˇe z´akona. 5.1.3 Ochrana osobn´ıch u ´ daj˚ u jiˇ z od n´ avrhu Tento pojem je v N´avrhu naˇr´ızen´ı nov´ y. Pro program´atory ISu to znamen´a db´at na ochranu osobn´ıch u ´daj˚ u pˇri cel´em v´ yvoji nov´e aplikace nebo funkcionality ISu. I kdyˇz souˇcasn´a legislativa tento postup v´ yslovnˇe nevyslovuje, program´atoˇri IS MU u kaˇzd´eho v´ yvoje ochranu osobn´ıch u ´daj˚ u jiˇz od n´avrhu dodrˇzuj´ı (pˇr´ıstupov´a pr´ava se d˚ ukladnˇe nastavuj´ı jiˇz u ne zcela kompletn´ıch program˚ u, vyv´ıjen´e programy neprov´adˇej´ı nezbytn´e operace s osobn´ımi u ´daji apod.). 5.1.4 Profilov´ an´ı V IS MU prob´ıh´a velk´e mnoˇzstv´ı operac´ı, ale ˇza´dn´e nestoj´ı na profilov´an´ı. Zde vid´ım prostor pro inspektora ochrany osobn´ıch u ´daj˚ u, kter´ y by mˇel poskytovat rady ohlednˇe profilov´an´ı, pokud bude v budoucnu prob´ıhat. K profilov´an´ı je nutn´ y souhlas subjekt˚ u osobn´ıch u ´daj˚ u (pokud nen´ı d´ano z´akonem) a nejjednoduˇsˇs´ım prostˇredkem k z´ısk´an´ı souhlasu na Masarykovˇe univerzitˇe je pˇri vstupu studenta na vysokou ˇskolu. Vzhledem k tomu, ˇze tato oblast je sloˇzit´a, mˇel by inspektor z vlastn´ı iniciativy posoudit pˇripravovan´e zmˇeny s ohledem na profilov´an´ı. 5.1.5 Cookies + IP adresa Program´atoˇri budou muset novˇe povaˇzovat cookies a adresu internetov´eho protokolu za osobn´ı u ´daje. Veˇsker´e operace v IS MU s tˇemito u ´daji budou muset b´ yt v souladu s ochranou osobn´ıch u ´daj˚ u, protoˇze se bude jednat o osobn´ı u ´daje. V IS MU je vedena napˇr. statistika pˇr´ıstup˚ u, kter´a obsahuje IP adresu ze kter´e se uˇzivatel do ISu pˇr´ıhl´asil a ˇcas. 47
Kapitola 6
Z´ avˇ er C´ılem N´avrhu naˇr´ızen´ı je sjednocen´ı ochrany osobn´ıch u ´daj˚ u v EU, coˇz bude s velkou pravdˇepodobnost´ı splnˇeno. Dalˇs´ım c´ılem je d´at lidem vˇetˇs´ı jistotu v oblasti ochrany osobn´ıch u ´daj˚ u. Nˇekter´e navrhovan´e postupy tomu napom´ahaj´ı a z tohoto hlediska je m˚ uˇzeme povaˇzovat za pˇr´ınosn´e, ale na druhou stranu ˇcasto pˇrid´avaj´ı spr´avc˚ um osobn´ıch u ´daj˚ u ne´ umˇern´e povinnosti. Pˇr´ıkladem je zaveden´ı funkce inspektora u ´daj˚ u, jehoˇz ˇcinnost podpoˇr´ı ochranu osobn´ıch u ´daj˚ u, ale spr´avci budou zat´ıˇzen´ı nov´ ymi povinnostmi. Nˇekter´e navrhovan´e postupy jsou aˇz pˇr´ıliˇs striktn´ı a do IS se N´avrh naˇr´ızen´ı neprom´ıt´a pˇr´ıliˇs pozitivnˇe. Z N´avrhu naˇr´ızen´ı je patrn´e velk´e zamˇeˇren´ı na soci´aln´ı s´ıtˇe, kter´e ve velk´e m´ıˇre vyuˇz´ıvaj´ı v´ ypoˇcetn´ı techniky stejnˇe jako IS, ale m´ırou zpracov´an´ı osobn´ıch u ´daj˚ u IS v´ yraznˇe pˇrevyˇsuj´ı, pˇresto se tento nov´ y pr´avn´ı r´amec bude dot´ ykat IS obdobnˇe jako soci´aln´ıch s´ıt´ı. Tento fakt je umocnˇen v oblasti vysok´eho ˇskolstv´ı. D˚ uvˇera ve vysok´e ˇskolstv´ı v oblasti ochrany osobn´ıch u ´daj˚ u je pomˇernˇe vysok´a a d´a se povaˇzovat ze efektivn´ı. N´avrh naˇr´ızen´ı pˇrid´a vysok´ ym ˇskol´am administrativn´ı povinnosti a konkr´etnˇe nˇekter´e ˇc´asti IS MU, na kter´em stoj´ı fungov´an´ı MU, budou muset b´ yt upraveny nebo jejich vyuˇzit´ı bude podm´ınˇen´e v´ıce povinnostmi. Pˇr´ıkladem mohou b´ yt funkce vyuˇz´ıvaj´ıc´ı prvky profilov´an´ı a pr´avo b´ yt zapomenut, kter´e bude m´ıt pro studenty minim´aln´ı v´ yznam vzhledem k mnoˇzinˇe u ´daj˚ u na kter´e se bude vztahovat, ale MU student˚ um tohle pr´avo odepˇr´ıt nem˚ uˇze. Jedn´ım z dalˇs´ıch c´ıl˚ u je pˇrizp˚ usoben´ı technologick´emu rozvoji. O to se N´avrh naˇr´ızen´ı snaˇz´ı, ale jestli je opravdu vytvoˇren k souˇcasn´emu technologick´emu rozvoji se uk´aˇze v praxi. Dalˇs´ı c´ıle, napˇr. sjednocen´ı ochrany osobn´ıch u ´daj˚ u v EU budou dosaˇzeny a pouze ˇcas n´am uk´aˇze jestli jsme vytvoˇren´ım tohoto nov´eho pr´avn´ıho r´amce udˇelali spr´avn´ y krok k lepˇs´ı ochranˇe osobn´ıch u ´daj˚ u. 48
Literatura ´ [1] DOSTAL, Jaroslav. Ochrana osobn´ıch u ´daj˚ u a soukrom´ı v informaˇcn´ıch syst´emech [online]. Praha, 2007 [cit. 2013-05-14]. Dostupn´e z: isis.vse.cz/zp/480. Diplomov´a pr´ace. Vysok´a ˇskola ekonomick´a v Praze. ˇ ´ a V´aclav BART´IK. Ochrana [2] MATES, Pavel, Eva JANECKOV A osobn´ıch u ´daj˚ u. Praha: Leges, 2012, 206 s. Praktik. ISBN 978-8087576-120. [3] N´avrh naˇr´ızen´ı Evropsk´eho parlamentu a Rady ze dne 25.1.2012 o ochranˇe fyzick´ ych osob vsouvislosti se zpracov´av´an´ım osobn´ıch u ´daj˚ u a o voln´em pohybu tˇechto u ´daj˚ u. ˇ ´ Gabriela. Ochrana osobn´ıch u [4] OBESLOV A, ´daj˚ u a veˇrejn´a spr´ava [online]. Brno, 2006 [cit. 2013-03-05]. Dostupn´e z: http: //is.muni.cz/th/127535/pravf_b/Bakalarska_prace.pdf. Bakal´aˇrsk´a pr´ace. Masarykova univerzita. [5] Stanovisko ˇc. 01/2012 k reformˇe pr´avn´ıch pˇredpis˚ u o ochranˇe osobn´ıch u ´daj˚ u. in: The Article 29 Working Party drafts. 2012. dostupn´e z: http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/ 2012/wp191_cs.pdf. ´ Veronika. Spr´avnˇepr´avn´ı aspekty ochrany osobn´ıch [6] ZEHLOVA, u ´daj˚ u [online]. Brno, 2008 [cit. 2013-03-04]. Dostupn´e z: http://is.muni.cz/th/108011/pravf_m/diplomka.pdf. Diplomov´a pr´ace. Masarykova univerzita. [7] Z´akon ˇc. 101/2000 Sb., o ochranˇe osobn´ıch u ´daj˚ u a o zmˇenˇe nˇekter´ ych z´akon˚ u. 49
´ RAD ˇ ´ ˚ [8] U PRO COHRANU OSOBN´ICH UDAJ U. Ochrana osobn´ıch u ´daj˚ u: vybran´e ot´azky : pˇr´ıruˇcka pro podnikatele [online]. 2011 [cit. 2013-03-07]. ISBN 978 - 80 - 210 - 6179 - 8. Dostupn´e z: http: //www.uoou.cz/files/ldv_prirucka_cz.pdf. ´ RAD ˇ ´ ˚ [9] U PRO COHRANU OSOBN´ICH UDAJ U. V´yroˇcn´ı zpr´ava ´ Uˇradu pro ochranu osobn´ıch u ´daj˚ u za rok 2012 [online]. 2013 [cit. 2013-03-07]. ISBN 978 - 80 - 210 - 6179 - 8. Dostupn´e z: http: //www.uoou.cz/files/vz_2012.pdf. ´ rad pro ochranu osobn´ıch u ´ radu [online]. [10] Uˇ ´daj˚ u. O p˚ usobnosti Uˇ 2000 [cit. 2013-03-20]. Dostupn´e z: http://www.uoou.cz/uoou. aspx?menu=4&submenu=17. ˇ ´ID, Vladim´ır. Z´akon ˇc. 101/2000 Sb., o ochranˇe osobn´ıch [11] SM u ´daj˚ u a o zmˇenˇe nˇekter´ ych z´akon˚ u, ve znˇen´ı z´akona ˇc. 227/2000 Sb., z´akona ˇc. 177/2001 Sb., z´akona ˇc. 450/2001 Sb., z´akona ˇc. 107/2002 Sb., z´akona ˇc. 310/2002 Sb., z´akona ˇc. 517/2002 Sb., z´akona ˇc. 439/2004 Sb., z´akona ˇc. 480/2004 Sb., z´akona ˇc. 626/2004 Sb., z´akona ˇc. 413/2005 Sb., z´akona ˇc. 444/2005 Sb., z´akona ˇc. 109/2006 Sb., z´akona ˇc. 112/2006 Sb., z´akona ˇc. 342/2006 Sb., z´akona ˇc. 170/2007 Sb. a z´akona ˇc. 52/2009 Sb. (koment´aˇr). Masarykova univerzita v Brnˇe [online]. 2009 [cit. 2013-0517]. Dostupn´e z: http://www.fi.muni.cz/~smid/ochdn16.html.
50