Pplk. Sochora 27, 170 00 Praha 7, Tel.: 234 665 111, Fax: 234 665 444; e-mail:
[email protected]
STANOVISKO č. 4/2013 říjen 2013
K pojetí zpracování osobních údajů Úvod Vzhledem k tomu, že se v odborné veřejnosti objevuje řada odlišných názorů na to, co je zpracování, zejména v případě uchování osobních údajů, je potřebné vydat toto stanovisko. Nejdůležitější definice Základní definice jsou ve směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů1 a v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů2. K tomu lze dodat, že jakýkoli úkon/operace s osobními údaji, bez ohledu na účel/cíl, doktrína označuje jako nakládání s osobními údaji. Je-li charakteristikou konkrétního nakládání systematičnost, jedná se o zpracování osobních údajů. K pravidelným znakům systematičnosti, nikoliv však definičním, patří opakovanost či jednotící účel. Adresáta této právní normy by neměla mást opětovnost (iterativnost) podstatných jmen slovesných českého překladu směrnice. Z anglické verze je patrné, že postačí jednorázovost. Příkladem je uchovávání v. storage. Evropské právo navíc pojem „systematičnost“ nezná, a proto je nutné český zákon vykládat eurokonformně, tedy nikoliv tak, že znakem zpracování je hromadnost údajů, dotčených subjektů, operací apod., ale opačně. Proto uložení jednoho jediného e-mailu obsahujícího osobní údaje do speciální složky je zpracováním osobních údajů, je-li cílem umožnit další zpracování. Jedná se například o to, když se na pracovní místo přihlásí jen jeden jediný uchazeč. Znakem zpracování totiž není, že se jedná o osobní údaje neuzavřeného množství lidí. Úřad pro ochranu osobních údajů (dále též jen „Úřad“) zastává názor, že pojem „systematický“ v definici zpracování je v zásadě nadbytečný a jeho význam je okrajový.3 Lze se domnívat, že systematičnost je pozůstatkem předchozího zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.4 1
Článek 2 písm. b) směrnice 95/46/ES zní: „zpracováním osobních údajů“ („zpracování“) [je] jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace“. V anglické verzi: „'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction“. 2 Ustanovení § 4 písm. e) zákona č. 101/2000 Sb. zní: „zpracováním osobních údajů [je] jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace“. 3 Vyjádření ke kasační stížnosti z 30. 7. 2013, čj. OPS-3236/12-6. 4 Jeho § 4 věta první zněla: „Informačním systémem se rozumí funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací.“
1
Znakem zpracování osobních údajů rovněž není účelnost. Každé zpracování osobních údajů má být podle § 5 odst. 1 písm. a) zákona č. 101/2000 Sb. účelné. I neúčelné zpracování osobních údajů však zůstává zpracováním osobních údajů. Zůstává sporné, zda existuje jedno jednotné nakládání/zpracování osobních údajů, nebo soubor dílčích nakládání/zpracování osobních údajů, kdy například uchovávání je zpracováním osobních údajů a nikoliv pouhou jeho částí. Pro první názor svědčí to, že právní úprava hovoří o soustavě operací, pro druhý, že tato soustava operací musí mít jednotící hledisko, takže pak několik soustav operací tvoří několik jednotlivých nakládání/zpracování osobních údajů. Nahodilé shromáždění osobních údajů, pokud tyto údaje nejsou dále zpracovávány, není zpracováním osobních údajů (§ 3 odst. 4 zákona č. 101/2000 Sb.), zatímco zpracování osobních údajů fyzickou osobou výlučně pro osobní potřebu zpracováním osobních údajů je (§ 3 odst. 3 zákona č. 101/2000 Sb.). Za nahodilé nakládání s osobními údaji lze například považovat práci s takovou listinou, která obsahuje relevantní osobní údaje; její uchování je tedy nezbytné, avšak vedle relevantních osobních údajů obsahuje osobní údaje též nepotřebné a správcem cíleně neshromažďované, např. nesouvisející či nepřiměřené informace v profesním životopisu zaslané potencionálnímu zaměstnavateli. Bylo by protismyslné tyto nepotřebné osobní údaje likvidovat například začerněním, přičemž je nutno upozornit na to, že i likvidace osobních údajů je podle § 4 písm. e) zákona č. 101/2000 Sb. zpracováním. Mohlo by to i oslabit věrohodnost takové listiny. Něco jiného však je zpřístupnění dokumentu veřejnosti, např. na základě oprávnění na svobodný přístup k informacím, kdy převáží ochrana osobních údajů a nepotřebné osobní údaje je třeba začernit. Důvodem je, že toto zpracování osobních údajů zásadním způsobem zasahuje do soukromí subjektu údajů. Pouhé nakládání s nosiči osobních údajů, například s balíkem starých novin nebo zametení kadeří vlasů v kadeřnictví, není zpracováním osobních údajů, protože zpracování není cílem takového nakládání s jejich nosiči. Proto ani provoz kamery bez záznamu není zpracováním osobních údajů a není jím ani skladování starých harddisků, o kterých správce skladu neví, že obsahují nedokonale smazané počítačové soubory s osobními údaji. Naproti tomu si lze představit opačný příklad, který by zpracováním osobních údajů byl: Exekutor by zabavil počítače, přičemž exekvovaný by ho výslovně upozornil na to, že jsou na nich osobní údaje. Exekutor by se tak stal minimálně zpracovatelem osobních údajů. Poté by prodal počítače v dražbě, aniž by přemazal (angl. to wipe) soubory s osobními údaji, čímž by porušil povinnost chránit osobní údaje. Nabyvatel počítačů by nejprve správcem osobních údajů nebyl, protože by o existenci počítačových souborů nevěděl. Jakmile by ji však zjistil a pojal by úmysl na tomto základě vydírat exekvovaného, tedy osobní údaje dále zpracovávat, stal by se sám správcem osobních údajů. Pokud by nabyvatel počítače zjistil, že má v počítači nějaké soubory, ale neměl by v úmyslu tyto soubory využít, musel by je zlikvidovat. Tím by se sice stal správcem osobních údajů, neboť likvidace je zpracováním, ale pouze dočasným – po dobu likvidace. Shromáždění osobních údajů Jedním ze základních způsobů zpracování osobních údajů je shromáždění, rozumí se osobních údajů, které je definováno v § 4 písm. f) zákona č. 101/2000 Sb.5 Je to tedy jakýkoliv úkon/operace, kdy se osobní údaje cíleně (za účelem dalších zpracování) dostanou ke správci. Typickým příkladem zpracování osobních údajů, vystupují-li při něm osobní údaje, je zajištění důkazů; není to pouhá předběžná povinnost (prerekvisita) zpracování osobních údajů.
5
„[S]ystematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování“.
2
Podle některých názorů je zpracování následek či výsledek shromáždění. To je však v rozporu se směrnicí 94/46/ES i se zákonem č. 101/2000 Sb., neboť shromažďování oba právní předpisy uvádějí jako typický druh zpracování. Představitelé toho názoru tedy navrhují na základě esencialismu (přesvědčení, že pojmy existují před věcmi) vyjít z právní normy, podívat se na výsledek, k němuž vypreparují právní větu, na základě jiných kritérií výsledek posoudí jako zpracování nebo ne a na základě toho se jednotlivé úkony/operace zpětně klasifikují jako zpracování či nikoliv. Správně se však má postupovat přesně opačně.6 Z reality vybrat skutkovou podstatu, která je nedílnou součástí právní kvalifikace subsumpcí pod právní normu.7 Mají-li jednotlivé úkony/operace cíl zpracovávat osobní údaje, jedná se o zpracování osobních údajů. Dalším typickým druhem uchovávání osobních údajů je „rejstřík“.8 Tímto rejstříkem může být spis, soupis či databáze. Na základě odstavce 15 preambule směrnice 95/46/ES9 je jasné, že jde buď o automatické zpracování (tj. počítačové), nebo v rejstříku (včetně listinného), a proto profilování jako typický příklad automatického zpracování osobních údajů, kde rejstřík v tomto smyslu slova obvykle není vytvářen, je zpracováním osobních údajů. Rejstřík/datový soubor není a nemusí být jediným výsledkem zpracování. 10 Někdy je prosazován přístup, že znakem zpracování je hromadnost, která je upřesňována toliko na shromáždění osobních údajů, nikoliv například u změny či výmazu z rejstříku/datového souboru. Obecně je pak za znak zpracování považována ordinalita (pořadí, typicky „první osobní údaj“ z neuzavřeného množství osobních údajů), zatímco kardinalita (mohutnost, typicky „jeden osobní údaj“ v uzavřeném množství osobních údajů) již nikoliv. To však žádným způsobem nelze z normativní definice dovodit, neboť právní předpisy na jedné straně rozlišují mezi „jakýkoli úkonem“ a na druhé straně „souborem úkonů“. Tedy i spis obsahující osobní údaje pouze jedné osoby či jednotlivá smlouva obsahující pouze osobní údaje dvou smluvních stran či jedné smluvní strany, která je fyzickou osobou, je zpracováním osobních údajů, je-li zpracování osobních údajů cílem nakládání s těmito dokumenty. To, že třídění, srovnání či kombinování v případě některých zpracování údajů není možné, neznamená, že se nejedná o zpracování osobních údajů podle zákonné definice. Je-li například rejstřík/datový soubor již shromážděn a zaznamenán, také další shromáždění a zaznamenání pojmově nepřipadá v úvahu, neboť již bylo uskutečněno. Rozsudek Evropského soudního dvora ve věci C-101/01, Lindqvistová v. Švédsko, 6
Můžeme si to ukázat na rozsudku Nejvyššího správního soudu ve věci Aviva životní pojišťovna v. Úřad pro ochranu osobních údajů z 12. 2. 2009, čj. 9 As 34/2008–68, kde šlo o to, kdo je správce osobních údajů, zda Aviva, nebo její agenti. Úřad zde postupoval nesprávně, když vyšel z definice zpracovatele. Výsledek, že agenti na základě pověření správcem zpracovávají osobní údaje, se zdál být klasifikovatelný tak, že agenti jsou zpracovatelé. Jak však správně rozhodl Nejvyšší správní soud, to není dostatečné. Skutková podstata je, že agent zcela samostatně rozhoduje, které identifikační údaje zájemců Avivě předá a které ne. Předávání identifikačních údajů subjektu údajů jiné osobě lze sice zahrnout pod pojem „zpracovatel“, nicméně definici správce je nutno zobecnit na toho, kdo rozhoduje o zpracování osobních údajů. Protože samostatné rozhodování o předání identifikačních údajů není v působnosti zpracovatele, není agent pouhým zpracovatelem, ale správcem. 7 Cf. Michal Bobek, Zdeněk Kühn et al.: Judikatura a právní argumentace. Auditorium, Praha 2013, 2. ed., pp. 58– 59. 8 Článek 2 písm. c) směrnice 95/46/ES ho definuje: „rejstříkem osobních údajů“ („rejstřík“) [je] jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska“, anglicky „'personal data filing system' ('filing system') shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis“ a § 4 písm. m) zákona „evidencí nebo datovým souborem osobních údajů (dále jen „datový soubor“) jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií“. 9 „[T]ato směrnice se vztahuje na zpracování těchto údajů, pouze pokud jsou automatisována nebo pokud jsou zpracovávané údaje obsaženy nebo mají být obsaženy v rejstříku uspořádaném podle zvláštních hledisek týkajících se osob, aby byl umožněn snadný přístup k dotčeným osobním údajům“. 10 Výrok č. 1 v rozsudku Evropského soudního dvora ve věci C-101/01, Lindqvistová v. Švédsko, zní: „Úkon, který spočívá v tom, že se na internetové stránce odkáže na různé osoby, které jsou identifikovány buď svým jménem, nebo jinými prostředky, například telefonním číslem nebo údaji o pracovních poměrech a zálibách, je „zcela nebo částečně automatizovaným zpracováním osobních údajů“ ve smyslu čl. 3 odst. 1 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.“
3
konstatuje v § 13, že spor se týkal zpracování osobních údajů 18 lidí. To za hromadné nakládání s osobními údaji nelze považovat. Citlivý údaj byl zveřejněn toliko jeden: „Krom toho zde uvedla, že jedna z jejích kolegyň se zranila na noze a čerpá částečné volno z důvodu nemoci.“ V § 25 se výslovně konstatuje: „Z toho vyplývá, že za takové zpracování je třeba považovat i úkon spočívající v uvedení osobních údajů na internetové stránce.“ Typickým příkladem zpracování osobních údajů v jednom spisu o jednom člověku je interní vyšetřování korupce, kdy na podezřelého založí vedení spis. Rovněž Nejvyšší správní soud v §§ 35–37 rozsudku Brož v. Úřad pro ochranu osobních údajů z 25. 3. 2011, čj. 2 As 21/2011–171 a 2, jasně konstatoval, že zveřejnění osobních údajů jednoho člověka je jejich zpracováním.11 Stejně tak Městský soud v Praze v rozsudku Vězeňská služba České republiky v. Úřad pro ochranu osobních údajů z 30. 5. 2013, sp. zn. 9 Ca 367/2009, na straně 8 konstatoval, že zveřejnění osobních údajů, včetně citlivého, o 2 lidech, je zpracováním osobních údajů.12 Dokazování – Finanční úřad pro Moravskoslezský kraj v. Úřad pro ochranu osobních údajů Z nesprávného pojetí vychází nosný důvod (lat. ratio decidendi) rozsudku Nejvyššího správního soudu Finanční úřad pro Moravskoslezský kraj v. Úřad pro ochranu osobních údajů z 22. 1. 2013, čj. 9 Aps 5/2012–56. Vlastní právní argumentace Nejvyššího správního soudu začíná až na listu 63, přičemž na listu 63 je právní rozbor toliko procesní, a končí na listu 67. Nejvyšší správní soud systematičnost redukuje na tvorbu registru (list 65), ačkoliv podstatou systematičnosti je opakovanost nebo cílenost; je tedy v rozporu s evropským právem. Už některé výchozí názory Nejvyššího správního soudu jsou sporné: „Z uvedených důvodů je také základním atributem celé koncepce zákona o ochraně osobních údajů souhlas subjektu údajů se zpracováním takových údajů.“ (list 64) Ve skutečnosti privátní autonomii nelze redukovat na souhlas se zpracováním osobních údajů, neboť ten se ve veřejném právu vůbec neuplatní. Některé výroky Nejvyššího správního soudu pak nedávají smysl: „Se žalovaným lze souhlasit v tom, že působnost zákona o ochraně osobních údajů je koncipována velmi široce a nevztahuje se pouze na fyzické a právnické osoby, které osobní údaje zpracovávají, ale zjednodušeně řečeno na všechny subjekty, které osobní údaje zpracovávají včetně státních orgánů.“ (list 64), protože osobní působnost zákona je neomezená, tj. zákon se vztahuje na všechny osoby, tedy včetně jejích orgánů. To je však u zákonů typické; jen málokdy je osobní působnost omezena. Obtížně pochopitelné je tvrzení: „Jedinou plošnou výjimkou z obecné působnosti zákona jsou zpravodajské služby (§ 29 zákona).“ Ve skutečnosti § 29 odst. 3 zákona č. 101/2000 Sb. není žádná plošná výjimka z obecné působnosti zákona, nýbrž toliko vynětí zpravodajských služeb z dozoru Úřadu. Zcela nesprávné je východisko Nejvyššího správního soudu: „Samotná skutečnost, že si stěžovatel v rámci důkazního řízení při výkonu své činnosti vyžádal konkrétní listiny, nečiní z tohoto postupu postup, jehož cílem bylo získání osobních údajů pro jejich další zpracování ve smyslu zákona o ochraně osobních údajů. Cílem tohoto postupu bylo získat důkazní prostředky, které by mohly být rozhodné pro správné stanovení daňové povinnosti. Jinými slovy, ani vědomé vyžádání těchto listin nesledovalo získání osobního údaje. Skutečnost, že vyžádané listiny osobní údaje obsahovaly, je vedlejším, nahodilým důsledkem příslušného postupu správce daně. Ostatně takové údaje obsahuje většina smluv, účetních či daňových dokladů, jejichž kopie jsou běžně součástí daňových spisů. Považovat získání každé takové listiny obsahující osobní údaj za záměrné shromažďování osobních údajů za účelem jejich dalšího zpracování ve smyslu ustanovení § 3 odst. 4 zákona o ochraně osobních údajů se kasačnímu soudu jeví jako značně extensivní výklad.“ (list 65) Kdyby stěžovatel nesledoval 11
„V daném případě je zřejmé, že předmětné tiskové prohlášení představovalo zpracování osobních údajů, a to ve smyslu jejich předávání, šíření, případně zveřejňování.“ 12 „Zveřejněním uvedených údajů na internetových stránkách došlo ve smyslu ust. § 4 písm. e) zákona o ochraně osobních údajů ke zpracování těchto údajů.“
4
získání osobního údaje, proč by tyto listiny vyžadoval? Listina bez údajů by jako důkaz sloužit nemohla, protože by nic neprokazovala. Proto výskyt osobních údajů na listině sloužící jako důkaz není nahodilý, nýbrž pravidelný a očekávatelný. A to, že práce s listinami je obvykle zpracováním osobních údajů, není výklad rozšiřující, nýbrž doslovný. Naprostým nepochopením smyslu spisu a dokazování je názor Nejvyššího správního soudu: „Ostatně si lze jen velmi obtížně představit, že by správci daně při vyhodnocování smluv či daňových dokladů dostáli např. zákonem o ochraně osobních údajů stanovené povinnosti zpracovávat pouze přesné osobní údaje, či po zjištění, že tyto nejsou s ohledem na stanovený účel přesné, byli povinni bez zbytečného odkladu provést přiměřená opatření, zejména zpracování blokovat, osobní údaje opravit či doplnit, jinak osobní údaje zlikvidovat.“ (list 65) Integrální součástí každého dokazování je vyhodnocení důkazu; nejpozději v rozhodnutí, přičemž každý důkaz má vyznačen svůj zdroj. Pokud správce osobních údajů u informace stanoví její věrohodnost, jedná se o údaj neboli přesnou informaci. A ověřená informace je faktem. Rovněž je nutno upozornit na to, že ochrana osobních údajů je druhem ochrany soukromí, takže je de facto k ochraně soukromí duplicitní. Příčinou je, že se EU rozhodla ochranu osobních údajů publicizovat, tj. zřídit dozorový úřad s veřejnoprávními prostředky ochrany. Naproti tomu v ochraně soukromí zůstává jen soukromoprávní prostředek ochrany – žaloba – který je přirozeně dostupný též v ochraně osobních údajů. Co se týká působnosti Úřadu (list 65), smyslem existence určitě není být nadřízeným všem veřejným úřadům. Nicméně dozoruje zpracování osobních údajů, a to i veřejnými úřady. Smyslem řízení, soudního i správního, je vyhodnocovat důkazy. To se děje průběžně nebo následně. Veřejný úřad nemůže předem vědět, jaké všechny důkazy bude pro své rozhodnutí potřebovat. Může se stát, že některý důkaz nebude pro rozhodnutí po přezkoumání vůbec třeba. O exces se jedná, když veřejný úřad protiprávně připojí k probíhajícímu řízení nesouvisející věc, aby obešel omezení daná právním řádem, zejména o místní příslušnosti. Takový nesouvisející důkaz je nezbytné zlikvidovat – do spisu důkazní prostředek buď vůbec nezařadit, anebo ze spisu vyřadit. Jiným častým případem je, že strana navrhuje nadbytečné důkazy. Takové důkazní prostředky by měly ve spisu zůstat, aby je v případě přezkumu mohl nadřízený veřejný úřad znovu posoudit. Nová evropská regulace Na uvedených principech nic nemění ani připravovaná nová regulace ochrany osobních údajů v EU, osnova obecného nařízení o ochraně údajů z 25. 1. 2012 („GDPR“, CELEX: 52012PC0011).13 Podle článku 4 odst. 3 GDPR zpracováním zůstává „každý úkon nebo soubor úkonů s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatisovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, vymazání nebo zničení“. Rada EU uvažuje o vrácení blokování jako kategorie zpracování osobních údajů nebo o jeho náhradě omezením zpracování osobních údajů. Diskuse je rovněž o konceptu zničení osobního údaje. Co se týká evidence osobních údajů v článku 4 odst. 4 GDPR (dnešní „rejstřík“ podle článku 2 písm. c) směrnice 95/46/ES), Německo a Slovinsko navrhuje zrušení této definice jako překonaného konceptu. Závěr Lze uzavřít, že mezi zpracováním a jiným nakládáním s osobními údaji je tenká hranice, což je zvláště výrazné u uchování osobních údajů. Některé znaky skutkové podstaty pomáhají v její správné kvalifikaci (systematičnost, hromadnost), avšak jejich absence neznamená, že se o zpracování osobních údajů nejedná. Úřad proto bude v pochybnostech nakládání 13
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0011:CS:NOT
5
s osobními údaji spíše za jejich zpracování považovat, než nikoliv, aby se nedostal do rozporu s evropským právem. Z toho by měli vycházet i správci a zpracovatelé osobních údajů, kteří se v opačném případě vystavují nebezpečí sankce. Nelze totiž spoléhat na to, že v budoucnu bude právní úprava podrobnější. Novela zákona o ochraně osobních údajů se v tomto duchu nechystá a ani GDPR nehodlá stávající definici zpracování osobních údajů výrazně měnit. Lze však dodat, že ochrana soukromí nestojí nad vším, ale je to právní princip jako všechna ostatní lidská práva. Dostane-li se do konfliktu ochrana soukromí s jiným lidským právem, např. ochranou vlastnictví nebo oprávnění na informace, je třeba z obou lidských práv na základě principu proporcionality uplatnit maximum. Například trestání zveřejňování platů poradců a poradních orgánů ústavních činitelů by bylo neproporcionální, stejně jako plošné zveřejnění bagatelních příjmů z veřejných rozpočtů. Ochrana osobních údajů tedy nevylučuje zveřejnění osobních údajů, je-li zde převažující veřejný zájem na takovém postupu, což v případě sporu posoudí veřejný úřad.
6
