SPRÁVNĚPRÁVNÍ ASPEKTY OCHRANY OSOBNÍCH ÚDAJŮ

Právnická fakulta Masarykovy univerzity Katedra správní vědy, správního práva a finančního práva

Diplomová práce

SPRÁVNĚPRÁVNÍ ASPEKTY OCHRANY OSOBNÍCH ÚDAJŮ

Veronika Zehlová 2007/2008

„Prohlašuji, že jsem diplomovou práci na téma: Správněprávní aspekty ochrany osobních údajů zpracovala sama a uvedla jsem všechny použité prameny“.

Na tomto místě bych ráda poděkovala paní doc. JUDr. Soně Skulové, Ph.D. za odborné vedení, cenné rady a připomínky, které mi poskytnula při psaní této diplomové práce.

2

Obsah 1. Úvod…………………………………………………………………………………..5 2. Pojem soukromí a jeho ochrana.……………………………………………………...7 2.1. Vymezení pojmu……….…………………………………………………………7 2.2. Vývoj práva na soukromí…………………………………………………………8 2.3. Mezinárodní zakotvení práva na soukromí……………………………………….9 2.4 Ústavní zakotvení práva na soukromí……………………………………………10 2.5 Ochrana soukromí v judikatuře…………………………………………………..10 3. Ústavní a mezinárodněprávní zakotvení ochrany osobních údajů…………………..14 3.1. Ústavní zakotvení ochrany osobních údajů……………………………………...14 3.2. Mezinárodní zakotvení ochrany osobních údajů………………………………...14 3.2.1. Úmluva č. 108……………………………………………………………...…..15 3.2.2. Rezoluce Rady Evropy………………………………………………………...16 3.2.3. Doporučení Rady Evropy……………………………………………………...17 3.2.4. Směrnice 95/46/ES…………………………………………………………….17 3.2.5. Směrnice 97/66/ES…………………………………………………….………20 3.2.6. Směrnice č. 2002/58/ES……………………………………………………….21 3.2.7. Charta základních práv EU…………………………………………………….21 3.2.8. Úmluva o lidských právech a biomedicíně……………………………………21 4. Historie vývoje ochrany osobních údajů…………………………………………….23 4.1. Vývoj na mezinárodní úrovni……….…………………………………………...23 4.2. Vývoj ochrany osobních údajů na území ČR……………….…….…………..…25 5. Současná právní úpravy ochrany osobních údajů……………………………………28 5.1. Zákon č. 101/2000 Sb. o ochraně osobních údajů……………………………….28 5.2. Zásady zpracování osobních údajů………………………………………………28 5.2.1. Zásada legitimity zpracování………………………………………………...28 5.2.2. Zásada účelovosti……………………………………………………………29 5.2.3. Zásada časového omezení…………………………………………………...29 5.2.4. Zásada potřebnosti a přiměřenosti...................................................................29 5.2.5. Zásada průhlednosti………………………………………………….………29 5.2.6. Zásada bezpečnosti…………………………………………………….…….30 5.2.7. Zásada práva přístupu k údajům……………………………………………..30 5.2.8. Zásada práva na opravu a výmaz…………………………………………….30 5.2.9. Zásada nezávislého dozoru…………………………………………………..30

3

5.2.10. Zásada souhlasu subjektu údajů……………………………………………31 5.2.11. Zásada zákazu sdružování osobních údajů…………………………………31 5.3. Vymezení základních pojmů………………………………………………….…31 5.4. Působnost ZOOÚ....……………………………….…………………...…….….34 6. Úřad pro ochranu osobních údajů……………………………………………………37 6.1. Působnost úřadu………………………………………………………………….38 6.2. Dozorová pravomoc……………………………………………………………..38 6.3. Kontrolní činnost………………………………………………………………...40 6.4. Sankce na úseku ochrany osobních údajů……………………………………….42 7. Předávaní osobních údajů do jiných států…………………………………………...46 8. Ochrana údajů v Schengenském prostoru…………………………………………...48 8.1. Historie vzniku Schengenu……………………………………………………....48 8.2. Základní zásady schengenské spolupráce……………………………………….49 8.3. Schengenský informační systém………………………………………………...50 8.4. Typologie údajů v SIS…………………………………………………………...51 8.5. Způsob zpracování údajů………………………………………………………...51 8.6. Práva jednotlivců ve vztahu k SIS……………………………………………….53 9. Závěr…………………………………………………………………………………55 10. Summary……………………………………………………………………………58 11. Použité prameny……………………………………………………………………60

4

1.Úvod Existence právního institutu ochrany osobních údajů nemá v českém právním řádu příliš dlouhou historii. Vždyť ještě před deseti lety se s tímto pojmem málokdo setkal. Sice již v té době působil zákon, který ochranu osobních údajů v souvislosti s jejich zpracováváním v informačních systémech upravoval, nebyl však příliš efektivní a navíc neposkytoval dostatečné záruky zajištění této ochrany. Díky této skutečnosti nikdo osobním údajům a jejich ochraně nevěnoval přílišnou pozornost, přestože toto právo bylo dokonce zahrnuto do Listiny základních práv a svobod. Jinde tomu bylo ve světě, respektive spíše v západních demokratických státech, kdy potřeba chránit osobní údaje vedla k přijímání zvláštních zákonů na ochranu osobních údajů již v 70. letech minulého století. Tato potřeba pramenila ze stále většího rozvoje techniky využívané ke zpracování dat, osobní údaje nevyjímaje. Díky technickému pokroku se také zvýšily možnosti masového zneužití těchto údajů, pokud tedy nebude zajištěna jejich bezpečnost. První takový zákon na ochranu osobních údajů byl přijat v jedné ze spolkových zemí Německa. Následovala řada zemí, z nichž některé zaměřily svoji novou právní úpravu pouze na automatizované zpracování osobních údajů, v jiných zemích byla poskytována ochrana i jiným způsobům nakládaní údaji. Otázkou osobních údajů a zároveň potřebou jejich ochrany se společnost začala zabývat také po zkušenostech s minulými totalitními režimy, ať už nacistickým, tak komunistickým, kdy na základě údajů o jednotlivých osobách, získaných z nechráněných zdrojů, docházelo k zásadním a nenapravitelným zásahům do základních lidských práv. S narůstajícím významem přeshraničního toku informací, zahrnující i osobní údaje bylo nutné upravit tuto oblast na mezinárodní úrovni a tak se také stalo. Vedla k tomu mimo jiné i nutnost sjednotit základní zásady při ochraně osobních dat. Vrátím se ale zpět do současnosti, kdy osobní údaje jsou již chráněny, a to jak na ústavní úrovni, tak je jejich ochrana konkretizována také v jednotlivých zákonech. Je však otázkou, do jaké míry je tato ochrana účinná a efektivní. Skutečnost, že je nějaká oblast upravena souborem právních norem a tvoří tak právní institut, ještě neznamená, že způsob regulace tohoto institutu, tak jak byl použit, naplní v praxi svůj účel. Míru efektivnosti právních norem totiž ovlivňuje řada faktorů, nejen právních, ale i sociálních a její stav je možné odhadnout po určité době působení souboru právních norem v praxi z rozdílu mezi cíly sledovanými právní úpravou a dosaženými výsledky působení právní regulace. Je dobré položit si i otázku, proč je vlastně důležité osobním údajům a jejich

5

ochraně věnovat takovou pozornost a zda není její pojetí zbytečně přehnané, které údaje jsou právě ty osobní a jakým způsobem mohou být zneužity.

6

2. Pojem soukromí a jeho ochrana 2. 1. Vymezení pojmu Ochrana osobních údajů velmi úzce souvisí s ochranou soukromí. Právo na ochranu osobních údajů se totiž jako zvláštní právo postupně vydělilo ze samotného práva na soukromí. Proto je důležité nejprve se zabývat samotným pojmem soukromí, který se dlouhodobě vyskytuje v různých právních normách. A nedá se říct, že tyto právní normy by byly součástí jen jediného právního odvětví. Naopak je právní institut soukromí upraven jak normami hmotněprávními, tak procesněprávními, které jsou součástí systémů různých právních odvětví od soukromoprávního, reprezentované zejména občanským zákoníkem až po odvětví veřejnoprávní, zastoupené právem ústavním, správním a trestním.1 Přestože se tedy tento pojem v právním řádu nejednou vyskytuje, není v právním řádu nikde definován. Rovněž žádná mezinárodní smlouva, ústava nebo běžné zákony jiných států nedefinují ani v obecné formě tento pojem. Dalo by se očekávat, že se alespoň s obecným vymezením pojmu setkáme v judikaturách jak vnitrostátních, tak mezinárodních soudů, žel není tomu tak. Na druhé straně přesné definiční vymezení pokud by vůbec bylo možné, nebylo by stejně příliš užitečné. Jak by se postupně měnil pohled na institut soukromí, stalo by se dřív nebo později zastaralým a nepoužitelným. Takové zdůvodnění vyslovil také Evropský soud pro lidská práva, jehož judikatura má jistě obrovský význam pro interpretaci a sjednocení jednotlivých právních pojmů a institutů z oblasti porušování lidských práv, k nimž náleží i právo na soukromí. Bylo to ve věci Niemietz proti Německu2, kde soud nepovažoval za nezbytné ani nutné pokoušet se o vyčerpávající definici pojmu "soukromý život". Uvedl však, že by bylo příliš restriktivní omezovat tento pojem na "vnitřní kruh", v jehož rámci může jednotlivec žít svůj vlastní osobní život podle libosti, a zcela z něho vyloučit vnější svět nezahrnutý do tohoto kruhu. Respektování soukromého života musí do určité míry zahrnovat právo na vytváření a rozvíjení vztahů s dalšími lidskými bytostmi. Je otázkou, co si pod pojmem soukromí vlastně představíme. Většina z nás nejspíše jakýsi hmotný či myšlenkový prostor, do kterého nechceme, aby nám někdo svévolně zasahoval. Z hlediska právní teorie je možné na pojem soukromí nahlížet jako na sféru života člověka, do které nikdo, včetně státu, nesmí zasahovat bez výslovného 1

Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 26. Doležílek, J. Přehled judikatury: ve věcech ochrany osobnosti. 2., aktualizované a rozšířené vydání. Praha: Nakladatelství Aspi, a.s., 2008 2

7

dovolení zákona nebo toho, koho se by se případný zásah týkal. Tuto sféru je možné před kýmkoliv utajit, samozřejmě s výjimkou v zákoně vymezených případů. Dále můžeme soukromí vnímat jako určitý prostor, do kterého nikdo nesmí nahlížet, vstupovat, pořizovat obrazové snímky či podobizny bez svolení oprávněného.3 Proto je právo na soukromí chápáno jako možnost jednotlivce rozhodnout o tom, v jakém rozsahu a zda vůbec mají být skutečnosti o jeho soukromí zpřístupněny.

2. 2. Vývoj práva na soukromí Jako každý právní institut i pojem soukromí prošel určitým vývojem. Je zajímavé, že právo na soukromí jako pojem pochází z USA, ačkoliv se v tamní ústavě ani v dodatcích k ní neobjevuje. Jeho formulace má původ v článku z roku 1890 nazvaném The Right of Privacy4 ,

kde o něm pojednávají autoři S.D. Warren a

americký politik a právník L.D. Brandeis, který později jako člen Nejvyššího soudu USA toto téma rozvinul ve svém odlišném stanovisku ve věci Olmstead proti USA. Tehdy bylo toto právo chápáno ve smyslu práva být ponechán o samotě, mít zachován nerušený klid a dále jako právo na neporušování citů.5 Na našem území byla oblast ochrany soukromí upravována již v předminulém století například zákonem o ochraně svobody osobní (č. 87/1862 ř.z.) a zákonem na ochranu svobody domovní (č. 88/1862 ř.z.). Obsahem těchto zákonů bylo vymezení podmínek, za nichž mohly zejména policie a finanční orgány vstupovat do obydlí. Výslovně právo na soukromí nebylo upraveno ani v československé ústavě z roku 1920 a rovněž ostatní zákony tento pojem výslovně nechránily. Významnou změnu v přístupu k úpravě ochrany soukromí sehrála až II. světová válka, kdy zkušenosti z masivními zásahy do soukromého života jednotlivců a jiné porušování základních lidských práv způsobily velký posun ve vnímání těchto základních práv jako samozřejmých, přiznaných jakékoliv lidské bytosti bez rozdílu a jejich existenci nemohlo ohrozit případné nevyslovení v ústavách jednotlivých států. V roce 1964 byl přijat občanský zákoník6, v jehož § 11 byla výslovně upravena ochrana osobnostních práv jejich demonstrativním výčtem, avšak o pojmu soukromí zde prozatím zmínka nebyla. To ale neznamenalo neexistenci práva na soukromí. Toto bylo dovozováno z obecné ochrany osobnosti, obsažené v občanském zákoníku, jako

3

Plecitý, V. Právo na soukromí a reklama. Bulletin advokacie, 1996, č. 5, s. 8 Warren, S. D., Brandeis, L. D. The Right of Privacy. Harvard Law Review, 1890, č. 4 5 Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 11 6 Zákon č. 40/1964 Sb., občanský zákoník 4

8

nezbytné pro předpoklad rozvoje člověka a možnosti jeho sociálního uplatnění.7 V období 70. let až do poloviny 80. let byla ochrana soukromí narušována zejména v souvislosti s totalitním režimem a teprve od 2. poloviny 80. let právo na soukromí znovu postupně ožívalo. Vyvrcholením byl až přelom od totalitního režimu k postupně se tvořícímu demokratickému a právě v tomto období bylo konečně právo na soukromí a soukromý život přímo zakotveno v Listině základních práv a svobod (dále jen „Listina“)8

2. 3. Mezinárodní zakotvení práva na soukromí Významnou měrou k upevnění práva na soukromí přispěla Evropská úmluva o ochraně lidských práv a základních svobod9 (dále „Evropská úmluva“). V této úmluvě je v článku 8 již přímo upraveno právo každého jednotlivce na to, aby byl respektován jeho soukromý, jakož i rodinný život, rovněž obydlí a korespondence. Je důležité zmínit, že úmluvou byly stanoveny podmínky, za nichž je možné narušit výše zmíněná práva a to na základě výslovné zákonné licence a dále pro případ, kdy je to nezbytné z vážných důvodů ochrany národní i veřejné bezpečnosti, hospodářského blahobytu země, pro případy předcházení nepokojům a zločinnosti, ochrany zdraví či morálky. Jako další mezinárodní dokument se práva na soukromí dotýká Mezinárodní pakt o občanských a politických právech10, jehož článek 17 zní: „Nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence ani útokům na svou čest a pověst. Každý má právo na zákonnou ochranu proti takovým zásahům nebo útokům.“ Z hlediska možných postupů pro případ zásahu do práva na soukromí se jeví být účinnější zmíněná Evropská úmluva, která k řešení porušování základních lidských zmocnila Evropský soud pro lidská práva. Podle Opčního protokolu k Mezinárodnímu paktu o občanských a politických právech může jednotlivec po vyčerpání vnitrostátních prostředků k ochraně svých práv podat stížnost k Výboru pro lidská práva.11 Tento výbor však nemůže rozhodovat ve věci a jeho rozhodnutí končí pouze sdělením názoru stěžovateli a výzvou státu, proti němuž stížnost směřovala, k zaujetí stanoviska. Své výsledky a šetření výbor uveřejní a shrne

7 Knapp, K., Švestka, J. Ochrana osobnosti v československém občanském právu. Praha:1969, s. 261 a násl. 8 Usnesení předsednictva ČNR č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky. 9 Vyhlášena sdělením federálního ministerstva zahraničních věcí č. 209/1992 Sb. 10 Vyhláška ministra zahraničních věcí č. 120/1976 Sb. 11 Malenovský, J. Mezinárodní právo veřejné, jeho obecná část a poměr k vnitrostátnímu právu, zvláště právu českému. 4. vydání. Brno: Nakladatelství Doplněk, 2004, s. 139

9

ve své výroční zprávě.12

2. 4. Ústavní zakotvení práva na soukromí Do ústavního pořádku České republiky se pojem soukromí dostal až svým zakotvením v Listině. Současně bylo právo na soukromí zařazeno novelou občanského zákoníku provedenou zákonem č. 509/1991 Sb. do § 11 občanského zákoníku (dále jen „OZ“)13 mezi další osobnostní práva. Článkem 7 Listiny je zaručena nedotknutelnost osoby a jejího soukromí. Tento článek je všeobecně považován za ustanovení, které má chránit soukromí jako široký, obecný právní pojem. K ochraně jednotlivých jeho složek slouží pak zejména článek 10 odst. 2 Listiny, který chrání soukromí v užším slova smyslu a týká se zejména intimní sféry osobnosti, jejího těla, podoby, rodinných a příbuzenských vztahů. Jako zvláštní součást soukromí je samostatně výslovně zmíněna a garantována ochrana rodinného života. Speciálním ustanovením ve vztahu k obecnému článku 7 se jeví článek 6, jímž je zaručena ochrana lidského života, článek 12 stanovící nedotknutelnost obydlí a v neposlední řadě článek 13 o zákazu porušování listovního tajemství, písemností a záznamů, ať již uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem. Ochrana osobních údajů je upravena zvlášť v §10 odst. 3 Listiny. Tímto ustanovením je dáno každému právo na ochranu před neoprávněným shromažďováním, zveřejňováním jakož i jiným zneužíváním údajů o své osobě. Slovo „ neoprávněným“ zdůrazňuje skutečnost, že jen takovému shromažďování a jinému nakládání s osobními údaji, které nemá oporu v zákoně, je poskytována ochrana. Pokud se nakládaní s osobními údaji týká orgánů veřejné moci v tom smyslu, že tyto orgány osobní údaje shromažďují či zveřejňují, musí být k tomu zákonem přímo zmocněny. U soukromých subjektů platí zákaz jednání v rozporu se zákonem.

2. 5. Ochrana soukromí v judikatuře14 Zajímavý případ týkající se zasahování do soukromí se projednával u Evropského soudu pro lidská práva ve věci Perry proti Spojenému království15. Dne 19.

11. 1997 byl stěžovatel, podezřelý z páchání několika ozbrojených přepadení

přivezen z věznice, kde byl umístněn pro jiný čin, na policejní stanici. Věznice a stěžovatel byli informováni, že to je z důvodů identifikace a dalšího výslechu 12 Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 12 13 Zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů. 14 Doležílek, J. Přehled judikatury: ve věcech ochrany osobnosti. 2., aktualizované a rozšířené vydání. Praha: Nakladatelství Aspi, a.s., 2008 15 Rozsudek Evropského soudu ve věci Perry proti Spojenému království ze dne 17. 7. 2003

10

týkajícího se ozbrojených přepadení. Po příjezdu na policejní stanici byl stěžovatel požádán o účast v rekognici, což odmítl. Je důležité sdělit, že vyšetřování spočívalo skoro výhradně na schopnosti svědků vizuálně identifikovat pachatele, proto bylo provedení rekognice tak důležitou součástí vyšetřování. Byl však problém v tom, že stěžovatel se plánovaných rekognicí odmítal zúčastnit. Z toho důvodu se policie rozhodla provést tzv. video rekognici. O její povolení bylo požádáno na základě směrnice Ministerstva vnitra. Po příjezdu na policejní stanici snímala pohybová kamera stěžovatele tak, aby bylo možné získat podobu stěžovatelovy tváře. Jelikož v nastalém soudním procesu se stěžovatelem byl tento shledán vinným ze tří z celkově pěti přepadení a jeho odvolání s námitkou nepřípustnosti videozáznamu jako důkazu bylo zamítnuto. V řízení před Evropským soudem stěžovatel tvrdil, že byl policií nahráván, aniž by mu to bylo sděleno a tento záznam byl poté v trestním řízení použit proti němu jako důkaz. Podle něj došlo k porušení článku 8 Evropské úmluvy, který zní: „Každý má právo na respektování svého soukromého a rodinného života, obydlí a korespondence. Státní orgán nemůže do výkonu tohoto práva zasahovat kromě případů, kdy je to v souladu se zákonem a nezbytné v demokratické společnosti v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných.“ Počínáním policie došlo podle stěžovatele k porušení jeho práva na soukromý život a tím, že soudy připustily tento důkaz, nechránily zákonnost. Argumenty protistrany, tedy vlády, považovaly počin policie za odůvodněný a správný, jelikož filmování proběhlo na veřejném, nikoli soukromém místě. Kamera byla navíc snadno viditelná a měla sloužit bezpečnostním účelům. Navíc zde byla záruka, že úkon provedený v rozporu se zákonem, by u soudu nebyl připuštěn, což se nestalo. Naopak soud v trestním řízení shledal, že k nezákonnosti nedošlo. Obhajoba vlády se opírala hlavně o fakt, že zasahování sledovalo legitimní cíl ochrany veřejné bezpečnosti, předcházení zločinnosti a ochranu práv a svobod jiných. Jestliže se stěžovatel odmítl zúčastnit čtyř rekognicí, lze toto zasahování považovat

za "nezbytné v demokratické

společnosti". Soud ve svém rozsudku uvedl, že v projednávaném případě byla bezpečnostní kamera policií nastavena tak, aby získala jasnější záběr stěžovatele. Záběr byl poté použit do kompilace s ostatními osobami, aby byl ukázán svědkům, jestli identifikují stěžovatele jako pachatele vyšetřovaných přepadení. Nahrávka byla rovněž promítána

11

během jednání v soudní síni. Toto počínání policie přesáhlo běžné a očekávané užití tohoto typu kamery, což dokládá i žádost policie o získání povolení a účast technika při nastavení kamery. Stálé nahrávání záběrů a jejich zařazení do montáže pro další užití je možné

proto

považovat

za

zpracování a shromažďování osobních údajů

stěžovatele. Soud z toho důvodu vyslovil závěr, že nahrávání a následné užití záběrů stěžovatele bylo v daném případě zasahováním do jeho

práva na respektování

soukromého života. Z judikatury ústavního soudnictví ČR mě zaujal nález16, v němž Ústavní soud zdůraznil existenci závazku státu zajistit nerušené fungování rodinných, potažmo příbuzenských vztahů. Podle Ústavního soudu se v právní teorii objevuje názor17, že právo na soukromí má dvě složky. Ta pozitivní složka je zastoupena právem fyzické osoby rozhodnout o tom v jakém rozsahu a zda vůbec má být umožněn přístup ke skutečnostem týkajících se jejího soukromí. Negativní složka je potom reprezentována možností odporovat neoprávněných zásahům ze strany jiných osob s rovným právním postavením. Ústavní soud se neztotožňuje s pojetím práva na soukromí v užším smyslu, kdy je poskytována ochrana subjektivně vytvářené představě o soukromém životě, jinak řečeno, kdy přístup ke skutečnostem soukromého života jednotlivce je podmíněn jeho souhlasem či zákonným důvodem. Tímto by se právo ochuzovalo o další chráněné hodnoty, které ho tvoří. Součástí soukromého života je totiž i rodinný život zahrnující nejen sociální a morální vztahy, ale vztahy materiální povahy, jejichž příkladem může být vyživovací povinnost. Takto v širším smyslu soukromí vnímá i Evropský soud, což vyplývá z jeho rozhodnutí, kde vychází z myšlenky, že respektování soukromého života musí zahrnovat právo na vytváření a rozvíjení s dalšími lidskými bytostmi. Pod ochranu soukromí je možné zahrnout za určitých okolností například výběr křestního jména, i když o něm v článku 8 Evropské úmluvy není ani zmínka. Křestní jméno a stejně tak i příjmení totiž slouží jako jeden z prostředků identifikace osoby nejen v rodině, ale i ve společnosti a má tímto vztah k jejímu rodinnému a soukromému životu. Dá se rovněž říct, že se výběrem jména pro svoje dítě upevňuje jakési citové a zároveň intimní pouto mezi rodiči a dítětem. V řízení před Evropským soudem ve věci Guillot proti Francii18 namítali manželé, že francouzské úřady jim odmítly zaregistrovat část křestního jména jejich dcery a ani po vyčerpání veškerých 16

Nález Ústavního soudu sp. zn . II ÚS 517/99 Knap, K., Švestka, J., Jehlička, O., Pavlík, P., Plecitý, V. Ochrana osobnosti. 3. vydání. Praha: Nakladatelství Linde, 1996, str. 288 18 Rozsudek Evropského soudu pro lidská práva ve věci Guillot proti Francii ze dne 24. 10. 1996 17

12

vnitrostátních prostředků se nesetkali s kladným stanoviskem. Oba manželé byli přesvědčeni o tom, že francouzské úřady daly jednoduše přednost vlastnímu vkusu před jejich. V tomto případě soud dospěl k závěru, že nepříjemnosti, které zdůrazňovali stěžovatelé, nepředstavují tak velké omezení, že by se mohlo jednat o nerespektování soukromého a rodinného života podle článku 8 Evropské úmluvy. Je důležité zdůraznit, že k narušení práva na soukromí může dojít nejen aktivním konáním, ale i opomenutím, jelikož právní či jiná povinnost může být porušena opomenutím s následným způsobením újmy určité osobě19. Neoprávněné zásahy a narušování soukromí souvisí také s ohrožováním životního prostředí například emisemi nebo nadměrným hlukem. Tato skutečnost se stále častěji promítá do rozhodování Evropského soudu. Guerrová a další proti Itálii

21

20

V rozhodnutí ve věci

se stěžovatelky marně dovolávaly informací týkajících

se případných rizik, které souvisely s výrobou hnojiv v místě pobytu stěžovatelek a které mohly ohrožovat kromě nich i jejich blízké. Tím, že stát včas nezajistil možnost získat potřebné informace o stavu životního prostředí, nedostál svému závazku, kterým bylo zajištění práva na respektování soukromého a rodinného života a došlo k porušení článku 8 Evropské úmluvy. Jak je patrno z výše uvedeného, pojmy jako soukromý život, či soukromí jsou velmi široké a nelze je definovat vyčerpávajícím způsobem. Zahrnují psychickou a zároveň fyzickou integritu osoby. Jsou jakýmsi souborným celkem týkajícím se osobnosti. Právo na soukromí má působnost erga omnes a jeho narušením bývají zasažena i některá další práva, kterými je tvořeno. Výčet těchto práv není omezený, jelikož právo na soukromí je pojmem neustále se vyvíjejícím a dodala bych, že právě vlivem judikatury zahrnuje stále více konkrétních práv a zájmů.

19

Nález Ústavního soudu sp. zn. I. ÚS 15/95 Mates, P., Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 19 21 Rozsudek Evropského soudu pro lidská práva ve věci Guerrová a další proti Itálii ze dne 19. 2. 1998 20

13

3. Ústavní a mezinárodněprávní zakotvení ochrany osobních údajů 3. 1. Ústavní zakotvení ochrany osobních údajů Snaha odklonit se od minulosti spojené s totalitním režimem, skoncovat s nedostatečnou právní úpravou soukromí a navázat na vyspělé demokratické státy vedla k tomu, že v roce 1991 bylo v článku 10 Listiny výslovně zakotveno nejen právo na soukromí, ale také právo na ochranu před neoprávněných shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o svojí osobě. V třetím odstavci zmiňovaného článku jsou tedy speciálně chráněny osobní údaje, které jsou zahrnuty do rámce ochrany soukromí, ale postupem času se jejich ochrana stala díky svému významu a potřebě samostatné úpravy zvláštním institutem ochrany soukromí, který navazuje na ochranu soukromého a rodinného života. Souvisí také s právem na zachování lidské důstojnosti, osobní cti, dobré pověsti a s právem na chránění jména. Z toho důvodu je soubor těchto práv uveden společně v článku 10 Listiny. Článek 10 odst. 3 poskytuje ochranu zabraňující zpracovávání osobních údajů, které by nebylo v souladu se zákonem. Pokud se nakládání údaji týká orgánů veřejné moci, je němu třeba zákonného zmocnění. Soukromé subjekty nesmějí jednat v rozporu se zákonem. Nakládání s osobními údaji zejména upravuje zákon č. 101/2000 Sb., o ochraně osobních údajů22 (dále jen „ZOOÚ“), ve kterém je obsažena obecná úprava, další zákony pak obsahují úpravu nakládání s osobními údaji pro konkrétní oblast. V tom je také rozdíl s právem na soukromí, jehož obsah je určen zejména judikaturou.23

3. 2. Mezinárodní zakotvení ochrany osobních údajů Ochrana osobních údajů je relativně novým institutem nejen v ČR, ale i jinde ve světě, kdy první právní předpisy k ochraně osobních údajů vznikly v 70. letech 20. století. Na základě diskuze, proběhlé v USA na konci 60. let v souvislosti s realizací projektu na vytvoření národního informačního centra, která se týkala otázky shromažďování osobních údajů zejména prostředky výpočetní techniky, došlo počátkem 70. let v demokratických evropských zemích k přijetí několika zákonů, kterými byla poskytována ochrana osobním údajům, hlavně pro případ jejich zpracování prostředky výpočetní techniky. Podobný průběh měly se zpožděním dvaceti let i státy střední a

22

Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů ve znění pozdějších předpisů 23 Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 35

14

jihovýchodní Evropy.24

3. 2. 1. Úmluva č. 108 Důležitou roli pro mezinárodní upevnění ochrany osobních údajů sehrála Rada Evropy, kterou byla v roce 1981 přijata Úmluva č. 108 na ochranu osob se zřetelem na automatizované zpracování osobních údajů25 (dále jen Úmluva č. 108). Úmluva vstoupila v platnost v roce 1985, kdy ji ratifikovalo prvních pět členských států Rady Evropy ( Francie, Německo, Norsko, Španělsko, Švédsko). Česká republika ratifikovala Úmluvu dne 9. července 2001. Jejím účelem je zaručit každému jednotlivci jakékoliv národnosti, nacházejícím se na území kteréhokoliv smluvního státu, úctu k jeho právům a základním svobodám a zejména pak k jeho právu na soukromý život, se zřetelem k automatizovanému zpracování osobních údajů, které se k němu vztahují. Pojem automatizované zpracování dat zahrnuje operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů, jako jsou ukládání na nosiče dat, jejich změna, výmaz, vyhledávání nebo další rozšiřování. Kromě definování hlavních pojmů z oblasti ochrany osobních údajů, také vymezila základní zásady významné pro nakládaní s údaji, které by měly být podle ní získávány poctivě, shromažďovány pouze pro stanovené účely a náležitě chráněny. Realizace těchto zásad ve vnitrostátních právních řádech napomáhá zajistit efektivnější ochranu soukromí při zpracovávání osobních dat v jednotlivých členských státech Rady Evropy a díky ní dochází i k harmonizaci vnitrostátních právních řádů v této oblasti. Z těchto zásad jsou možné výjimky pouze v případě, jsou-li povoleny zákonem daného státu a tyto představují zároveň nezbytné opatření v demokratické společnosti v zájmu ochrany bezpečnosti státu, měnových zájmů státu nebo při potírání trestné činnosti atd. Jsou-li osobní údaje použité pro statistiku nebo pro účely vědeckého výzkumu, odchýlení je povoleno tam, kde zjevně neexistuje nebezpečí porušení soukromí subjektů, jichž se údaj týká. Podle Úmluvy č.108 každý jednotlivec má možnost zjistit, zda nějaký automatizovaný soubor údajů existuje a jakým účelům slouží. Zároveň mu náleží právo na získání potvrzení o tom, že automatizovaný soubor obsahuje údaje o jeho osobě a pokud by to bylo nutné, podle povahy případu, může dosáhnout opravy nebo vymazání 24

Skála, J. Právní ochrana osobních údajů v informačních systémech. Právník, 1994, s. 25-26 Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášena pod č. 115/2001 Sb. m. s.

25

15

údajů, které byly zpracovávány v rozporu se zákonem daného státu, jímž jsou uplatňovány zásady Úmluvy. Jako poslední Úmluva č. 108 poskytuje možnost opravného prostředku, pokud nebylo vyhověno jejich žádosti o potvrzení, poskytnutí, opravu nebo výmaz údajů. Pro účely spolupráce mezi smluvními stranami v rámci tzv. vzájemné pomoci každá smluvní strana určí jeden nebo více úřadů a pomůže osobám bydlícím v zahraničí při výkonu jejich práv na ochranu osobních údajů v souladu s Úmluvou č. 108. Každou smluvní stranou je vyslán zástupce do Poradního výboru. Členské státy Rady Evropy, které k Úmluvě č. 108 nepřistoupily, mají právo být zastoupeny pozorovatelem. Přichází v úvahu také zastoupení pozorovatelem pro státy, které nejsou členy Rady Evropy. To je možné na základě jednomyslného rozhodnutí Poradního výboru, který se schází nejméně jednou za dva roky a svolává ho Generální tajemník Rady Evropy. Smysl existence Výboru tkví v tom, že tento může podávat návrhy na usnadnění nebo zlepšení použití Úmluvy a návrhy na dodatky k Úmluvě a vyjadřovat se k těmto návrhům.26 Dodatky vstupují v platnost po schválení Výborem ministrů a poté, co všechny smluvní strany informují Generálního tajemníka o přijetí dodatku. Tato Úmluva byla východiskem nejen pro řadu mezinárodních dokumentů upravujících shodnou nebo podobnou problematiku, ale i pro zákon č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech, kterým byla ještě v tehdejším Československu provedena první právní úprava ochrany osobních údajů.

3. 2. 2. Rezoluce Rady Evropy Jako první bych zmínila dvě rezoluce, kterými Rada Evropy vytvořila zvláštní pravidla pro zabránění nezákonnému zpracování osobních údajů ve veřejné i soukromé sféře. Jednalo se o Rezoluci č. (74)29 o ochraně osob vzhledem k elektronickým bankám dat ve veřejném sektoru a Rezoluci č. (73)22 o ochraně osob vzhledem k elektronickým bankám dat v soukromém sektoru, které stanovily principy pro oblast ochrany soukromí osob v souvislosti s vytvářením elektronických databank. Jejich vlastním cílem tehdy bylo povzbudit vytvoření vnitrostátních legislativních opatření pro vytváření elektronických datových souborů. Mezi prvními státy, které reagovaly na uvedené impulsy přijetím svých vnitrostátních zákonů na ochranu osobních dat bylo Švédsko (1973), Spolková republika Německo (1977), Rakousko (1978), dále následovaly v krátké době Dánsko, Francie, Norsko a Lucembursko. Právě v této fázi se 26

Matoušová, M. Ochrana dat v dokumentech mezinárodních organizací. Právní rozhledy, 1998, č. 1, s.47

16

ukázalo, že národní opatření a mezinárodní spolupráce budou muset být nahrazeny mezinárodními standardy.

3. 2. 3. Doporučení Rady Evropy V souvislosti s Úmluvou č. 108 zmíním i specializovaná doporučení, které vznikaly postupně od roku 1981 a jejich cílem bylo rozvíjet v úmluvě zakotvené principy v jednotlivých různorodých oblastech. Dosud byly vyhlášeny následující doporučení: o Doporučení č. R(2002)9 o ochraně osobních údajů shromažďovaných a zpracovávaných pro účely pojišťovnictví ze dne 18. září 2002 o Doporučení č. R(99)5 o ochraně soukromí na internetu ze dne 23. února 1999 o Doporučení č. R(97)18 o ochraně osobních údajů shromažďovaných a zpracovaných pro statistické účely ze dne 30. září 1997 o Doporučení č. R(97)5 o ochraně zdravotních dat ze dne 13. února 1997 o Doporučení č. R(95)4 o ochraně osobních údajů v oblasti telekomunikačních služeb zvláště s ohledem na telefonní služby ze dne 7. února 1995 o Doporučení č. R(91)10 o předávání osobních údajů veřejnými orgány třetím stranám ze dne 9. září 1991 o Doporučení č. R(90)19 o ochraně osobních dat používaných pro platební a další operace ze dne 13. září 1990 o Doporučení č. R(89)2 o ochraně osobních údajů používaných pro účely nezaměstnanosti o Doporučení č. R(87)15 o úpravě používání osobních dat v policejním sektoru ze dne 17. září 1987 o Doporučení č. R(86)1 o ochraně osobních údajů pro účely sociálního zabezpečení ze dne 23. ledna 1986 o Doporučení č. R(85)20 o ochraně osobních údajů používaných pro účely přímého marketingu ze dne 25. října 1985 o Doporučení č. R(83)10 o ochraně osobních údajů používaných pro vědecký výzkum a statistiku ze dne 23. září 1983-nahrazeno Doporučením č. R(97)18 o Doporučení č. R(81)1 o omezeních pro automatizované zdravotní banky dat ze dne 23. ledna 1981- nahrazeno Doporučením č. R(97)5

3. 2. 4. Směrnice 95/46/ES Pro oblast Evropské unie byla 24. října 1995 v Lucemburku přijata Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a 17

s volným pohybem těchto údajů27 (dále jen „Směrnice 95/46/ES“) pro potřebu harmonizace právních řádů členských států. Tato směrnice obsahuje poměrně podrobnou úpravu nakládání s osobními údaji a to i takovými údaji, které nejsou součástí informačních systémů. Jejím přijetím byla konečně stanovena základní pravidla pro ochranu osobních údajů a rovněž pravidla pro přenos těchto údajů navzájem mezi členskými státy. V následujících řádcích se zmíním o několika zajímavých institutech, které směrnice zavedla nebo konkretizovala. Směrnice 95/46/ES ukládá členským státům povinnost chránit základní práva a svobody jednotlivců, speciálně pak právo na soukromí a ochranu osobních údajů s ohledem na jejich zpracovávání. Na druhou stranu členské státy mají povinnost neomezovat volný pohyb osobních údajů mezi sebou z důvodu ochrany zmíněných práv. V neposlední řadě stanovuje státům závazek určit podmínky zákonného zpracování údajů. V porovnání s Úmluvou č. 108 je z mého pohledu Směrnice 95/46/ES daleko podrobnější a přísnější. Na rozdíl od Úmluvy č. 108 Směrnice 95/46/ES například určila požadavky na technickou bezpečnost zpracovávaných dat, uložila povinnost oznamovat zpracování osobních dat nebo povinnost vytvořit nezávislý dozor nad dodržováním přijatých zásad. Není ale pochyb o tom, že Směrnice 95/46/ES je Úmluvou č. 108 inspirována. Směrnice 95/46/ES ve svém článku 3 přiznává ochranu osobním údajům zcela nebo i částečně automatizovaných. Na rozdíl od Úmluvy č. 108, která se vztahuje pouze na automatizované zpracování osobních dat, poskytuje Směrnice 95/46/ES ve výše zmíněném článku i ochranu

údajů neautomatizovaných, tedy těch, které se

nezpracovávají systematickou činností v rámci nějakého informačního systému. Osobní údaje dokonce nemusí být zpracovávány počítačově.28 Podmínkou ale je, že musí být obsaženy v kartotéce, kde jsou uspořádány určitým způsobem a jsou přístupné a vhodné k dalšímu zpracování. Směrnice 95/46/ES zahrnuje také ochranu osobních údajů, které jsou přenášeny z Evropské unie do třetích států, čímž nepřímo zajistila rozšíření uplatňování principů obsažených v jejím obsahu i mimo oblast Evropské unie a zvýšila tím i úroveň ochrany údajů.29

27

Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. 28 Matoušová, M. Ochrana dat v dokumentech mezinárodních organizací. Právní rozhledy, 1998, č. 1, s. 49 29 Kučerová, A. a kol. Zákon o ochraně osobních údajů. Komentář. 1. vydání.Praha: Nakladatelství C.H.Beck, 2003, s. 351

18

Oproti dřívějším úpravám, Směrnice 95/46/ES zmiňuje pojem souhlas dotčené osoby, který znamená jakýkoliv svobodný, výslovný a informovaný projev vůle, jímž osoba dává najevo skutečnost, že souhlasí se zpracováním jejich osobních údajů. Vzhledem k tomu, že zpracováním osobních dat můžou být porušeny základní práva a svobody, nemělo by k němu docházet bez výslovného souhlasu. Osobní údaje je tedy možné zpracovávat, jak stanoví Směrnice 95/46/ES ve své preambuli, pouze pokud s tím příslušná osoba projevila jednoznačně souhlas, anebo zpracování je nezbytné pro naplnění smlouvy, v níž je osoba smluvní stranou nebo na žádost osoby při přípravě takové smlouvy nebo pokud zpracování je nezbytné k naplnění zákonem stanovené povinnosti, jíž podléhá odpovědná osoba, či na ochranu důležitého zájmu dané osoby. Dále jedná-li se o plnění úkolů ve veřejném zájmu nebo pro účely legitimních zájmů odpovědné osoby nebo třetí strany, jíž jsou tyto údaje zpřístupněny, pokud tyto zájmy nejsou převýšeny zájmem ochrany práv, za jejichž účelem byla přijata právě tato Směrnice 95/46/ES. Pokud se jedná o zpracování citlivých dat vypovídajících o národnostním, rasovém nebo etnickém původu, politických postojích, jakož i členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě jednotlivce, či jakýchkoliv jeho biometrických nebo genetických údajích, je toto možné pouze s výslovným souhlasem dotyčného, pokud není zákonem členského státu stanoveno, že ani případným souhlasem osoby nelze zrušit zákonný zákaz zpracovávání citlivých údajů. V samotném normativním textu Směrnice 95/46/ES se o této kategorii osobních údajů nemluví jako o citlivých, ale o tzv. zvláštní kategorii údajů (čl. 8 Směrnice 95/46/ES – „special categories of data“). Obdobně tuto kategorii osobních údajů pojmenovává i Úmluva č. 108, která používá termín „zvláštní skupiny údajů“ (čl. 6 Úmluvy č. 108 – „special categories of data“).30 Zpracovávat citlivé údaje je dále možné v případech, je-li toto zpracování nutné k naplnění zákonem stanovené povinnosti, která náleží odpovědné osobě v oblasti pracovního práva jako zaměstnavateli za předpokladu, že je k tomu oprávněn vnitrostátním předpisem. V případě ochrany životně důležitého zájmu osoby, pokud tato není fyzicky či právně způsobilá dát souhlas, je rovněž možné nakládat z citlivými údaji. Při poskytnutí dostatečných záruk mohou s citlivými údaji v rámci své činnosti nakládat nadace, sdružení nebo i jiný neziskový subjekt, který se zaměřuje na politickou, filozofickou, náboženskou či odborovou činnost. Musí zde být ale splněna 30

Šalomoun, M. Právní regulace nakládání s citlivými údaji. Právní rozhledy, 2006, č.19

19

podmínka, že zpracovávány budou jen takové údaje, které se týkají členů výše uvedených subjektů nebo se jedná o osoby, se kterými jsou tyto subjekty v pravidelném kontaktu a že údaje nejsou zpřístupněny třetí straně bez výslovného souhlasu dotyčné osoby. V posledním případě se jedná o možnost nakládat z citlivými údaji, pokud tyto již byly výslovně příslušnou osobou zveřejněny či jejich zpracování je nezbytné pro zjištění, uplatnění nebo obranu právních nároků před soudem. Pro případ zpracování osobních údajů k účelům lékařské prevence, diagnostiky, poskytování zdravotnické péče nebo správy zdravotnických služeb, zákaz nakládat s citlivými údaji rovněž neplatí, ale údaje musí být zpracovávány odborným zdravotnickým pracovníkem, který je vázán povinností mlčenlivosti. Záznamy o trestné činnosti nebo bezpečnostních opatřeních lze zpracovávat pouze pod kontrolou orgánu veřejné moci nebo při poskytnutí odpovídajících záruk. Členské státy jsou dále povinny stanovit podmínky, za nichž lze zpracovávat národní identifikační číslo (tj. např. rodné číslo) nebo jakýkoli jiný obecně použitelný identifikátor. Dalším důležitým institutem, který směrnice zavedla je tzv. oznamovací povinnost vůči orgánu dozoru, kterou má správce nebo jeho zástupce, kdy tento musí písemně oznámit orgánu veřejné moci, jako kontrolnímu orgánu, zahájení automatizované zpracování. Správcem je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt odpovědný za zpracovávání, který určuje účel a prostředky zpracovávání osobních údajů. Směrnice 95/46/ES představuje tedy základní dokument Evropské unie pro oblast nakládání s osobními údaji. Její význam spočívá hlavně v upevnění prostředků ochrany osobních údajů v jednotlivých členských státech a jejich harmonizaci. Je důležitá nejen pro území Evropské unie, jelikož může být inspirací i pro nečlenské státy.

3. 2. 5 Směrnice č. 97/66/ES Směrnice 97/66/ES týkající se zpracování osobních údajů a ochrany soukromí v telekomunikačním sektoru byla přijata v roce 1997 a modifikovala některá ustanovení Směrnice 95/46/ES na oblast telekomunikací. V ČR byla provedena zákonem č. 151/2000 Sb. o telekomunikacích.31

31

Zákon č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů

20

3. 2. 6 Směrnice č. 2002/58/ES32 Byla přijata v roce 2002 a vstoupila v platnost 31. července 2002. Upravuje zpracování osobních údajů a ochranu soukromí v oblasti elektronických komunikací a nahrazuje výše uvedenou směrnici 97/66/ES.

3. 2. 7 Charta základních práv EU Významným počinem bylo také přijetí Charty základních práv občanů EU v roce 2000. Evropský parlament rozhodl o vytvoření Charty na kolínském summitu v červnu roku 1999. Přípravou tohoto dokumentu byl pověřen tzv. Konvent. Skládal se z hlav státu a předsedů vlád 15 zemí, představitelů národních parlamentů, zástupců Evropského parlamentu a z jednoho zástupce Evropské komise. Konečná verze Charty byla slavnostně vyhlášena 7. 12. 2000 v rámci Mezivládní konference v Nice. Byla přijata ve formě společné deklarace Evropského parlamentu, Rady a Komise. Jde tedy zatím o politickou deklaraci, tj. dokument právně nezávazný. Charta je prvním uceleným textem v historii Evropské unie, který obsahuje jak tradiční lidská práva, tak novější práva ekonomická, politická a sociální. Je v ní také obsaženo jak právo na respektování soukromého a rodinného života, obydlí a komunikace, tak i právo na ochranu osobních údajů v článku 8, který má zaručit každému právo na ochranu údajů, které se ho týkají. Údaje mají být zpracovány poctivě, pro vymezené účely a na základě souhlasu dotčené osoby nebo na jiném legitimním základě stanovené zákonem. Článek rovněž stanoví právo každého na přístup k údajům, které byly v souvislosti s jeho osobou shromážděny a právo na jejich opravu. Zmíněný článek vychází z Amsterodamské smlouvy33, dále ze Směrnice 95/46/ES, z článku 8 Evropské úmluvy a také z Úmluvy č. 108.

3. 2. 8 Úmluva o lidských právech a biomedicíně34 Tato úmluva přijatá Radou Evropy dne 4. dubna 1997 zaručuje právo jednotlivce na ochranu soukromí ve vztahu k informacím o svém zdraví. ČR ji ratifikovala 22. června 2001 a úmluva vstoupila v platnost 1. října 2001. Podle ní má každý právo získat informace, které jsou shromažďovány v souvislosti s jeho zdravotním stavem. Na druhé straně pokud dotyčná osoba nebude chtít být informována, je třeba toto její přání 32

Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) 33 Amsterodamská smlouva, jíž se pozměňují Smlouva o Evropské unii, Smlouvy o založení Evropských společenství a některé související akty 34 Vyhlášena sdělením ministerstva zahraničních věcí č. 96/2001 Sb.m.s.

21

respektovat. Úmluva dává možnost omezit zákonem právo na informace, ale musí být splněna podmínka výjimečných okolností a zároveň pokud by se tak konalo v zájmu pacienta. Kromě výše zmíněného práva na ochranu soukromí se v Úmluvě o lidských právech a biomedicíně objevují i jiné instituty, které souvisí s ochranou osobních údajů, jako například článek 5 o informovaném souhlasu pacienta.

22

4. Historie vývoje ochrany osobních údajů 4. 1. Vývoj na mezinárodní úrovni Osobním údajům je poskytována právní ochrana nepříliš dlouhou dobu. Zájem zabývat se tímto tématem vzrostl až po zkušenostech se zasahováním a zneužíváním osobních údajů totalitními režimy v období II. světové války. V souvislosti s nacistickým režimem je možné uvést jako příklad vyhlazování Židů, jehož průběh byl značně usnadněn existencí matrik, jakož i údajů, které se dochovaly ze statistických sčítaní lidu ve 30. letech 20. století, kdy byla u jednotlivých dotazovaných zaznamenána i jejich náboženská příslušnost.35 Počátkem druhé poloviny 20. století vznikl v USA plán pro vytvoření národního informačního centra, který měl obsahovat informace o občanech. Tento plán sice nebyl pro odpor veřejnosti uskutečněn, avšak vzbudil určitý zájem k jednání ohledně tématu shromažďování osobních údajů. To vedlo některé evropské demokratické státy k přijetí speciálních zákonů, na základě nichž byla poskytována zvláštní ochrana osobním údajům, zejména v souvislosti s jejich zpracováním pomocí prostředků výpočetní techniky.36 Pomocí těchto prostředku lze totiž rychle shromažďovat a uchovávat velké množství údajů. S těmito uchovanými údaji je možné dále pracovat, různě je kombinovat a vzájemně spojovat. A právě hromadným zpracovávání údajů v této souvislosti často uniká spojitost s živou lidskou bytostí, když identita člověka se „smrskne“ do podoby několik písemných a číselných údajů či snad do formy pouhých kódů. Údaj tak paradoxně ztrácí souvislost s konkrétní osobou, jejím postavením a situací. Je pravdou, že výpočetní technika také nedovede brát ohledy na sociální propojení jednotlivých osobních údajů, což značnou měrou ovlivňuje jejich vyhodnocování. Při použití určité osobní informace samostatně, bez dalších souvislostí, dojde často (někdy i záměrně) ke zkreslení určité představy o dotyčné osobě. Například ze skutečnosti, že některá osoba je evidována v záznamech jako daňový dlužník nebo vedena na „černé listině“ některých bankovních institucí, by na ni mohlo být automaticky nahlíženo jako na nezodpovědnou, nevěrohodnou osobu a ono se může jednat o případ, kdy se tato jen dostala do výjimečné životní situace způsobené právě rozličnými okolnostmi. Otázkou ochrany soukromí v souvislosti s moderními technologiemi se zabývala v roce 1968 Rada Evropy, kdy byl na popud Parlamentního shromáždění Rady Evropy 35 36

Mates, P. Ochrana osobních údajů. Praha: Nakladatelství Karolinum, 2002, s. 38 Skála, J. Právní ochrana osobních údajů v informačních systémech. Právník, 1994, s. 26

23

proveden průzkum ochrany soukromí osob v souvislosti s těmito technologiemi v zákonodárství členských států. Bylo vydáno stanovisko Komise expertů pro lidská práva a na základě něho došla Rada k závěru, že soukromí v této oblasti není poskytována dostatečná ochrana. Proto bylo přijato několik rezolucí s cílem potřebnou ochranu poskytnout.37 Reakcí na rostoucí počet automatizovaných zpracování osobních dat v důsledku rozvoje výpočetní techniky a možností uchovávání a zpracování informací v digitální podobě, bylo zpracování Úmluvy č. 108, která byla přijata a otevřena k podpisu 28. ledna 1981 ve Štrasburku. Přistoupit k ní mohou nejen členské státy Rady Evropy, ale i ostatní státy, pokud se tak rozhodnou. Rada Evropy tímto po třinácti letech završila svou studii, kterou byly zjištěny nedostatky mezinárodních předpisů pro zpracování osobních dat a jejich tok přes hranice.38 Úmluva vymezila základní pojmy (např. pojem osobní údaj) a zásady (např. poctivý a právně zajištěný sběr a zpracování osobních údajů, shromažďování osobních údajů jen pro vymezené legitimní účely, znemožnění zpracování údajů k jiným účelům, něž pro které byly shromážděny, časové omezení zpracování údajů po naplnění stanoveného účelu atd.). Touto Úmluvou byly rovněž stanoveny i požadavky, které při zpracování údajů musí být splněny a upraveno je také předávaní údajů do zahraničí. Na Úmluvu č. 108 dále navázaly různá doporučení, které se týkaly zpracování osobních údajů, a to zejména v souvislosti s bankovním stykem, policejní oblastí, ve vědeckém výzkumu, v pojišťovnictví a telekomunikačních službách.39 Pro oblast týkající se údajů na internetu bylo v roce 1999 přijato doporučení ohledně ochrany soukromí na internetu.40 Pro oblast Evropské unie byla roku 1995 přijata zvláštní Směrnice 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a s volným pohybem těchto údajů. Jelikož se jednalo o směrnici, musela se jí přizpůsobit právní úprava členských států. Touto směrnicí tedy bylo uloženo členským státům, že mají do tří let uvést svoje právní řády do souladu s jejím obsahem. Přizpůsobovaly se i právní řády států, které se teprve ucházely o členství v Evropské unii. Takovým státem byla i ČR, která v roce 1996 podala oficiálně žádost o vstup ČR do Evropské unie a předala potřebné podklady pro posouzení své připravenosti k vstupu. Jedním z okruhů, které 37

Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 184 Kučerová, A. a kol. Zákon o ochraně osobních údajů. Komentář. 1. vydání. Praha: Nakladatelství C.H.Beck, 2003, s. 331 39 Mates, P. Ochrana osobních údajů. Praha: Nakladatelství Karolinum, 2002, s.39 40 Doporučení Výboru ministrů č. 99/5 o ochraně soukromí na internetu. 38

24

jsou předmětem posuzování, je i nakládání s osobními údaji, resp. ochrana osobních údajů.41

4. 2. Vývoj ochrany osobních údajů na území ČR V období od nástupu komunismu v roce 1948 se totalitní režim žádnou ochranou osobních údajů nezabýval, ani ji nepřipouštěl. Byl by tak vlastně sám proti sobě, jelikož tím by mu byla značně znesnadněna cesta vedoucí k pronásledování politicky nepohodlných osob. Jemné náznaky debaty na toto téma se objevily až koncem 80. let, ale žádný posun se zatím nekonal. V návaznosti na ústavní zakotvení práva na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů, byl dne 29. dubna 1992 přijat Federálním shromážděním České a Slovenské Federativní Republiky zákon č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech.42 Po rozpadu česko-slovenské federace zákon zůstal v platnosti na základě ústavního zákona České národní rady43, který ve svém článku 1 odst.1 stanovil, že ústavní zákony, zákony a ostatní právní předpisy České a Slovenské Federativní Republiky platné v den zániku České a Slovenské Federativní Republiky na území České republiky zůstávají nadále v platnosti. Tento zákon vycházel z Úmluvy č. 108. Upravoval vedle hlavních pojmů a zásad nakládání z osobními údaji, zejména povinnosti, které souvisely s ochranou údajů při provozování informačního systému, který nakládá s osobními údaji. Dále pak odpovědnost provozovatele systému a jiných subjektů a možnosti obrany subjektu údajů v případě protiprávního nakládání s údaji. Praktické použití výše zmíněného zákona však skomíralo díky neexistenci institucionálního zajištění vlastní realizace a potřebných efektivních sankcí, které by postihovaly osoby, porušující zákonem uložené povinnosti. V úvahu přicházel pouze často zdlouhavý soudní proces, jímž jedině mohla být poskytnuta ochrana. Nedošlo tedy ani ke vzniku instituce, kterou by mohl být prováděn dozor nad dodržováním zákona, jelikož návrh na zřízení jakéhosi dozorového orgánu byl odmítnut, přestože řada odborníků na nepropracovanost zákona v tomto směru upozorňovala. Nesetkala se však s žádným ohlasem. Bylo to dáno do jisté míry i hektickou porevoluční dobou a nedostatečnou tradicí ochrany soukromí na území České republiky. Nedostatečná ochrana osobních údajů 41

Matoušová, M. Ochrana dat v dokumentech mezinárodních organizací. Právní rozhledy, 1/1998, s. 49-50 42 Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech 43 Zákon ČNR č. 4/1993 Sb., o opatřeních souvisejících se zánikem České a Slovenské Federativní Republiky

25

byla pro určitou skupinu zejména podnikatelské sféry dokonce vyhovující. Snadné získaní údajů o konkrétních osobách vyhovovalo například různým obchodním nebo reklamním společnostem, které tuto možnost využívali k přímému kontaktování jednotlivců za účelem nabídky služeb či zboží, o které dotyční často ani nikdy neprojevili zájem. 44 V souvislosti s přípravami České republiky na vstup do Evropské unie bylo třeba postupně harmonizovat český právní řád s právem Evropské unie. V oblasti ochrany osobních údajů se jednalo o základní dokument ze dne 24. října 1995, jímž je již několikrát výše zmíněná Směrnice 95/46/ES o ochraně jednotlivců v souvislosti se zpracováváním osobních údajů a volným pohybem těchto údajů. Tato ve svém článku 1 stanoví povinnost členských států zajistit ochranu základních svobod a práv jednotlivců, zejména jejich soukromí v souvislosti se zpracováním osobních údajů. Zároveň v druhém odstavci deklaruje, že členskými státy nemůže být omezen ani zakázán volný pohyb osobních údajů mezi členskými státy z důvodu ochrany podle těchto ustanovení. Směrnice upravuje nakládaní s jednotlivými osobními údaji, mimo jiné i těmi, které jsou zpracovávány v různých informačních systémech. Zároveň obsahuje požadavek na zřízení nezávislého dozorového orgánu. Tento požadavek promítají jednotlivé členské státy EU do své národní legislativy a liší se jak v počtu a označení takovéto instituce, tak i jejím začlenění do systému veřejné správy. V ČR, stejně tak i v jiných zemích vznikl pouze jeden takový orgán, zato například ve Švýcarsku působí více takových orgánů k ochraně osobních údajů. Směrnice 95/46/ ES byla do právního řádu ČR implementována ZOOÚ, který nabyl účinnosti 1. června 2000. Tento nástupce zákona 256/1992 Sb. o ochraně osobních údajů v informačních systémech zahrnul do své úpravy ochranu jak automatizovaných údajů, tak i údajů zpracovávaných manuálně. Stanovil informační povinnost tomu, kdo s údaji nakládá vůči osobě, které se údaje týkají. Došlo k upřesnění práva na opravu nesprávných a neaktuálních údajů. Podrobně byl vymezen rozsah citlivých údajů a upuštěno bylo od používání neurčitých a hlavně špatně definovatelných pojmů jako „soukromí a osobnost dotčené osoby“, „majetkové poměry“. Velkým přínosem byl vznik Úřadu pro ochranu osobních údajů, jako kontrolního orgánu nadaného dozorovými a registračními pravomocemi. S přechodem rozhodovací pravomoci z obecných soudů na tuto novou instituci souvisí i rozhodnutí

44

Mates, P. Ochrana osobních údajů. Praha: Nakladatelství Karolinum, 2002, s.39

26

Nejvyššího soudu ČR45, který se k věci vyjádřil takto: „Jak vyplývá z obsahu spisu, žalobce svůj návrh vyvozoval ještě z úpravy provedené zákonem č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Soudy prvního a druhého stupně však ve věci rozhodovaly již za účinnosti nového zákona č. 101/2000 Sb. (zákon nabyl účinnosti dne 1. prosince 2000), který svým § 48 zákon č. 256/1992 Sb. zrušil. Tento nový předpis nepřevzal dosavadní úpravu pravomoci soudů ve zmíněných věcech, jak ji obsahoval zrušený starší zákon, ve svém § 23. Současně však ve svých přechodných ustanovení případně neuvedl to, že by dosud probíhající spory bylo třeba dokončit podle dosavadních předpisů. Z uvedeného je třeba dovodit, že účinností zákona č. 101/2000 Sb. pozbyly soudy pravomoc rozhodovat v dotčených věcech, a tato pravomoc tehdy přešla na Úřad pro ochranu osobních údajů v Praze (§ 21 zákona o ochraně osobních údajů).“ Oproti původnímu zákonu byl zcela jistě kladen větší důraz na pozici samotného subjektu údajů, ať už se jednalo o udělování souhlasu ke zpracování, možností vyžádání informací o zpracovávaných údajích nebo provádění oprav a výmazů nepravdivých údajů.46

45

Rozsudek Nejvyššího soudu ze dne 30. září 2004, sp. zn. 30 Cdo 1183/2004. Šmíd, V. Informační právo: Ochrana osobních údajů [citováno 20. března 2008]. Dostupný z: http://www.fi.muni.cz/~smid/inf_pravo_ochd1.html 46

27

5. Současná právní úprava ochrany osobních údajů 5. 1. Zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů V této části mojí diplomové práce se budu blíže věnovat hlavnímu pilíři institutu ochrany osobních údajů, kterým je stanoven obecný rámec ochrany osobních údajů a tím je zákon o ochraně osobních údajů (ZOOÚ). V návaznosti na článek 10 Listiny zajišťuje podrobnou a konkrétní úpravu ochrany osobních údajů v rámci práva na ochranu soukromí. Tento zákon je základním zákonem, který odráží požadavky komunitárního práva, které mají eliminovat případné narušení ochrany osobních údajů, v souvislosti s jejich zpracováním. Jeho obsah je zaměřen na dosažení co největší vzájemné slučitelnosti se Směrnicí 95/46/ES. Kromě uvedené směrnice byly tímto zákonem do českého právního řádu zahrnuty principy ochrany osobních údajů vycházející z Úmluvy č. 108, kterou Česká republika ratifikovala krátce poté, co zákon o ochraně osobních údajů nabyl účinnosti.47 Úmluva č. 108 je prvním mezinárodně platným a uznávaným dokumentem v oblasti ochrany osobních údajů. Je také původcem souboru hlavních zásady ochrany osobních údajů, které jsou díky tomu všeobecně uznávány a začleňovány do právních řádů členských států včetně ZOOÚ.

5. 2. Zásady zpracování osobních údajů Významnou součástí právní úpravy ochrany osobních údajů jsou taktéž zásady, které je nutno dodržovat při nakládání s osobními údaji. Do ZOOÚ jsou promítnuty v podobě právních norem a vyznačují se svým specifickým významem, způsobem použití a velkou mírou obecnosti. Jejich funkce je zejména regulativní a udává meze, v jakých by měla ochrana osobních údajů probíhat. Pro jejich všeobecnou závaznost je důležité jejich společenské uznání. Z Úmluvy č. 108 do ZOOÚ přešly následující zásady:

5. 2. 1. Zásada legitimity zpracování Vychází ze skutečnosti, že osobní údaje, které jsou předmětem zpracování musí být získány a dále zpracovávány poctivě a v souladu se zákonem. Je nezbytně nutné, aby při nakládání s osobními údaji byly respektovány základní práva a svobody jednotlivců, kterých by se případné zpracování mělo týkat. 47

ZOOÚ nabyl účinnosti dne 1. června 2000

28

5. 2. 2. Zásada účelovosti48 Při respektování této zásady se údaje shromažďují pouze pro specifické, stanovené a legitimní účely. Je tedy zřejmé, že samotnému nakládání s údaji musí předcházet určení účelu, ke kterému mají být tyto použity. Pokud tato podmínka nebude splněna a účel shromažďování nebude předem stanoven, nelze s předmětnými údaji nakládat. Údaje dále nesmějí být zpracovávány k účelům, které by odporovaly původnímu, zamýšlenému účelu. Je však možné použít osobní údaje v souvislosti s opětovným právním posouzením například soudních spisů či účetních dokladů. V tomto případě pak musí být dostatečně zajištěn, aby nedošlo k použití údajů pro jiné účely. Zpracovávat údaje k jinému účelu, než k jakému byly určeny lze za podmínek, že se bude jednat o výjimky plynoucí z ustanovení § 3 odst. 6 ZOOÚ49 nebo pokud je k tomu získán předem souhlas subjektu údajů.

5. 2. 3. Zásada časového omezení50 Osobní údaje, které jsou předmětem zpracování se uchovávají jen po takovou dobu, která je nutná k naplnění předem stanoveného účelu. Tato zásada napomáhá zabránit nekontrolovanému archivování údajů, které by tak mohly být případně zneužity k jiným, i nezákonným účelům. Výjimky jsou připuštěny v případech dlouhodobého uchovávání údajů například pro vědecké, statistické či archivní účely, kdy můžou sloužit při výzkumu, ale je nutné tyto údaje náležitě zabezpečit proti jejich zneužití.

5. 2. 4. Zásada potřebnosti a přiměřenosti51 Tato zásada souvisí se zásadou účelovosti, jelikož veškeré shromažďované údaje musí být po celou dobu, kdy jsou zpracovávány opravdu nezbytné k dosažení stanoveného účelu. Pokud by se stalo, že se během určité doby některé ze shromážděných údajů stanou již nepotřebnými vzhledem k dosažení účelu, je třeba tyto údaje vyřadit ze systému. Někdy je tato zásada nazývána zásadou minimalizace.

5. 2. 5. Zásada průhlednosti52 Díky zakotvení této zásady má osoba, které se předmětné osobní údaje týkají, možnost získávat úplné a srozumitelné informace o zpracovávaných údajích. Tato informace obsahuje přehled kategorií osobních údajů, vymezený účel, ke kterému jsou

48

§ 5 odst. 1 písm. f) ZOOÚ Stanovení účelu není třeba pro zpracování osobních údajů nezbytných pro plnění povinností správce, které stanoví zvláštní zákony. Např. ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky 50 § 5 odst. 1 písm. e) ZOOÚ 51 § 5 odst. 1 písm. d) ZOOÚ 52 § 11 ZOOÚ 49

29

shromažďovány, identifikaci správce, případně další vhodné informace. Pokud by bylo zřejmé, že osoba již nějakým jiným způsobem informovaná je či by poskytnutí informací vyžadovalo nadměrné úsilí, je možné poskytnutí informace odmítnout. V této souvislosti je vhodné zmínit článek 9 Úmluvy č. 108, který připouští neposkytnutí informace v případě, kdy je to stanoveno zákonem a zároveň by šlo o zájem ochrany bezpečnosti státu, veřejné bezpečnosti nebo potírání trestné činnosti a také pokud by to bylo v zájmu subjektu údajů.

5. 2. 6. Zásada bezpečnosti53 Ze zásady bezpečnosti vyplývá potřeba učinit vhodná technická, organizační i personální opatření, které budou chránit osobní údaje v datových souborech proti jejich náhodné ztrátě nebo neoprávněnému zničení, změnám či šíření. Význam této zásady je spjat zejména z problematikou ochrany údajů vyskytujících se v internetových databázích.

5. 2. 7. Zásada práva přístupu k údajům54 Zásada se týká práva osob na přístup k údajům, které se ho týkají, kdy této osobě je dána možnost získávat v jednotlivých intervalech a bez průtahů potvrzení o tom, zda jsou v souborech dat uloženy údaje o jeho osobě.

5. 2. 8. Zásada práva na opravu a výmaz55 Tato zásada souvisí s povinností zpracovávat pouze pravdivé, přesné a aktuální údaje. Každá osoba má právo na opravu nepřesných a nepravdivých či zastaralých údajů nebo právo na jejich úplný výmaz v případě, pokud byly zpracovány v rozporu s vnitrostátním právním řádem státu, který uplatňuje základní zásady ochrany osobních údajů.

5. 2. 9. Zásada nezávislého dozoru56 K efektivnímu fungování systému ochrany osobních údajů je třeba, aby existovala instituce, která bude dohlížet na dodržování zásad a právních norem upravujících oblast osobních údajů. Neexistence takového dozoru by mohla vést k nekontrolovatelnému nakládání a zneužívání osobních dat, což byl i případ předchůdce ZOOÚ. Smluvní státy proto v souladu s touto zásadou zřizují nezávislé orgány, které jsou pověřené zabezpečováním dodržování zásad a vnitrostátních 53

§ 13 ZOOÚ § 12 ZOOÚ 55 § 21 odst. 1 písm. b) ZOOÚ 56 § 2 ZOOÚ 54

30

předpisů. Takovéto orgány existují nejen v evropských státech, ale i státech mimo Evropu a přestože rozsah jejich působnosti není ani v rámci Evropy sjednocen, jelikož v některých státech funkce dozoru náleží jak speciálnímu dozorovému úřadu, tak i soudním institucím, jejich společným cílem je vždy ochrana osobních údajů. K těmto zásadám se přidávají ještě některé další, které vyplývají přímo ze ZOOÚ:

5. 2. 10. Zásada souhlasu subjektu údajů57 Je vyjádřením skutečnosti, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů, pokud ZOOÚ nestanoví dále jinak. Souhlas subjektu údajů není výslovně řešen v Úmluvě č. 108. Tato úmluva ale stanoví požadavek, podle kterého osobní údaje musí být získávány poctivě a v souladu se zákony. To znamená, že pokud je tato povinnost stanovena v ZOOÚ, je třeba ji plnit, jinak se správce dopustí přestupku nebo jiného správního deliktu a hrozí mu příslušná sankce. Souhlasem subjektu údajů58 se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

5. 2. 11. Zásada zákazu sdružování osobních údajů59 Tato zásada souvisí se zásadou potřebnosti a přiměřenosti a zakazuje sdružovat údaje získané k rozdílným účelům. Je tedy nepřípustné propojovat jednotlivé databáze údajů za různým účelem využití. Toto jednání by napomáhalo případnému zneužití osobních údajů.

5. 3. Vymezení základních pojmů ZOOÚ obsahuje vlastní specifické pojmy, které se stávají typickými pro oblast ochrany osobních údajů. V mojí diplomové práci se věnuji problematice ochrany osobních údajů, proto mně připadá vhodné nejprve se zabývat pojmem „osobní údaj“, ze kterého je sice na první pohled zřejmé, že se bude jednat o určitou informaci týkající se konkrétního jedince, ale je důležité tento pojem podrobněji vymezit, abychom věděli, co přesně je předmětem ochrany. Tento pojem je definován v zákoně o ochraně osobních údajů v § 4, kdy se za osobní údaj považuje jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů (čili fyzická osoba, k níž se osobní údaje vztahují), se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo 57

§ 5 odst. 2 ZOOÚ § 4 písm. n) ZOOÚ 59 § 5 odst. 1 písm. h) ZOOÚ 58

31

nebo nepřímo zjistit jeho totožnost. Ke zjištění totožnosti může stačit jeden údaj (např. fotografie), ale často se jedná o soubor údajů. Toto pozitivní vymezení je v zápětí doplněno vymezením negativním, kdy se nejedná o osobní údaj v případě, kdy tento sice umožňuje osobu určit, ale je k tomu třeba nepřiměřeného množství času, úsilí či materiálních prostředků. V takovém případě se údaj považuje za anonymní. Pojmy jako nepřiměřené množství času jsou těžko určitelné a jejich konkretizace závisí na okolnostech práce s osobními údaji.60 V rámci pojmu osobní údaj se vymezuje zvlášť definovaná skupina tzv. citlivých údajů. Toto označení (sensitive data) používá i Směrnice 95/46/ES ve svých úvodních ustanoveních, avšak dále citlivé údaje nazývá jako „zvláštní kategorie údajů“. Tato kategorie údajů je stejně jako pojem osobní údaj definována v ZOOÚ.61 Podle této definice se citlivými údaji rozumí údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakékoliv biometrické nebo genetické údaje subjektu údajů. Zpracování těchto taxativně vymezených údajů je podrobeno zvláštnímu režimu, který by měl zajistit přísnější ochranu, jelikož při zpracování této skupiny údajů je větší riziko porušení lidských práv z důvodu například diskriminace subjektu, který by takto mohl být výrazně odlišen od ostatních osob. Mezi často používané pojmy v ZOOÚ náleží pojem „správce“. Ten je ústředním nositelem povinností při zpracovávání osobních údajů. Je jím

každý

subjekt62, který určuje účel a prostředky zpracování osobních údajů, provádí samotné zpracování a odpovídá za něj. Má také možnost tímto zpracováním pověřit nebo zmocnit tzv. zpracovatele, pokud zvláštní zákon nestanoví jinak. Pro správce je tedy stanovena odpovědnost za samotné zpracování osobních údajů. Za dodržování povinností stanovených ZOOÚ je však odpovědný jak správce, tak zpracovatel, popřípadě i jiné osoby, které vykonávají činnost při zpracování osobních údajů pro správce nebo zpracovatele na základě smlouvy.63 Účel pro který budou údaje zpracovávány správcem může vyplývat přímo ze zvláštního zákona, na jehož základě

60

Důvodová zpráva k vládnímu návrhu ZOOÚ § 4 odst. b) ZOOÚ 62 „Správcem je státní nebo jiný orgán, kterému ukládá zákon, aby údaje zpracovával nebo soukromý subjekt zpracovávající osobní údaje pro účely podnikatelské nebo jakékoliv jiné účely.“cit. z důvodové zprávy k ZOOÚ 63 Skulová, S. Ochrana osobních údajů a veřejná správa v České republice. In Sborník z konference „Veřejná správa na prahu 21.století“, Brno: Masarykova univerzita, 2001, s. 107 61

32

bude ke zpracování docházet, ale je zde také možnost, aby si správce určil účel zpracování sám. Jednotlivými správci jsou například ústřední správní úřady, jiné správní úřady, obce nebo také soudy. Dále správcem může být zaměstnavatel zpracovávající údaje o svých zaměstnancích. Dalším neméně důležitým pojmem je pojem „subjekt údajů“, který představuje fyzickou osobu, ke které se osobní údaje vztahují. V zákoně č. 256/1992 Sb., který předcházel nynějšímu ZOOÚ se pro takovou osobu používal výraz dotčená osoba. Současný výraz je však výstižnější a odpovídá termínu používanému v mezinárodních dokumentech, kde se vžil pojem „the data subject“. V této práci se často objevuje výraz „zpracování“ osobních údajů. ZOOÚ tento pojem definuje následovně: „Zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo

pozměňování,

vyhledávání,

používání,

předávání,

šíření,

zveřejňování,

uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.“ Demonstrativní pojetí této definice je vhodné vzhledem k neustálému vývoji technických možností zpracování. Hlavním rozeznávacím znakem zpracování osobních údajů je tedy systematická činnost a není podstatné zda se takto děje automatizovaně pomocí prostředků výpočetní techniky nebo manuálně. O zpracování se tedy bude jednat v případě, kdy správce za stanoveným účelem a stanoveným způsobem shromáždí údaje ve shodném nebo obdobném rozsahu, které je možné začlenit do určité kategorie údajů podle jejich účelu. Tímto způsobem získané údaje jsou pak uchovány v datovém souboru, který byl k předem stanovenému účelu vytvořen.64 V souvislosti se zpracováním jsou v ZOOÚ přímo definovány i některé jeho typické druhy jako je shromažďování osobních údajů , za které se považuje systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací (paměťová karta, papír) pro jejich okamžité nebo pozdější zpracování.65 Mezi další typy zpracování se řadí uchovávání osobních údajů, což znamená udržování údajů v takové podobě, která je umožňuje dále zpracovávat. Není podmínkou, aby údaje musely být uchovávány v té podobě, v jaké 64

Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. 2. doplněné a aktualizované vydání. Praha: Nakladatelství ASPI, a. s., 2008, s. 139 65 § 4 písm. f) ZOOÚ

33

byly původně uloženy. Často totiž bývají v dnešní době údaje převáděny z papírové do elektronické podoby.66 V případě, že Úřad pro ochranu osobních údajů uloží, jako opatření k nápravě při porušení povinností správce, likvidaci údajů a správce s tím nebude souhlasit, musí být údaje tzv. blokovány, pokud to požaduje subjekt údajů.67 Blokace znamená vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný, a to ani správci či zpracovateli a nelze jej již jinak zpracovávat. Od blokování je třeba odlišit likvidaci osobních údajů, po které se na rozdíl od blokace, údaje stanou trvale nepřístupnými. Při likvidaci údajů dojde buď k fyzickému zničení jejich nosiče nebo k jejich fyzickému vymazání nebo k trvalému vyloučení údajů z dalších zpracování.

5. 4. Působnost ZOOÚ Zaměřím se nyní na řešení otázky „co vlastně ZOOÚ reguluje?“ a jaký okruh subjektů bude podléhat jeho režimu. Působnosti ZOOÚ podléhají osobní údaje zpracovávané orgány státní moci, orgány územní samosprávy jako jsou obce a kraje, jiné orgány veřejné moci a také soukromé fyzické a právnické osoby. Pokud jde o pojem „jiný orgán veřejné moci“, rozumí se jím instituce, která rozhoduje o právech a povinnostech subjektu, který vůči této instituci není v rovnoprávném postavení. Může jít o vysoké školy, různé veřejné stráže a podobně.68 Pokud osobní údaje shromažďuje fyzická osoba pouze pro svoji soukromou potřebu, kdy takto činí vytvářením různých adresářů a jiných souborů údajů, nepodléhá režimu ZOOÚ, pokud se tyto údaje dále nebudou používat v rámci její podnikatelské aktivity. Ve vztahu k vymezování působnosti ZOOÚ, je vhodné zmínit další výjimku, kterou je nahodilé shromažďování osobních údajů, které nespadá do působnosti ZOOÚ, pokud ovšem údaje nejsou následovně zpracovávány. K pojmu nahodilost, ve vztahu ke shromažďování osobních údajům, uvedla doc. Skulová následující: „Pod režim ZOOÚ nespadá pouze takové zpracování, které provádí fyzická osoba výlučně pro osobní potřebu, a dále nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovány. Pro oblast veřejné správy může být aktuální případ uvedený jako druhý v pořadí. Pak pro konkrétní posouzení, zda jde o „nahodilost“, může posloužit v zákoně postavený její opak - „systematičnost“, která je použita při

66

Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 191 § 21 odst.1 písm. b) ZOOÚ 68 Mates, P. : Ochrana osobních údajů. Praha: Nakladatelství Karolinum, 2002, s. 41 67

34

definování pojmů zpracování a shromažďování osobních údajů.“ 69 Při zpracování osobních údajů není rozhodné, zda se tak děje automatizovanou formou pomocí prostředků výpočetní techniky nebo manuálně. Je tedy zřejmé, že se o zpracovávání osobních údajů bude jednat i v případě jejich zaznamenání v deníku, kartotéce atd. Potřebu zahrnutí požadavků Směrnice 95/46/ES do českého právního řádu, a to konkrétně jejího článku 4, v souvislosti se vstupem ČR do EU, připomíná i současné znění § 3 odst. 5 ZOOÚ, které přinesla novela ZOOÚ, provedená zákonem č. 439/2004 Sb., s účinností od 1. ledna 2005. Toto ustanovení vyplynulo z potřeby správců, případně zpracovatelů, kteří jsou usazení na území více států a provádějí zpracování, kdy tok údajů přes hranice často přesahuje území států Evropské unie. V těchto případech zákon o ochraně osobních údajů umožňuje provádět tato zpracování za podmínek uvedených v nynějším ustanovení § 3 odst. 5, a to jak v případech, kdy správce není usazen na území České republiky, tak v případech, kdy není usazen ani na území Evropské unie. Dosavadní znění § 3 odst. 5, které obsahovalo pouze deklaratorní ustanovení týkající se obecných podmínek pro zpracování osobních údajů pro účely statistické a archivnictví, se bez náhrady vypustilo. Ve svém důsledku tato změna neměla žádný dopad na dosavadní existenci zvláštní právní úpravy v této oblasti, neboť možnosti vyplývají z právního řádu České republiky obecně.70 Změně, vyvolané výše zmíněnou novelou, neunikl ani odst. 6 § 3 ZOOÚ, který stanovuje výjimky z působnosti některých ustanovení ZOOÚ (§ 5 odst.1, § 11, § 12) na zpracování osobních údajů při plnění povinností správce stanovených zvláštními zákony k zajištění: o bezpečnosti České republiky71 o obrany České republiky72 o veřejného pořádku a vnitřní bezpečnosti73 o předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů74 o významného hospodářského zájmu České republiky nebo Evropské unie75 69

Skulová, S. Ochrana osobních údajů a veřejná správa v České republice. In Sborník z konference „Veřejná správa na prahu 21.století“, Brno: Masarykova univerzita, 2001, s. 107 70 Důvodová zpráva k návrhu zákona č. 439/2004 Sb., kterým se mění ZOOÚ 71 Např. Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky 72 Zákon č. 219/1999 Sb., o ozbrojených silách České republiky 73 Zákon č. 283/1991 Sb., o Policii České republiky 74 Zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti 75 Zákon č.241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů

35

o významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření76 o výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech ochrany veřejného pořádku a vnitřní bezpečnosti, předcházení a stíhání o trestné činnosti nebo zajištění významného hospodářského či finančního zájmu České republiky nebo Evropské unie; činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti.77 o činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti78

Výše zmíněným ustanovením byly do ZOOÚ zahrnuty požadavky plynoucí z článku 13 Směrnice 95/46/ES. Původní znění totiž dostatečně těmto požadavkům neodpovídalo. Pohnutky, které vedly ke změně tohoto ustanovení, jsou nejlépe patrné z důvodové zprávy k novele ZOOÚ, kde se uvádí: „Kromě toho, že dosavadní znění bylo již do určité míry nevyhovující zejména v oblasti trestně právní, dojde k odstranění dosavadních pochybností o výčtu subjektů, které ve stávajícím znění § 3odst. 6 byly dříve uvedeny, a o rozsahu jejich oprávnění. Ve svém důsledku tato změna znamená, že jakýkoliv subjekt, provádějící zpracování ve vyjmenované oblasti, může zpracování vykonávat v mezích stanovených zákonem o ochraně osobních údajů z využitím výjimek z některých jeho ustanovení. Ačkoliv je výčet výjimek stanoven obecně pro všechny vyjmenované oblasti, může být jejich využití rozdílné, v závislosti na vůli správce nebo zpracovatele týkající se jejich konkrétní aplikace a využití jejich rozsahu.“ Připomenu, že výjimky se týkají výčtu povinností správce při zpracovávání osobních údajů (§5 odst. 1), informační povinnosti správce (§ 11), kterou má vůči subjektu údajů a nakonec povinnosti umožnit subjektu údajů přístup k informaci o zpracovávání údajů (§ 12).

Zákon č.241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů 76 Zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů 77 Zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění pozdějších předpisů 78 Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.

36

6. Úřad pro ochranu osobních údajů Jedním z požadavků Směrnice 95/46/ES bylo i stanovení zvláštního kontrolního orgánu, který by dohlížel na dodržování provádění ochrany osobních údajů v souladu se zásadami a předpisy upravující oblast ochrany osobních údajů. Neexistence takového dozorového orgánu bylo mimo jiné i slabinou předchůdce ZOOÚ. Úřad pro ochranu osobních údajů (dále jen „Úřad“) je v souladu se Směrnicí 95/46/ES nezávislým orgánem vytvořeným za účelem provádění dozoru nad zpracováním osobních údajů. Původně měl mít Úřad postavení tzv. jiného ústředního správního úřadu, který odvozuje své postavení od zřizovacích ustanovení kompetenčního zákona kdy záruky jeho nezávislosti měly být zvlášť upraveny. Nakonec byl tento úřad pojat jako nezávislý orgán svého druhu, který není podřízen vládě a ve své činnosti se řídí pouze zákony a jinými právními předpisy, nepodléhá nařízením vlády ani příkazům či závazným pokynům a jeho pravomoc a působnost lze případně měnit na základě zákona.79 Podobně probíhalo například zřízení Nejvyššího kontrolního úřadu80 nebo České národní banky81. Úřadu náleží postavění ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném ZOOÚ. Tato pozice mu umožňuje vydávání právních předpisů – vyhlášek, které se zveřejňují ve Sbírce zákonů. Jak jsem již zmínila, jeho činnost je nezávislá. Tato skutečnost se projevuje i v tom smyslu, že Úřad má ve státním rozpočtu svoji zvláštní kapitolu a tím získává materiální nezávislost na jiných orgánech. Mluvíme-li o nezávislosti, je třeba také zdůraznit, že se nejedná o nezávislost absolutní, ale jen v mezích ZOOÚ, případně dalších právních předpisů, které upravují jeho působnost a které jsou pro výkon působnosti Úřadu aplikovány. Relativita nezávislosti se projevuje současně i možností podat žalobu proti rozhodnutí Úřadu ve správním soudnictví, způsobem jmenování předsedy a inspektorů Úřadu, kdy tito jsou jmenováni prezidentem ČR na návrh Senátu a stanovením neslučitelnosti jejich funkcí s některými dalšími funkcemi (např. poslance, senátora, soudce atd.)

79

Mates, P., Neuwirt, K. Právní úprava ochrany osobních údajů v ČR. Praha: Nakladatelství IFEC, Praha, 2000, s. 37 80 viz § 2 odst. 1 zákona č. 166/1993 Sb., o Nejvyšším kontrolním úřadu 81 viz §1 zákona ČNR č. 6/1993 Sb., o České národní bance

37

6. 1. Působnost Úřadu Vymezení okruhu kompetencí, které představují působnost Úřadu, je nezbytné k naplňování cíle a účelu, pro které byl Úřad vytvořen. ZOOÚ přiznává Úřadu následující kompetence: o provádění dozoru nad dodržováním povinností stanovených zákonem při zpracování osobních údajů o vedení registru zpracování osobních údajů o přijímání podnětů a stížností na porušení povinností při zpracovávání osobních údajů a informační povinnost o stavu jejich vyřízení o projednávání přestupků a jiných správních deliktů o udělování pokut o zajištění plnění požadavků vyplývajících z mezinárodních smluv, jimiž je ČR vázána o zajištění plnění požadavků z přímo použitelných předpisů ES o poskytování konzultací v oblasti ochrany osobních údajů o Působnost Úřadu je ale také stanovena i jinými předpisy, než jen ZOOÚ.

6. 2. Dozorová pravomoc Z uvedeného plyne, že předním úkolem Úřadu je jeho dozorová funkce nad dodržováním povinností stanovených mu zákonem. Toto ustanovení znamená, že dozorčí pravomoc Úřadu není omezena jen na dodržování povinností podle ZOOÚ, ale i podle jiných zákonů. Tato skutečnost vyplývá hlavně z ustanovení § 29 odst. 1 písm. a) ZOOÚ, kterým je Úřadu svěřena pravomoc provádět dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů. Působnost podle jiných zákonů je zcela dána v rámci úpravy stanovené ZOOÚ.82 Úřadu náleží dozorová pravomoc při zpracování osobních údajů například na základě:


§ 93b odst.4 zákona č. 325/1999 Sb.83 : „Správní delikty podle tohoto zákona v prvním stupni projednává ministerstvo s výjimkou přestupku podle § 93 odst. 5 písm. c) a správního deliktu podle § 93a odst. 2, které v prvním stupni projednává Úřad pro ochranu osobních údajů.“




§ 34a odst. 4 zákona č. 329/1999 Sb.84 : „Správním orgánem příslušným k řízení

82

S výjimkou zákona č. 480/2004 S., o některých službách informační společnosti a o změně některých zákonů. Viz. Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. 2. doplněné a aktualizované vydání. Praha, Nakladatelství ASPI, a. s., 2008, s. 334 83 Zákon č. 325/1999 Sb., o azylu, ve znění pozdějších předpisů 84 Zákon č. 329/1999 Sb., o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky (zákon o cestovních dokladech), ve znění pozdějších předpisů.

38

o přestupcích podle odstavce 1 písm. k) je v prvním stupni Úřad pro ochranu osobních údajů.“


§ 42g odst. 1 písm. e) zákona č. 283/1991 Sb.85 : „… je policie při zpracovávání osobních údajů povinna neprodleně ohlásit Úřadu pro ochranu osobních údajů zřízení každé evidence obsahující osobní údaje; součástí tohoto ohlášení je název útvaru odpovědného za zpracovávání osobních údajů, účel evidence, kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají, a popis opatření k zajištění požadované ochrany osobních údajů.“




§ 87 odst. 4 zákona č. 127/2005 Sb.86 : „Dozor nad dodržováním povinností při zpracování osobních údajů podle tohoto zákona vykonává Úřad pro ochranu osobních údajů podle zvláštního právního předpisu.“




Z dozorové pravomoci Úřadu je vyňato jen zpracování osobních údajů prováděné zpravodajskými službami, kdy je dozor v tomto případě svěřen Poslanecké sněmovně Parlamentu ČR. Postupy Úřadu při výkonu dozorové funkce je možné označit za výkon kontroly.

Výkon kontroly je totiž spojen s každou řídící činností ve veřejné správě a napomáhá naplňování stanoveného cíle. Pojmy jako jsou dozor a kontrola, často splývají v jedno a jsou vzájemně zaměňovány. Oba tyto pojmy mají sice společný základ, který je odvozen od jejich zjišťovacího a nápravného zaměření, ale navzájem se od sebe odlišují. Zmíním zde názor doc. Průchy související s tímto tématem, kdy podle něj „…základní rozdíl mezi oběma pojmy spočívá v tom, že kontrola zpravidla bezprostředně nezahrnuje vlastní nápravu zjištěného závadného stavu, zatímco dozor ano.“87 Z hlediska dozorové pravomoci Úřadu, se v případě výkonu této pravomoci, jedná o dozor nad dodržováním povinností správců a

zpracovatelů, kteří je mají

vykonávat v souladu se ZOOÚ. Dozor Úřadu se dá rozdělit do dvou základních fází: 1. fáze zjišťovací a hodnotící – samotný výkon kontroly 2. fáze aplikace nápravných nebo sankčních prostředků – fakultativní fáze, která se odvíjí od výsledků, zjištění a hodnocení.

85

Zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů Zákon č. 125/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů. 87 Průcha, P. Správní právo – Obecná část. 6. doplněné a aktualizované vydání. Brno: Nakladatelství Doplněk, 2004, s. 258 86

39

6. 3. Kontrolní činnost Nejprve je důležité vymezit obecně význam samotné kontroly. Pomocí kontroly se zjišťuje, do jaké míry odpovídá daný stav tomu, co by mělo být, tedy do jaké míry skutečnost

odpovídá

požadovanému

stavu.

Pokud

jsou

nalezeny

jakékoliv

nesrovnalosti, poté se zjišťuje jaké jsou jejich příčiny a následuje konstatování závěru, ve kterém jsou nezřídka stanoveny potřebná opatření k nápravě. V rámci ZOOÚ provádějí tuto kontrolní činnost jednotliví inspektoři Úřadu a další pověření zaměstnanci Úřadu. V případech, kdy postup kontroly nebude upraven ZOOÚ, se bude postupovat podle zákona č. 552/1991 Sb.88 Jak je pro tento typ státní kontroly typické, osoby oprávněné ke kontrole jsou ze zákona nadány potřebnými pravomocemi. Kontrolovaný subjekt je povinen výkon těchto oprávnění strpět a za tímto účelem poskytnou informace a doklady potřebné pro výkon kontroly. Při provádění kontrolní činnosti v oblasti ochrany osobních údajů jsou kontrolující oprávněni k následujícím činnostem:  vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti,  požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat, pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,  seznamovat se s utajovanými informacemi za podmínek stanovených zvláštním právním předpisem,89 jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,  požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,  zajišťovat

v

odůvodněných

případech

doklady;

jejich

převzetí

musí

kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,  pořídit

kopie obsahu

paměťových

médií,

obsahujících

osobní

nacházejících se u kontrolovaného,

88 89

Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti

40

údaje,

 požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,  používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly. Pokud jde o průběh kontroly, tak každá jednotlivá kontrola může být zahájena na podkladě stížností subjektu údajů nebo na základě podnětu od soudu, policie, upozornění v TV, rozhlase…). V tomto prvním případě se jedná o tzv. kontrolu incidenční a objekt kontroly je stanoven z obsahu stížnosti či jednotlivého podnětu, ze kterého musí být patrné, vůči komu směřují. Jiný druh kontroly probíhá na základě tzv. kontrolního plánu, který vzniká ve spolupráci s předsedou Úřadu, kdy jsou na základě jeho rozhodnutí kontrolovanými subjekty zejména ústřední, ale i jiné orgány státní správy, veřejné knihovny, obce a jiné veřejnoprávní subjekty, které vždy v souvislosti se svojí činností nakládají s osobními údaji. Je nutné, aby se o chystané kontrole kontrolovaný dozvěděl buď písemně nebo na místě kontroly, proto se oznamuje statutárnímu orgánu kontrolovaného. Z ústního jednání kontroly se pořizuje protokol. Tento obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a zároveň označení porušených ustanovení právních předpisů a opatření uložených k provedení nápravy. Současně s tím je subjektu stanovena lhůta, do kdy je třeba nápravu provést. Proti obsahu protokolu je možné vzdorovat písemnými a zdůvodněnými námitkami ve stanovené lhůtě a o těchto rozhodne inspektor, ale pouze v tom případě, že jim v plném rozsahu vyhoví. V opačném případě je předá předsedovi Úřadu, který vydá rozhodnutí, proti kterému není přípustný opravný prostředek. Kontrolujícím kromě jejich práv, náleží i povinnosti, které musejí při výkonu kontrolní činnosti dodržovat. Tyto jsou následující:  prokázat se kontrolovanému průkazem, jehož vzor upraví nařízení vlády90,  oznámit kontrolovanému zahájení kontroly,  šetřit práva a právem chráněné zájmy kontrolovaných,  předat

neprodleně

převzaté

doklady,

jakož

i

kopie

paměťových

médií

kontrolovanému, pominou-li důvody jejich převzetí,

90

Nařízení vlády č. 8/2005 Sb., o vzoru služebního průkazu inspektora Úřadu pro ochranu osobních údajů a o vzoru služebního průkazu pověřeného zaměstnance Úřadu pro ochranu osobních údajů, provádějícího kontrolní činnost

41

 řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,  pořizovat o výsledcích kontroly kontrolní protokol,  zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu a této povinnosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

6. 4. Sankce na úseku ochrany osobních údajů Uplatnění nepříznivých právních následků, stanovených právní normou, vůči tomu, kdo porušil právní povinnost existuje i v oblasti ochrany osobních údajů. Na tomto úseku jsou sankce upraveny přímo v ZOOÚ a jedná se o přestupky a jiné správní delikty. Připomenu, že přestupkem se rozumí zaviněné jednání, které ohrožuje nebo porušuje zájem společnosti a za přestupek je výslovně v označeno v zákoně o přestupcích91, případně v jiném zákoně. Zároveň se nesmí jednat o tzv. jiný správní delikt ani o trestný čin. Uložením pokuty se trestá porušení povinnosti mlčenlivosti, které je v ZOOÚ kvalifikováno jako přestupek fyzické osoby v pracovním nebo jiném obdobném poměru vůči správci nebo zpracovateli nebo vykonávají pro správce či zpracovatele činnosti na základě dohody nebo v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji. Je zajímavém, že se zmíněného přestupku tato osoba může dopustit, jak již jsem výše uvedla, i po skončení zaměstnaneckého či obdobného poměru vůči správci, popřípadě zpracovateli. Poměrně vysoká pokuta, až do výše 1 000 000 Kč, může náležet správci nebo zpracovateli pokud nestanoví účel, prostředky nebo způsob zpracování nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona. Dalším případem je, že fyzická osoba v pozici zpracovatele zpracovává nepřesné osobní údaje. ZOOÚ stanoví povinnost zpracovat pouze přesné a pravdivé osobní údaje, které jsou získány v souladu tímto zákonem. Není tedy možné zpracovávat údaje ukradené nebo získané podvodným jednáním. Přestupku se dopouští dále osoba, která shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu či uchovává 91

Zákon ČNR č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů

42

osobní údaje po dobu delší než nezbytnou k účelu zpracování. Jak uvádí ve svém článku JUDr. Kolman92, zdárným příkladem "nadměrného" shromažďování osobních údajů, zejména v minulém století, byly jakési návštěvně-evidenční knihy na vrátnicích či recepcích, kde byly vrátnými či jinými pověřenými pracovníky od návštěvníků získávány nejen osobní údaje v podobě jména a příjmení (popř.vysílající právnické osoby) ale i jejich rodná čísla. V současné době je tento špatný zvyk již vzácností. Podle ZOOÚ lze totiž uchovávat osobní údaje jen po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití k těmto účelům je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné. Správci nebo zpracovateli, kteří zpracovávají osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (viz § 5 odst. 2 a § 9 ZOOÚ) rovněž hrozí pokuta až do výše 1000 000 Kč. Mezi zbývající skutkové podstaty takto pokutovaných přestupků náleží také neposkytnutí informace subjektu údajů v rozsahu nebo zákonem stanoveným způsobem, odmítnutí poskytnout požadované informace, neprovedení opatření pro zajištění bezpečnosti zpracování osobních údajů a nesplnění oznamovací povinnost podle tohoto zákona (kterou má správce či zpracovatel vůči Úřadu). Poslední skupinou přestupků na úseku ochrany osobních údajů jsou ty, jejichž skutkové podstaty jsem právě uvedla, ale s tím rozdílem, že při spáchání takového přestupku správce nebo zpracovatel ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života nebo poruší povinnosti pro zpracování citlivých údajů. Závažnějšímu ohrožení společnosti také odpovídá výše pokuty, která může dosáhnout až 5 000 000 Kč. Naproti tomu tzv. jiný správní delikt je vedle přestupku druhým typem správního deliktu a je důsledkem strukturovaného systému správněprávní odpovědnosti. Jiných správních deliktů se na úseku ochrany osobních údajů dopouštějí právnické osoby a podnikající fyzické osoby pokud:  nestanoví účel, prostředky nebo způsob zpracování nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona  zpracovává nepřesné osobní údaje, 92

Kolman, P. : Nové správní sankce týkající se ochrany osobních údajů. Právní rádce, 2005, č. 7, s. 41-44

43

 shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu,  uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování  zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (viz § 5 odst. 2 a § 9 ZOOÚ),  neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem  odmítne subjektu údajů poskytnout požadované informace  nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů  nesplní oznamovací povinnost podle tohoto zákona (kterou má vůči Úřadu) Pokuta za tyto jiné správní delikty může dosáhnout hranice až 5 000 000 Kč. V případě jiných správních deliktů, stejně jako u přestupků se sazba pokuty zvýší, pokud při zpracování osobních údajů právnická osoba jako správce či zpracovatel ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo poruší povinnosti pro zpracování citlivých údajů. Při tomto vážnějším ohrožení je horní hranice pokuty 10 000 000 Kč. Existuje i možnost liberace právnické osoby, kdy liberačním důvodem by bylo prokázání vynaložení veškerého úsilí, které bylo možno požadovat, aby k porušení právní povinnosti nedošlo. Jelikož v souvislosti s výkonem kontroly má každý povinnost poskytnout kontrolujícím při výkonu kontroly potřebnou součinnost, tak tomu, kdo tak neučiní může být uložena pořádková pokuta do výše 25 000 Kč a to i opakovaně. K výběru pokut je příslušný Úřad a pokuty vymáhá místně příslušný celní úřad. Při ukládání pokuty správci nebo zpracovateli Úřad přihlíží k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Vybrané pokuty se stávají příjmem státního rozpočtu. Jak vyplývá z výroční zprávy Úřadu za rok 200793 vysoká pokuta v minulém roce byla uložena ministerstvu vnitra, které v souvislosti s vedením informačního systému Evidence obyvatel (ISEO) jako správce osobních údajů zpracovávalo osobní údaje osob zemřelých před rokem 1956, navzdory tomu, že dle § 9 odst. 1 zákona o evidenci obyvatel, je tato lhůta taxativně stanovena na dobu padesáti let od úmrtí osoby nebo od prohlášení osoby za mrtvou. Současně s tím vytvářelo pomocné osobní údaje, 93

Výroční zpráva zveřejněna na stránkách Úřadu: www.uoou.cz

44

které nejsou obsaženy v zákonném taxativním výčtu v tomto informačním systému a umožňovalo přístup k těmto údajům příjemcům údajů z ISEO. Zákon byl porušen také v tom smyslu, že subjektům údajů ministerstvo neposkytlo požadované informace a poučení o jejich právech souvisejících se zpracováním osobních údajů. Úřad ve své výroční zprávě rovněž uvedl, že:….ministerstvo umožňovalo provádět operace, a zejména testování pro vývojové účely na „ostrých“ datech, které představovaly zvýšené riziko neoprávněného zpracování, změny či dokonce ztráty osobních údajů v ISEO, a to pouze na základě neformálního zajištění bezpečnosti v podobě ústního nebo konkludentního pokynu oprávněného zaměstnance. Výše popsaným jednáním došlo ze strany ministerstva k porušení § 5 odst. 1 písm. e) a f), § 11 odst. 1 a 2 a § 13 odst. 1 ZOOÚ, za což mu byla příkazem uložena pokuta ve výši 1 000 000 Kč. Na základě podaného odporu bylo přihlédnuto k tomu, že plnění povinností při zpracování osobních údajů v ISEO je stanoveno v několika právních předpisech, které je třeba splnit současně, a dále ke skutečnosti, že nebylo prokázáno, že by došlo k zásahu do práva na ochranu osobních údajů nebo práva na ochranu soukromého a rodinného života. Proto byla následně pravomocně uložena pokuta ve výši 400 000 Kč. V současnosti je věc napadena správní žalobou, o které nebylo dosud rozhodnuto.“

45

7. Předávání osobních údajů do jiných států Nakládání s osobními údaji neprobíhá jen v rámci jednoho státu, ale děje se tak mezi státy navzájem, kdy subjekty z různých zemí využívají údaje například v souvislosti s obchodováním, kulturními záležitostmi, cestovním ruchem. Je proto nutné mít na zřeteli, do jaké míry údaje v ostatních státech požívají ochrany a jestli je tato dostatečná. U států EU je situace jednodušší, jelikož by právní řády těchto států měly být kompatibilní s požadavky směrnice 95/46/ES.94 Proto ani volný pohyb údajů, pokud směřuje do členský států EU nesmí být omezen.95 Toto ustanovení bylo zahrnuto do českého právního řádu až novelou zákona o ochraně osobních údajů96, kterou byla právní úprava předávání údajů přes hranice z velké části změněna ve smyslu článku 1 odst.2 směrnice 95/46/ES. Šlo o jednu z hlavních změn zákona, jejíž potřeba vyplynula v návaznosti na vstup ČR do EU. Do ostatních zemí, které nejsou členy EU97, se osobní údaje samozřejmě také předávají, ale opět je kladen důraz na skutečnost, že tyto tzv. třetí země poskytují ve svých právních úpravách dostatečnou ochranu osobním údajům. Do těchto třetích zemí se údaje předávají za podmínky, že omezování volného pohybu údajů je zakázáno ratifikovanou mezinárodní smlouvou, kterou je ČR vázána (Úmluva č. 108) nebo předání údajů do třetích zemí probíhá na základě rozhodnutí orgánu Evropské unie.98 Novela z roku 2004 rovněž zjednodušila tzv. povolovací řízení pro účely předávání údajů do jiných států. Předávání údajů v rámci EU a do těch států, které jsou smluvními stranami úmluvy, nepodléhá již žádnému povolovacímu řízení. V některých případech se však předpokládané předání osobních údajů do jiných států oznamuje Úřadu pro ochranu osobních údajů.99 Naproti tomu pokud se nejedná o dva výše zmíněné případy předávání, lze

94

Důvodová zpráva k ZOOÚ § 27 ZOOÚ 96 zákon č. 439/2004 Sb., o změně zákona o ochraně osobních údajů 97 Zejména se jedná o státy, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluvu č. 108) a jejichž právní předpisy tedy zaručují dostatečnou ochranu osobních údajů odpovídající všem požadavkům směrnice Evropského parlamentu a Rady 95/46/ES (a tedy také zákona č. 101/2000 Sb.) – v současné době Albánie, Bosna a Hercegovina, Černá Hora, Gruzie, Chorvatsko, Island, Lichtenštejnsko, Makedonie, Norsko, Srbsko, Švýcarsko. 98 Jedná se například o Rozhodnutí Komise ze dne 30. června 2003 o odpovídající ochraně osobních údajů v Argentině a další rozhodnutí, která znamenají, že při předávání osobních údajů není již nutné žádat o udělení povolení podle § 27 zákona ZOOÚ 99 §16 zákona ZOOÚ 95

46

uskutečnit předání za těchto podmínek:  k předání údajů dochází se souhlasem nebo na pokyn subjektu údajů  v zemi, do které směřují údaje existuje dostatečné zabezpečení  jde o údaji již veřejně přístupné  předání údajů je nezbytné k zajištění veřejného zájmu určeném zvláštním zákonem nebo mezinárodní smlouvou  předání je nezbytné k pro jednání o uzavření nebo změně smlouvy uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž stranou je subjekt údajů  předání probíhá v souvislosti s plněním smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků  předání je nezbytné k ochraně práv nebo životně důležitých zájmů subjektu údajů (při záchraně života, poskytování zdravotní péče..) K těmto podmínkám se přidává ještě povinnost správce údajů požádat Úřad o povolení k předání. V tomto povolovacím řízení, které probíhá podle správního řádu100 Úřad přezkoumá zejména zdroj, konečné určení, kategorie předávaných osobních údajů a účel a dobu zpracování. Pokud v žádosti nějaké údaje chybí nebo jsou nedostatečné pro konečné posouzení a vydání rozhodnutí, Úřad řízení přeruší a vyžádá si potřebnou chybějící informaci. Rozhodnutí je vydáno ve lhůtě 30 dnů, pokud je třeba složitější posouzení, pak ve lhůtě 60 dnů.

100

Zákon č. 500/2004 Sb., správní řád

47

8. Ochrana údajů v schengenském prostoru V mojí diplomové práci se zabývám tématem ochrany osobních údajů, proto považuji za vhodné zmínit se o schengenském informačním systému, který je nyní aktuální i pro Českou republiku, která se dne 21. prosince 2007 spolu s dalšími osmi státy stala součástí schengenského prostoru. Nutnou podmínkou pro plné zapojení do schengenské spolupráce byl přístup k tzv. Schengenskému informačnímu systému (dále jen „SIS“), který ČR získala již od 1. září 2007, kdy nabylo účinnosti rozhodnutí Rady Evropské Unie o uplatňování ustanovení souboru právních předpisů tvořících základ schengenské spolupráce týkajících se Schengenského informačního systému v České republice, Estonské republice, Lotyšské republice, Litevské republice, Maďarské republice, Republice Malta, Polské republice, Republice Slovinsko a Slovenské republice. Je zajímavé, že ačkoliv státy, které se teprve chystaly na vstup, měli již dříve přístup k údajům vloženým do SIS tehdejšími 15 schengenskými státy. Tato skutečnost se opírala právě o zmíněné rozhodnutí Rady Evropské Unie ze dne 12. června 2007 o uplatňování ustanovení schengenského acquis, který zahrnuje soubor právních předpisů tvořících základ schengenské spolupráce pro státy chystající se k přistoupení do schengenského prostoru, tedy do území států, na jejichž společných hranicích nejsou vykonávány hraniční kontroly, a na kterém je bezpečnost společně chráněného území zajištěna harmonizovanými pravidly pro ochranu vnější hranice, úzkou spoluprací v příslušných oblastech a Schengenským informačním systémem.

8. 1. Historie vzniku Schengenu U zrodu schengenského prostoru bylo pět evropských států – Belgie, Francie, Lucembursko, Nizozemí a SRN, které dne 14. června 1985 v malém lucemburském městečku Schengen podepsaly Dohodu o postupném odstraňování kontrol na společných hranicích, známou pod názvem Schengenská dohoda. V ní se státy zavázaly, že postupně budou odstraňovat hraniční kontroly na společných hranicích a zavedou úplnou svobodu pohybu zboží, služeb i osob. Jelikož samotná Schengenská dohoda byla pouze stručným, rámcovým dokumentem, došlo v roce 1990 k podpisu Schengenské prováděcí úmluvy, která původní dokument více rozvedla a specifikovala. Nyní je tato prováděcí úmluva základem pro spolupráci v schengenském prostoru. Jejím vytvořením se mělo, oproti

48

původní Schengenské dohodě, dosáhnout zrušení kontrol pohybu nejen státních příslušníků členských států, ale i ostatních osob. K Schengenské dohodě postupně přistupovaly další státy. V roce 1990 vstoupila Itálie, v následujícím roce Španělsko a Portugalsko. K dalšímu rozšíření došlo v roce 1992 – Řecko, 1995 – Rakousko a 1996 – Švédsko, Dánsko a Finsko. Vstup Švédska a Finska měl za následek také přistoupení Norska a Islandu, tedy dvou nečlenských států Evropské unie. Naopak z členských států Evropské unie do Schengenu nepatří Velká Británie a Irsko, které se podílejí jen částečně na spolupráci. V březnu 1995 se schengenský prostor volného pohybu bez hraničních kontrol otevřel pro sedm států Evropského společenství. Kromě pěti zakladatelských států se jednalo o Španělsko a Portugalsko. Následovaly další státy a v roce 2001 schengenský prostor tvořilo všech patnáct států. Zpočátku aktivita v rámci Schengenu nesouvisela s Evropským společenstvím a probíhala na mezivládní úrovni, ale po 1. květnu 1999 byl již schengenský acguis neboli soubor právních předpisů tvořících základ schengenské spolupráce začleněn tzv. Schengenským protokolem, obsaženým v Amsterodamské smlouvě101, na úroveň EU. V říjnu 2004 byla uzavřena asociační dohoda o provádění, uplatňování a rozvoji schengenského acquis se Švýcarskem a s ohledem na těsné vazby se Švýcarskem byla zahájena jednání o přistoupení k Schengenu také s Lichtenštejnskem.102 Dne 21. prosince 2007 se počet schengenských států zvýšil z 15 na 24. Součástí Schengenu se stalo 9 členských států, které jsou od 1. května 2004 součástí EU: Česká republika, Estonsko, Lotyšsko, Litva, Maďarsko, Malta, Polsko, Slovensko a Slovinsko. Hraniční kontroly mezi těmito státy a „starými" členy Schengenu byly zachovány až do doby, kdy Rada EU potvrdila splnění náročných podmínek a rozhodla o zrušení kontrol na vnitřních hranicích. Konečné rozhodnutí o zrušení kontrol na vnitřních hranicích bylo přijato na jednání Rady EU 6. prosince 2007. Ministři vnitra schválili právně závazné rozhodnutí, na jehož základě začalo všech 9 dotyčných států 21. prosince plně provádět všechna ustanovení schengenského acquis.103

8. 2. Základní zásady schengenské spolupráce Schengenská spolupráce je regulována souborem mnoha právních předpisů tvořících tzv. schengenské acquis a zároveň se řídí několika obecnými zásadami, závaznými pro všechny členské státy, které mají vymezovat základní cíle této 101

Amsterodamská smlouva ze dne 17. června 1997 http://www.uoou.cz 103 http://www.euroskop.cz 102

49

spolupráce. Mezi tyto zásady patří mimo jiné i zavedení schengenského informačního systému a ochrana dat v tomto systému. Výčet základních zásad:  Překračování vnitřních hranic bez kontrol kdekoli a kdykoli.  Odstranění kontrol při letech v rámci schengenského prostoru.  Volný pohyb po schengenském prostoru (s platným občanským průkazem nebo cestovním pasem).  Průjezd bývalých hraničních přechodů bez snížení rychlosti a bez zábran.  Možnost dočasného obnovení kontrol na hranicích (v případě ohrožení veřejného pořádku nebo bezpečnosti státu).  Zesílená kontrola vnějších hranic, důsledná kontrola občanů třetích států.  Harmonizovaná pravidla pro vydávání víz a vzájemné konzultace schengenských států při rozhodování o udělení víz.  Možnost volného pohybu po schengenském prostoru i pro občany třetích států legálně pobývající na území ČR.  Informační systémy coby nástroje pro efektivní boj s nelegální migrací a organizovaným zločinem.  Velký důraz na dodržování pravidel ochrany osobních údajů zpracovávaných zejména v Schengenském informačním systému. 104

8. 3. Schengenský informační systém V souvislosti s vytvořením tzv. schengenského prostoru došlo k postupnému rušení kontrol na vnitřních hranicích, mezi státy zapojenými do schengenské spolupráce a tím i možnosti volného pohybu osob. Proto byl Schengenskou prováděcí úmluvou zřízen schengenský informační systém (SIS), jehož cílem je zajištění větší bezpečnosti, která může být ohrožena právě riziky spojenými s volným pohybem osob a věcí v schengenském prostoru. Schengenská úmluva stanoví, že: "posláním Schengenského informačního systému..... je udržovat veřejný pořádek a bezpečí občanů včetně bezpečnosti státu a realizovat ustanovení (Schengenské úmluvy) týkající se pohybu osob na území zúčastněných členských států pomocí informací předávaných prostřednictvím tohoto systému." SIS představuje širokou mezinárodní databázi údajů, která je tvořena a využívána

104

http:// www.mvcr.cz/schengen

50

všemi státy zapojenými do SIS105, a která obsahuje údaje o určitých osobách či věcech. Je tedy zřejmé, že tento systém obsahuje informace, jejichž získávání slouží k lepšímu udržování bezpečnosti ve společném prostoru, a tyto informace jsou spojeny s konkrétními osobami. Údaje jsou získávány v jakémkoli členském státě a mohou být využívány ostatními členskými zeměmi, kdy tyto mohou zakázat vstup na svoje území jedinci, kterému byl již v jiném členském státě zamezen vstup. Stejně tak mohou být s využitím SIS zadrženy osoby stíhané či hledané policií na území jiného členského státu.

8. 4. Typologie údajů v SIS Mohlo by se zdát, že SIS je jakousi rozsáhlou jednotnou evidencí všech osob, které pobývají na území schengenského prostoru, ale není tomu tak. Obsahem SIS jsou jen takové informace, které napomáhají omezovat bezpečnostní rizika spojená s volným pohybem osob a věcí. Proto jsou v SIS zpracovávány následující údaje106 týkající se:  osob hledaných za účelem zatčení  nežádoucích státních příslušníků třetích zemí, kterým má být odepřen vstup a pobyt v schengenském prostoru  pohřešovaných osob  osob, které jsou hledány za účelem spolupráce v trestním řízení (svědci, předvolané osoby, osoby mající nastoupit trest odnětí svobody)  hledaných věcí (automobily, zbraně, padělané bankovky atd.)

8. 5. Způsob zpracování údajů v SIS SIS se skládá z národních složek (N-SIS) a z centrální technické podpory (C-SIS). C-SIS se sídlem ve Štrasburku je jménem všech zúčastněných států spravována Francií. Všechny soubory dat v N-SIS musejí být identické se soubory v C-SIS, což je zajišťováno předáváním informací on-line prostřednictvím centra C-SIS. Úřady v jednotlivých členských státech mají přístup pouze do svého národního souboru dat N-SIS.107 Pro lepší představu o fungování SIS uvedu zjednodušený postup, jakým se do něj údaje vkládají. Údaj, sloužící k některému výše uvedenému účelu nejprve vloží některý členský stát schengenského prostoru do N-SIS. Z této složky se dále převede 105

Stav k 1.9. 2007: Belgie, ČR, Dánsko, Estonsko, Finsko, Francie, Island, Itálie Litva Lotyšsko, Lucembursko, Maďarsko, Malta, Německo, Nizozemí, Norsko, Polsko, Portugalsko, Rakousko, Řecko, Slovensko, Slovinsko, Španělsko, Švédsko 106 Čl. 95 – Čl. 100 Schengenské prováděcí úmluvy 107 Hradilová, J. Schengenský informační systém – vývoj a současný stav. Knihovna [online]. 2006, roč. 17, č. 2, s. 65-76 [cit. 2008-03-18]. Dostupný z www: http://knihovna.nkp.cz/knihovna62/hradilo.htm

51

prostřednictvím C-SIS do národních databází, ze které je na požádání zpřístupněn příslušným orgánům jiného členského státu. Pro dohled nad C-SIS byl ustaven speciální Společný kontrolní úřad. SIS obsahuje výhradně údaje v rozsahu nezbytně nutném k dosažení účelu, pro který jsou shromažďovány. Využití databáze SIS je omezeno pro účely provádění policejních a celních kontrol jak na hranicích, tak i ve vnitrozemí a údaje ze systému jsou využívány rovněž při proceduře udělování víz, vydávání povolení k pobytu nebo k posouzení příslušnosti státu k vyřízení žádosti o azyl. Údaje jsou rozděleny do jednotlivých kategorií, jako údaje týkající se osob a údaje týkající se věcí. V souvislosti s tématem se zaměřím na osoby, o kterých smí být shromažďovány jen a právě tyto údaje: a) příjmení a jména, případně zvlášť vedené přezdívky, b) zvláštní tělesná nezměnitelná znamení, c) první písmeno druhého křestního jména, d) datum a místo narození, e) pohlaví, f) státní občanství, g) údaj o tom, že dotyčné osoby jsou ozbrojeny, h) údaj o tom, že dotyčné osoby mají sklon k násilí, i) důvod záznamu, j) opatření, která je třeba přijmout. Jelikož v databázi SIS jsou shromážděny důvěrné údaje o značném množství osob, a to jak občanů EU, tak i občanů států mimo EU, je nutné vymezit konkrétní pravidla pro zpracování těchto dat. Nedostatečné zabezpečení by vedlo k zásahům do práva na ochranu osobních údajů, které těmto osobám náleží. Není proto ani přípustné vést záznamy či další poznámky, které by prozrazovaly rasový původ, politické názory, náboženské přesvědčení nebo by vypovídaly o zdravotním stavu či sexuálním životě dotyčné osoby. Z Schengenské prováděcí úmluvy vyplývají požadavky108, které je třeba dodržovat při zpracovávání údajů v SIS. V prvé řadě lze údaje obsažené v SIS využívat 108

Čl. 102 –118 Schengenské prováděcí úmluvy

52

zásadně jen pro vymezené účely. K jiným, než vymezeným účelům, je možné nakládat s údaji v situacích, kdy je vážně ohrožena bezpečnost státu, veřejný pořádek nebo se předchází páchání závažného trestného činu. Další pravidlo souvisí s pořizováním kopií údajů. Záznamy pořízené druhými smluvními stranami nesmějí být z národní části Schengenského informačního systému kopírovány do jiných národních souborů údajů. Vloží-li stát do systému určitá data, odpovídá za jejich správnost a aktuálnost a k případným změnám či opravám je příslušný stát, který údaj do systému vložil. V souladu s principem časového omezení uchovávání údajů jsou po určité době údaje ze systému odstraněny. Tato doba jejich uchování je pevně daná a čím je údaj důvěrnější, tím je tato doba kratší. Pro případně poškozené osoby, jejichž údaje byly nějakým způsobem zneužity je důležité znát, že za škody, které při provozu národní části SIS vzniknou, nese odpovědnost systém provozující stát. V této souvislosti jako prevenci státy mají povinnost zajistit účinná bezpečnostní opatření, které by zamezily případnému neoprávněnému nakládání s údaji v SIS. Je zřejmé že SIS je rozsáhlý, mezinárodní informační systém, jehož provozování musí být dostatečně a odpovědně zajištěno a také dozorováno. A právě dozorováním nad SIS je pověřen nezávislý orgán nazvaný Schengenský společný dozorový orgán (Schengen Joint Supervisory Authority). Je složen ze zástupců národních úřadů pro ochranu osobních údajů z jednotlivých států schengenského prostoru. Orgán mimo jiné kontroluje dodržování práv na přístup k údajům obsažených v SIS a provádí technické kontroly v centrální části SIS. Naproti tomu dozorem nad nakládáním s údaji, které jsou obsaženy v národních částech SIS jsou pověřeny jednotlivé národní dozorové úřady obdobně jako například v ČR Úřad pro ochranu osobních údajů.

8. 6. Práva jednotlivců ve vztahu k SIS Jak již bylo řečeno v SIS se zpracovává velké množství údajů, nezřídka důvěrných, proto je důležité, aby osoby, kterých se toto zpracování týká, měli možnost dozvědět se o tom, jaké údaje jsou o nich shromažďovány, popřípadě k jakým účelům. Právo těchto osob na přístup k informacím, které se jich týkají jsou zaručena Schengenskou prováděcí úmluvou a patří mezi ně, kromě práva osob žádat informace o tom, zda a případně jaké osobní údaje jsou o nich vedeny. S tímto právem souvisí i právo obrátit se na soud a požadovat, aby byly chybné údaje opraveny, případně vymazány a rovněž požadovat náhradu škody, která vznikla v souvislosti se zpracováváním údajů v SIS. Pro větší efektivitu soudních řízení v těchto věcech se

53

členské státy schengenské úmluvy zavázaly vzájemně si uznávat a vykonávat soudní rozhodnutí. Jednotlivec má také právo kontaktovat národní dozorový orgán, v ČR Úřad pro ochranu osobních údajů, aby prověřil údaje zpracovávané v SIS v souvislosti s jeho osobou. Povaha SIS napovídá, že příslušné národní dozorové orgány budou mezi sebou při vyřizování žádostí spolupracovat, kdy například některé osobě je odepřen přístup na území jednoho státu na podkladě údajů vložených jiným státem a dotyčná osoba se může obrátit na dozorový orgán státu, který přístup odpírá a ten je povinen formou spolupráce se státem, který údaje vložil , zjistit, zda jsou v souladu s právními předpisy.

54

9. Závěr Od počátku 90. let, kdy se právní institut ochrany soukromí objevil v Listině základních práv a svobod, prošel zákonitě vývojem, který přinesl mnoho změn ve vnímání pojetí nejen práva na ochranu osobních údajů, ale i celkově práva na soukromí. Jednoznačně mohu říci, že se tento vývoj do současnosti ubíral správným směrem, vedoucím k nynější právní úpravě, naprosto srovnatelné s vyspělými demokratickými státy. Je pravdou, že některé kroky, uskutečněné v minulosti k vytvoření právního rámce pro nakládání s osobními údaji a jejich ochranu, nenaplňovaly svůj hlavní účel, což byl případ zákona č. 256/1992 Sb. Tento zákon, nejen že neobsahoval zakotvení příslušné instituce, která by dohlížela na dodržování povinností při nakládání s osobními údaji, ale zároveň neprakticky upravoval ochranu těchto údajů pouze v souvislosti s jejich zpracováváním v informačních systémech, nikoliv manuálně. Současný ZOOÚ je v tomto směru mnohem propracovanější a více odpovídá jak právu EU, tak mezinárodní Úmluvě č. 108. Důležitým východiskem pro zpracování nové právní úpravy v podobě ZOOÚ se stala Směrnice 95/46/ES. Obsah ZOOÚ je tedy jakýmsi odrazem požadavků plynoucích z členství ČR v EU. Díky přijetí nynějšího zákona o ochraně osobních údajů se stav právní ochrany osobních údajů v ČR dostal na vysokou úroveň, která odpovídá stavu v jednotlivých státech EU. Podle mého názoru právní úprava ochrany osobních údajů v ČR plní svůj předpokládaný účel a je efektivní. O tom svědčí i nízký počet zásadních novelizací samotného ZOOÚ. První z významných novel, tzv. euronovela, provedena zákonem č. 439/2004, byla pouze nutnou reakcí na vstup ČR do EU a zároveň řešila neshody vzešlé z rozdílné interpretace ustanovení ZOOÚ, často způsobené doslovným přejímáním obsahu Směrnice 95/46/ES. Druhá, obsáhlejší novela, provedena zákonem č. 170/2007 Sb. a nazývaná jako tzv. schengenská, byla stejně jako euronovela nevyhnutelná díky připravovanému vstupu ČR do schengenského prostoru a s tím spojenému připojení k schengenskému informačnímu systému. Myslím si, že připojení ČR k schengenskému informačnímu systému je zcela jistě přínosem z toho důvodu, že odstranění hraničních kontrol s sebou přináší i nutnost existence zvýšeného stupně bezpečnosti ve volném prostoru a ten zmiňovaný systém zajišťuje. Připojením k schengenskému informačnímu systému ČR získala možnost přímo spolupracovat s orgány policie a justice v oblasti schengenského prostoru. Na druhou stranu je důležité podotknout, že sdílení informačního systému takového druhu a

55

velikosti, přináší zároveň i nutnost zajištění vysokého stupně ochrany údajů obsažených v systému. Jednotlivá pravidla, stanovující jaká konkrétní bezpečností opatření je třeba podniknout jsou obsažena jednak v Schengenské prováděcí úmluvě, kterou byl schengenský informační systém zřízen a také národní legislativou jednotlivých členských států. V ČR je to na obecné úrovni tedy právě ZOOÚ a na speciální úrovni jde o řadu zvláštních zákonů. Úřad pro ochranu osobních údajů a jeho působení ve mně vzbuzuje jednoznačně dojem instituce, která je na svém místě a plní své zákonné povinnosti. Na první pohled se může zdát, že Úřadu náleží funkce dozorového, kontrolního a pokud je třeba, tak i sankčního orgánu. To je sice pravda, ale já bych zdůraznila i jeho funkci preventivní, kterou plní nejen svoji zákonnou povinností poskytovat konzultace v oblasti ochrany osobních údajů, ale i pořádáním různých přednášek a seminářů na aktuální témata. Je sice pravdou, že se institut ochrany osobních údajů podařilo již dostat do povědomí širší veřejnosti zejména častou medializací. Zákonitě se však nevyhne změnám souvisejícím s nezadržitelným technickým pokrokem. A právě Úřad reaguje svými stanovisky na nově vzešlé problémy a plní tím i svoji informační funkci. Podle mého názoru, je velmi vhodné, že dozorová funkce Úřadu je doplňována jeho sankční pravomocí. Tím je totiž zajištěn požadavek výkonu rychlé a efektivní ochrany osobních údajů. Institut sankcí, ukládaných Úřadem se mi jeví jako dobře propracovaný, jak z hlediska jejich rozdělení a jednotlivých skutkových podstat, tak i z hlediska výše ukládaných pokut, jejichž horní sazba je stanovena převážně v miliónových částkách, což je zcela jistě pro každého nezanedbatelná hodnota. Velkou roli ve výši ukládaných pokut hraje míra zavinění, množství poškozených subjektů a kategorie osobních údajů, kterými je neoprávněně nakládáno. Pokud bych uvažovala o možnosti změnit nějakým způsobem současný právní stav ochrany osobních údajů, pak by se tato změna týkala zařazení nové skutkové podstaty správního deliktu zveřejňování osobních údajů dětí a mladistvých v souvislosti z trestním řízením, kterého se tyto osoby účastní. Tato kategorie osob se ještě nedokáže tak dobře orientovat v možnostech ochrany poskytované právním řádem a zároveň čelit případnému ledabylému nakládání s osobními údaji. Navíc děti a mladiství by nemusely následky takového zveřejnění, zejména citlivých údajů, pociťovat hned, ale jejich minulost by je zasáhla v průběhu jejich života, kdy by se například ucházely o pracovní pozici osoby veřejně činné apod. Tato skutková podstata je sice již zařazena do přestupkového zákona, ale domnívám se, že její zařazení do ZOOÚ by bylo namístě.

56

Mezi důvody, které by k této změně vedly, bych zařadila vysokou specializaci Úřadu v této oblasti, na rozdíl od obecních úřadů, které tyto typy přestupků projednávají. V této souvislosti uvedu jako příklad mediálně známou kauzu týrání dětí v Kuřimi, kdy došlo nepochybně k zásahu do práva na soukromí a vůbec práva na ochranu osobních údajů nejméně jednoho z týraných chlapců. Zavedení této skutkové podstaty do ZOOÚ by směřovalo jak do kategorie přestupků, tak i jiných správních deliktů, aby byly postihnutelné i právnické osoby. Sankcionovány by tedy byly jak fyzické, tak právnické osoby, které by údaje získané o dítěti nebo mladistvém zveřejňovaly prostřednictvím médií, článků v tisku nebo na internetu, čili všude tam, kde by se mohly stát přístupnými předem neurčitému okruhu osob. Výše pokuty, na rozdíl od padesátitisícové hranice v zákoně o přestupcích, by určitě měla dosáhnou miliónové hodnoty, aby předem odradila osoby, které by se získanými citlivými údaji chtěli „obchodovat“ s médii.

57

10. Summary My thesis is called Legal aspects of personal data protection in administrative law. This theme is very large. First I focus generally in privacy protection and then in a Act No. 101/2000 Coll., on the Protection of Personal Data and on Amendment to Some Acts which concerns personal data protection. One of ten chapters is about an Office for personal data protection. In context of the theme I also mentioned The Schengen Information System which became actual for the Czech Republic not long ago. The rigth to privacy is one of the basic rights, which is included both in international agreements and czech system of law in the Charter of Fundamental Rights and Freedoms. Content of the rigth to privacy is not defined in any law in the Czech systém of law, that is why this term is specified by practice of courts. The right to privacy relates to right to personal data protection nearly. In the Czech Republic personal data are protected mainly by Act No. 101/2000 which was adopted in 2000. This law is not the first which deals with personal data protection. The first law in this legal area was Act No. 256/1992, on the protection of the personal data in information systems, adopted for personal data protection within information systems. Problem was that it did not deal with other processing of data protection (manual processing) than in informations systems. Moreover this Act did not establish any supervisory authority which could be able to exercise its function with complete independence. That was a next problem because the supervisory authority is an essential componet of the protection of individuals with regard to the processing of personal data. Act No. 101/2000 is in accordance with the law of the European Communities, international agreements binding the Czech Republic because it is primarily inspired by Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data and Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. That is why level of personal data protection is high in the Czech Republic and it can be compare with other democratic states. The purpose of this Act is to protect persons and their right to privacy. The Act No. 101/2000 regulates the rights and obligations in processing of personal data and specifies the conditions under which personal data may be transferred to other countries and serves to exercise everyone's right to the protection from unauthorised interference with privacy.

58

Next part of the thesis is about an independent body, which was established by Act 101/2000 and supervises the observance of legally mandated responsibilities in the processing of personal data – The Office for Personal Data Protection. Besides it The Office maintains a register of instances of notified personal data processing, deals with incentives and complaints from citizens concerning infringements of the law, provides consultations in the area of personal data protection. It can also impose fines for misdemeanours and other administrative offences. Cross-border flows of personal data are necessary to the expansion of international trade. That is the reason why transferring personal data abroad is not restricted if data are transferred to a member state of the European Union. To other countries personal data can be transferred if the prohibition to restrict free movement of personal data is ensuing from an international treaty the ratification of which was approved by the Parliament and which is binding the Czech Republic or such personal data are transferred on the basis of a decision of an institution of the European Union. Tha last part of my thesis deals with The Schengen Information Systém which is a common database used by all states connected to the System. The database contains both personal data and object data necessary for the purpose of maintaining the Schengen territory safe. It could be for example data on persons wanted for the purpose of an arrest, data on missing persons, data on undesirable third-country nationals which entry is refused to the Schengen area. Finally, I would say that our privacy and personal data are very important to us and we should protect them.The increasing advancement in information technologies means that privacy of everybody is exposed to growing risk.

59

11. Použité prameny Knižní publikace Doležílek, J. Přehled judikatury: ve věcech ochrany osobnosti. 2., aktualizované a rozšířené vydání. Praha: Nakladatelství Aspi, a.s., 2008 Knapp, K., Švestka, J. Ochrana osobnosti v československém občanském právu. Praha:1969 Knap, K., Švestka, J., Jehlička, O., Pavlík, P., Plecitý, V. Ochrana osobnosti. 3. vydání. Praha: Nakladatelství Linde, 1996 Kučerová, A. a kol. Zákon o ochraně osobních údajů. Komentář. 1. vydání.Praha: Nakladatelství C.H.Beck, 2003 Malenovský, J. Mezinárodní právo veřejné, jeho obecná část a poměr k vnitrostátnímu právu, zvláště právu českému. 4. vydání. Brno: Nakladatelství Doplněk, 2004 Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004 Mates, P. Ochrana osobních údajů. Praha: Nakladatelství Karolinum, 2002 Mates, P., Neuwirt, K. Právní úprava ochrany osobních údajů v ČR. Praha: Nakladatelství IFEC, Praha, 2000 Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. 2. doplněné a aktualizované vydání. Praha: Nakladatelství ASPI, a. s., 2008 Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. Praha: Nakladatelství ASPI, a. s., 2003 Průcha, P. Správní právo – Obecná část. 6. doplněné a aktualizované vydání. Brno: Nakladatelství Doplněk, 2004,

Časopisecké články, sborníky Kolman, P. : Nové správní sankce týkající se ochrany osobních údajů. Právní rádce, 2005, č. 7 Matoušová, M. Ochrana dat v dokumentech mezinárodních organizací. Právní rozhledy, 1998, č. 1 Plecitý, V. Právo na soukromí a reklama. Bulletin advokacie, 1996, č. 5 Skála, J. Právní ochrana osobních údajů v informačních systémech. Právník, 1994 Skulová, S. Ochrana osobních údajů a veřejná správa v České republice. In Sborník z konference „Veřejná správa na prahu 21.století“, Brno: Masarykova univerzita, 2001

60

Šalomoun, M. Právní regulace nakládání s citlivými údaji. Právní rozhledy, 2006, č.19 Warren, S. D., Brandeis, L. D. The Right of Privacy. Harvard Law Review, 1890, č. 4

Platné právní předpisy Vyhláška ministra zahraničních věcí č. 120/1976 Sb., o Mezinárodním paktu o občanských a politických právech a Mezinárodním paktu o hospodářských, sociálních a kulturních právech. Sdělení federálního ministerstva zahraničních věcí č. 209/1992 Sb., o Úmluvě o ochraně lidských práv a základních svobod. Sdělení Ministerstva zahraničních věcí č. 115/2001 Sb. m. s., o přijetí Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108 Schengenská prováděcí úmluva Amsterodamská smlouva, jíž se pozměňují Smlouva o Evropské unii, Smlouvy o založení Evropských společenství a některé související akty Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů

Usnesení předsednictva ČNR č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů Zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech Zákon ČNR č. 4/1993 Sb., o opatřeních souvisejících se zánikem České a Slovenské Federativní Republiky Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky Zákon č. 219/1999 Sb., o ozbrojených silách České republiky Zákon č. 283/1991 Sb., o Policii České republiky Zákon č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů

61

Zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti Zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů Zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů Zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění pozdějších předpisů Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb. Zákon č. 325/1999 Sb., o azylu, ve znění pozdějších předpisů Zákon č. 329/1999 Sb., o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky (zákon o cestovních dokladech), ve znění pozdějších předpisů Zákona č. 480/2004 S., o některých službách informační společnosti a o změně některých zákonů Zákon č. 125/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Zákon ČNR č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů Zákon č. 439/2004 Sb., o změně zákona o ochraně osobních údajů Zákon č. 500/2004 Sb., správní řád Nařízení vlády č. 8/2005 Sb., o vzoru služebního průkazu inspektora Úřadu pro ochranu osobních údajů a o vzoru služebního průkazu pověřeného zaměstnance Úřadu pro ochranu osobních údajů, provádějícího kontrolní činnost

Judikatura Rozsudek Nejvyššího soudu ze dne 30. září 2004, sp. zn. 30 Cdo 1183/2004 Nález Ústavního soudu sp. zn . II ÚS 517/99 Nález Ústavního soudu sp. zn. I. ÚS 15/95 Rozsudek Evropského soudu pro lidská práva ve věci Guillot proti Francii ze dne 24. 10. 1996

62

Rozsudek Evropského soudu pro lidská práva ve věci Guerrová a další proti Itálii ze dne 19. 2. 1998 Rozsudek Evropského soudu ve věci Perry proti Spojenému království ze dne 17. 7. 2003

Internet http://www.uoou.cz http://www.euroskop.cz http:// www.mvcr.cz/schengen Hradilová, J. Schengenský informační systém – vývoj a současný stav. Knihovna [online]. 2006, roč. 17, č. 2, s. 65-76 [citováno 18. března 2008]. Dostupný z: http://knihovna.nkp.cz/knihovna62/hradilo.htm. Šmíd, V. Informační právo. Ochrana osobních údajů [citováno 20. března 2008]. Dostupný z: http://www.fi.muni.cz/~smid/inf_pravo_ochd1.html

63