Ochrana osobních údajů © 2005 – 2006 Michal Černý, Ph.D. www.michalcerny.net
Upozornění Tento text je určen pouze pro studijní účely studentů magisterského studijního programu oboru právo na Právnické fakultě Univerzity Palackého v Olomouci, zejména předmětu Právo informačních technologií. Bez souhlasu autora nesmí být tento text veřejně šířen ani využit k jinému účelu, než je výše uvedeno.
Úvodní výklad ¾ Shromažďování
údajů je jedna z nejčastějších činností na Internetu Tato činnost se týká ¾ úpravy ochrana osobnosti a odvozených práv ¾ Autorského práva – vytváření databází
Geneze ¾ ¾ ¾
¾
První úprava – již zákon 256/1992 Sb., o ochraně osobních údajů v informačních systémech V roce 2000 Zrušen a nahrazen zákonem 101/2000 Sb., o ochraně osobních údajů Z vychází z práva ES: Směrnice EPaR 95/46/ES .. O ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Respektuje mezinárodní závazky CZ: Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č.108, vyhlášená pod č. 115/2001 Sb.m.s.
¾ ¾
¾ ¾
¾
zákon se vztahuje - chrání pouze osobní údaje o fyzických osobách vztahuje na veškeré zpracování osobních údajů, ať již se děje automatizovaně nebo manuálně, ledaže zvláštní zákon stanoví režim jiný. stanoví práva a povinnosti při zpracování takových osobních údajů. upravuje též podmínky, za kterých je možné předávat osobní údaje o fyzických osobách do jiných států. Na ochranu právnických osob se ZOOÚ nevztahuje a nemůžeme jej použít ani analogicky.
Osobní údaj ¾ "jakýkoliv
údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků" (§ 4 písm. a) ZOOÚ).
Citlivý osobní údaj ¾ "osobní
údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů." (§ 4 písm. b) ZOOÚ).
Zveřejněný údaj "zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu" (§ 4 písm l) ZOOÚ).
¾ údaj
O osobní údaj jde tehdy, pokud: jakákoliv informace nebo kombinace informací o určité fyzické osobě (subjektu údajů), pokud je alternativně: ¾ známa identita fyzické osoby, nebo ¾ pokud lze identitu fyzické osoby určit z takové informace či kombinace informací. po zjištění identity i takové údaje, které by bez zjištění totožnosti samostatně osobními údaji nebyly.
Zpracování os.údajů ¾
¾
¾ ¾
jednotlivá operace nebo souvislá soustava operací (tzn. úkonů) s osobními údaji, která je systematická. subjekt údajů se považuje fyzická osoba, jejíž totožnost která je nadána vlastnostmi popisovanými osobními údaji. Právně je nevýznamné, zda-li identitu můžeme určit přímo či nepřímo. O osobní údaj se nejedná, pokud by k určení totožnosti osoby bylo zapotřebí vynaložit nepřiměřené množství času, úsilí či materiálních prostředků.
Základní principy nakládání s osobními údaji ¾ České
právo (ZOOÚ) stanoví jako základ princip opt-in, doplňkově a výjimečně se pak uplatňuje princip opt-out. Stejně výjimečně jsou některá zpracování výslovně přikázaná. ¾ obecně pouze tehdy, pokud s tím subjekt údajů vysloví svůj souhlas.
Účel zpracování a jeho význam ¾ Osoba,
která je oprávněna nakládat s osobními údaji, se nazývá správce. ¾ Správci je uloženo několik povinností. Především musí stanovit účel, ke kterému osobní údaje zpracovává.
¾
¾ ¾
Zpracování může být prováděno přímo správcem, může být ale prováděno třetí osobou, kterou správce touto činností pověří nebo která ji pro něj vykonává. Před zahájením nakládání s os. Údaji je nutná registrace u ÚOOÚ – Oznámení. Úřad o oznámení rozhodne ve lhůtě 30 dnů. Pokud oznamovatel splňuje všechny požadavky, které zákon klade na zpracování osobních údajů, pak žadateli v písemné formě sdělí, že oznámení registruje.
Sml. Mezi správcem a zpracovatelem ¾ ¾ ¾ ¾ ¾
o zpracování osobních údajů. Jejími obligatorními náležitostmi (§ 6 ZOOÚ) jsou: písemná forma (pod sankcí absolutní neplatnosti) výslovně uvedení rozsahu a účelu, pro který se uzavírá, uvedení doby, na kterou se uzavírá poskytnutí dostatečných záruk technického a organizačního zabezpečení ochrany osobních údajů (opět nešťastně pod sankcí neplatnosti takové smlouvy),
účel a souhlas ¾
¾
¾
účel zpracování - souhlas se vždy váže k určitému účelu, který musí být znám předem subjektu údajů. Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Subjekt údajů může jednou daný souhlas kdykoliv odvolat, ledaže správci poskytne souhlas neodvolatelný.
Výjimka – bez souhlasu ¾ Statistické
a vědecké účely, ¾ Na základě zvl. zákona – např. školství, zaměstnavatel, ObZ (seznam společníků s s.r.o. apod.), politické strany, odborové organizace apod. ¾ též v případě, že je to „nezbytně třeba k ochraně důležitých zájmů subjektu údajů“ - souhlas však musí být získán, jakmile je to možné.
Povinnosti správců a zpracovatelů Informační povinnost je stanovena v § 11 ZOOÚ ¾ rozsah a účel zpracovávání, ¾ způsob zpracování ¾ osobu provádějící zpracování ¾ určení osobních údajů a jejich event. zpřístupnění třetím osobám včetně vymezení (např. společnosti, ve kterých má správce XY, s.r.o. majetkovou účast alespoň 10% obchodního podílu apod.). Tato informace není totožná s poučením o právech při zpracování citlivých osobních údajů. U citlivých údajů musí být subjekt poučen o právu odvolat svůj souhlas apod.
Informační povinnost se nevztahuje na správce, pokud: ¾ zpracovává výlučně zveřejněné osobní údaje, ¾ zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 ZOOÚ a § 9 písm. a) (citlivé osobní údaje) ¾ zpracovává údaje pouze pro vědecké, statistické nebo archivní účely ¾ zpracování osobních údajů ukládá zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů, ¾ zvláštní zákon stanoví, že není povinen osobní údaje poskytovat,
Další povinnosti ¾ povinnost
chránit osobní údaje před ztrátou, zničením, neoprávněným přístupem apod. ¾ povinnost zajistit zachování mlčenlivosti, kterou mají ze zákona fyzické osoby vykonávající činnost v pracovním nebo obdobném poměru ke správci či zpracovateli ¾ oznamovací povinnost vůči Úřadu.
Nároky subjektů osobních údajů ¾ ¾ ¾
¾
¾
zdržovací nárok vůči rušiteli, právo na odstranění závadného stavu, právo na omluvu a na poskytnutí zadostiučinění (zadostiučinění je satisfakce, není primárně potřeba dokazovat výši škody), právo na zaplacení újmy vzniklé porušením práva subjektu údajů na ochranu osobnosti (ochrana jména, ochrana lidské důstojnosti, ochrana osobní cti subjektu údajů – oproti zadostiučinění je potřeba prokázat výši újmy), právo na likvidaci osobních údajů (tzn. většinou vymazání z databáze) aby zlikvidovala osobní údaje, které neoprávněně zpracovává,
Úřad na ochranu osobních údajů www.uoou.cz ¾ provádění dozoru nad dodržováním povinností stanovených ZOOÚ ¾ vedení evidence oznámení dle § 16 ZOOÚ a registru povolených zpracování osobních údajů (dále jen "registr"),[1] ¾ přijímání podnětů a stížností občanů na porušení ZOOÚ, ¾ vydávání výroční správy o činnosti[2] a její zpřístupňování veřejnosti ¾
[1] Registrace a jejich zrušení se zveřejňují ve Věstníku Úřadu, a to nejdéle do 2 měsíců - § 35 ZOOÚ ¾ [2] Výroční zpráva obsahuje především informace o provedené kontrolní činnosti, hodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v ČR, hodnocení další činnosti Úřadu. Zveřejňuje se ve Věstníku Úřadu a pro informaci se předkládá jak Poslanecké sněmovně Parlamentu ČR, tak Senátu Parlamentu ČR - § 36 ZOOÚ
¾ projednávání
přestupků a správních deliktů a udělování pokut podle ZOOÚ ¾ zajišťování plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, ¾ poskytování konzultací v oblasti ochrany osobních údajů, ¾ spolupráce s obdobnými úřady jiných států.
Z oblasti el.komunikace pak: Kompetence ÚOOÚ ¾ provádění dozoru nad dodržováním povinností stanovených ZNSIS. ¾ vydávání prováděcích právních předpisů podle zvláštního zákona,
Dřívější kompetence (od 1.1.2003 přeneseny Zákonem 517/2002 Sb. na Ministerstvo informatiky) ¾
¾
udělování a odnímání akreditace k působení jako akreditovaný poskytovatel certifikačních služeb, provádění dozoru nad dodržováním povinností stanovených ZEP,
Stanoviska ÚOOÚ k problémům z praxe ¾ ¾ ¾
¾ ¾ ¾ ¾
Stanovisko č. 1/2000 - Vedení dokumentace pacientů ve zdravotnictví Stanovisko č. 1/2001 - Zveřejňování jmen dlužníků Stanovisko č. 2/2001 - Zpracování citlivého osobního údaje členství v odborových organizacích v souvislosti s odváděním členských příspěvků členů odborových organizací Stanovisko č. 1/2002 - Zpracování osobních údajů v souvislosti se zajišťováním zdravotní péče Stanovisko č. 2/2002 - Zpracovávání osobních údajů v souvislosti s činností knihovny Stanovisko č. 1/2004 - Evidence při vstupech do budov Stanovisko č. 2/2004 - Zpřístupňování a zveřejňování osobních údajů z jednání zastupitelstev a rad obcí a krajů
¾
¾
¾
¾ ¾
Stanovisko č. 3/2004 - Zpracování osobních údajů v souvislosti s prováděním klinického hodnocení léčiv a léčivých přípravků Stanovisko č. 4/2004 - Aplikační výklad k části zákona č. 133/2000 Sb. o evidenci obyvatel a rodných číslech a o změně některých zákonů Stanovisko č. 5/2004 - Uplatnění částky zaplacených odborových příspěvků jako odečitatelné položky od daně z příjmu Stanovisko č. 6/2004 - Kopírování dokladů z pohledu zákona o ochraně osobních údajů Stanovisko č. 1/2005 - Činnost pojišťovacích zprostředkovatelů a oznamovací povinnost
Vyjádření k problémům z praxe ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾
č. 1/2001 - K pojmu osobní údaj č. 2/2001 - Ke zpracování osobních údajů v souvislosti s poplatkem za komunální odpad č. 3/2001 - Předávání osobních údajů Policii České republiky č. 4/2001 - Nahlížení do spisů podle správního řádu č. 5/2001 - Mohou se studenti při své praxi seznamovat s osobními údaji pacientů nebo klientů? č. 6/2001 - Nepřípustné propojování databází pro marketingové účely č. 7/2001 - Prokázání státního občanství České republiky pro zápis do matriky studentů č. 1/2002 - Výpisy ze zdravotní dokumentace č. 2/2002 - Evidence ubytovaných č. 3/2002 - Místní poplatky za lázeňský nebo rekreační pobyt
¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾
¾ ¾
č. 4/2002 - Používání rodného čísla č. 5/2002 - Služby soukromých detektivů č. 6/2002 - Poskytování osobních údajů o zaměstnancích č. 7/2002 - Zpracování osobních údajů zemřelých osob č. 1/2003 - Monitorování elektronické pošty a ochrana soukromí a osobních údajů zaměstnanců č. 1/2004 - Poskytnutí informací a získání souhlasu subjektu údajů v elektronické komunikaci č. 1/2005 - Sdělení Úřadu k informacím o šíření TBC č. 2/2005 - Zpracování osobních údajů zaměstnanců ve vztahu k oznamovací povinnosti správce podle § 16 zákona o ochraně osobních údajů č. 3/2005 - Banky a telefonické poskytování informací o RPSN č. 4/2005 - Evidence ubytovaných osob
Exkurs do slovenské právní úpravy
(SK) ¾
¾ ¾
¾
Nakládání s osobními údaji na Slovensku upravuje zákon 428/2002 Z.z., o ochrane osobných údajov (dále jen "SK-ZOOÚ"). Ochrana osobních údajů se obdobně jako v ČR poskytuje údajům o fyzických osobách. osobní údaj se považuje údaj týkající se určené nebo určitelné fyzické osoby. Takovou osobou je osoba, jejíž identitu je možno přímo nebo nepřímo určit na základě všeobecně použitelného identifikátoru nebo na základě jedné nebo více charakteristik nebo znaků, které tvoří její fyzickou, fyziologickou, psychickou, mentální, ekonomickou, kulturní nebo sociální identitu. Subjekt údajů se ve slovenské terminologii nazývá "dotknutá osoba",
¾
¾
¾
Obdobně jako v ZOOÚ je zpracovávání osobních údajů vázáno na souhlas osoby, pokud SK-ZOOÚ nestanoví jinak. Souhlasem může být jakýkoliv svobodně daný výslovný a srozumitelný projev vůle, kterým osoba vyjadřuje svůj souhlas se zpracováním (§ 4 odst.1 písm. i.) SK-ZOOÚ). Oproti české úpravě se striktně vyžaduje souhlas výslovný, odpadají tedy možné právní problémy ohledně interpretace konkludentního jednání subjektu údajů.
Elektronické souhlasy ¾
¾ ¾
Provozovatel systému je zákonem zavázán uchovávat souhlasy a prokázat je podáním důkazu. Písemný souhlas musí být podepsán vlastnoručním podpisem, jinak je neplatný. Pro souhlasy dané v elektronické podobě je povoleno použít elektronického podpisu podle zvláštního zákona (SK-ZEP). Elektronické souhlasy podepsané jinak jsou neplatné.
bez souhlasu údaje: ¾ Za účelem výlučně vědeckým, uměleckých nebo literárních děl, pro potřeby informování veřejnosti prostředky masové komunikace (média), avšak jen za podmínky, že zpracoval je k těmto činnostem oprávněn v rámci předmětu činnosti (předmětu podnikání) podle zvláštního zákona, ¾ Za účelem statistickým, avšak jen anonymizovaně, ¾ Je--li to nezbytné na ochranu životně důležitých zájmů subjektu údajů. ¾ Bez souhlasu subjektu je dále možno zpracovávat údaje v rozsahu jméno a příjmení, titul, bydliště, je-li předmětem činnosti zpracovatele přímý marketing. K takto zpracovávaným osobním údajům není možno bez souhlasu subjektu údajů přiřazovat další údaje.
¾
¾
¾
Shromážděné údaje je možné poskytnou jiné osobě, která provozuje přímý marketing, avšak bez možnosti jejich zpřístupnění nebo zveřejnění. Takové zpracovávání je navíc dovoleno jen do uplatnění námitky subjektem údajů, která odpovídá výslovnému nesouhlasu podle českého zákona. Z hlediska rozsahu údajů je navíc oproti českému zákonu dovoleno zařadit akademický titul. Shromážděné údaje tak mohou mít vyšší vypovídací schopnost s ohledem na výkon určité činnosti (např. u titulu MVDr. je jisté, že jeho držitel je promovaným veterinárním lékařem).
¾ Kromě
takových údajů mohou být zpracovávány podle SK-ZOOÚ již jen osobní údaje, které již byly zveřejněné, avšak v těchto případech musí zpracovatel prokázat skutečnost zveřejnění údajů. Použity mohou být pouze údaje, které byly zveřejněné v souladu se zákonem. Každý, kdo hodlá osobní údaje zveřejnit, musí dodržovat právo na ochranu osobnosti a soukromí dotčené osoby.
¾
¾
¾
Před získáním souhlasu subjektu údajů ke zpracování je nutno vymezit účel zpracování a zabezpečit, aby nebyly zpracovávané údaje, u kterých to nedovoluje zákon (včetně údajů nesouvisejících). Účel zpracování musí být jasný a zákonem dovolený. Přiřazovat ke získaným údajům další údaje je možné jen po předchozím upozornění a s následným písemným souhlasem subjektu údajů. Pokud vzniknou pochybnosti ohledně rozsahu, obsahu, časové a věcné souvislosti a dalších otázkách vymezených v zákoně ohledně zpracovávání údajů, má Úřad pravomoc vydat stanovisko ohledně rozsahu zpracování, které je závazné.
¾
¾
¾
Významnou odlišností slovenské úpravy jsou také legálně definované pojmy "všeobecně použitelný identifikátor" a "biometrické údaje". Za všeobecně použitelný identifikátor se považuje "trvalý identifikační údaj subjektu údajů, který zabezpečuje její jednoznačnost v informačních systémech". Pod tuto definici bez problémů zařadíme rodné číslo, jehož samostatné považování za osobní údaj je podle české právní úpravy sporné. Za biometrický údaj se pak považuje "osobní údaj fyzické osoby, na základě kterého může být osoba jednoznačně a nezaměnitelně určitelná, a to zejména otisk prstu, otisk dlaně, analýza DNA, profil DNA."
(SK) KATEGORIZACE ¾ ¾
SK-ZOOÚ rozděluje osobní údaje do několika kategorií. Absolutně chráněné jsou údaje vypovídající o etnickém či rasovém původu, politických názorech nebo náboženském přesvědčení, členství v politických stranách nebo hnutích, a dále údaje o zdraví nebo pohlavním životě subjektu údajů. Tyto údaje, které až na výjimky odpovídají citlivým údajům podle českého ZOOÚ, není možné podle SK-ZOOÚ zpracovávat vůbec – LEDAŽE STANOVÍ ZVL. ZÁKON
několik dalších skupin, které reguluje zvláštním způsobem. ¾ biometrické údaje, které mohou být zpracovávány jen pokud to buď provozovateli výslovně povoluje zákon, nebo k tomu dal subjekt údajů výslovný souhlas. Bez souhlasu mohou být některé takové údaje podle SK-ZOOÚ zpracovávány jen v uzavřených systémech pro vnitřní potřebu provozovatele a údajů se použije výlučně jen na evidenci vstupu (§ 9 odst.3 SKZOOÚ).
údaje o psychické identitě fyzické osoby nebo údaje o psychické pracovní způsobilosti. ¾ Tyto údaje smí zpracovávat pouze psycholog nebo osoba oprávněná zvláštním zákonem. V praxi se toto kogentní ustanovení dotýká asi nejvíce zprostředkovatelů práce a slovenská úprava opět obsahuje vyšší míru ochrany práv subjektu údajů, než právní úprava česká.
(SK) - získávání os. údajů ¾ ¾
zásady otevřenosti získávání údajů a přiměřenosti použití ve vztahu k danému účelu. právo na získávání údajů za účelem evidence vstupu osob do objektů. Toto právo vyplývá přímo ze zákona, avšak je také zákonem kogentně omezeno na: Jméno a příjmení, titul, číslo průkazu totožnosti (občanský průkaz, služební průkaz, cestovní pas). Toto právo také zahrnuje povinnost subjektu údajů prokázat pravdivost poskytnutých údajů předložením průkazu totožnosti.
¾
¾
získávání osobních údajů kopírováním, skenováním nebo jiným zaznamenáváním obsahu úředních dokladů na nosič informací. Takové zpracovávání je povoleno jen tehdy, pokud s tím subjekt údajů výslovně písemně souhlasí nebo pokud takové počínání dovoluje zvláštní zákon. Výslovně je také upraven monitoring veřejných prostranství a pořizování audiovizuálních záznamů. Monitoring je možné provádět jen za účelem ochrany veřejného pořádku nebo bezpečnosti (atd.) a prostor navíc musí být zřetelně označen jako monitorovaný.
(SK) Registrace a event. inf. syst. Povinnost registrace je uložena těm provozovatelům systémů, kteří: ¾ Zpracovávají osobní údaje zvláštní povahy podle § 8 SKZOOÚ (viz výše), ¾ Zpracovávají osobní údaje, které jsou předmětem přeshraniční výměny, ¾ Zpracovávají osobní údaje prostřednictvím zprostředkovatelů (dle české terminologie by se jednalo o zpracovatele údajů). skupins výluk z registrační povinnosti, které v konečném důsledku znamenají zvláštní režim pro zaměstnavatele, církve, politické strany apod. (viz § 25 odst.3 SK-ZOOÚ).
¾ Rozdělení
systémů na registrované a s evidenční povinností podle slovenského předpisu, které v konečném důsledku znamená, že skupina systémů s evidenční povinností je úřadu neznámá, a to až do případného šetření vedeného úřadem.
Veřejná správa na úseku osobních údajů ¾ Úřad
na ochranu osobních údajů. ¾ Jeho sídlem je Bratislava. ¾ Činnost vykonává vrchní inspektor a inspektoři. ¾ Kompetence odpovídají českému ÚOOÚ