Bankovní institut vysoká škola Praha Katedra práva
Ochrana osobních údajů v České republice Bakalářská práce
Autor:
Jana Šrámková Právní administrativa v podnikatelské sféře
Vedoucí práce:
Praha
Mgr. Zdeněk Milík
duben, 2009
Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracovala samostatně a s použitím uvedené literatury.
V Plzni dne 5. dubna 2009
Jana Šrámková
Poděkování Na tomto místě bych ráda poděkovala za spolupráci vedoucímu práce, Mgr. Zdeňku Milíkovi, dále JUDr. Šárce Plocarové, Ph.D. za cenné rady a doporučení. Poděkování patří také moji rodině, bez její pomoci bych jen těžko zvládala veškeré své pracovní, studijní, ale i rodinné povinnosti.
Anotace práce Bakalářská práce se zaměřuje na právní úpravu ochrany osobních údajů v právním řádu České republiky. Snaží se přiblížit oblast ochrany osobních údajů běžnému čtenáři a seznámit jej s obecnou platnou právní úpravou – zákonem č. 101/2000 Sb. o ochraně osobních údajů. V bakalářské práci jsou definovány základní pojmy ochrany osobních údajů z hlediska práva. Cílem je nabídnout ucelený pohled na danou problematiku ze strany jednotlivce, jehož osobní údaje jsou předmětem zpracování. Práce dále uvádí průřez zvláštní právní úpravou ochrany osobních údajů, která je zde zastoupena zákonem o Policii ČR, o bankách a celním zákonem. Pozornost je věnována také kontrolní činnosti Úřadu pro ochranu osobních údajů, který jako nezávislý orgán provádí dozor nad dodržováním zákonných povinností při zpracování údajů. V závěrečné části práce je provedeno zhodnocení obecné a zvláštní právní úpravy ochrany osobních údajů.
Annotation The presented Bachelor´s Thesis deals with the legal aspects of personal data protection in the Czech legal order. It aims to introduce the subject of personal data protection to common reader and make them acquainted with the general valid enactment – Act No. 101/2000 Coll. on the Protection of Personal Data. Basic concepts and terminology concerning personal data protection in terms of law are defined. The objective of the Thesis is to offer a comprehensive insight into the given topic from the viewpoint of an individual, whose data are the subject-matter of this work. Another part analyses special legal regulation of personal data protection defined in the act on the Police of the Czech Republic, banks and in the Tariff Act. It also describes the competences of The Office for Personal Data Protection, an independent body which supervises the observance of legally mandated responsibilities in the processing of personal data. Final part of the Thesis evaluates the general and special legal regulations of personal data protection.
Obsah 1. Úvod .................................................................................................................................. 7 2. Smysl ochrany osobních údajů .......................................................................................... 8 3. Historický vývoj ochrany osobních údajů ....................................................................... 11 3.1 Vývoj ochrany osobních údajů v Evropě ................................................................. 11 3.2 Vývoj ochrany osobních údajů v České republice. ................................................... 13 4. Obecná právní úprava ...................................................................................................... 14 4.1 Předmět a působnost zákona...................................................................................... 14 4.2 Vymezení základních pojmů ..................................................................................... 17 4.2.1 Osobní údaje ....................................................................................................... 17 4.2.2 Citlivé osobní údaje ............................................................................................ 18 4.2.3 Anonymní údaje ................................................................................................. 18 4.2.4 Zveřejněné osobní údaje ..................................................................................... 19 4.2.5 Subjekty právní úpravy....................................................................................... 19 4.2.6 Zpracování osobních údajů................................................................................. 21 4.2.7 Datový soubor .................................................................................................... 22 4.2.8 Souhlas subjektu údajů ....................................................................................... 22 4.3 Práva a povinnosti při zpracování osobních údajů .................................................... 23 4.3.1 Povinnosti správců a zpracovatelů ..................................................................... 23 4.3.2 Citlivé údaje........................................................................................................ 31 4.3.3. Informační povinnost......................................................................................... 33 4.3.4 Bezpečnost osobních údajů ................................................................................ 34 4.3.5 Oznamovací povinnost ....................................................................................... 35 4.3.6 Ochrana práv subjektů údajů .............................................................................. 37 4.4 Předávání osobních údajů do jiných států ................................................................. 38 5. Zvláštní právní úprava ..................................................................................................... 40 5.1 Zákon o bankách........................................................................................................ 40 5.2 Zákon o Policii České republiky ............................................................................... 44 5.3 Celní zákon ................................................................................................................ 47 6. Úřad pro ochranu osobních údajů.................................................................................... 49 6.1 Postavení a působnost................................................................................................ 49 6.2 Kontrolní činnost ....................................................................................................... 51 6.3 Správní trestání .......................................................................................................... 53 7. Výsledky .......................................................................................................................... 55 5
8. Závěr ................................................................................................................................ 56 Seznam použité literatury .................................................................................................... 58 Seznam příloh ...................................................................................................................... 60
6
1. Úvod Oblast ochrany osobních údajů se stává v současnosti celospolečensky diskutovaným tématem. V době, ve které žijeme dochází k rozvoji informačních a telekomunikačních technologií a tudíž s tím roste důležitost ochrany osobních údajů. Jedná se o fenomén, který je na začátku 21. století v České republice nový. Každého člověka od narození doprovází informace, které jsou pro něj specifické, jedinečné a které jej identifikují. Jedná se například o informace udávající datum a místo narození, jméno, příjmení, pohlaví, národnost, náboženské vyznání, zdravotní stav. Některé z těchto údajů můžou být pro jedince natolik intimního rázu, že jejich zneužití může vést k jeho diskriminaci. Je zřejmá křehkost až zranitelnost údajů týkajících se jednotlivce, proto je zvláště v dnešní době důležité klást důraz na ochranu osobních údajů.
Pro bakalářskou práci jsem si zvolila téma „Ochrana osobních údajů v České republice.“ Cílem práce je přiblížit běžnému uživateli problematiku právní ochrany osobních údajů, definovat základní pojmy a principy, na nichž je založena a v neposlední řadě jej seznámit s činností Úřadu pro ochranu osobních údajů. První kapitoly jsou věnovány smyslu ochrany osobních údajů a načrtnutí jeho historického vývoje. Klíčovou částí práce je čtvrtá kapitola, v které se zabývám obecnou právní úpravou ochrany osobních údajů. Navazující kapitola pojednává o zvláštní právní úpravě ochrany osobních údajů ve významných vybraných zákonech. Poslední kapitoly patří zhodnocení současné platné právní úpravy. V závěru práce je dán prostor problémům naší společnosti v oblasti ochrany osobních údajů. Jedná se o zpracování osobních údajů žáků ve školách a školských zařízeních.
7
2. Smysl ochrany osobních údajů Ke znakům dnešní společnosti patří informace, data, údaje. Hrají zásadní roli v rozvoji vědy, v lidském pokroku, avšak stejně tak mohou být zkázou pro civilizaci.V posledních letech zažíváme nebývalý rozvoj informačních technologií, které jsou významným společenským pokrokem. Umožňují nám komunikovat na dálku, zvyšují možnost nasazení vysokého pracovního tempa, rychlé a snadné obchodování. S tím se nám ovšem nabízí i možnost snadného monitorování soukromí a jeho narušování. Informační technologie dnes používají jak instituce veřejné správy, tak i společnosti v oblasti soukromého práva. Právě těmito výdobytky moderní techniky lze lehce získávat informace o jednotlivcích, a to mnohdy i takové, které by o sobě nikdy nesdělili. Takové informace včetně osobních údajů slouží následně k případným nabídkám různých obchodů nebo služeb. Lze říci, že může případně dojít i k jejich zneužívání, například pro trestnou činnost nebo ke znevýhodňování na pracovním trhu či dokonce k rasové diskriminaci. Prostřednictvím internetu může docházet k šíření negativních informací, často související s trestnou činností, jako je kupříkladu dětská pornografie.
Institut ochrany osobních údajů je založen na povinnostech správce či zpracovatele osobních údajů, jež musí plnit, jestliže osobní údaje zpracovávají. Důležitým prvkem je povinnost zpracovávat osobní údaje, až na výjimky stanovené zákonem o ochraně osobních údajů, jen se souhlasem subjektu údajů. Bez souhlasu subjektu údajů nesmí údaje zpracovávat. Stanovená povinnost způsobuje v praxi správcům a zpracovatelům značné problémy, zvláště proto, že musí více komunikovat se subjekty údajů, a to jim často zvyšuje náklady. Důsledkem toho je, že mnozí správci či zpracovatelé hledají cesty, jak se zákonem uložené povinnosti vyhnout.
Právo na soukromí řadíme mezi osobnostní práva, jež jsou chráněna občanským právem. Jedná se o právo jednotlivce rozhodnout se podle vlastního uvážení, zda a v jakém rozsahu mají být skutečnosti z jeho soukromí zpřístupněny jiným. Soukromí je určitá intimní sféra života, do níž nikdo nesmí zasahovat bez svolení dotčené fyzické osoby nebo pokud je k tomu dáno zákonné oprávnění. Postupně judikatura Ústavního soudu chápe soukromí v širším rozsahu a zahrnuje do pojmu soukromí i právo na vytváření a rozvíjení vztahů
8
s jinými lidmi, především rodinnými příslušníky a příbuznými1. Právo na soukromí neřadíme mezi práva absolutní, a to vzhledem k tomu, že do něj mohou zasahovat ti, jimž je toto oprávnění dáno zákonem. Policie může za jistých okolností požadovat, aby fyzická osoba prokázala svoji totožnost. Má zde však platit zásada minimalizace zásahů ze strany policie do práv jedince. Intenzita ochrany soukromí není pro všechny občany nastavená stejně. U osob veřejně činných (politici, umělci, významní podnikatelé) je automaticky menší nárok na ochranu než u běžných občanů. Výkonem veřejné činnosti dávají souhlas k zásahům do soukromí, tudíž si musí být vědomy zvýšeného zájmu společnosti o veřejné informace. Ve stejném postavení jsou i občané (zločinci), jejichž jednání není lhostejné společnosti, ve které žijí. Média v poslední době přinášejí kauzy týraných dětí či kauzy vražd podnikatelů a s tím spojené úniky osobních údajů z vyšetřovacích spisů. Zveřejněním policejních odposlechů dochází ke střetu dvou ústavních principů, a to práva na informace a práva na ochranu osobnosti. I zde se snaží zákonodárce bránit. S účinností od 1. dubna 2009 se novelizací zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád) zakazuje zveřejňování policejních odposlechů. Odposlechy jsou považovány za natolik závažný zásah do osobnostních práv, že musí sloužit jen k potrestání zločince.
Ochrana osobních údajů je v České republice zařazena mezi základní lidská práva a je tedy chráněna Ústavou České republiky2 a Listinou základních práv a svobod3. Listina základních práv a svobod je vedle Ústavy České republiky součástí ústavního pořádku České republiky. Článek 10 Listiny základních práv a svobod stanovuje právo každého na ochranu před neoprávněným zasahováním do soukromého i osobního života a právo na ochranu před neoprávněným shromažďováním, zveřejňováním či jiným zneužíváním údajů o své osobě. Ochrana osobních údajů je upravena zejména v třetím odstavci článku 10 Listiny základních práv a svobod, jež se vztahuje k problematice zpracování osobních údajů. Ustanovení článku 10 Listiny základních práv a svobod je provedeno řadou právních norem. Obecným právním předpisem je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
Opozičním právem vůči právu na ochranu osobnosti je právo na informace. Je to právo politické a v českém právním řádu je garantováno především v článku 17 Listiny
1
Knappová Marta, Švestka Jiří a kol. Občanské právo hmotné, str. 195 Ústavní zákon č. 1/1993 Sb., Ústava České republiky 3 Usnesení předsednictva ČNR o vyhlášení Listiny základních práv a svobod, uveřejněné pod č.2/1993 Sb.
2
9
základních práv a svobod, které zaručuje svobodu projevu a právo na informace. V uvedeném článku je stanoveno: „Každý má právo vyjadřovat své názory slovem, písmem, tiskem, obrazem nebo jiným způsobem, jakož i svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice státu.“ Toto právo se realizuje uplatněním povinnosti státních orgánů a institucí poskytovat informace o své činnosti, a to jak jednotlivým fyzickým osobám, jestliže uplatní požadavek, tak i prostřednictvím hromadných sdělovacích prostředků4. Ústavně je rovněž garantována nepřípustnost cenzury. Svobodu projevu a právo vyhledávat a šířit informace je možno omezit zákonem, pokud jde o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost či ochranu veřejného zdraví a mravnosti. Zákon č. 106/1999 Sb., o svobodném přístupu k informacím je pro oblast poskytování informací obecnou právní normou. Státní orgány, územní samosprávné celky, veřejné instituce a další subjekty mají stanovenou povinnost poskytovat informace, jež se vztahují k jejich působnosti. Zákon o svobodném přístupu k informacím neupravuje postup při poskytování osobních údajů.
Problematika ochrany osobních údajů je velmi aktuální oblastí, která se dotýká každého z nás. Ať jako subjekt údajů či jako reprezentant podnikatelského subjektu nebo orgánu veřejné správy, jemuž jsou uloženy zákonné povinnosti při ochraně osobních údajů, může člověk bez vynaložení velkého úsilí a času porozumět ochraně osobních údajů. K tomu, aby pochopil smysl ochrany osobních údajů, stačí znát rámcovou právní úpravu ochrany osobních údajů a ujasnit si v dané situaci svoji pozici. Pokud je v pozici subjektu údajů, tak má především práva, v ostatních pozicích jsou to spíše povinnosti. Funkčnost demokratické společnosti se projevuje právě snahou řešit problém ochrany osobních údajů. Miroslava Matoušová a Ladislav Hejlík v publikaci Osobní údaje a jejich ochrana konstatují: „Jen ve společnosti, která nemusí jako palčivý problém den ze dne řešit fyzické přežití svých členů, je prostor zabývat se takovými detaily, jako je vyvažování různých práv lidí a vztahu jednotlivce a soukromoprávních i veřejnoprávních společenských struktur. Na straně druhé považujeme za nepřijatelné ochranu osobních údajů pouze deklarovat5.“
4 5
Brejcha Aleš Právo na informace a povinnost mlčenlivosti v českém právním řádu, str. 15 Matoušová Miroslava, Hejlík Ladislav Osobní údaje a jejich ochrana, str. 16
10
3. Historický vývoj ochrany osobních údajů 3.1 Vývoj ochrany osobních údajů v Evropě První snahy po ochraně soukromí můžeme nalézt již v dávné historii lidstva. Příkladem je právní úprava regulující přístup k veřejným záznamům ve Švédsku v roce 1776. Ve Francii byl v roce 1858 přijat zákon, který zakazoval publikovat údaje o soukromí. Dalším zákonem upravujícím publikování informací o osobních a domácích záležitostech byla zákonná úprava v Norsku.
Potřeba ochrany osobních údajů vystoupila do popředí po 2. světové válce. Zrůdnost nacistického Německa týkající se holocaustu Židů byla u nás výrazně usnadněna tím, že v matrikách se u narozených osob uváděla náboženská příslušnost. Z 30. let se zachovaly i údaje ze statistických sčítání obyvatelstva, v kterých byla zaznamenána data týkající se náboženského vyznání. Zvěrstva fašismu páchaná na lidstvu přivedla představitele světových demokracií ke snaze posunout hodnoty lidského života a postavení jedince ve společnosti na přední místa žebříčku hodnot. Tyto zkušenosti se promítly do Všeobecné deklarace lidských práv (dále jen „Deklarace“), jež byla vydaná 10. prosince 1948 Organizací spojených národů. V článku 12 této Deklarace se stanoví, že nikdo nesmí být vystaven svévolnému zasahování do soukromí a ani útokům na svou čest a pověst. Deklarace je považována za významný dokument. Deklarací zakotvená ochrana lidských práv byla dále rozvíjena v dalších mezinárodních právních aktech, například v Deklaraci práv dítěte z roku 1959.
Pod vlivem Deklarace byla v Římě 4. listopadu 1950 Radou Evropy schválena Úmluva o ochraně lidských práv a základních svobod (dále jen „Úmluva“). Tato Úmluva se stala významným mezinárodním právním dokumentem pro oblast ochrany lidských práv a svobod, v platnost vstoupila v roce 1953. Právo na ochranu soukromí je ukotveno v článku 8. Původní znění Úmluvy je doplňováno dodatkovými protokoly. Poslední dodatkový protokol, týkající se zrušení trestu smrti, byl schválen v květnu 2002. Česká a Slovenská Federativní Republika podepsala Úmluvu a její dodatkové protokoly v únoru 1991 v Madridu. V březnu 1992 byly ratifikační listiny uloženy u generálního tajemníka Rady Evropy. Tímto Úmluva vstoupila pro ČSFR v platnost. Následně po rozdělení ČSFR přešla ratifikace na Českou republiku. 11
V souvislosti s rozšiřováním a neustálým zdokonalováním informačních technologií od 60. let 20. století vystoupila do popředí potřeba ochrany osobních údajů. Výpočetní technika umožňuje shromažďovat a zpracovávat neomezené množství údajů. S údaji lze nakládat, vzájemně je kombinovat a tím vytvářet nová rizika pro narušování soukromí nejen jednotlivce, ale i jeho okolí. Jestliže s osobními daty nakládají reklamní firmy, hrozí jen to, že domácnosti budou zaplavovány nabídkami různého zboží, jež lidé nepotřebují nebo nechtějí. Pokud však s osobními údaji nakládají mocenské orgány, mohou být ohroženy i samotné základy demokratické společnosti. Jedná se o oblast, které je třeba věnovat zvláštní pozornost.
Uvedené důvody přinutily vlády západoevropských států k tomu, že od 70. let minulého století byly přijímány zákonné úpravy na ochranu osobních údajů. Bylo to období, jenž se vyznačovalo zvýšenou legislativní činností v oblasti ochrany soukromí, především zaměřené na shromažďování a zpracování osobních údajů. Postupně jednotlivé státy přijímaly zákony chránící základní práva6. Stále více však bylo zřejmé, že není možné ochranu osobních údajů řešit pouze na národní úrovni. V důsledku rostoucího množství přenášených osobních dat mezi státy bylo potřeba sjednotit zásady ochrany osobních údajů. Z této nutnosti vycházela Rada Evropy a dne 28. ledna 1981 byla přijata ve Štrasburku Úmluva č. 108, na ochranu osob se zřetelem na automatizované zpracování osobních dat (dále jen „Úmluva č. 108“). V tomto dokumentu byly definovány základní pojmy, které se začaly používat nejen v právních předpisech jednotlivých členských států Rady Evropy, ale i v mezinárodním právu.
Dalším důležitým aktem se stala Směrnice Evropského parlamentu a Rady č. 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1995). Tento předpis upravuje nakládání s osobními údaji a též i takovými údaji, které jsou předmětem zpracování v rámci informačních systémů. Ustanovení a zásady tohoto předpisu musely členské státy Evropské unie promítnout do svých právních úprav a kandidátské státy na vstup do Evropské unie musejí své národní předpisy přizpůsobit.
6
V roce 1970 Hesensko (Německo), Švédsko (1973), v roce 1977 Německo (federální zákon), Francie (1978)
12
3.2 Vývoj ochrany osobních údajů v České republice. Vývoj ochrany osobních údajů v období let 1948 až 1989 neprobíhal na území dnešní České republiky paralelně se západní Evropou. Vládnoucí komunistický režim nepřipouštěl žádnou ochranu jak osobních údajů, tak soukromého života. O právu na ochranu soukromí se začalo psát na počátku 80. let a teprve až v druhé polovině 80 let se objevily sporadické zmínky o ochraně osobních údajů, přesto zákonná úprava provedena nebyla. Česká společnost prožila čtyřicet let v nucené mezinárodní izolaci. Tento neuspokojivý stav byl jedním z důvodů, proč v roce 1991 došlo k ústavněprávní úpravě práva na soukromí, ale i práva na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o osobě. Tato zákonná úprava byla zakotvena v článku 10 Listiny základních práv a svobod.
Po přijetí Listiny základních práv a svobod následovalo přijetí zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Jednalo se o první zákonnou úpravu ochrany osobních údajů, jež vycházela z ustanovení Úmluvy č. 108. Prostřednictvím tohoto zákona byly definovány hlavní pojmy, vymezeny základní zásady nakládání s osobními údaji a povinnosti subjektů. Po rozpadu České a Slovenské Federativní republiky byl zákon převzat Českou republikou, avšak v praxi nerealizován. Důvodem byla skutečnost, že v této právní úpravě nebyly stanoveny sankce za porušování zákonem stanovených povinností. V zákoně nebyla zakotvena ustanovení o zřízení nezávislého dozorového orgánu. Důsledkem toho byla v 90. letech minimální informovanost veřejnosti o právní úpravě ochrany osobních údajů a o možnosti hájit svá práva.
Nedostatečná právní ochrana osobních údajů byla terčem kritiky ze strany Evropské unie v období, kdy se Česká republika ucházela o členství v této mezinárodní organizaci. Pro dosažení kompatibility s předpisy Evropské unie bylo nutné přijmout odpovídající právní úpravu. Parlamentem České republiky byl schválen v dubnu 2000 zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Tento zákon vycházel ze Směrnice Evropského parlamentu a Rady č. 95/46/ES (dále jen „Směrnice č. 95/46/ES“) z října 1995. Směrnice se stala pro Českou republiku závaznou po vstupu do Evropské unie. Zákon o ochraně osobních údajů je zákonem platným v právním řádu České republiky, který je kompatibilní s právy Evropských společenství a implementuje do právního řádu České republiky ustanovení Směrnice č. 95/46/ES a principy zakotvené v Úmluvě č. 108.
13
4. Obecná právní úprava 4.1 Předmět a působnost zákona Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“) upravuje práva fyzických osob, s jejichž osobními údaji nakládá někdo jiný, a povinnosti těch, kteří osobní údaje jiných lidí používají způsobem, jež zákon definuje jako zpracování osobních údajů7. Do právního řádu České republiky byl tento zákon přijat za účelem rozšíření práva na ochranu soukromí fyzických osob o instrumenty využívané v demokratických státech a zakotvené v dokumentech mnohých významných mezinárodních organizací.
Předmět zákonné úpravy lze rozdělit do třech základních okruhů. U první oblasti předmětu úpravy je důležité zdůraznit, že právní úprava se vztahuje na zpracování osobních údajů jen fyzických osob. Netýká se osob právnických. Pokud je osobní údaj fyzické osoby (jméno, příjmení, adresa bydliště) součástí údajů, které jsou zpracovávány jako údaje o právnických osobách, zůstává údaj vždy osobním údajem8. Při zpracování údajů vyplývá pro správce a zpracovatele povinnost postupovat v souladu s uvedeným zákonem.
Oblast práv a povinností je dalším okruhem předmětu zákonné úpravy. Na straně jedné jsou to práva subjektu údajů a na straně druhé povinnosti správce či zpracovatele osobních údajů. Kdokoliv, kdo nakládá s osobními údaji způsobem, který zákon vymezuje jako zpracování osobních údajů, musí konat za podmínek stanovených zákonem. Vymezení práv a povinností je rámcové. Jedná se o obecnou právní úpravu. V českém právním řádu je řada zvláštních zákonů, které práva a povinnosti správce nebo zpracovatele upravují.
Zvláštním okruhem je oblast práv a povinností týkající se předávání osobních údajů do jiných států. Vzhledem ke zvyšujícímu se pohybu osob přes hranice států dochází zároveň k nárůstu předávání osobních údajů těchto osob. Česká republika převzala základní zásady mezinárodněprávní úpravy. V současné době jsou pro subjekty, které předávají osobní data fyzických osob v souvislosti s jejich pohybem do jiných států, nastaveny právní podmínky jako v jiných členských státech Evropské unie. 7 8
Matoušová Miroslava a kol. Ochrana osobních údajů, str.10 Kučerová Alena a kol. Zákon o ochraně osobních údajů – komentář, str. 34
14
Termínem působnost zákona se chápe zejména to, které oblasti reguluje a jaký okruh subjektů podléhá jeho režimu. Zákon o ochraně osobních údajů se vztahuje na všechny osobní údaje, které jsou zpracovávány státními orgány, orgány samosprávy a jinými orgány veřejné moci. Právní úprava se vztahuje také na zpracování osobních údajů, jež provádí soukromé fyzické a právnické osoby.
Zákonu o ochraně osobních údajů podléhají zpracování, která jsou prováděna automatizovaně i manuálním způsobem. Nelze tedy zákon obejít tím, že osobní data budou zpracovávána neautomatizovaně na lístkách v kartotéce9. Ochrana se nevztahuje na osobní údaje, které nejsou systematicky zpracovávány. Za takové mohou být považovány osobní údaje, které jsou nahodile shromažďované a dále nijak tříděné a zpracované. Jestliže dojde v rámci činnosti notářů, daňových poradců, odhadců k nahodilému shromažďování osobních dat, která nebudou dále zpracována a nebudou vytvářeny z nahodile získaných údajů databáze, nevztahuje se na ně povinnost správce či zpracovatele. Ovšem pokud někdo z těchto podnikatelů bude nahodile získané osobní údaje následně zpracovávat například do abecedního pořádku, jedná se o činnost podle určitého systému. Tehdy jsou podnikatelé povinni plnit povinnosti správce podle zákona.
Vytýčení hranice, od které je možno již danou činnost považovat za systematické zpracování osobních údajů a do které se o systematické zpracování osobních údajů nejedná, může být v praktickém životě nesnadné. Odpověď na otázku, kdy při dané činnosti již dochází nebo nedochází k systematickému zpracování, přinese až praxe. Z působnosti zákona je vyloučeno takové zpracování osobních údajů, které fyzické osoby provádějí výlučně pro svoji osobní potřebu. Jedná se o záležitosti týkající se soukromého a rodinného života, například seznam příbuzných a přátel s uvedením jména, příjmení, data jejich narození, adresy bydlišť. Výjimka neplatí ovšem pro fyzickou osobu provádějící zpracování pro své podnikatelské potřeby.
Zákon o ochraně osobních údajů vymezuje působnost v případě správce, který není usazen na území České republiky. Jestliže je správce usazen mimo území České republiky, je možno podle mezinárodního práva veřejného (například mezinárodní smlouvy) stanovit přednostní použití právního řádu České republiky. Zákon se dále vztahuje na takové
9
Mates Pavel Ochrana osobních údajů, str. 42
15
případy zpracování osobních dat, kdy správce je usazen mimo území Evropské unie, ale provádí zpracování údajů na území České republiky. Podmínkou zde je, že se nejedná jen o předávání osobních údajů přes území Evropské unie. Lze předpokládat, že takové zpracování osobních údajů nemůže správce provádět sám, ale zmocní zpracováním na území naší republiky zpracovatele. V situaci, kdy správce zpracovává osobní údaje prostřednictvím svých organizačních jednotek umístěných na území Evropské unie, musí postupovat při zpracování dat v souladu s právním řádem daného členského státu.
Zákon obsahuje výčet případů, jež se vyjímají z působnosti zákona o ochraně osobních údajů. Správce plní povinnosti podle zvláštních zákonů. Rozsáhlé výjimky z povinností, které musí plnit ostatní správci a zpracovatelé, jsou stanoveny pro zajištění oblastí bezpečnosti10 a obrany České republiky11, veřejného pořádku a vnitřní bezpečnosti12, předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů13, významného hospodářského zájmu České republiky nebo Evropské unie14, významného finančního zájmu naší republiky nebo Evropské unie týkající se zejména stability finančního trhu a měny, fungování peněžního oběhu a platebního styku15, výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech týkajících se např. veřejného pořádku a vnitřní bezpečnosti či významného hospodářského či finančního zájmu České republiky16 nebo činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti17.
10
Např. zákon č. 219/1999 Sb. o ozbrojených silách České republiky Např. zákon č. 124/1992 Sb. o Vojenské policii 12 Např. zákon č. 283/1991 Sb. o Policii České republiky 13 Např. zákon č. 141/1961 Sb. o trestním řízení soudním (trestní řád) 14 Např. zákon č. 240/2000 Sb. o krizovém řízení a o změně některých zákonů (krizový zákon) 15 Např. zákon č. 6/1993 Sb. o České národní bance 16 Např. zákon č. 166/1993 Sb. o Nejvyšším kontrolním úřadu 17 Zákon č. 140/1996 Sb. o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb. 11
16
4.2 Vymezení základních pojmů Pro správné pochopení zákona o ochraně osobních údajů je důležité vyjasnit si klíčové pojmy, pokud to nejsou pojmy notoricky známé.
4.2.1 Osobní údaje Pojem „osobní údaj“ nevznikl při tvorbě zákona o ochraně osobních údajů nahodile. Navazuje na mezinárodněprávní předpisy tvořící základ ochrany osobních údajů. Důležité je zde zmínit Směrnici č. 95/46/ES a Úmluvu č. 8. V mezinárodních právních předpisech se termín údaj používá jako synonymum termínu informace. Směrnice stanovuje, že osobními
údaji
jsou
jakékoliv
informace
vztahující
se
k identifikované
nebo
identifikovatelné osobě. Úmluva č. 8 obdobně vymezuje osobní údaje jako každou informaci, jež se týká identifikované nebo identifikovatelné osoby. Zákon o ochraně osobních údajů vymezuje osobní údaj stručně a jednoduše jako každou informaci, která se týká určeného nebo určitelného subjektu údajů, tj. fyzické osoby. Za určený či určitelný subjekt údajů lze považovat takový subjekt, jehož identitu lze zjistit přímo nebo i nepřímo. Určenost a určitelnost jsou vazby mezi fyzickou osobou a údajem18. Určenost je situace, kdy subjekt údajů je jednoznačně určen pomocí údajů, které má správce k dispozici. O určitelnosti lze hovořit jako o možnosti odlišit jeden subjekt údajů od ostatních na základě údajů. Splnění podmínky stanovené v zákoně – týkající se určeného nebo určitelného subjektu údajů - musí být objektivní a absolutní. Zjištění totožnosti subjektu údajů lze na základě jednoho či více osobních údajů nebo prvků. V malé společnosti lidí je možno určit osobu na základě jména, příjmení a povolání. Ve větším souboru je k identifikaci subjektu údajů nutné použít alespoň jeden další odlišný prvek, např. adresu bydliště či rodné číslo. Abychom mohli nějakou informaci považovat za osobní údaj, je nutné nejdříve identifikovat určitou fyzickou osobu. Během života jedince přibývá se vzrůstajícím věkem i údajů, které lze použít k identifikaci osoby. Již narozením získává každý občan v České republice jméno, příjmení a je mu přiděleno rodné číslo. Rodné číslo lze považovat za národní osobní identifikátor. Proměnnými daty v čase mohou být jméno, příjmení, adresa, stav a konečně i pohlaví. Neproměnnými daty v čase jsou datum narození a místo narození. Uvažovat o osobním údaji „o sobě samém“ je nesprávné. Žádný osobní
18
Matoušová Miroslava, Hejlík Ladislav Osobní údaje a jejich ochrana, str. 29
17
údaj neexistuje samostatně. V reálném životě jsou osobní údaje používány vždy v daných souvislostech a vztazích19.
4.2.2 Citlivé osobní údaje Pro citlivé osobní údaje se používá též označení senzitivní. Citlivé osobní údaje jsou speciální kategorií. Zákon o ochraně osobních údajů uvádí výčet citlivých osobních údajů, které vypovídají o národnostním, rasovém či etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě fyzické osoby a genetický údaj či konečně jakýkoli biometrický údaj. Vyčlenění těchto údajů je výrazem uznání jejich vyšší citlivosti ve vztahu k ostatním osobním údajům. Citlivými lze označit výhradně osobní údaje, jejichž nekorektní použití může mít pro subjekt údajů závažné důsledky. V českém právním řádu je citlivým údajům přiznána vyšší ochrana. Pro zpracování těchto údajů platí přísnější podmínky ve srovnání s ostatními osobními údaji. Směrnice č. 95/46/ES uvádí vedle výčtu citlivých údajů také zvláštní kategorii osobních údajů, kam řadí i vnitrostátní identifikační číslo nebo jiný identifikační prvek. V naší republice je takovým údajem rodné číslo, u něhož se spíše jedná o složený údaj než o prvek. Rodné číslo obsahuje dva jiné osobní údaje, a to datum narození a pohlaví subjektu údajů.
4.2.3 Anonymní údaje Anonymním údajem je údaj, který v původní podobě nebo po provedeném zpracování nelze vztáhnout či spojit k určitému subjektu údajů. Anonymizace je termín, který označuje takovou úpravu osobního údaje, kdy po zpracování byl údaj změněn na anonymní. Anonymizované osobní údaje lze zpracovávat i bez souhlasu subjektu údajů, především v oblasti vědeckého výzkumu a statistiky. V případě vědeckého lékařského výzkumu je anonymizování důležitou a nezbytnou součástí ochrany osobních údajů pacientů. Nejčastěji se jedná o databázové soubory, kde dojde např. k oddělení jména a příjmení od rodného čísla a již nebude v souboru existovat možnost propojit zpět informace či údaje a tím určit subjekt údajů. O anonymní údaj v původním tvaru se bude jednat u údaje, který není možno využít k identifikaci subjektu údajů. Příkladem jsou anketní marketingové průzkumy, kdy informace nebo údaje lze sice získat od konkrétních
19
Matoušová Miroslava, Hejlík Ladislav Osobní údaje a jejich ochrana, str. 20
18
osob, avšak anonymních. Zpracování těchto údajů nepodléhá režimu zákona o ochraně osobních údajů.
4.2.4 Zveřejněné osobní údaje Za zveřejněný osobní údaj se považuje takový údaj, který vykazuje znaky osobního údaje a který správce nebo zpracovatel zprostředkovává jiným subjektům. Zákon na ochranu osobních údajů uvádí výčet nejčastějších způsobů zveřejňování osobních údajů – hromadné sdělovací prostředky, jiné veřejné sdělení nebo jako součást veřejného seznamu. V praxi mohou přicházet v úvahu další způsoby. Zveřejnění je považováno za zpracování osobních údajů, jestliže se děje systematicky. V oblasti veřejné správy často dochází ke zveřejnění osobních dat v souvislosti s veřejnou vyhláškou. Doručení sdělení veřejnou vyhláškou se děje za podmínek a způsobem, které stanovuje správní řád20. Diskutovanou otázkou je zveřejňování osobních údajů
prostřednictvím zveřejňování usnesení rady
zastupitelstva obce a rady obce. Povinnost pořizovat a ukládat zápis z jednání zastupitelstva na obecním úřadu k nahlédnutí vyplývá z ustanovení § 95, resp. § 16 obecního zřízení
21
. Ohledně rady obce, komisí rady obce a výborů, mají občané právo
nahlížet a pořizovat si výpisy pouze z jejich usnesení. Je pochopitelné, že v zápisech o průběhu zasedání zastupitelstva či v usneseních rady obce budou obsaženy osobní údaje o fyzických osobách, například při uzavírání smluv s obcí. Občané obce mají právo na zpřístupnění informací. Ovšem pokud by chtěli tyto informace dále zpracovávat, musí postupovat podle zákona o ochraně osobních údajů.
4.2.5 Subjekty právní úpravy V zákoně o ochraně osobních údajů se setkáváme se subjekty právní úpravy – subjektem údajů, správcem osobních údajů, zpracovatelem a v neposlední řadě i s příjemcem: • Subjekt údajů - je každá fyzická osoba, k níž se osobní údaje vztahují a která může uplatnit celou škálu svých práv. Výraz „subjekt údajů“ je shodný s původním významem termínu v právu Evropského společenství. V souvislosti s pojmem „subjekt údajů“ vyvstává otázka, zda subjektem údajů je i osoba zemřelá. Během našeho života budou osobní údaje chráněny zákonem o ochraně osobních údajů. Po smrti fyzické osoby přestává být subjektem právních vztahů. Dle občanského 20 21
Ust. § 25 zákona č. 500/2004 Sb., správní řád Zákon č. 128/2000 Sb. o obcích
19
zákoníku22 po smrti fyzické osoby přísluší uplatňovat právo na ochranu osobnosti manželu a dětem, a pokud není jich, tak jejím rodičům23. Lze říci, že zákon o ochraně osobních údajů se na zpracování údajů o osobě zemřelé nevztahuje. V českém právním řádu jsou osobní údaje zemřelé osoby chráněny jinými právními předpisy. • Správce osobních údajů – každý subjekt, který určuje účel a prostředky zpracování osobních údajů, zpracování provádí a odpovídá za něj. Mnohdy účel zpracování vyplývá správci přímo ze zvláštního zákona, na jehož základě bude údaje zpracovávat. Týká se to oblasti státní správy, samosprávy. Správcem je i zaměstnavatel, protože zpracovává osobní údaje svých zaměstnanců např. pro mzdovou agendu. Kdokoliv, kdo v souvislosti s výkonem své podnikatelské činnosti zpracovává osobní údaje, je správce. Například se může jednat o systematické spravování databáze svých obchodních klientů, partnerů. Správce stanovuje účel a prostředky zpracování. To znamená, že určuje, jakými technickými zařízeními bude správce provádět zpracování osobních údajů. U automatizovaného zpracování bude využito výpočetní techniky, jinými prostředky je možno provádět zpracování osobních údajů s využitím lístků utříděných systematicky do kartotéky. Osobní údaje zpracovává správce buď sám nebo k tomu může pověřit jinou osobu, která je označena jako zpracovatel. • Zpracovatel – na rozdíl od správce provádí jen zpracovávání osobních údajů. Zpracovatelem se stává subjekt (fyzická nebo právnická osoba) na základě zmocnění správcem nebo na základě zákonného zmocnění. Nejčastěji se vztah mezi správcem a zpracovatelem odehrává v režimu smluvního vztahu. • Příjemce – ten, kterému jsou osobní data zpřístupněna. Účelem je vymezit osoby, které nejsou správci ani zpracovateli, avšak mohou z nějakého důvodu přijít do styku s osobními údaji. Smyslem úpravy je podřídit příjemce určité kontrole. Za příjemce nelze považovat subjekty, které zpracovávají osobní data při výkonu dozoru, kontroly, dohledu nebo regulace v souvislosti s výkonem veřejné moci.
22 23
Zákon č.40/1964 Sb., občanský zákoník Kučerová Alena a kol. Zákon o ochraně osobních údajů – komentář, str. 54
20
4.2.6 Zpracování osobních údajů Pod pojmem zpracování osobních údajů se rozumí každá operace či jejich soustava, které jsou prováděny správcem nebo zpracovatelem systematicky. Platná právní úprava zde opět poukazuje na skutečnost, že není rozhodné, zda dochází ke zpracování osobních dat automatizovaně nebo manuálně. Alena Kučerová s kolektivem autorů ve své publikaci uvádí: „Podstatnou částí definice je skutečnost, že se nemusí vždy jednat o celý soubor činností, ale může jít v některých případech jen o některé z nich, dokonce se může jednat o operaci jedinou24.“ Zpracováním se rozumí shromažďování údajů, ukládání na nosiče informací, zpřístupňování, ale též i operace jako je vyhledávání, třídění či blokování nebo likvidace dat. Zákon o ochraně osobních údajů uvádí výčet operací, které se za zpracování považují. Shromažďování osobních údajů – může se jednat o činnost přerušovanou, avšak má jít o cílený sběr osobních údajů. Stanovení cíle je nezbytný prvek při shromažďování dat, který by měl být znám již při jejich získávání. Není podstatné, zda sbírané údaje budou zpracovávány ihned nebo zda k jejich třídění či používání bude docházet později. Osobní data musí být ukládána na nosič informací.
Uchovávání osobních údajů – udržování osobních dat v podobě, která umožňuje další zpracování. Ze zákona vyplývá, že údaj získaný správcem či zpracovatelem za určitým účelem, musí být uchováván v dané formě po dobu trvání původního záměru. Neznamená to, že osobní údaje musí být uchovávány pouze v té podobě, v které byly původně uloženy. Jednou z možností je např. převedení z listinné do elektronické formy. Významným prvkem pro uchovávání informací je také kvalita nosiče informací. Stále více se rozšiřují nové technologie pro uchovávání informací, které umožňují jejich následné bezproblémové zpracování.
Blokování osobních údajů – metoda dočasného znepřístupnění osobních údajů. Osobní data jsou uvedena do stavu, v kterém jsou nepřístupná a je zamezeno jejich dalšímu zpracovávání. Důvodem pro takové jednání může být záměr správce či zpracovatele, aby po určitou dobu vyloučil údaje ze zpracování. Může se jednat o blokování jako o určitou formu opatření, která je konaná vůči správci jiným k tomu oprávněným subjektem. Kontrolní orgán je oprávněn uložit jako opatření k nápravě 24
Kučerová Alena a kol. Zákon o ochraně osobních údajů - komentář, str. 54
21
likvidaci osobních dat. Jestliže se kontrolovaný subjekt brání procesní cestou, je třeba do doby vyřešení sporu tyto osobní údaje blokovat. Způsob blokování osobních dat záleží na podobě, v které jsou osobní data zpracována. Jestliže jsou data zpracována výpočetní technikou, tak lze provést blokování ve formě stanovení přístupových hesel. Po blokaci osobních údajů se stávají nepřístupné jak pro správce či zpracovatele, tak i pro jiné subjekty. Nesmějí být šířené, zveřejňované, tříděné apod. Po odpadnutí důvodů lze opět údaje zpracovávat.
Likvidace osobních údajů – jedná se o operaci, kdy se osobní údaje stanou trvale nepřístupné. K likvidaci osobních údajů může dojít jak fyzickým zničením nosiče, tak fyzickým vymazáním textu. K takovému kroku lze dojít na základě jednání správce či zpracovatele nebo na základě jednání oprávněného subjektu. Je důležité odlišit od likvidace související se zpracováním dat případy, kdy dojde k likvidaci osobních dat v souvislosti s obtížně předvídatelnými okolnostmi. Těmi jsou neoprávněný nebo nahodilý přístup k osobním datům, jejich změna či ztráta, neoprávněný přenos nebo dokonce i neoprávněné zpracování nebo zneužití osobních dat. Právě proto je správce či zpracovatel povinen přijmout při zpracování osobních údajů taková opatření, jež by zabránila ztrátě, zničení či neoprávněným přenosům.
4.2.7 Datový soubor Způsob zpracování osobních údajů je nejčastěji v podobě evidence nebo datového souboru. Zákon definuje tento pojem jako jakýkoliv soubor osobních údajů. Uspořádání či zpřístupnění datového souboru je buď podle společných nebo zvláštních kritérií. Datovým souborem může být lístková kartotéka, registr nebo spis. Podstatná je existence určitého třídícího prvku při uspořádávání dat, například abecední pořádek či datum zařazení údaje. Při elektronickém zpracování dat lze souborem nazvat soustavu dat, která je zpracovávaná automatizovaně.
4.2.8 Souhlas subjektu údajů Vyslovení souhlasu subjektu údajů je základní podmínkou ke zpracování osobních údajů. Jedná se o jednostranný projev vůle subjektu údajů, který zákon vymezuje jako svobodný a vědomý. Obsahem takového právního úkonu je svolení se zpracováním osobních údajů.
22
4.3 Práva a povinnosti při zpracování osobních údajů 4.3.1 Povinnosti správců a zpracovatelů K základním stavebním pilířům ochrany osobních údajů patří povinnosti při zpracování osobních údajů. Povinnosti jsou ukládány správci a zpracovateli, jejich zaměstnancům a jiným osobám, které zpracovávají osobní data na základě smlouvy se správcem či zpracovatelem25. Jednotlivé subjekty nemají při plnění zákonem stanovených povinností totožné postavení. Podstatná část podílu připadá správci.
Správce musí jako svou první povinnost stanovit účel, k němuž mají být osobní údaje zpracovány. Je třeba, aby vlastní zpracování osobních údajů vycházelo z předem stanoveného účelu. Účel zpracování osobních údajů nemusí být vždy v nějakém veřejném zájmu či vyplývat ze zákonného požadavku. Může se jednat o ryze soukromý účel správce. Při výkonu veřejné správy orgány veřejné moci je povinnost stanovit účel zpracování uložena na základě zákonného požadavku. U finančních úřadů je účelem zpracování údajů o daňových poplatnících vedení evidence daní zachycující daňovou a platební povinnost, jejich úhrad či zániku a z toho plynoucích daňových přeplatků a nedoplatků tak, jak je stanoveno v zákoně o správě daní a poplatků26. Před zahájením zpracování osobních dat musí správce vymezit účel zpracování zejména vůči subjektu údajů a vůči Úřadu pro ochranu osobních údajů. Stanovení účelu je důležité v návaznosti na další povinnosti správce. Pokud se správce v průběhu zpracování rozhodne z nějakého důvodu původní účel změnit, postupuje stejně jako před započetím zpracování a je nucen provést další související úkony. Při nestanovení účelu či překročení oprávnění se dopouští správce přestupku (fyzická osoba) či deliktu (právnická osoba). Obdobně jako stanovení účelu při zpracování osobních dat je správci uložena zákonná povinnost určit prostředky a způsob zpracování. Splnění této povinnosti může správce dostát obvyklými formami, především vnitřními akty řízení doplněné další dokumentací. Základním rozlišením zůstává, zda se osobní údaje zpracovávají manuálně nebo automatizovaně. Současným trendem je plně automatizované zpracování. Častou skutečností zůstává, že primárně jsou sice údaje shromažďovány ručně, ale v navazujících postupech dochází k využívání technických prostředků pro automatizované zpracování. Příkladem jsou zápisy do matriční knihy, které 25 26
Matoušová Miroslava, Hejlík Ladislav Osobní údaje a jejich ochrana, str. 196 Ust. § 62 zákona č.337/1992 Sb. o správě daní a poplatků
23
se provádí ručně do svázaných knih a současně je daná skutečnost zaznamenána prostředkem výpočetní techniky. Vzhledem k tomu, že prostředky a způsob zpracování osobních údajů mají být stanoveny před zahájením zpracování, je zcela běžné, že během zpracování dochází ke změnám například s ohledem na časovou či technickou náročnost zpracování dat. Běžným jevem je skutečnost, kdy předem definovaný prostředek nebo způsob je nutné doplnit nebo změnit.
Jednou ze základních povinností správce je zpracovávat pouze přesné osobní údaje získané v souladu se zákonem o ochraně osobních údajů. Lze říci, že se jedná o základní předpoklad činnosti správce. Zákonná úprava nedovoluje správci zpracovávat osobní údaje, které by získal podvodným způsobem jako je například krádež nebo neoprávněný odposlech. Zdrojem informací správce může být samotný subjekt údajů či jiný správce. V úvahu připadá i možnost zpracovávat data z veřejně dostupných zdrojů. Nevylučuje se ani kombinace všech uvedených způsobů. Je zřejmé, že pro správce se může stát velmi obtížné dodržet povinnost zpracovávat přesné osobní údaje. Správce má povinnost ověřovat přesnost získaných informací nejen před započetím, ale i v průběhu jejich zpracování. Jestliže je to nezbytné, má osobní údaje aktualizovat. V situaci, kdy správce zjistí, že jím zpracované údaje nejsou s ohledem na stanovený účel přesné, musí bezodkladně provést blokování a osobní data opravit nebo doplnit. Blokování osobních údajů lze chápat jako ochranné opatření před dalším možným zpracováním nepřesných informací. Současně správce musí zahájit úkony k odstranění nežádoucího stavu. Pokud se správci nepodaří dané údaje opravit nebo doplnit, musí je zlikvidovat. Zákon o ochraně osobních údajů nevymezuje správci lhůtu, během které může odstraňovat nežádoucí stav. Tento časový nepoměr může být pro mnoho správců motivem, aby pouze „pracovali“ na odstranění závadného stavu. Ze strany kontrolního orgánu je nutné pak tyto neopodstatněné průtahy postihovat. Zákon o ochraně osobních údajů definuje výjimky, kdy správce smí zpracovávat nepřesné údaje, a to pouze pro zajištění obrany a bezpečnosti České republiky, pro účely veřejného pořádku a bezpečnosti a dalších potřeb orgánů státu či Evropské unie. Správce musí nepřesné údaje označit a informace o opravě či doplnění nebo případném blokování a likvidaci dat předat všem příjemcům. Především proto, aby všichni příjemci mohli postupovat stejně a ve svých evidencích a databázích dané osobní údaje doplnili, opravili a nebo je případně i zlikvidovali.
24
Pokud jde o rozsah a účel shromažďovaných osobních dat, měl by být správci znám ještě před započetím zpracování. Důležité je dodržovat zákonem stanovenou zásadu přiměřenosti. Příkladem může být situace, kdy správce uzavírá smlouvu ohledně pracovněprávního vztahu se subjektem údajů. Rozsah zpracovávaných údajů bude určen okruhem údajů, které identifikují smluvní stranu. Správce by měl shromažďovat jen ty osobní údaje, které mají k danému účelu určitý vztah. Zkušenosti z praxe ukazují, že snahou správců je zpracovávat osobní údaje v rozsahu nad míru nezbytnosti s tím, že v budoucnu se možná vyskytne potřeba zpracování těchto dat. Je zřejmé, že takové jednání je nepřípustné a mělo by být předmětem dozoru kontrolního orgánu.
Mezi primární oprávnění správce se řadí uchovávání osobních dat. Ze zákona vyplývá, že osobní údaje lze uchovávat pouze po dobu nezbytně nutnou pro účely jejich zpracování. Uplynutím této lhůty lze osobní data uchovávat pouze pro účely státní statistické služby, pro účely vědecké a pro archivnictví. Pokud správce provádí zpracování, které je mu uloženo na základě zákonné úpravy, pak je délka časového úseku, po kterou musí osobní údaje uchovávat, stanovena přímo nebo nepřímo zákonem. Například podle zákona o evidenci obyvatel a rodných čísel27 se údaje po úmrtí obyvatele nebo prohlášení osoby za mrtvou, které jsou vedené na prostředcích výpočetní techniky, uchovávají po dobu 75 let. V určitých případech lze dovodit časový úsek nepřímo. Takovým příkladem je katastr nemovitostí, kde jsou uchovávána data o právních vztazích včetně informací o vlastnících a jiných oprávněných k nemovitostem. Osobní údaje vlastníků či spoluvlastníků nemovitosti jsou tedy předmětem zpracovávání správce registru nemovitostí. Po uplynutí lhůty, která je vymezena zákonem, je správce povinen zlikvidovat data, ledaže jsou uchovávána nikoliv pro původní účel, ale pro účely státní statistické služby, pro účely vědecké a archivnictví. V tom případě je nutné dbát na to, aby byl subjekt údajů chráněn před neoprávněným zasahováním do soukromého a osobního života a jakmile je to možné, tak údaje anonymizovat. Povinnost anonymizace je v souladu se Směrnicí č. 95/46/ES.
Zásada, že lze zpracovávat osobní údaje jen v souladu s účelem, pro který byly správcem shromážděny, je velmi důležitá. Tato zásada má bránit tomu, aby správce či zpracovatel nemohl osobní data, která získal například pro poskytování sociální péče, zpracovávat pro komerční účely či je pro tento účel předávat jiným subjektům ke zpracování.
27
Ust. § 9 zákona č. 133/2000 Sb. o evidenci obyvatel a rodných čísel
25
S uvedenou zásadou je v rozporu jednání související s kopírováním osobních dokladů a úschovou duplikátů. V osobních dokladech jako je občanský průkaz je uvedeno mnohem více údajů, než je potřeba například k navázání smluvního vztahu a k následnému uzavření smlouvy. Argumentace správce, že tak činí pro zajištění přesnosti osobních dat neobstojí. Osobní údaje lze zpracovávat k jinému účelu jen v rámci výjimek, které jsou taxativně stanoveny v § 3 odst. 6 zákona o ochraně osobních údajů nebo pokud k tomu dal subjekt údajů souhlas. Orgány veřejné správy mají účel stanoven zákonem a tedy nepřichází v úvahu možnost jej změnit ani se souhlasem subjektů údajů.
Další zásada, která ukládá správci povinnost shromažďovat osobní údaje pouze otevřeně, směřuje k ochraně soukromí. Výslovně se v zákoně o ochraně osobních údajů vylučuje shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, zkráceně se označuje jako maskování skutečného účelu. Osobní údaje, které správce shromažďoval například prostřednictvím spotřebitelské soutěže, nelze použít pro marketingové účely jako je nabízení obchodu a služeb. S problémem se můžeme setkat i ve vztahu zaměstnavatel a zaměstnanec či ve vztahu mezi zaměstnavatelem a uchazečem o zaměstnání. Jestliže úmyslem správce je zpracovávat osobní údaje uvedené v grafologickém posudku, měl by být subjekt údajů předem informován a vyjádřit souhlas28. Pokud správce míní využívat shromážděné údaje nejen pro jeden účel, ale pro několik účelů, je povinen požádat subjekt údajů, aby poskytl souhlas ke zpracování osobních údajů pro všechny stanovené účely. Právem subjektu údajů je se rozhodnout, zda bude s takto rozsáhlým způsobem zpracování svých osobních dat souhlasit.
Povinnost správce nesdružovat osobní údaje, jež byly získány k rozdílným účelům, má zabránit narušování soukromí. Není přípustné, aby správce libovolně sdružoval osobní data, propojoval databáze s údaji získanými pro různé účely. Tímto jednáním by správce mohl vytvořit úplný obraz o životě a životních podmínkách subjektu údajů. Tato zákonná zábrana se týká především veřejnoprávních správců, kteří ve snaze vytvářet si společné databáze, přiřazují další osobní údaje např. obyvatel obce. Osobní data získávají z registrů, které jsou jim zpřístupněny díky své kompetenci. Jestliže takové jednání trvá delší dobu, může úředník obecního úřadu získat dokonalý přehled o spoluobčanech. Pokud Úřad
28
Matoušová Miroslava, Hejlík Ladislav Osobní údaje a jejich ochrana, str. 260
26
pro ochranu osobních údajů takové počínání zjistí, musí rozhodnými opatřeními zasáhnout a donutit správce, aby osobní údaje byly zpracovány v souladu s tímto zákonem.
Zásada, že správce či zpracovatel smí zpracovávat osobní údaje pouze se souhlasem subjektu údajů, je oprávněním subjektu údajů, aby osobní údaje byly zpracovávány s jeho souhlasem. Takový souhlas musí být založený na svobodné vůli osoby a hlavně se jedná o informovaný souhlas, který je vědomým projevem vůle subjektu údajů. Souhlas subjektu údajů je jednostranným právním úkonem, protože je to projev vůle subjektu údajů, který směřuje ke vzniku práv a povinností. Takový souhlas může poskytnout osoba, která je způsobilá k právním úkonům. Zákon o ochraně osobních údajů neřeší otázku zastoupení subjektu údajů při poskytnutí souhlasu. Podle občanského zákoníku29 je možné, aby subjekt údajů dal zmocnění právnické nebo fyzické osobě, která by jej na základě dohody o plné moci zastupovala. Forma souhlasu není zákonem o ochraně osobních údajů předepsána. Vzhledem k tomu, že povinností správce či zpracovatele je prokazování souhlasu subjektu údajů během celé doby zpracování osobních dat, lze považovat písemnou formu za nejvhodnější. Tento souhlas musí být dokumentován, i kdyby byl dán konkludentně. Miroslava Matoušová a Ladislav Hejlík ve své publikaci Osobní údaje a jejich ochrana uvádí: „Souhlas stvrzený podpisem subjektu údajů je standardní formou při přímém sběru osobních údajů od subjektu údajů, zejména s využitím formuláře nebo nějakého dokumentu obvyklého ve smluvních závazkových vztazích30.“ K tomu, aby subjekt údajů mohl dát souhlas ke zpracování svých osobních dat, musí být ze strany správce informován pro jaký účel zpracování a k jakým osobním údajům, jakému správci a na které období. Tak jako otázku zastoupení neřeší tento zákon, tak je tomu i u možnosti odvolat svůj souhlas. Vzhledem k tomu, že souhlas ke zpracování osobních údajů je unilaterální (jednostranný) právní úkon, může být kdykoliv subjektem odvolán. K odvolání souhlasu nemůže zabránit ani dohoda o neodvolatelném souhlasu. Bylo by to v rozporu s jednou z ústavních zásad, kde podstatou je, že fyzická osoba se nemůže vzdát předem svých práv.
Zákon o ochraně osobních údajů uvádí důvody, které opravňují správce zpracovávat osobní údaje bez souhlasu subjektu údajů. Souhlas není třeba, je-li zpracování osobních údajů nezbytné pro dodržení právní povinnosti správce. K zákonné povinnosti 29 30
Ust. § 31zákona č. 40/1964 Sb., občanský zákoník Matoušová Miroslava, Hejlík Ladislav Osobní údaje a jejich ochrana, str. 295
27
zaměstnavatele patří vést mzdové listy zaměstnanců, v kterých jsou obsaženy osobní údaje. Není samozřejmě v praxi reálné, aby správce (zaměstnavatel) získával souhlas ke každému zpracování osobních dat daného subjektu údajů (zaměstnance).
Další výjimkou ze zásady, že správce potřebuje souhlas subjektu údajů, je případ, kdy je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů a nebo pokud jde o jednání týkající se uzavření nebo změny smlouvy a je uskutečněné na návrh subjektu údajů.
Udělení souhlasu není třeba ohledně zpracování osobních dat, které je nezbytné k ochraně životně důležitých zájmů subjektu údajů. Životně důležitými zájmy lze především chápat zájem na ochraně života a zdraví subjektu údajů. V tomto případě je správce povinen získat bez zbytečného odkladu dodatečný souhlas subjektu údajů a jestliže správce takový souhlas nezíská, musí zpracování osobních dat ukončit a zpracované údaje zlikvidovat.
Dále správce nemusí získat souhlas, jestliže zpracovává oprávněně zveřejněné osobní údaje, a to údaje zveřejněné v souladu se zvláštním právním předpisem. Tímto však není dotčeno právo na soukromí a osobní život subjektu údajů. Osobní údaje zveřejňované zejména hromadnými sdělovacími prostředky nejsou vždy oprávněně zveřejněné osobní údaje.
Bez souhlasu subjektu údajů smí správce zpracovávat osobní údaje i tehdy, jestliže je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce či jiné dotčené osoby. Správce je oprávněn vést si pro svoji potřebu například registr osob, které mu nezaplatily nájemné. Avšak není oprávněn tento registr předat jinému subjektu. Vždy je přitom správce povinen dodržet právo na ochranu soukromého a osobního života subjektu údajů. Povinností správce je podle § 11 odst. 5 zákona o ochraně osobních údajů informovat subjekt údajů o takovém zpracování.
Souhlas také není třeba, jestliže správce poskytuje osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy. Tyto uvedené osoby se v okamžiku vstupu do veřejného života a výkonem veřejné činnosti vzdávají části svého soukromého života, která souvisí s jejich veřejnou činností. Osoby veřejného zájmu (politici, známí umělci) požívají menší ochrany v porovnání s ostatními subjekty údajů. U těchto osob bývá velice 28
nesnadné stanovit hranici mezi jejich veřejnou činností a soukromím, a je snahou mnohdy chápat jejich soukromé činnosti spíše jako veřejné. Je pochopitelné, že údaje, které mají vztah k čistě soukromému životu těchto osob, mohou být poskytnuty pouze s jejich souhlasem.
Další udělení souhlasu není potřeba, jestliže se jedná o zpracování osobních údajů výlučně pro účely archivnictví podle zákona o archivnictví a spisové službě31. Toto ustanovení zákona o ochraně osobních údajů je v souladu se Směrnicí č. 95/46/ES, která také pro tento účel zpracování osobních dat stanovuje mírnější režim.
Upravený režim je určen pro zpracování osobních údajů za účelem nabízení obchodu nebo služeb. Ze zákona o ochraně osobních údajů vyplývá, že je možno použít jméno, příjmení a adresu subjektu údajů, pokud je správce nebo zpracovatel získal z veřejného seznamu či v souvislosti se svojí činností, tedy činností správce nebo zpracovatele. Mnozí obchodníci této možnosti využívají, aby svým zákazníkům nebo budoucím zákazníkům nabízeli další výrobky či služby. Údaje jsou získávány z jejich činnosti (ze smluv mezi prodávajícím jako správcem a kupujícím jako subjektem údajů) nebo z veřejných seznamů (telefonní seznam). V případě, že subjekt údajů nechce být obtěžován nabídkou obchodu či služeb od určitého správce, je na straně subjektu údajů právo vyjádřit nesouhlas s tímto zpracováním. Vyjádření nesouhlasu musí být učiněno písemně. Na straně správce či zpracovatele je povinnost se zpracováním přestat. Ke jménu, příjmení a adrese subjektu údajů tak nelze bez jeho souhlasu přiřazovat další osobní údaje, kterými mohou být například údaje o rodinném stavu či povolání.
Zákon o ochraně osobních údajů umožňuje správci, který zpracovává údaje za účelem nabízení obchodu či služeb, předat je jinému správci. K takovému předání může dojít, jestliže jsou splněny zákonné podmínky: k získání údajů došlo v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje např. z veřejně přístupných evidencí údaje budou novým správcem využívány pouze za účelem nabízení obchodu a služeb subjekt údajů byl o záměru současného správce předem informován a nevyslovil nesouhlas
31
Zákon č. 499/2004 Sb., o archivnictví a spisové službě
29
Tento zákon nestanovuje, s jakým předstihem má být subjekt údajů informován o záměru správce. Lze předpokládat, že tento krok byl měl správce učinit v dostatečném předstihu.
Pro správce, kterému byly osobní údaje předány, platí absolutní zákaz poskytnutí těchto údajů jiné osobě. Cílem je neoslabit pozici subjektu údajů, který musí mít přehled o tom, kdo jeho data zpracovává. Pokud subjekt údajů nesouhlasí se zpracováním, které se týká předání jeho dat jinému správci, musí nesouhlas vyjádřit v písemné formě. V okamžiku, kdy správce obdrží vyjádření nesouhlasu, je jeho povinností vyrozumět o této skutečnosti každého správce, kterému již byly údaje předány. K ochraně správce nepochybně přispívá jeho oprávnění zpracovávat pro svoji potřebu seznam osob (tzv. „Robinsonů“), které vyjádřily nesouhlas se zpracováním svých osobních dat za účelem opakovaného nabízení obchodu či služeb. Tento seznam, který obsahuje jméno, příjmení a adresu subjektu údajů, nesmí být předán jinému správci.
Ze zákona o ochraně osobních údajů plyne, že osobní údaje zpracovává buď správce sám nebo může pověřit zpracováním údajů nebo k němu zmocnit někoho jiného. Takto zmocněný či pověřený subjekt se stává zpracovatelem. Zákonem může být vyloučeno pověřit jiný subjekt zpracováním. Příkladem je zpracování utajovaných informací32. V případě, že zvláštní zákon přímo stanoví, musí osobní data zpracovávat odlišný subjekt. To znamená, že správce si nemůže sám zvolit zpracovatele, ale jsou mu stanoveni. Jako příklad zvláštního zákona lze uvést zákon o evidenci obyvatel, kde zpracovatelem údajů, které jsou vedeny v informačním systému evidence obyvatel, jsou krajské úřady a obecní úřady s přenesenou působností33. Pokud zákon umožňuje, může správce pověřit někoho jiného zpracováním. Takovým případem je, jestliže správce pověří zpracováním mzdové agendy účetní firmu. Zpracovatelem osobních údajů se tak stává účetní firma, s níž je správce povinen uzavřít písemnou smlouvu o zpracování osobních údajů. Ve smlouvě musí být výslovně obsaženo v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Současně v ní musí zpracovatel poskytnout záruky o technickém a organizačním zabezpečení ochrany údajů. Je důležité se také zmínit o tom, že v případě způsobení škody subjektu údajů odpovídají jak správce, tak zpracovatel solidárně, tedy společně a nerozdílně.
32 33
Ust. § 69 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Ust.§ 3a) a § 4 zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech
30
Zpracovatel má obdobné povinnosti jako správce sám, protože přichází jako zpracovatel do styku s osobními údaji v rozsahu, jaký má správce. Dále je mu zákonem o ochraně osobních údajů stanovena jedna povinnost navíc. Jedná se o povinnost zpracovatele upozornit a ukončit zpracování osobních údajů, pokud zjistí porušení zákonných povinností správce, které jsou mu stanovené zákonem o ochraně osobních údajů. Jestliže zpracovatel tak neučiní, odpovídá solidárně se správcem za škodu způsobenou subjektu údajů. Povinností, která zohledňuje jedno ze základních práv34, je dbát, aby subjekt údajů při zpracování osobních dat neutrpěl újmu na svých právech. Především je to právo na zachování lidské důstojnosti a právo na ochranu před neoprávněným zásahem do soukromí subjektu údajů. V případě, že by subjektu údajů hrozila na těchto právech újma, nesmí správce ani zpracovatel údaje zpracovávat.
4.3.2 Citlivé údaje Citlivé údaje představují specifickou skupinu osobních údajů, pro které je stanoven zvláštní režim. Do této skupiny řadíme údaje, které v institutu ochrany osobních údajů jsou považovány za snadno využitelné k diskriminaci subjektu údajů. Jejich nekorektní zneužití může mít pro subjekt údajů závažné důsledky například v oblasti porušování základních lidských práv. Je zřejmé, proč jsou senzitivní osobní údaje přesně vymezenou kategorií. I navzdory mnohým harmonizačním novelám vnitrostátního předpisu, jsou mezi českým zákonem a Směrnicí č. 95/46/ES rozdíly. Příkladem toho je, že tato Směrnice nedefinuje pojem citlivý údaj, ale použije termín zvláštní kategorie údajů35. Citlivé údaje lze zpracovávat jen tehdy, pokud k tomu dal subjekt údajů souhlas. Takový souhlas má být výslovný, prokazatelný, informovaný. Musí splňovat stanovené náležitosti. Podle zákona o ochraně osobních údajů musí být subjekt při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je tento souhlas dáván, kterému správci a na jaké období. Správce musí být schopen během celé doby zpracování souhlas prokázat. Podmínkou zpracování údajů je, že správce splnil povinnost předem poučit subjekt údajů o jeho právech souvisejících s přístupem k informacím a ochranou práv.
34
Článek 10 odst. 2 Listiny základních práv a svobod : „Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života.“ 35 Matoušová Miroslava, Hejlík Ladislav Osobní údaje a jejich ochrana, str. 82
31
Při zpracování citlivých údajů jsou nastaveny přísnější podmínky než při zpracování ostatních osobních údajů. Podle dikce zákona o ochraně osobních údajů je možno zpracovávat senzitivní údaje bez souhlasu subjektu údajů pouze tehdy: 1) je-li to nezbytné v zájmu zachování života či zdraví subjektu údajů, ale také i jiných osob. Stejně se postupuje i v případě odvrácení bezprostředního závažného nebezpečí hrozícího majetku subjektu údajů nebo jiné osoby. Takto nakládat s citlivými údaji je ovšem možné pouze tehdy, kdy nelze souhlas získat zejména z důvodů fyzické, duševní nebo právní nezpůsobilosti, a i tehdy, pokud je nezvěstný nebo i z jiných obdobných důvodů. K ukončení zpracování údajů musí správce přistoupit vždy, jakmile uvedené důvody pominou a citlivé údaje musí zlikvidovat, ledaže by získal souhlas k dalšímu zpracování. 2) jestliže se jedná o zpracování v souvislosti se zajišťováním zdravotní péče, ochrany veřejného zdraví jako je např. zákon o ochraně veřejného zdraví36, v kterém je obsažena zvláštní úprava zpracování senzitivních i ostatních údajů v oblasti zdravotnictví. Dále sem patří posuzování zdravotního stavu jako je například posudková činnost podle zákona o sociálním zabezpečení37. 3) pokud je zpracování nezbytné pro dodržení povinností a práv správce, který je odpovědný
za
zpracování
citlivých
údajů
v oblasti
pracovního
práva
a zaměstnanosti. Například stanovené zákoníkem práce38 či služebním zákonem39. 4) jestliže jde o zpracování sledující politické, filosofické, náboženské či odborové cíle, které jsou prováděné v rámci oprávněné činnosti nadace, sdružení nebo jiného subjektu nevýdělečné povahy. Takové zpracování se vztahuje pouze na členy daného subjektu nebo na osoby, se kterými je sdružení v pravidelném styku souvisejícím s činností sdružení. Podstatné je, aby kontakt nebyl náhodný či jednorázový a vlastně se neopakující. Také se musí vyloučit takový kontakt, který je opakující se, ale nesouvisí s činností sdružení. Podmínkou platnosti výjimky je, že citlivé osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů mimo rámec. 5) pokud se jedná o citlivé údaje nezbytné pro provádění nemocenského pojištění, důchodového pojištění, resp. zabezpečení, státní sociální podpory, státních 36
Zákon č. 258/2000 Sb., o ochraně veřejného zdraví Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení 38 Zákon č. 65/1965 Sb., zákoník práce 39 Zákon č. 218/2002 Sb., o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech 37
32
sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi, a i sociálně-právní ochrany dětí. Podmínkou je, že se jedná o údaje podle příslušného zákona a že bude zároveň zajištěna ochrana citlivých údajů v souladu se zákonem. 6) jestliže se zpracování týká citlivých osobních údajů, které byly jednoznačně zveřejněny subjektem údajů. Osoba, která zveřejní své osobní údaje, se vzdává soukromí a je možné tyto údaje dále zpracovávat bez souhlasu subjektu, tedy dotčené osoby. 7) pokud jde o zpracování, které je nezbytné pro zajištění či uplatnění právních nároků. Příkladem je použití údajů ze smlouvy za účelem podání žaloby. 8) je-li zpracování osobních údajů určené výlučně pro účely archivnictví. V archivnictví se zpracovávají jak osobní údaje, které nejsou senzitivními údaji, tak i citlivé údaje. 9) jestliže se jedná o zpracování citlivých osobních údajů při předcházení, vyhledávání, odhalování trestné činnosti, dále při stíhání trestných činů a konečně při pátrání po osobách. Musí být splněna podmínka, že se jedná o citlivé údaje podle zvláštních zákonů.
4.3.3. Informační povinnost Informační povinnost správce slouží k zajištění ochrany osobních údajů a práv jejich subjektů. Povinnost správce informovat subjekt údajů nastává v okamžiku shromažďování osobních údajů. Oprávnění subjektu být informován je obsaženo nejen v ustanovení tohoto zákona týkající se souhlasu subjektu údajů se zpracováním, ale i v některých zvláštních zákonech. Obsahem informace, kterou poskytuje správce subjektu údajů, musí být uvedení o tom, v jakém rozsahu a pro jaký účel budou údaje zpracovány, kdo a jakým způsobem je bude zpracovávat, rovněž je nezbytné identifikovat osoby, kterým mohou být údaje zpřístupněny. Správce je zproštěn informační povinnosti, jestliže subjektu údajů jsou uvedené informace známy. K informační povinnosti správce také patří informovat subjekt údajů o jeho právu přístupu k osobním údajům či právu na opravu těchto údajů. Správce má další povinnost vůči subjektu údajů v okamžiku, kdy zpracovává osobní údaje získané přímo od něho. Musí poučit subjekt údajů o tom, zda je poskytnutí údajů dobrovolné či zda je subjekt údajů povinen údaje mu poskytnout. Pokud je zvláštním zákonem stanovena povinnost subjektu údajů poskytnout data pro zpracování, musí být také správcem poučen o této skutečnosti a o následcích, které by nastaly po odmítnutí. Zákon o ochraně osobních
33
údajů uvádí výčet případů, při jejichž naplnění není správci stanovena povinnost poskytovat subjektu údajů informace a poučení. Výjimky se vztahují pouze na případy, kdy správce osobní data nezískal od subjektu údajů. Příkladem může být zpracování osobních údajů výlučně pro účely státní statistické služby, vědecké nebo archivní účely, kde správce tuto povinnost nemá. Plnění informační povinnosti neomezuje právo subjektu údajů požadovat informace podle dalších předpisů, které zakotvují právo na informace40. Jednou z dalších povinností správce je informovat subjekt údajů o zpracování jeho osobních údajů, které je nezbytné pro ochranu práv správce, a též o zpracování citlivých údajů, které je nezbytné pro zajištění a uplatnění právních nároků. Součástí ochrany práva subjektu údajů je kategorický zákaz vydat rozhodnutí pouze na základě automatizovaného zpracování osobních dat, aniž by toto rozhodnutí správce či zpracovatel ověřil. Neplatnost zákazu je v okamžiku, kdy takové rozhodnutí je vydané ve prospěch subjektu údajů a na jeho žádost.
Právem subjektu údajů je požadovat, aby správce či zpracovatel mu předal informace o zpracování jeho osobních údajů. Povinností správce je předat informaci bezodkladně. Obsahem informace je především sdělení o tom, k jakému účelu jsou data zpracována, jaké kategorie osobních údajů jsou předmětem zpracování a také o povaze automatizovaného zpracování, kterého je využito pro rozhodování o právech a oprávněných zájmech dotčeného subjektu údajů. Je na správci, zda bude za poskytnutí informace požadovat úhradu. Úhrada by neměla převyšovat náklady na poskytnutí informace.
4.3.4 Bezpečnost osobních údajů Správcům a zpracovatelům je stanovena obecná povinnost chránit osobní údaje. Správci a zpracovatelé jsou povinni zajistit zabezpečení dat nejen před úmyslným či neoprávněným jednáním osob, ale také proti působení přírodních událostí jako je zemětřesení či požár nebo proti selhání techniky. Lze říci, že zpracování osobních údajů je podmíněno jejich ochranou. Z dikce tohoto zákona plyne, že správce a zpracovatel jsou povinni zabezpečit ochranu osobních údajů nejen po celou dobu, po kterou je mají v dispozici, ale i po ukončení zpracování. Například než budou údaje předány jinému správci. Při zabezpečení osobních údajů půjde vlastně o soustavu technických, organizačních a právních prostředků, jež mají zabránit protiprávnímu jednání nebo události41. Tato 40 41
Např. zákon č. 123/1998 Sb., o právu na informace o životním prostředí Mates Pavel Ochrana osobních údajů, str. 55
34
technicko-organizační
opatření
jsou
správci
či
zpracovatelé
povinni
zpracovat
a dokumentovat. Je zřejmé, že zabezpečení informačních systémů je věnována velká pozornost. Ovšem již menší pozornost bývá věnována personální bezpečnosti, organizačním opatřením. V zákoně o ochraně osobních údajů je uveden výčet situací, u kterých správce či zpracovatel posuzuje rizika a k jejich předcházení musí přijímat opatření k zabezpečení ochrany osobních údajů.
Tímto zákonem je správcům a zpracovatelům uložena povinnost, aby určili podmínky a rozsah, za kterých mohou jejich zaměstnanci a případně i jiné osoby zpracovávat osobní údaje. Tyto osoby musí respektovat stanovené podmínky, které by správce a zpracovatel měl vymezit například v pracovní smlouvě či v pracovním řádu nebo v jiném interním organizačním předpisu. Při nedodržení těchto podmínek by dotčené osoby porušily nejen ustanovení zákona o ochraně osobních údajů, ale jednalo by se i o porušení pracovněprávních
předpisů.
Povinnost
zachovávat
mlčenlivost
je
dána
všem
zaměstnancům správce a zpracovatele, jiným fyzickým osobám, jež zpracovávají údaje na základě smlouvy se správcem či zpracovatelem, ale i dalším osobám, které přicházejí do styku s osobními údaji při plnění oprávnění a povinností. Mlčenlivost jsou povinni zachovávat i po skončení své činnosti. V opačném případě by vůči nim mohly být vyvozeny sankce. Jestliže je někomu uložena povinnost zachovávat mlčenlivost i podle zvláštních zákonů, je povinen dodržovat také toto. Jsou jimi například osoby vykonávající svobodné povolání jako advokáti, notáři. Povinnost zachovávat mlčenlivost ovšem neplatí tam, kde zvláštní zákon ukládá informační povinnost. Týká se to například zákona o bankách nebo trestního zákona.
4.3.5 Oznamovací povinnost Každému, kdo hodlá zpracovávat osobní údaje, je uložena povinnost tuto skutečnost písemně oznámit dozorovému orgánu, tedy Úřadu pro ochranu osobních údajů. Cílem registrace je získat pro účely kontroly přehled o tom, kdo a jakým způsobem zpracovává osobní data. Z hlediska časového průběhu je třeba provést oznámení před započetím zpracování. Oznamovací povinnost se vztahuje na něj i tehdy, pokud hodlá změnit registrované zpracování. Úřad pro ochranu osobních údajů přistoupil k elektronickému způsobu přijímaní registračních oznámení. Účelem zavedení elektronického formuláře42 je 42
Registrační formulář - oznámení o zpracování (změně zpracování) osobních údajů podle ust. § 16 zákona č. 101/2000 Sb. o ochraně osobních údajů - v příloze č.1
35
zejména zjednodušit a ulehčit plnění oznamovací povinnosti. Oznámení musí obsahovat veškeré stanovené náležitosti. Jestliže tato podmínka je splněna, lze po uplynutí 30 dnů od doručení oznámení zahájit zpracování osobních dat. V případě, že Úřad pro ochranu osobních údajů oznámení zaregistroval, nevydává žádné rozhodnutí, pouze na žádost správce vydá osvědčení o provedené registraci. V opačném případě Úřad pro ochranu osobních údajů vyzve oznamovatele, aby doplnil své oznámení o chybějící či nedostatečné informace. Zároveň je správci stanovena 30 denní lhůta k doplnění oznámení, která začíná běžet dnem doručení doplnění oznámení. Pokud Úřad pro ochranu osobních údajů neobdrží ve stanovené lhůtě doplnění oznámení, má za to, že učiněné oznámení nebylo podáno. Na registrační řízení se nevztahuje správní řád. V situaci, kdy z oznámení vznikne důvodná obava, že by mohlo při zpracování osobních údajů dojít k porušení zákonných povinností, zahájí Úřad pro ochranu osobních údajů řízení. Podle výsledku řízení buď provede zápis nebo vydá správní rozhodnutí, v kterém zpracování osobních údajů nepovolí. V případě, kdy Úřad pro ochranu osobních údajů zjistí, že oznámení zapsané do registru porušuje podmínky stanovené zákonem o ochraně osobních údajů, vydá rozhodnutí o zrušení registrace. Jestliže Úřad pro ochranu osobních údajů zjistí z vlastního podnětu či z podnětu správce, že pominul účel zpracování, tak rozhodne o zrušení takové registrace.
Výjimky z oznamovací povinnosti jsou stanovené zákonem o ochraně osobních údajů. Oznamovací povinnosti nepodléhá zpracování osobních údajů tam, kde zpracování údajů je součástí datových souborů veřejně přístupných. Musí se jednat o datové soubory veřejně přístupné na základě zvláštního zákona. O výjimku jde i u zpracování osobních údajů na základě zvláštního zákona nebo pokud jsou zpracovávané osobní údaje třeba k uplatnění práv a povinností, o kterých to stanoví zvláštní zákon. Správce zpracovávající takové osobní údaje je povinen zajistit, aby informace, které se týkají především účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a konečně doby uchování, byly zpřístupněny. Jedná se o takové údaje, které by jinak byly přístupné Úřadem pro ochranu osobních údajů. Forma zpřístupnění informací může být provedena způsobem umožňující dálkový přístup, například na webové stránce správce nebo jinou vhodnou formou. Poslední výjimka se týká zpracování osobních údajů v rámci oprávněné činnosti, jež sleduje politické, filosofické, náboženské či odborové cíle. Takové zpracování se týká pouze členů sdružení nebo osob, s nimiž je sdružení v opakujícím se kontaktu,
36
který souvisí s oprávněnou činností sdružení. Podmínkou je, že osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.
Správci, na kterého se vztahuje oznamovací povinnost, je stanoveno zákonem o ochraně osobních údajů, aby v případě, že hodlá ukončit svou činnost, Úřadu pro ochranu osobních údajů neprodleně oznámil, jak naložil s osobními údaji. Likvidací osobních dat dochází k uzavření procesu jejich zpracování. Po ukončení jejich zpracování přetrvává povinnost přijmout opatření k zabezpečení údajů. Povinnost likvidovat osobní údaje vzniká, jestliže pomine účel zpracování nebo na základě požadavku subjektu údajů. Výjimka se týká uchovávání osobních údajů pouze pro účely archivnictví a pak i osobních údajů, které jsou důležité pro uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.
4.3.6 Ochrana práv subjektů údajů K ochraně práv subjektů údajů poskytuje zákon o ochraně osobních údajů prostředky vůči protiprávnímu jednání správce či zpracovatele. Pavel Mates uvádí ve své publikaci Ochrana soukromí ve správním právu: „Pokud zjistí, že z jejich strany došlo ke zpracování, které narušuje jeho soukromý a osobní život, nebo je v rozporu se zákonem, může je požádat o vysvětlení a dále požadovat, aby odstranili závadný stav, zejména osobní údaje blokovali, doplnili nebo likvidovali43.“ Je-li žádost subjektu údajů oprávněná, je správce či zpracovatel povinen odstranit protiprávní stav. Jestliže tak správce nebo zpracovatel neučiní a nevyhoví podnětu ze strany subjektu údajů, je právem dotčeného subjektu obrátit se přímo na Úřad pro ochranu osobních údajů. Zákonem o ochraně osobních údajů není předepsáno, aby subjekt údajů postupoval takto. Na dozorový orgán se může s podnětem nebo stížností obrátit přímo. Pokud v souvislosti se zpracováním osobních dat vznikla subjektu údajů jiná než majetková újma, kterou může být například snížení občanské cti, použije se při uplatňování nároku ustanovení o ochraně osobnosti podle občanského zákoníku. Za předpokladu, že došlo k porušení povinností jak na straně správce, tak na straně zpracovatele, je stanovena solidární odpovědnost, tedy odpovídají společně a nerozdílně. Ze zákona o ochraně osobních údajů vyplývá, že subjekt údajů se může domáhat nároků u kteréhokoliv z nich. Správce je povinen informovat příjemce o opatření při zpracování osobních dat, které provedl na oprávněný podnět subjektu údajů. Správce není povinen informovat příjemce tehdy, pokud je informování nemožné nebo by 43
Mates Pavel Ochrana soukromí ve správním právu, str. 220
37
vyžadovalo neúměrné úsilí. Za nemožnou se uvádí například situace, kdy nepřesné údaje byly poskytnuty velkému množství subjektů. Vznikne-li v souvislosti se zpracováním osobních údajů subjektu údajů škoda, jež byla způsobena správcem, zpracovatelem, resp. jinou osobu, postupuje se podle obecné právní úpravy odpovědnosti za škodu, která je obsažena v občanském zákoníku a obchodním zákoníku44.
4.4 Předávání osobních údajů do jiných států Moderní a na komunikačních prostředcích založená společnost potřebuje ke svému fungování, aby bylo možné předávat osobní údaje bez komplikací z jednoho státu do druhého. Zákon o ochraně osobních údajů upravuje poskytování osobních údajů do jiných států. V souladu s článkem 1 odst. 2 Směrnice č. 95/46/ES je stanoveno v tomto zákoně, že nesmí být omezován volný pohyb osobních údajů. Týká se to údajů předávaných do členských států Evropské unie.
Zákon o ochraně osobních údajů upravuje i předávání osobních údajů do třetích zemí. K možnému předání do třetích zemích může dojít v případě, že mezinárodní smlouva, která byla ratifikovaná Parlamentem České republiky a kterou je Česká republika vázána, stanoví zákaz omezování volného pohybu údajů. Případně jsou údaje předány na základě rozhodnutí orgánu Evropské unie.
Předávání osobních dat je možné i do států, které nesplňují žádnou z uvedených podmínek. K předání údajů může dojít z důvodů, které uvádí zákon o ochraně osobních údajů:
a) předávání se děje se souhlasem nebo na pokyn subjektu údajů. b) v zemi, ve které mají být osobní údaje zpracovány, jsou vytvořeny dostatečné záruky jejich ochrany. Garance mohou být upřesněny smlouvou mezi správcem a příjemcem, jejíž součástí jsou smluvní doložky pro předání osobních údajů do třetích zemí. c) jedná se o osobní údaje, které jsou součástí datových souborů veřejně přístupných či přístupných těm, kteří prokáží právní zájem. Rozsah zpřístupněných osobních údajů je omezen zvláštním zákonem.
44
Zákon č. 513/1991 Sb., obchodní zákoník
38
d) předání osobních údajů je nutné pro uplatnění důležitého veřejného zájmu, který vyplývá ze zvláštního zákona či z mezinárodní smlouvy, kterou je naše republika vázaná. Příkladem můžou být smlouvy se státy o předávání osob. e) předání osobních údajů je nezbytné pro jednání o uzavření nebo změně smlouvy. Toto jednání musí být uskutečněno z podnětu subjektu údajů. f) předání osobních údajů je nutné pro plnění smlouvy uzavřené mezi správcem a třetí stranou, a to v zájmu subjektu údajů či pro uplatnění jiných právních nároků. Smyslem ustanovení je umožnit předání údajů například k takovým účelům jako je rezervace letenek v cizině. g) jedná se o nezbytné předání osobních údajů pro ochranu práv či životně důležitých zájmů subjektu údajů, především jde o údaje potřebné k záchraně života nebo i jiné zdravotní péče.
Správci je stanovena povinnost, aby požádal Úřad pro ochranu osobních údajů o povolení k předání údajů do třetích zemí. Při posuzování žádosti Úřad pro ochranu osobních údajů přihlíží k tomu, jaký je zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a doba zpracování, a k dalším právním předpisům, které upravují zpracování údajů v konkrétní třetí zemi. V povolení k předání Úřad pro ochranu osobních údajů určí dobu, po kterou smí správce předání provádět. Úřad pro ochranu osobních údajů si vyhrazuje v rozhodnutí právo, že dojde-li ke změně podmínek, za kterých bylo vydáno, jej změnit či zrušit. Změna podmínek může být vyvolána především na základě rozhodnutí orgánu Evropské unie. Bez souhlasu smí správce předávat osobní údaje do třetích zemí, jestliže tak stanovuje zvláštní zákon. Takovým zvláštním zákonem je například zákon o Policii České republiky nebo celní zákon.
39
5. Zvláštní právní úprava 5.1 Zákon o bankách V oblasti ochrany osobních údajů představuje zákon o ochraně osobních údajů obecnou právní normu. V řadě zákonů jsou obsaženy odchylky od obecné úpravy. Tyto zákony jsou ve vztahu k zákonu o ochraně osobních údajů zákony zvláštními. Ustanovení zvláštních zákonů, které se dotýkají ochrany osobních údajů, mají přednost před obecnou normou. Samotný zákon o ochraně osobních údajů se zvláštní úpravou počítá v mnoha jeho ustanoveních. Ochranu osobních dat upravuje velký počet zákonů. Rozsáhlou zvláštní úpravu v oblasti zpracování osobních dat má zákon č. 238/1991 Sb., o Policii České republiky, zákon č. 21/1992 Sb., o bankách, zákon č.13/1993 Sb., celní zákon, zákon č.328/1999 Sb., o občanských průkazech, zákon č. 301/2000 Sb., o matrikách, jménu a příjmení. Uvádím zde jen nepatrný výčet zákonů, v kterých je upravena oblast zpracování osobních údajů. Zvláštní právní úprava, která stanovuje nezbytné odchylky, vždy musí respektovat obecnou právní úpravu, v níž je obsažen obecný režim ochrany osobních údajů.
Stejně jako u zákona o ochraně osobních údajů bylo potřeba při přistoupení České republiky do Evropské unie dosáhnout harmonizace i u zákona o bankách v oblasti ochrany osobních údajů s právními předpisy Evropské unie. V důsledku toho byla zakotvena povinnost bank aplikovat při zpracování osobních údajů ustanovení, jež jsou slučitelná s evropskými pravidly a též s obecnými ustanoveními zákona o ochraně osobních údajů.
Zákon o bankách je speciální právní úpravou pro oblast podnikání bank. Upravuje vztahy, které souvisí se vznikem, podnikáním a zánikem bank se sídlem na území České republiky, vztahuje se i na pobočky tuzemských bank v zahraničí, ale i na působení zahraničních bank v tuzemsku. Banka je vždy právnickou osobou, která je založena výlučně ve formě akciové společnosti. Povinností bank je respektovat obecnou právní úpravu, především obchodní zákoník či i zmiňovaný zákon o ochraně osobních údajů. Oblast zpracování osobních údajů je upravena v části šesté týkající se bankovního dohledu a povinnosti mlčenlivosti. A v části dvanácté, která upravuje mimo jiné institut bankovního tajemství.
40
Ustanovení v šesté části zákona o bankách se týká povinnosti mlčenlivosti zaměstnanců orgánu bankovního dohledu. Je důležité si uvědomit, že společnost reaguje velice citlivě na informace, které se týkají finanční situace bank, a jejich únik může způsobit dané bance nemalé ztráty. Všechny osoby, které plní úkoly bankovního dohledu nebo nucené správy, jsou povinny zachovávat mlčenlivost o všech údajích získaných při výkonu bankovního dohledu. Tato mlčenlivost trvá i po skončení povolání, zaměstnání nebo funkce. Získané informace mohou poskytovat třetím osobám v souhrnné podobě, která znemožňuje identifikaci jednotlivých osob. Třetí osobou může být například jiný zaměstnanec České národní banky, který není pověřen bankovním dohledem. Informace, které jsou chráněné bankovním tajemstvím, se použijí pouze k plnění úkolů bankovního dohledu, nucené správy nebo v soudním řízení. Co se týče soudního řízení, jedná se o řízení v souvislosti s rozhodnutím či výkonem bankovního dohledu a nebo v obdobném řízení před mezinárodním orgánem.
Zákon o bankách uvádí výjimky, kdy se nejedná o porušení povinnosti mlčenlivosti ohledně poskytnutí získaných informací v souvislosti s výkonem bankovního dohledu při dodržení zákonných podmínek. Porušením povinnosti mlčenlivosti není ani poskytnutí informací získaných při výkonu bankovního dohledu veřejným orgánům a dalším osobám za účelem plnění jejich funkcí, pokud jsou opět dodrženy zákonné podmínky. Ustanovení zákona o bankách obsahuje výčet těchto orgánů a osob, mezi které patří například provozovatelé platebního systému, orgány činné v trestním řízení, centrální banky nebo auditor účetní závěrky banky. Dále tyto informace můžou být poskytovány mezinárodním organizacím, které působí na úseku boje proti trestné činnosti a také orgánům cizích států, které jsou činnými v trestním řízení za účelem plnění jejich funkce. Zároveň musí být splněna podmínka, že příslušný orgán nebo osoba chrání informace nejméně v rozsahu, který je požadován právem Evropských společenství. Informace, které jsou získané od orgánů cizích států, lze použít pouze k účelu, k jakému byly poskytnuty a nelze je bez souhlasu poskytovatele poskytnout nikomu dalšímu.
Ustanovení v části dvanácté zákona o bankách jsou obsahem různorodá, kromě jiného upravují problematiku bankovního tajemství, povinnost mlčenlivosti zaměstnanců bank, zřízení databáze klientů a jiná ustanovení upravující oblast zpracování osobních údajů. Banky a pobočky zahraničních bank mají výslovně povinnost pro účely bankovních obchodů zjišťovat a zpracovávat údaje o osobách včetně rodného čísla, s výjimkou 41
citlivých údajů, aby bylo možné bankovní obchod uskutečnit bez nepřiměřených rizik pro banku.
Zákon o bankách chrání veškeré bankovní obchody, peněžní služby bank včetně stavů na účtech a depozit a s tím související i osobní údaje klientů. Tento zákon nevymezuje definici bankovního tajemství, avšak je možno odvodit, že jsou jím všechny informace, které jsou spojené s bankovními obchody, peněžními službami včetně stavů na účtech a depozit45. Průlom bankovního tajemství je podle dikce zákona o bankách učiněn ve prospěch orgánů bankovního dohledu. Povinností banky je podat informace, které jsou předmětem bankovního tajemství, osobám pověřeným výkonem bankovního dohledu. Také v případě výměny informací mezi Českou národní bankou a orgány bankovního dohledu, toto není považováno za porušení bankovního tajemství. Předmětem takové výměny jsou informace o subjektech, které působí či hodlají působit na území určitého státu. O porušení povinnosti ohledně dodržení bankovního tajemství se nejedná v případě sdělení údajů o klientovi a jeho obchodech v souvislosti s podáním trestního oznámení a nebo při plnění oznamovací povinnosti, která je dána zákonem o některých opatřeních proti legalizaci výnosů z trestné činnosti46 nebo dle zákona o provádění mezinárodních sankcí47.
Považuji za podstatné se zde zmínit o ustanovení zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti, který stanovuje povinnost identifikace. Povinná osoba, která je účastníkem obchodu v hodnotě převyšující částku 1000 EUR, musí vždy před jeho uskutečněním identifikovat klienta. Povinnost identifikovat klienta bez ohledu na limit má i tehdy, pokud půjde například o podezřelý obchod, vznik obchodního vztahu, uzavření smlouvy o účtu, uzavření smlouvy o nájmu bezpečnostní schránky nebo smlouvy o úschově atd.
Zákon o bankách uvádí výčet orgánů, které mají oprávnění požadovat na bance zprávu o záležitostech, která se týká klienta a která je předmětem bankovního tajemství. Povinností banky je poskytnout dotčenému orgánu zprávu bez souhlasu klienta. Podmínkou je písemné vyžádání. Dále podá banka zprávu o záležitostech týkajících se
45
Barák Josef a kol. Zákon o bankách – komentář a předpisy související, str. 197 Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti 47 Zákon č. 69/2006 Sb., o provádění mezinárodních sankcí 46
42
klienta, které jsou bankovním tajemstvím, v souvislosti se svým podnikáním na území jiného státu. Zpráva je poskytnuta i bez souhlasu klienta a to tehdy, jestliže je to nutné ohledně plnění povinností, které ukládá právní řád daného státu.
Josef Barák ve své publikaci konstatuje: „Skutečnost, že platební kázeň dlužníků vůči bankám je v některých případech bohužel na nízké úrovni a vymahatelnost pohledávek bank na těchto dlužnících, kdy se často jedná o částky v řádu milionů, je z řady příčin značně problematická48.“ Právě ustanovení zákona o bankách omezuje povinnost banky ohledně zachovávání bankovního tajemství v případech, kdy se klient dostane do prodlení s peněžitým plněním delším než 60 dnů. Banka je oprávněna informovat jiné banky, třetí osoby nebo veřejnost o porušení smlouvy. Podstatné je, že smí uvést pouze název klienta a označení porušení. Je zde dán prostor klientovi, který může předejít uplatnění tohoto práva ze strany banky, pokud do 30 dnů od porušení povinností uzavře s bankou dohodu o nápravě.
Banky a pobočky zahraničních bank mají oprávnění vzájemně si předávat informace o bankovním spojení, údaje o majitelích účtů a o záležitostech, které vypovídají o bonitě klienta. Mohou tak činit i prostřednictvím jiné právnické osoby, tedy zpracovatele.
Podle tohoto zákona vytváří Česká národní banka z dat získaných od bank a dalších osob databázi klientů. Nejedná se o porušení bankovního tajemství, pokud banky poskytnou údaje do registru. Povinností bank je přistupovat k získaným údajům o klientech jiných bank tak, jako by se jednalo o údaje vlastních klientů. Právem klienta je seznámit se s údaji, které jsou o něm v registru vedeny. Podmínkou je, aby se dané údaje týkaly jeho osoby nebo právnické osoby, kterou zastupuje. V Centrálním registru úvěrů jsou shromážděny informace o pohledávkách za dlužníky.
Konečně je důležité říci, že zaměstnanci banky a členové dozorčí rady jsou povinni zachovávat mlčenlivost ve věcech, které se dotýkají zájmů banky a jejích klientů. Povinnost zachovávat mlčenlivost platí pro uvedené osoby i po skončení pracovněprávního či jiného obdobného vztahu.
48
Barák Josef a kol. Zákon o bankách – komentář a související předpisy, str. 199
43
5.2 Zákon o Policii České republiky Součástí zákona č. 283/1991 Sb., o Policii České republiky jsou ustanovení týkající se zpracování osobních údajů. Policie při výkonu celé řady svých činností zpracovává osobní data. Jestliže policie zpracovává osobní údaje za účelem předcházení a odhalování trestné činnosti, postupuje v souladu se zákonem o policii. Při zpracování údajů pro jiné potřeby pro ni platí režim zákona o ochraně osobních údajů. Zákon o ochraně osobních údajů stanovuje výjimky ze své působnosti pro Policii České republiky. Policie je zmocněna, aby v rozsahu nezbytně nutném pro plnění svých úkolů zpracovávala jednak veškeré potřebné informace a jednak osobní údaje.
Dle zákona o policii je dáno policistům zvláštní oprávnění v případě, kdy nemůžou získat osobní údaje, jež by umožnily identifikaci osoby. Toto oprávnění lze uplatnit u osoby obviněné ze spáchání trestného činu nebo u nalezené osoby, po které bylo vyhlášeno pátrání a u které není dána způsobilost k právním úkonům v plném rozsahu. Policista je oprávněn takovým osobám sejmout daktyloskopické otisky, provádět měření těla, zjišťovat tělesné znaky a jiné. Policie může pořizovat zvukové, obrazové či jiné záznamy, jestliže je to potřebné pro plnění jejich úkolů.
Pokud policie zpracovává osobní údaje v souvislosti s trestním řízením, je povinna: a) stanovit účel zpracování osobních údajů b) shromáždit pouze údaje, které odpovídají účelu a v rozsahu nezbytném k jeho naplnění c) uchovávat údaje po nezbytně dlouhou dobu k účelu jejich zpracování d) zpracovávat údaje pro účely související s trestním řízením odděleně od údajů, které jsou zpracovávané při plnění jiných úkolů e) informovat neprodleně Úřad pro ochranu osobních údajů o zřízení každé evidence, která obsahuje osobní údaje
Policie je oprávněna v souvislosti s trestním řízením zpracovávat nepravdivé, nepřesné a neověřené osobní údaje. Dále může sdružovat osobní údaje, které byly získány k rozdílným účelům. Policie je zmocněna zpracovávat citlivé údaje, pokud je to vzhledem k povaze trestného činu nezbytné. V případě trestního řízení policie při zpracování osobních dat nepotřebuje souhlas subjektu údajů. Zároveň s tím je povinna dbát práva 44
na ochranu soukromí a osobního života. V okamžiku, kdy už není ohroženo plnění úkolů policie, musí být subjektu údajů sděleno, že o něm zpracovává osobní data.
Při pátrání po osobách je policie vybavena dalšími oprávněními, které se týkají zpracování osobních údajů. Smí sdružovat v potřebném rozsahu údaje k rozdílným účelům a zpracovávat senzitivní údaje pohřešovaných osob. Po nalezení hledaných či pohřešovaných osob má být provedena bezodkladná likvidace osobních údajů. K likvidaci se nemusí přistoupit, pokud se jedná o osobu, která je hledána nebo pohřešována opakovaně a pokud je předpoklad, opětovného pohřešování. Likvidace se neprovádí ani u osobních údajů osob, které jsou zpracovávány v souvislosti s trestním řízením.
Policie je povinna nejméně jednou za tři roky prověřit, zda je nadále potřeba zpracovávat osobní údaje v souvislosti s trestním řízením, resp. při pátrání po osobách49. Jestliže zpracování osobních údajů již není potřebné, provede policie likvidaci údajů. Ohledně informování o osobních údajích, je každý oprávněn se dozvědět, jaké údaje jsou o něm zpracovávány policií. K písemné žádosti je policie povinna do 30 dnů od jejího doručení sdělit bezplatně žadateli, zda a jaké osobní údaje o něm zpracovává. Pokud žadatel zjistí, že údaje vedené o jeho osobě jsou nepravdivé nebo nepřesné, má právo písemně požádat policii o jejich likvidaci či opravu. Takové žádosti policie neprodleně vyhoví. O žádostech rozhoduje v řízení Policejní prezidium ČR. Žádosti by nevyhověla v okamžiku, kdy by došlo k ohrožení plnění úkolů v souvislosti s trestním řízením nebo k ohrožení zájmů třetí osoby. Pokud policie nezpracovává žádná osobní data daného subjektu, vyrozumí o tom žadatele. Stejně postupuje i tehdy, pokud by sdělením rozhodnutí došlo k ohrožení plnění úkolů policie v souvislosti s trestním řízením. Na řízení o vyřizování žádosti se nevztahuje správní řád.
Policie může předat osobní údaje jiným orgánům nebo osobám, pokud tak stanoví zákon o policii nebo zvláštní zákon a pokud je to ve prospěch osoby, ke které se osobní údaje vztahují a která dala souhlas k předání či lze tak předpokládat. Dále je možné předat osobní údaje, je-li to nezbytné k odstranění bezprostředního závažného ohrožení bezpečnosti osob či veřejného pořádku (např. poskytnutí ochrany svědkovi). Policie údaje předá na základě písemné žádosti. Jestliže je účelem předání údajů ochrana bezpečnosti osob nebo veřejného
49
Mates Pavel a kol. Policejní právo, právní předpisy s komentářem, str.124
45
pořádku, může je policie předat i bez žádosti. Policie může předávat jen pravdivé a přesné údaje, neověřené lze předávat s označením neověřené údaje a s uvedením míry jejich spolehlivosti. Jestliže policie následně zjistí, že došlo například náhodou či omylem k předání nepravdivých či nepřesných osobních dat, je její povinností bezodkladně informovat příjemce. Příjemce má oprávnění zpracovávat osobní údaje pouze k účelu, k němuž mu byly předány. Zákon o policii připouští výjimku tehdy, pokud jsou současně splněny dvě podmínky, a těmi jsou oprávněnost zpracovávat údaje i pro tento další účel a předchozí souhlas policie. Do zahraničí police předává osobní data Interpolu, Europolu a také při využívání Schengenského informačního systému. Zveřejňovat osobní údaje policií je možné v rozsahu nezbytném k plnění úkolů v souvislosti s trestním řízením či při pátrání po pohřešovaných osobách. Lze tak činit prostřednictvím hromadných sdělovacích prostředků nebo veřejným sdělením, jako je například veřejná vyhláška, plakát.
Zvláštním režimem je upravena ochrana osobních údajů při poskytování informací například dalším složkám policie, ministerstvu vnitra, Bezpečnostní informační službě České republiky. Poskytování informací jiným státním orgánům a organizacím je možné jen v případě, kdy je to nezbytné pro plnění jejich úkolů dle zákona.
Naopak policie je oprávněna požadovat od státních orgánů, orgánů obcí či právnických a fyzických osob pomoc. Jedná se o informace a potřebné podklady z evidencí, které jsou provozované dle dikce zvláštního zákona. Platí zásada, že informace včetně osobních údajů může policie žádat jen v míře a v rozsahu nezbytně nutném pro plnění svých úkolů. Správce či zpracovatel je povinen žádosti ihned vyhovět. Policie při plnění svých úkolů je oprávněna žádat informace z databází účastníků veřejné telefonní služby, evidence občanských průkazů, cestovních dokladů, diplomatických a služebních pasů a z registru řidičů. Způsob předávání informací je dálkový a nepřetržitý přístup do uvedených databází. Při sledování osob a věcí je policie oprávněna požadovat předávání informací, které souvisí s poskytováním telekomunikačních služeb. Osobní data a soukromí osob je chráněno tím, že policie smí žádat jen data potřebná ke splnění konkrétního úkolu. Všichni zaměstnanci správce či zpracovatele dané evidence jsou povinni zachovávat mlčenlivost. Ministerstvo vnitra poskytuje policii údaje o obyvatelích z informačního systému evidence obyvatel a z registru rodných čísel. Poskytování údajů je v elektronické podobě, která umožňuje dálkový přístup. Zákon o policii uvádí taxativní výčet poskytovaných údajů. 46
5.3 Celní zákon Zákon č. 13/1993 Sb., celní zákon představuje obdobnou úpravu z pohledu zpracování osobních údajů jako u zákona o Policii České republiky. Zmocnění k zpracovávání osobních údajů je dáno jak celním zákonem, tak i mezinárodními smlouvami, kterými je Česká republika vázaná.
Z celního zákona vyplývá, že celní orgány jsou oprávněny zpracovávat osobní údaje bez souhlasu subjektu údajů. Takové zpracování se týká i údajů, které vypovídají o trestné činnosti daného subjektu. Tento zákon uvádí výčet subjektů, u nichž mají celní orgány oprávnění zpracovávat osobní údaje. Jedná se o fyzické osoby, u kterých je nebo byl prováděn celní dohled, a to podle předpisů Evropských společenství, dále byl prováděn služební úkon či zákrok. Dalšími subjekty jsou fyzické osoby, které porušily celní a daňové předpisy nebo jsou podezřelé z porušování těchto předpisů. A konečně jsou to ty osoby, které vystupují jako účastníci řízení před celními orgány či se takového řízení jinak zúčastnily.
Celní orgány mohou bez povolení Úřadu pro ochranu osobních údajů předávat osobní údaje do jiných států, jestliže tak vyplývá z mezinárodní smlouvy nebo ze zvláštního právního předpisu či z předpisů Evropských společenství. Minimálně jednou za tři roky celní orgány prověřují, zda jimi zpracovávané osobní údaje jsou třeba k plnění úkolů. V opačném případě celní orgány provedou likvidaci osobních údajů. Celní orgány smí předávat zpracovaná osobní data jiným státním orgánům či osobám, pokud tak stanovuje zvláštní předpis nebo pokud s předáním souhlasí subjekt údajů.
Celní orgány mají podobně jako Policie České republiky oprávnění zpracovávat i údaje nepravdivé, nepřesné nebo neověřené údaje a vzájemně je sdružovat. Takové zmocnění se ovšem vztahuje pouze na případy osob, které jsou důvodně podezřelé z trestné činnosti nebo z porušování daňových a celních předpisů. Dále jsou to případy osob, u nichž je důvodný předpoklad zapojení do nedovoleného obchodu s omamnými a psychotropními látkami nebo do nezákonného dovozu a vývozu zboží. K odhalování a stíhání těchto forem porušování celních a daňových předpisů zavazuje mezinárodní smlouva.
47
Shodnost se zákonem o Policii České republiky je v podstatě i ohledně poskytování informací o zpracování osobních údajů. Na základě písemné žádosti sdělí celní orgány žadateli do 30 dnů od jejího doručení osobní údaje, které o něm zpracovávají. Jestliže se žadatel dozví, že celní orgány o něm zpracovávají nepravdivé nebo nepřesné údaje, je oprávněn písemně požadovat likvidaci nebo opravu údajů. Žádosti, o kterých rozhoduje v řízení Generální ředitelství cel, nejsou vyřizovány podle správního řádu. Vyhoví-li se žádosti, obdrží žadatel příslušné údaje. Jako prevence před nadměrným zatěžováním celního orgánu, platí, že nová žádost může být podána nejdříve po uplynutí jednoho roku od podání předchozí žádosti. Celní orgány žádosti subjektu údajů vyhoví a sdělí osobní údaje, s výjimkou údajů, jejichž sdělením by došlo k ohrožení plnění úkolů celní správy nebo k ohrožení oprávněných zájmů třetí osoby. V případě, že se žadateli nevyhoví, musí být vydáno odůvodněné rozhodnutí. Pokud celní orgány o subjektu údajů nezpracovávají žádné osobní údaje a nebo pokud by v souvislosti se sdělením rozhodnutí došlo k ohrožení plnění úkolů celní správy, vyrozumí žadatele, že o něm žádné údaje nezpracovávají.
Celník má stanovenou povinnost mlčenlivosti zákonem č. 337/1992 Sb., o správě daní a poplatků. Zároveň je povinen zachovávat mlčenlivost i o skutečnostech, s nimiž byl seznámen při plnění úkolů celní správy či v souvislosti s nimi. Tyto skutečnosti vyžadují v zájmu zabezpečení úkolů celní správy nebo v zájmu jiných osob, aby zůstaly utajeny. Celník je povinen zachovávat mlčenlivost i po skončení služebního poměru. Této povinnosti je oprávněn zprostit celníka nebo osobu, která byla celními orgány požádána o pomoc, jen ministr financí či jím pověřená osoba.
Obdobný režim jako v zákoně o Policii České republiky platí pro celní orgány při poskytování informací z evidencí, které jsou provozovány na základě zvláštního zákona, obdobně i z databází účastníků veřejné telefonní služby, evidence obyvatel, centrálního registru silničních vozidel, evidence občanských průkazů a konečně z evidence cestovních dokladů.
48
6. Úřad pro ochranu osobních údajů 6.1 Postavení a působnost Jedním z pilířů ochrany osobních údajů je existence nezávislého orgánu, jenž dohlíží na to, zda jsou respektovány povinnosti při zpracování osobních údajů. Úmluva č.108 a Směrnice č. 95/46/ES stanovuje členským státům zřízení jednoho nebo více orgánů veřejné moci, které garantují ochranu osobních údajů. Absence kontrolního orgánu v České republice v 90. letech 20. století způsobila naprosto nedostatečnou informovanost veřejnosti o ochraně osobních údajů. V České republice byl v souladu s právem Evropského společenství a s mezinárodními předpisy zřízen Úřad pro ochranu osobních údajů (dále jen „Úřad“). Postavení Úřadu jako ústředního správního úřadu vychází z toho, že ve své činnosti působí nezávisle na jiných státních orgánech a řídí se pouze zákony a jinými právními předpisy. Z dikce zákona o ochraně osobních údajů plyne, že do jeho činnosti lze zasahovat jen na základě zákona. Zajištění nezávislosti je upraveno tak, že jeho činnost je financována ze samostatné kapitoly státního rozpočtu České republiky.
Garance nezávislosti je dána také tím, že jmenování a odvolávání předsedy Úřadu a jeho inspektorů je v rukou prezidenta České republiky, který tak činí na návrh Senátu Parlamentu České republiky. Předseda Úřadu je jmenován na pět let, resp. na deset let, inspektoři jsou jmenováni na deset let a lze každého z inspektorů jmenovat opakovaně. Předseda řídí Úřad a také je pověřen zastupovat Českou republiku v Poradním výboru Rady Evropy k Úmluvě č.108. Každý rok předkládá výroční zprávu o činnosti Úřadu Poslanecké sněmovně a Senátu Parlamentu České republiky a též i vládě České republiky. Předsedou může být pouze občan naší republiky, u kterého je dána způsobilost k právním úkonům a který je bezúhonný, má ukončené vysokoškolské vzdělání a splňuje podmínky stanovené zákonem č. 451/1991 Sb., stanovení některých předpokladů pro výkon funkcí ve státních orgánech. Tak jako u předsedy Úřadu, tak i u inspektora platí, že jím může být pouze občan České republiky, který je bezúhonný, způsobilý k právním úkonům a splňuje podmínky dané zvláštním zákonem. U inspektora je stanovena podmínka ukončeného odborného vysokoškolského vzdělání. Inspektor může být odvolán, pokud přestane splňovat některou z podmínek týkající se jeho jmenování.
49
Obsah činnosti Úřadu je uveden v zákoně o ochraně osobních údajů: a) vykonávat dozor nad dodržováním povinností vymezených tímto zákonem b) vést registr zpracování osobních dat c) přijímat podněty a stížnosti na porušení zákona d) zpracovávat a veřejnosti zpřístupnit výroční zprávu o své činnosti – v souladu se Směrnicí č. 95/46/ES e) vykonávat další působnosti plynoucí ze zákona f) projednávat přestupky a jiné správní delikty, udělovat pokuty dle zákona g) zajišťovat plnění požadavků plynoucích z mezinárodních smluv, kterými je Česká republika vázaná, a také z předpisů Evropských společenství h) poskytovat konzultace v oblasti ochrany osobních dat i) spolupracovat s obdobnými úřady jiných států, s orgány Evropské unie a dále s orgány mezinárodních organizací, jež působí v oblasti ochrany osobních dat. Úřad plní oznamovací povinnost vůči orgánům Unie50
Uvedený výčet činností lze chápat jako vymezení kompetencí pro definování působnosti Úřadu. Základním posláním Úřadu je výkon dozoru nad respektováním povinností, které jsou stanoveny zákonem. Na členské státy Evropské unie je kladen požadavek, aby kontrolní orgány měly pravomoci týkající se šetření a shromažďování všech informací, které jsou nezbytné pro plnění kontrolní funkce, a pravomoci účinně zasáhnout při porušení vnitrostátních předpisů, případně se obrátit na soud. Stejně tak má mít kdokoli možnost obrátit se ve věci zpracování osobních údajů na kontrolní orgán.
Mimo kontrolní činnosti Úřadu, které se blíže věnuji v následující kapitole 6.2, je zákonem o ochraně osobních údajů Úřadu stanoveno vypracovat a zveřejnit výroční zprávu, jejímž obsahem jsou informace o kontrolní činnosti a její zhodnocení. Jedná se o důležitý dokument, v kterém je vedle zhodnocení stavu České republiky v oblasti ochrany osobních údajů také zhodnocení vlastní činnosti Úřadu. Další činností Úřadu je vydávání věstníku, jehož součástí je přehled zrušených registrací. Jsou zde i uveřejňována stanoviska Úřadu k aktuálním problémům ochrany osobních dat a také dokumenty z Úředního věstníku Evropské unie.
50
Např. oznamovací povinnost dle článku 26 odst. 3 Směrnice č. 95/46/ES.
50
6.2 Kontrolní činnost Zákon o ochraně osobních údajů stanoví, že kontrolní činnost Úřadu provádějí pouze inspektoři a pověření zaměstnanci na základě kontrolního plánu či na základě stížností a podnětů. Kontrolní plán činností sestavuje předseda Úřadu a jeho spolupracovníci. Právě na nich záleží, jakým směrem se bude kontrolní činnost vyvíjet a do jakých oblastí zaměří svou pozornost. Při sestavování kontrolního plánu věnují pozornost podnětům a stížnostem. Leckdy drobnost, na kterou stěžovatel v podání upozorní, může vést k odhalení závažných nedostatků při zpracování osobních údajů. Kontrolovanými jsou jak orgány státní správy či veřejnoprávní subjekty, tak i banky, podnikatelské subjekty, zdravotnická zařízení a další. S ohledem na omezený počet inspektorů Úřadu nelze očekávat dosažení výsledků v krátkém časovém období.
Kontrolujícím je dána zákonem o ochraně osobních údajů řada oprávnění: a) vstupovat při provádění kontroly do objektů, zařízení, provozů či na pozemky správců, zpracovatelů nebo každého, kdo zpracovává osobní údaje, jestliže činnost souvisí s předmětem kontroly. Vstup do obydlí je možný pouze tehdy, když také slouží k provozování podnikatelské činnosti. b) požadovat předložení originálních dokladů, které souvisí s předmětem kontroly. Požadavek je vznesen proti kontrolovaným a jiným osobám. c) seznamovat se s utajovanými skutečnostmi a stejně tak i s dalšími skutečnostmi, jež jsou chráněny povinností mlčenlivosti. d) požadovat jak na fyzických, tak i právnických osobách poskytnutí pravdivých a plných informací v souvislosti se zjišťovanými skutečnostmi e) zajišťovat v případě potřeby doklady. Převzetí dokladů musí být kontrolovanému potvrzeno a pokud požaduje kopie převzatých dokladů, tak mu je ponechat. f) pořídit kopie paměťových médií, které obsahují osobní údaje a nacházejí se u kontrolovaného. g) požadovat podání písemné zprávy o odstranění kontrolou zjištěných nedostatků. Kontrolovaní musí tuto zprávu podat ve stanovené lhůtě. h) používat
telekomunikační
zařízení
kontrolovaného
pro
případnou
potřebu
zabezpečení kontroly. S technickými možnostmi dnešní doby je častější, že kontrolující osoby využívají vlastní mobilní telekomunikační prostředky.
51
Kontrola musí být oznámena subjektu nejpozději při jejím zahájení. Oznámení může být jak v ústní, tak i v písemné formě. Kromě oznámení kontroly je kontrolující povinen se prokázat průkazem inspektora. Povinností kontrolujícího je šetřit práva a právem chráněné zájmy správců či zpracovatelů. Měl by dbát na to, aby oprávnění kontrolujícího byla v rovnováze k právům kontrolovaných osob. Kdyby se přesto kontrolující dostal do střetu s chráněnými zájmy kontrolovaného, musí je respektovat. Příkladem je situace, kdy kontrolující využije právo vstupu do objektu kontrolovaného. Jestliže se jedná o obydlí, kde trvale žije další osoba, musí kontrolující dbát námitek na ochranu jejího soukromí a průběh kontroly přizpůsobit51. Další jeho povinností je ochraňovat zajištěné doklady například proti jejich zničení či poškození a jestliže pominou důvody k převzetí dokladů, je třeba je ihned předat kontrolovanému zpět. O skutečnostech, které kontrolor zjistí při výkonu kontroly, je povinen zachovávat mlčenlivost. I kdyby kontrolující skončil pracovněprávní vztah k Úřadu, tak jeho povinnost mlčenlivosti přetrvává. O výsledcích kontrolního zjištění musí být pořízen kontrolní protokol. Zákon stanovuje výčet jeho náležitostí. V kontrolním protokolu je obsažen zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, jež mu byla uložena k nápravě. Kontrolující musí s obsahem protokolu seznámit kontrolovaného a zároveň mu předat stejnopis. Seznámení s kontrolním protokolem a jeho převzetí je potvrzeno podpisem kontrolovaného na tento protokol. V okamžiku, kdy kontrolovaný odmítne se seznámit s obsahem protokolu nebo seznámení potvrdit, toto se vyznačí v kontrolním protokolu.
Kontrolované osoby mají stanovenou povinnost, aby v nezbytném rozsahu poskytly kontrolujícím při výkonu jejich činnosti potřebnou součinnost. Týká se nejen správců nebo zpracovatelů a jejich zaměstnanců, ale i ostatních osob. Pokud tak neučiní, může být kontrolovanému uložena pořádková pokuta. Opatření k nápravě jsou nástrojem, která slouží k dosahování účelu kontrolní činnosti. Mají zajistit, aby zjištěné nedostatky byly odstraněny. Jedno z opatření k nápravě je i likvidace osobních dat. Kontrolovaný subjekt je poučen o svém právu podat námitku proti likvidaci osobních dat. Do doby, než bude o námitce předsedou Úřadu rozhodnuto, je zákonnou povinností správce či zpracovatele blokování osobních údajů. Proti rozhodnutí předsedy Úřadu může správce či zpracovatel podat žalobu podle předpisů o správním soudnictví.
51
Kučerová Alena a kol. Zákon o ochraně osobních údajů – komentář, str. 220
52
6.3 Správní trestání Jednou z činností Úřadu jako správního orgánu je i oprávnění ukládat sankce. Porušení povinností při zpracování osobních údajů projednává Úřad. V zákoně o ochraně osobních údajů jsou obsažena ustanovení o sankcích.
Podle zákona o ochraně osobních údajů se přestupku porušení povinnosti mlčenlivosti může dopustit fyzická osoba nacházející se v pracovním (na základě pracovní smlouvy) nebo v jiném obdobném poměru (na základě dohody o provedení práce) vůči správci nebo zpracovateli či vykonává pro něj činnosti na základě dohody (například obchodní smlouvy) nebo v rámci plnění povinností a oprávnění uložených zvláštním zákonem přichází do styku s osobními daty (kontrolní pracovníci finančních úřadů, auditoři)52. Za takový přestupek lze uložit pokutu do výše 100 000 Kč. Fyzická osoba v postavení správce nebo zpracovatele se může dopustit přestupku tím, že při zpracování osobních údajů poruší některou z povinností stanovenou zákonem o ochraně osobních údajů. Za přestupek lze uložit pokutu až do výše 1 000 000 Kč. Dále se fyzická osoba v postavení správce nebo zpracovatele může dopustit přestupku tím, že při zpracování osobních údajů ohrozí větší počet osob svým neoprávněným zásahem do jejich soukromí nebo poruší povinnosti týkající se zpracování citlivých údajů. Je zřejmé, že se zde jedná o závažné porušení zákona o ochraně osobních údajů. Za takový přestupek lze uložit pokutu, jejíž horní hranice je stanovena na 5 000 000 Kč. K projednání přestupků je příslušný Úřad, který postupuje na základě zákona o přestupcích53. Z dikce zákona o přestupcích vyplývá, že po uplynutí jednoho roku od spáchání přestupku nelze pokutu uložit.
Fyzická osoba nebo právnická osoba v postavení správce nebo zpracovatele, která podniká podle zvláštních předpisů, se může dopustit správního deliktu tím, že při zpracování osobních údajů nedodrží některou ze zákonných povinností. V zákoně o ochraně osobních údajů je uveden výčet způsobů porušení povinností při zpracování osobních dat. Výše uložené pokuty za správní delikt může být až 5 000 000 Kč. Stejně jako u přestupků je odlišně stanovena pokuta, jestliže při zpracování osobních údajů právnická osoba ohrozí větší počet osob svým neoprávněným zasahováním do soukromí nebo poruší povinnosti stanovené tímto zákonem pro zpracování citlivých údajů. V takovém případě je za správní
52 53
Josef Nejedlý Ochrana osobních údajů, str. 83 Zákon č. 200/1990 Sb., o přestupcích
53
delikt stanovena horní hranice pokuty 10 000 000 Kč. Při zjištění, že se správce či zpracovatel dopustil správního deliktu, postupuje Úřad podle obecného zákona, kterým je správní řád. Při ukládání pokuty správci a zpracovateli se přihlíží ke skutečnostem, kterými jsou závažnost deliktu, způsob jednání, doba trvání a následky protiprávního jednání a také okolnosti, za nichž k takovému jednání došlo.
Zákon o ochraně osobních údajů upravuje situaci, kdy právnická osoba za správní delikt neodpovídá a tedy zaniká její odpovědnost za takový správní delikt. Jedná se o případ, kdy právnická osoba prokáže vynaložení veškerého úsilí, které v dané situaci bylo možné požadovat, aby porušení právní povinnosti nenastalo. Fyzická osoba, která podniká, je ve stejném postavení jako právnická osoba. I na ní se vztahují ustanovení tohoto zákona, která se týkají odpovědnosti právnické osoby za správní delikt. Ustanovení, která zakotvují, že právnická osoba za správní delikt neodpovídá a že její odpovědnost za něj zaniká, se vztahují tedy i na fyzickou osobu.
Pokuta za jiný správní delikt může být uložena, pokud je řízení o něm zahájeno správním orgánem do 1 roku ode dne, kdy se o správním deliktu dozvěděl, nejpozději však do 3 let ode dne jeho spáchání. Lhůty jsou prekluzívní a jejich uplynutím dochází k zániku možnosti uložit sankci. Splatnost pokuty je 30 dnů ode dne nabytí právní moci. Uloženou pokutu
je
oprávněn
vybírat
Úřad.
V případě
neuhrazení
pokuty
je
pověřen
k jejímu vymáhání místně příslušný celní úřad podle zákona o správě daní a poplatků.
54
7. Výsledky Ochrana osobních údajů nemá v ČR dlouhou existenci. Bez nadsázky platí, že i v 21. století je pro naši společnost relativně novým tématem. Vznik zákona o ochraně osobních údajů je datován rokem 2000. Od listopadové revoluce v roce 1989 až do roku 2000 si česká společnost vůbec nepřipouštěla nutnost, resp. potřebnost právní úpravy ochrany osobních údajů. Z roku 1992 zde byl sice zákon o ochraně osobních údajů v informačních systémech, který lze však označit přívlastkem vágní, v praxi nepoužitelný. Že se jedná o oblast stále se vyvíjející, reflektující potřeby občana, svědčí množství novelizací zákona o ochraně osobních údajů. Vstupem ČR do EU v roce 2004 bylo požadováno se v oblasti ochrany osobních údajů ještě více přiblížit právu EU. V současné době je zákon o ochraně osobních údajů kompatibilní s právem EU, tedy se Směrnicí č. 95/46/ES a Úmluvou č.108.
Ohledně zákona o bankách chci především poukázat na ustanovení upravující zpracování citlivých údajů. V letech 2002 až 2004 bylo v zákoně o bankách ustanovení upravující oprávnění bank zpracovávat citlivé údaje. Novelizací zákona v roce 2005 bylo dosaženo rovnováhy, dotčené ustanovení upravuje oprávnění bank zpracovávat údaje o osobách, vyjma citlivých údajů. Novelizace zákona o bankách z roku 2008 se dotýká oblasti zpracování osobních údajů v ustanovení § 37 odst. 1 zákona o bankách, kde byla vyjmuta věta ohledně povinnosti bank požadovat prokázání totožnosti klienta u obchodu, jehož hodnota převyšuje 100 000 Kč, a při pronájmu bezpečnostních schránek. Následně je v ustanovení § 38 odst. 2 doplněna věta odkazující na zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti, který uvedenou problematiku upravuje.
V případě celního zákona a zákona o Policii České republiky, které jsou ve vztahu k zákonu o ochraně osobních údajů lex specialis, považuji za důležité věnovat pozornost povinnosti zachování mlčenlivosti celníků a policistů o skutečnostech, se kterými byli seznámeni při plnění úkolů a které mají v zájmu zabezpečení úkolů či osob zůstat utajeny. Formou školení lze zvyšovat právní povědomí zaměstnanců policejní či celní správy. Při práci se zákonem o ochraně osobních údajů jsem zjistila, že odkazuje na velkou škálu zvláštních zákonů, výjimek, které si stanovují instituce, státní orgány, orgány samosprávy prostřednictvím svých zákonů. Myslím si, že právě tady je prostor pro zákonodárce, aby bylo dosaženo určitého sjednocení právní úpravy.
55
8. Závěr Žijeme v přetechnizovaném světě, v kterém jsou kladeny zvýšené nároky jak na společnost jako celek, tak i na jednotlivce. Prostřednictvím výdobytků technického světa dochází ke zkracování vzdáleností, postupné globalizaci světa, přibližování národů. Každý jedinec se stává součástí stále většího společenství. Právě kolektivní problémy těchto společenství, kterými jsou například obavy z terorizmu, vedou ke stále dokonalejšímu zabezpečení před možnými útoky, riziky. Ochrana společnosti jako celku vystupuje do popředí a ochrana jedince zůstává v pozadí těchto obecných zájmů.
Cílem mé práce bylo ukázat problematiku ochrany osobních údajů z hlediska právní úpravy, objasnit její smysl a přiblížit právo na ochranu osobních údajů zejména z pohledu fyzické osoby, tedy subjektu údajů. Domnívám se, že současná platná právní úprava poskytuje dostatečnou ochranu nejen osobních údajů ale též i subjektu údajů. Vzhledem k tomu, že zákon o ochraně osobních údajů obsahuje řadu odkazů na zvláštní zákony, snažila jsem se prostřednictvím zákona o Policii České republiky, celního zákona a zákona o bankách ukázat úpravu ochrany osobních údajů v těchto právních předpisech. Prostor v této práci byl vyhrazen Úřadu pro ochranu osobních údajů, který bezesporu má své nezastupitelné místo v zabezpečení práva na ochranu osobních údajů.
Jedním z aktuálních problémů v této oblasti je zpracování osobních údajů žáků. V nedávných dnech školskou veřejnost pobouřila zpráva týkající se sběru osobních údajů žáků a studentů54. Ústav pro informace ve vzdělávání, který je pověřený ministerstvem školství, provádí sběr dat o žácích základních, středních a vyšších odborných škol. Právní normou, ukládající školám povinnost zasílat Ústavu pro informace ve vzdělávání osobní data žáků, je vyhláška ministerstva školství č. 364/2005 Sb., o dokumentaci škol a školských zařízení. Tato vyhláška nařizuje subjektům, které vykonávají činnost škol nebo školských zařízení, aby předávaly z dokumentace škol a školních matrik mimo jiné i údaje, které se týkají jednotlivých dětí, žáků, studentů a uchazečů o přijetí ke vzdělávání. Vyhláška stanovuje výčet údajů, které jsou obsaženy v základním souboru údajů o každém žákovi. Mezi jinými je to například rodné číslo, datum narození, pohlaví, státní občanství, bydliště. Tyto individuální údaje se předávají příslušnému správnímu úřadu v elektronicky zabezpečené podobě. Školy a školská zařízení předávají individuální údaje prostřednictvím 54
Webový článek Sbírání osobních dat dětí vylekalo i politiky , 21.1.2009
56
obecních úřadů krajskému úřadu, který následně zajistí předání ministerstvu školství. Zákon č. 561/2004 Sb., školský zákon stanovuje výjimky ohledně údajů vyloučených z předávání pro statistické účely. Jedná se o údaje týkající se zdravotní způsobilosti žáka ke vzdělávání nebo zákonných zástupců. Školy a školská zařízení mají povinnost údaje o tom, jestli je žák zdravotně postižen včetně druhu postižení sdružovat jen v anonymizované podobě. Ze školského zákona vyplývá povinnost pro orgány státní správy a samosprávy při předávání a zpracování údajů z dokumentace škol a školní matriky postupovat podle zákona o ochraně osobních údajů.
Veřejnost se domnívá, že takovým sběrem informací o žácích a studentech může dojít k vytvoření rozsáhlé databáze osobních údajů zahrnující i citlivé údaje. Úřad nesouhlasil již při samotném projednávání posledních změn vyhlášky o dokumentaci škol a školských zařízení s podmínkami předávání údajů. Záměr ministerstva školství ohledně předávání údajů týkající se žáků a studentů je podle Úřadu v rozporu se základními zásadami ochrany osobních údajů. Domnívá se, že se jedná o zvýšené riziko úniku osobních údajů. Ústav pro informace ve vzdělávání zpracovává údaje, které jsou podkladem pro přerozdělování finančních prostředků ve školství. Při vytváření rozsáhlé databáze jsou stanovena přísná bezpečnostní opatření v souladu se zákonem o ochraně osobních údajů. Ústav pro informace ve vzdělávání argumentuje povinností anonymizovat osobní údaje. Úřad v nejbližších dnech provede kontrolní šetření týkající se předávání individuálních údajů na základě vyhlášky o dokumentaci škol. Snahou předsedy Úřadu bude pokračovat v jednáních s ministerstvem školství a dosáhnout potřebné novelizace právní úpravy.
Právní povědomí občana o ochraně osobních údajů by mělo být neustále zdokonalováno, měla by být věnována pozornost informovanosti české společnosti, aby každý jednotlivec uměl hájit svá práva. Důraz by měl být kladen také na to, aby lidé nakládali se svými osobními údaji uvážlivě. Právě význam tohoto zákona pro obyčejného člověka je v tom, aby zajistil ochranu práv jednotlivce. Mnohdy je téma ochrany osobních údajů považováno především za mediální téma. Ale i to je forma, jak se seznámit a dostat do povědomí danou problematiku. Velkou roli zde sehrává i Úřad, který pomáhá občanům přiblížit oblast ochrany osobních údajů, prezentuje se na webových stránkách, publikuje, poskytuje médiím informace. To vše přispívá k rozšíření obzoru jednotlivce. Jedná se o téma velice aktuální, živé, pro českou veřejnost potřebné. Vývoj v dané oblasti nasvědčuje tomu, že je věnována dostatečná pozornost ochraně osobních údajů. 57
Seznam použité literatury Právní předpisy 1. Listina základních práv a svobod – usnesení předsednictva ČNR pod č. 2/1993 Sb. 2. Ústavní zákon č. 1/1993 Sb., Ústava České republiky 3. Všeobecná deklarace práv – DE01/48 4. Zákon č. 13/1993 Sb., celní zákon 5. Zákon č. 40/1964 Sb., občanský zákoník 6. Zákon č. 561/2004 Sb., školský zákon 7. Zákon č. 21/1992 Sb., o bankách 8. Zákon č. 128/2000 Sb., o obcích 9. Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných čísel 10. Zákon č. 101/2000 Sb., o ochraně osobních údajů 11. Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti 12. Zákon č. 283/1991 Sb., o Policii České republiky 13. Zákon č. 101/2000 Sb., o svobodném přístupu k informacím 14. Zákon č. 500/2004 Sb., správní řád 15. Zákon č. 337/1992 Sb., o správě daní a poplatků 16. Vyhláška ministerstva školství č. 364/2005 Sb. o dokumentaci škol a školských zařízení
Odborná literatura 17. Barák, Josef a kolektiv. Zákon o bankách - komentář a předpisy souvisící. 1.vyd. Praha : Linde Praha, a.s.,2003. 474 s. ISBN 80-7201-418-8. 18. Brejcha, Aleš. Právo na informace a povinnost mlčenlivosti v českém právním řádu. 1.vyd. Praha: CODEX Bohemia, s.r.o., 1998. 292 s. ISBN 80-85963-47-7. 19. Kučerová, Alena; Bartík, Václav; Peca, Jaroslav; Neuwirth, Karel; Nejedlý, Josef. Zákon o ochraně osobních údajů - komentář. 1. vyd. Praha: C.H.Beck, 2003. 387 s. ISBN: 80-7179-762-6. 20. Knappová, Marta; Švestka, Jiří a kolektiv. Občanské právo hmotné 1. 3. vyd. Praha: ASPI Publishing, s.r.o., 2002. 471 s. ISBN 80-86395-28-6. 21. Mates, Pavel. Ochrana soukromí ve správním právu. 2.vyd. Praha: Linde Praha, a.s., 2006. 313 s. ISBN 80-7201-589-3.
58
22. Mates, Pavel. Ochrana osobních údajů. 1. vyd. Praha: Nakladatelství Karolinum, 2002, 73 s. ISBN: 80-246-0469-8. 23. Mates, Pavel; Čechmánek, Břetislav; Hromádka, Matěj; Kramář, Květoslav; Rajman, Jindřich. Policejní právo – právní předpisy s komentářem. 3.vyd. Praha: Linde Praha, a.s., 2006. 366s. ISBN 80-7201-590-7. 24. Matoušová, Miroslava; Hejlík, Ladislav. Osobní údaje a jejich ochrana. 2. vyd. Praha: ASPI, a.s., 2008. 468 s. ISBN 978-80-7357-322-5. 25. Matoušová, Miroslava; Bartík, Václav; Hejlík, Ladislav; Ševčík, Oldřich. Ochrana osobních údajů v otázkách a odpovědích. 1.vyd. Praha: ASPI, a.s., 2004. 160 s. ISBN 80-7357-037-8. 26. Nejedlý, Josef. Ochrana osobních údajů. 1. vyd. Vyškov: Ing. Irena Spirová, 2004. 155 s. ISBN 80-239-3896-7.
Internetové adresy 27. Webové stránky Úřadu pro ochranu osobních údajů. Dostupný:http://www.uoou.cz/ 28. Webový článek: Sbírání osobních dat dětí vylekalo i politiky, cit. 21.1.2009. Dostupný: http://www.novinky.cz/clanek/159197-sbirani-osobnich-dat-detivylekalo-i-politiky.html
59
Seznam příloh Příloha číslo 1 –
registrační elektronický formulář oznámení o zpracování (změně
zpracování) osobních údajů podle § 16 zákona č. 101/ 2000 Sb. o ochraně osobních údajů
60