Studijní materiál k e-learningovému kurzu
Ochrana osobních údajů
Rentel, a. s.
07/2015
Obsah 1 ÚVOD DO PRÁVNÍ OCHRANY OSOBNÍCH ÚDAJŮ.........................................................6
1.1 DŮVODY OCHRANY OSOBNÍCH ÚDAJŮ ..............................................................................6 1.1.1 Ochrana soukromí...........................................................................................................6 1.1.2 Tradice ochrany osobních údajů.....................................................................................7 1.2 PRÁVNÍ ÚPRAVA OCHRANY OSOBNÍCH ÚDAJŮ .................................................................7 1.2.1 Ústavněprávní zakotvení ochrany osobních údajů..........................................................7 1.2.2 Mezinárodněprávní ochrana osobních údajů .................................................................8 Evropská unie...............................................................................................................8 1.2.3 Právní předpisy upravující ochranu osobních údajů v ČR .............................................9 1.3 PŮSOBNOST ZÁKONA Č. 101/2000 SB., O OCHRANĚ OSOBNÍCH ÚDAJŮ.......................10 1.3.1 Působnost zákona – pozitivní vymezení ........................................................................10 1.3.2 Působnost zákona – negativní vymezení .......................................................................11 1.3.3 Působnost zákona – částečné negativní vymezení.........................................................12 1.4 ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ .............................................................................12 1.4.1 Zásada účelovosti..........................................................................................................12 1.4.2 Zásada přiměřenosti (minimalizace rozsahu) ...............................................................13 1.4.3 Zásada přesnosti ...........................................................................................................13 1.4.4 Zásada otevřenosti ........................................................................................................13 1.4.5 Zásada ochrany před nahodilým přístupem..................................................................13 1.4.6 Zásada mlčenlivosti.......................................................................................................14 1.4.7 Zásada souhlasu subjektu údajů ...................................................................................14 1.4.8 Zásada informování subjektu údajů ..............................................................................14 1.4.9 Zásada oznamování zpracování osobních údajů ..........................................................14 1.4.10 Zásada ochrany práv subjektu údajů ..........................................................................15 2 POJMY OCHRANY OSOBNÍCH ÚDAJŮ ............................................................................16
2.1 OSOBNÍ ÚDAJ ......................................................................................................................16 2.1.1 Definice pojmu osobní údaj v právních předpisech ......................................................16 2.1.2 Určenost a určitelnost subjektu.....................................................................................16 2.1.3 Které informace jsou osobními údaji? ..........................................................................17 2.2 CITLIVÝ ÚDAJ .....................................................................................................................17 2.2.1 Definice pojmu citlivý údaj ...........................................................................................18 2.2.2 Jednotlivé citlivé údaje..................................................................................................18 2.3 RODNÉ ČÍSLO ......................................................................................................................20 2.3.1 Rodné číslo jeho právní regulace..................................................................................20 2.3.1 Budoucnost používání rodného čísla.............................................................................20 2.4 ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ ..........................................................................21 2.4.1 Zřízení a struktura Úřadu pro ochranu osobních údajů ...............................................21 2.4.2 Působnost Úřadu pro ochranu osobních údajů ............................................................22 2.5 SUBJEKTY OCHRANY OSOBNÍCH ÚDAJŮ ..........................................................................22 2.5.1 Definice subjektů v zákoně o ochraně osobních údajů .................................................22 2.5.2 Rozdíly mezi subjekty ....................................................................................................23 2.5.3 Typičtí správci osobních údajů .....................................................................................24 2.6 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ .......................................................................................25 2
2.6.1 Definice pojmu zpracování v zákoně o ochraně osobních údajů ..................................25 2.6.2 Definované způsoby zpracování....................................................................................25 3 POVINNOSTI SPRÁVCE OSOBNÍCH ÚDAJŮ...................................................................27
3.1 POVINNOST STANOVIT ÚČEL, PROSTŘEDKY A ZPŮSOB ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ....................................................................................................................................................27 3.1.1 Účel zpracování osobních údajů ...................................................................................27 3.1.2 Prostředky zpracování osobních údajů .........................................................................27 3.1.3 Způsoby zpracování osobních údajů .............................................................................27 3.1.4 Plnění povinnosti stanovit účel, prostředky a způsob zpracování osobních údajů .......28 3.2 POVINNOST ZPRACOVÁVAT OSOBNÍ ÚDAJE SE SOUHLASEM SUBJEKTU ÚDAJŮ ..........28 3.2.1 Právní úprava povinnosti zpracovávat osobní údaje se souhlasem subjektu údajů .....28 Citlivé údaje je možné zpracovávat, jen jestliže ....................................................29 3.2.2 Zpracování osobních údajů se souhlasem subjektů údajů – obecné teze......................30 3.2.3 Výjimky z povinnosti zpracovávat osobní údaje se souhlasem (u „běžných“ osobních údajů) .....................................................................................................................................30 3.2.4 Výjimky z povinnosti zpracovávat osobní údaje se souhlasem (u citlivých osobních údajů) .....................................................................................................................................32 3.2.5 Formy souhlasu při zpracování osobních údajů ...........................................................34 3.3 POVINNOST OZNAMOVAT ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ VEŘEJNOSTI .....................36 3.3.1 Právní úprava povinnosti oznamovat zpracování osobních údajů veřejnosti...............36 3.3.2 Oznamovací povinnost vůči Úřadu pro ochranu osobních údajů.................................37 3.3.3 Výjimky z plnění oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů .....37 3.3.4 Oznamovací povinnost sui generis dle § 18 odst. 2 ZOOU ..........................................38 3.4 INFORMAČNÍ A POUČOVACÍ POVINNOSTI ........................................................................39 3.4.1 Informační povinnost správce při shromažďování osobních údajů ..............................39 3.4.2 Výjimky z plnění informační povinnosti správce při shromažďování osobních údajů..40 3.4.3 Poučovací povinnost správce při zpracování osobních údajů získaných od subjektu údajů.......................................................................................................................................41 3.4.4 Informační povinnost správce při zpracování osobních údajů za účelem ochrany práv ................................................................................................................................................41 3.5 ORGANIZAČNÍ POVINNOSTI PŘI ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ .................................42 3.5.1 Právní úprava organizačních povinností ......................................................................42 3.5.2 Technicko-organizační opatření k zajištění ochrany osobních údajů...........................43 3.6 FAKTICKÉ POVINNOSTI SPRÁVCE .....................................................................................43 3.6.1 Povinnosti deklaratorní a faktické ................................................................................44 3.6.2 Povinnost zpracovávat pouze přesné osobní údaje získané v souladu se zákonem ......44 3.6.3 Povinnost zpracovávat osobní údaje pouze v rozsahu nezbytném pro naplnění stanoveného účelu ..................................................................................................................44 3.6.4 Povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování ..............................................................................................................................45 3.6.5 Povinnost zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny...........................................................................................................................46 3.6.6 Povinnost shromažďovat osobní údaje pouze otevřeně ................................................46 3.6.7 Povinnost nesdružovat osobní údaje, které byly získány k rozdílným účelům ..............46
3
3.6.8 Povinnost dbát, aby při zpracování osobních údajů subjekt údajů neutrpěl újmu na svých právech .........................................................................................................................47 3.7 JAK PLNIT POVINNOSTI SPRÁVCE .....................................................................................47 3.7.1 Audit osobních údajů.....................................................................................................47 3.7.2 Nástroje k ochraně osobních údajů...............................................................................48 3.8 PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO CIZÍCH STÁTŮ ...........................................................49 3.8.1 Předávání osobních údajů do států EU.........................................................................49 3.8.2 Předávání osobních údajů do „bezpečných“ států .......................................................49 3.8.3 Předávání osobních údajů na základě rozhodnutí ........................................................50 3.9 PRÁVA SUBJEKTU ÚDAJŮ ..................................................................................................51 3.9.1 O právech subjektu údajů – obecně ..............................................................................51 3.9.2 Právo na přístup k informacím o zpracování osobních údajů ......................................52 3.9.3 Právo na přístup k informacím o automatizovaném zpracování (určeném k hodnocení určitých rysů osobnosti) .........................................................................................................54 3.9.4 Právo na vysvětlení a na odstranění závadného stavu..................................................55 4 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PROSTŘEDNICTVÍM OSOB ODLIŠNÝCH OD SPRÁVCE .....................................................................................................................................57
4.1 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PROSTŘEDNICTVÍM ZAMĚSTNANCŮ ..........................57 4.1.1 Povinnosti správce při zpracování osobních údajů prostřednictvím zaměstnanců ......57 4.1.2 Povinnosti osob provádějící vlastní zpracování osobních údajů ..................................57 4.2 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PROSTŘEDNICTVÍM ZPRACOVATELE .........................58 4.2.1 Vztah správce a zpracovatel osobních údajů ................................................................58 4.2.2 Smlouva o zpracování osobních údajů..........................................................................59 4.3 SANKCE ZA PORUŠENÍ POVINNOSTÍ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ .....................59 4.3.1 O sankcích obecně.........................................................................................................59 4.3.2 Přestupky zaměstnanců a dalších osob provádějící faktické zpracování osobních údajů ................................................................................................................................................60 4.3.3 Přestupky správců a zpracovatelů osobních údajů .......................................................60 4.3.4 Přestupky fyzických osob...............................................................................................61 4.3.5 Správní delikty správců a zpracovatelů osobních údajů ...............................................62 4.3.6 Správní delikty právnických osob a fyzických osob podnikajících................................63 4.3.7 Trestné činy páchané v souvislosti s ochranou osobních údajů....................................63 Neoprávněné nakládání s osobními údaji...........................................................................63 4.3.8 Trestné činy páchané v souvislosti s ochranou osobních údajů právnickými osobami 65 5 PŘÍKLADY PLNĚNÍ POVINNOSTÍ SPRÁVCE V RŮZNÝCH SITUACÍCH ................65
5.1 KONKRÉTNÍ PŘÍKLADY – VEDENÍ KNIHY ÚRAZŮ ...........................................................65 5.1.1 Vedení knihy úrazů – obecně.........................................................................................65 5.1.2 Vedení knihy úrazů – povinnosti, které je správce povinen plnit ..................................66 5.2 KONKRÉTNÍ PŘÍKLADY – KAMEROVÝ SYSTÉM ..............................................................67 5.2.1. Kamerový systém - obecně ...........................................................................................67 5.2.2. Právní úprava kamerového systému ............................................................................67 Případ Ryneš x Úřad pro ochranu osobních údajů .............................................68 Případ Ryneš x Úřad pro ochranu osobních údajů – akcentace systému subsidiarity .........................................................................................................69
4
5.2.3. Kamerový systém – povinnosti, které je správce povinen plnit v případě monitorování domu pana Ryneše, kde došlo i k monitorování veřejného prostranství:...............................69 5.2.4. Kamerový systém – možná kolize s právem na soukromí.............................................70 5.2.5. Kamerový systém – povinnosti, které je správce povinen plnit v případě monitorování sklepů a garáží (případně veřejného prostranství) ................................................................71 5.2.6. Kamerový systém – povinnosti, které je správce povinen plnit v případě monitorování jednotlivých vchodů do bytů v bytovém domě ........................................................................72 5.2.7. Kamerový systém – další zdroje informací ..................................................................72
5.3 KONKRÉTNÍ PŘÍKLADY – INTERNETOVÁ PREZENTACE FIRMY VYLEPŠENÁ FOTOGRAFIEMI PRACOVNÍKŮ ..................................................................................................73
5.3.1 Internetová prezentace – obecně...................................................................................73 5.3.2 Internetová prezentace – povinnosti, které je správce povinen plnit ............................73 5.4 NĚKTERÉ NÁZORY ÚŘADU NA POUŽITÍ FOTOGRAFIÍ ......................................................74
5
1 Úvod do právní ochrany osobních údajů 1.1 Důvody ochrany osobních údajů Tato kapitola by měla přispět k pochopení vzniku právní regulace nakládání s osobními údaji, jako určité reakce evropské společnosti na nebývalý rozvoj výpočetní techniky, která umožňuje dokumenty s osobními údaji donekonečna rozmnožovat a se zanedbatelnými náklady neomezeně šířit. 1.1.1 Ochrana soukromí Důvodem ochrany osobních údajů, alespoň z právně-filozofického hlediska, je ochrana soukromí. Ochrana soukromí a rodinného života jako součást ochrany osobnosti je zakotvena v právních řádech demokratických právních států poměrně dlouho. V rámci prevence před zásahy do soukromí bylo třeba nějak reagovat na rozvoj výpočetní techniky, která umožňuje snadné kopírování a rozšiřování dokumentů obsahující informace o fyzických osobách (osobní údaje). O ochraně osobních údajů se začíná uvažovat v demokratické části Evropy někdy v 70. letech 20. století. Důvodem byla stále se rozšiřující a zlevňující výpočetní a zejména rozmnožovací technika a digitální zpracování dat. Vzhledem k tomu, že bylo stále snazší pořizovat si kopie všemožných dokumentů, rostla obava ohledně nakládání s těmito kopiemi. Téměř každý si mohl totiž pořídit kopie (obsahující osobní údaje) ne proto, že by je potřeboval, ale proto, že by se mu mohly někdy v budoucnu hodit. Ochrana osobních údajů vlastně představuje určitou regulaci nakládání s dokumenty obsahujícími osobní údaje. Je založena na principu účelovosti, což znamená, že je možné zpracovávat osobní údaje, ale pouze za konkrétním (legitimním) účelem. Tímto mělo být zabráněno tomu, aby si kdokoli pořizoval kopie dokumentů (obsahujících osobní údaje) tak říkajíc do zásoby (tedy bez konkrétního účelu). Ochrana osobních údajů (ona regulace nakládání s dokumenty obsahujícími osobní údaje) se původně uplatňovala pouze u dokumentů zpracovávaných automatizovaně (tedy ve formě digitálních dat, která lze jednoduše a do nekonečna rozmnožovat). U manuálního zpracování osobních údajů (údaje zaznamenané na papírové dokumenty) se původně ochrana osobních údajů neuplatňovala, protože nakládání s těmito dokumenty nepředstavovalo vážnější nebezpečí. Současná koncepce ochrany osobních údajů je však taková, že se uplatňuje jak u dokumentů zpracovávaných automatizovaně tak manuálně, uplatňuje se tedy komplexně. Vzhledem ke značně rozvinutému stavu techniky (zejména skenerům) je ostatně převážná část papírových 6
dokumentů digitalizována, proto je na místě regulaci nakládání s osobními údaji vztáhnout i na dokumenty papírové. 1.1.2 Tradice ochrany osobních údajů Nelze říci, že v České republice není žádná tradice při nakládání s osobními údaji. Určitá tradice zde existuje, je to však spíše tradice (z pohledu ochrany osobních údajů) špatná. Tímto mám na mysli určitou praxi, kde se např. u kadeřníka sejdou zákaznice, a začnou si vyprávět, co je nového. První zákaznice si stěžuje na dítě ze sousedství, které rozbilo okno. K tomu se připojí druhá zákaznice, pracovnice přestupkové komise, která všechny informuje o tom, že jablko nepadá daleko od stromu a vyjmenuje přestupky rodičů onoho dítka. Na to se do diskuse zapojí další zákaznice – místní matrikářka, která podotkne, že jsou všichni na omylu, neboť otcem onoho dítěte je úplně někdo jiný, protože se vůbec nenarodilo zmiňovaným rodičům, ale je adoptované. Všichni jsou z toho překvapeni a už se těší, až tuto informaci pošlou dál. Právě výše uvedené praxi, která bývala mnohdy doplňována kopírováním a rozšiřováním příslušných dokumentů, je třeba čelit, neboť může napáchat mnoho škody v soukromém a rodinném životě osob, o kterých jsou informace takto rozšiřovány. Jedním z dalších principů, na kterých je založena ochrana osobních údajů, je proto princip mlčenlivosti.
1.2 Právní úprava ochrany osobních údajů V této kapitole se účastník kurzu dozví o různých typech právních dokumentů, které regulují nakládání s osobními údaji. Ochrana osobních údajů není totiž upravena pouze v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. 1.2.1 Ústavněprávní zakotvení ochrany osobních údajů článek 10 Listiny základních práv a svobod: (1) Každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. (2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. (3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.
7
1.2.2 Mezinárodněprávní ochrana osobních údajů Rada Evropy V roce 1950 uzavřely mezi sebou členské státy Rady Evropy (demokratické evropské státy kam nepatřily státy komunistického bloku) tzv. Evropskou úmluvu o lidských právech. Tato úmluva jednak pojmenovala určitá lidská práva, která měly členské státy úmluvy respektovat, a dále zavedla speciální justiční orgán, na nějž se mohli obracet jednotlivci se žalobami na ten stát, který by lidská práva nerespektoval. Tento justiční orgán je Evropský soud pro liská práva ve Štrasburku. Po roce 1989 jsou členy Rady Evropy všechny evropské státy, neboť se má za to, že jsou všechny demokratické. To znamená, že u Evropského soudu pro lidská práva ve Štrasburku je možno se domáhat právní ochrany proti zásahu do lidských práv, ke kterému došlo na území prakticky celé Evropy. Lidská práva, jejichž ochrany je možno se u Evropského soudu pro lidská práva ve Štrasburku domáhat, jsou popsána zejména v Evropské úmluvě o lidských právech. Mezi členskými státy Rady Evropy však byly uzavřeny i další smlouvy o lidských právech. Jednou z těchto smluv je i Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat. Úmluva byla podepsána ve Štrasburku 28. ledna 1981 a vstoupila v platnost 1. října 1985. ČR Úmluvu podepsala ve Štrasburku dne 8. září 2000. Jak napovídá název úmluvy, týkala se pouze automatizovaného zpracování dat, nicméně umožňovala členským státům, aby si její působnost rozšířily i na zpracování osobních údajů zpracovávaných manuálně. Jelikož se mezinárodní úmluvy uzavřené v rámci Rady Evropy číslují a pořadové číslo Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat je 108, někdy se jí zkráceně říká Úmluva č. 108. Evropská unie Evropská unie představuje užší integraci evropských států, jejímž účelem je realizace volného pohybu zboží, osob, služeb a kapitálu. Za účelem naplnění těchto ekonomických svobod je třeba, aby členské státy EU měly v určitých oblastech harmonizovanou právní regulaci. K tomu slouží zejména dva právní nástroje, kterými jsou nařízení a směrnice. V oblasti ochrany osobních údajů se využívají směrnice. Směrnice znamenají úkol pro členské státy, aby si upravily své vnitrostátní právní předpisy tak, aby byly ve shodě s výsledem obsaženým ve směrnici. Nejdůležitější směrnicí v oblasti ochrany osobních údajů je Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců 8
v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Směrnice 95/46/ES“). Směrnice 95/46/ES je právním předpisem, který se týká regulace nakládání s osobnímu údaji obecně. V oblasti ochrany osobních údajů však vyšlo několik dalších směrnic, které regulují nakládání s osobními údaji ve specifických oblastech. Pro představu jde o tyto směrnice: Směrnice Evropského parlamentu a Rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) Směrnice Evropského parlamentu a Rady 2000/31/ES o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (Směrnice o elektronickém obchodu) Směrnice Evropského parlamentu a Rady 97/66 ES o zpracování osobních údajů a ochraně soukromí v telekomunikacích 1.2.3 Právní předpisy upravující ochranu osobních údajů v ČR V České republice je nakládání s osobním údaji provedeno zákonem. Je to způsobeno tím, že dle Ústavy ČR mohou být povinnosti právním subjektům ukládány pouze zákonem. Základním zákonem, který se v oblasti ochrany osobních údajů uplatňuje, je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále též „ZOOU“). ZOOU upravuje nakládání s osobními údaji obecně. Existuje však několik speciálních zákonů, které upravují nakládání s osobními údaji ve specifických oblastech. Speciální předpisy však přinášejí pouze drobné odchylky od obecné regulace stanovené dle ZOOU. Těmto speciálními zákony jsou: zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti) – upravuje používání spamů zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) – upravuje nakládání s osobnímu údaji v telekomunikacích zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel) – upravuje používání rodného čísla (speciálně souhlas s jeho zpracováním)
9
1.3 Působnost zákona č. 101/2000 Sb., o ochraně osobních údajů Jak již napovídá název této kapitoly, půjde v ní o působnost zákona č. 101/2000 Sb., o ochraně osobních údajů. Pochopení této kapitoly je dosti důležité, neboť ne vše, co se s osobními údaji děje, podléhá regulaci zákona č. 101/2000 Sb. 1.3.1 Působnost zákona – pozitivní vymezení § 3 odst. 1, 2 a 5 ZOOU (1) Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby. (2) Tento zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. (5) Tento zákon se dále vztahuje na zpracování osobních údajů, a) jestliže se právní řád České republiky použije přednostně na základě mezinárodního práva veřejného, i když správce není usazen na území České republiky, b) jestliže správce, který je usazen mimo území Evropské unie, provádí zpracování na území České republiky a nejedná se pouze o předání osobních údajů přes území Evropské unie; v tomto případě je správce povinen zmocnit postupem podle § 6 na území České republiky zpracovatele Jestliže zpracování provádí správce prostřednictvím svých organizačních jednotek umístěných na území Evropské unie, musí zajistit, že tyto organizační jednotky budou zpracovávat osobní údaje v souladu s národním právem příslušného členského státu Evropské unie. Podle zákona o ochraně osobních údajů se tento zákon vztahuje na zpracování osobních údajů, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby. Tato definice v sobě zahrnuje jakékoli myslitelné subjekty. Prakticky to znamená, že se zákon o ochraně osobních údajů vztahuje na všechny subjekty práva, ovšem s určitými výjimkami, které budou uvedeny později. Zákon o ochraně osobních údajů se vztahuje na veškeré zpracování osobních údajů bez ohledu na prostředky zpracování. Je tedy nerozhodné, zda jsou dokumenty s osobními údaji zpracovávané automatizovaně (pomocí výpočetní techniky) nebo manuálně (ručně pomocí šanonů a kartoték). V uvedeném ustanovení je patrný určitý historismus, kdy starší mezinárodní úmluvy se vztahovaly pouze na zpracování osobních údajů prováděných automatizovaně, neboť především automatizované zpracování osobních údajů představuje hrozbu pro neoprávněné zasahování do soukromí. Český zákonodárce však právní regulaci ochrany osobních údajů podřídil jak zpracování osobních údajů prováděné automatizovaně, tak mechanicky.
10
Zákon o ochraně osobních údajů se použije rovněž při zpracování osobních údajů tam, kde se použije český právní řád, což jsou např. lodě plující pod českou vlajkou, letadla registrovaná v České republice nebo budovy českých zastupitelských úřadů v zahraničí. Při zpracování osobních údajů na území některého státu Evropské unie se použije právo tohoto státu. Vzhledem k existenci Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která ukládá členským států EU mít svoji právní úpravu v souladu s touto směrnicí, lze říci, že právní úprava ochrany osobních údajů v jednotlivých státech EU si je velmi podobná. 1.3.2 Působnost zákona – negativní vymezení § 3 odst. 3 a 4 ZOOU (3) Tento zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu. (4) Tento zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Za zpracování osobních údajů pro svoji osobní potřebu se považuje vedení osobního diáře nebo adresáře. Problém nastane tehdy, když se údaje z tohoto (původně osobního) adresáře začnou používat pro podnikatelskou potřebu. Obvykle to nastane, když někdo začne podnikat v oblasti multilevel marketingu, kdy začne kontaktovat své příbuzné a známé a začne jim nabízet, kosmetiku, hrnce, vysavače a další možné zboží. V takovém případě již nejde o zpracování výlučně pro osobní potřebu, ale rovněž pro potřebu podnikatelskou. Shromažďování je stejně jako uchovávání jedním ze způsobů zpracování osobních údajů. Nahodilé shromažďování je takové, kdy jsou osobní údaje získány náhodou, tedy bez toho, aniž by správce osobních údajů vyvíjel úsilí k jejich získání (např. tehdy, když správci pošle někdo žádost o zaměstnání). Jedním ze způsobů zpracování je i tzv. uchovávání osobních údajů. Pokud tedy správce získá nějaký dokument obsahující osobní údaje a tento dokument založí do šuplíku nebo do skříně, provádí tzv. uchovávání osobních údajů. Z toho tedy plyne, že pokud správce získá (byť nahodile) dokument obsahující osobní údaje (např. zmíněnou žádost o zaměstnání) a tento dokument uschová (v dikci ZOOU uchovává), pak se na takové zpracování osobních údajů zákon o ochraně osobních údajů vztahuje.
11
1.3.3 Působnost zákona – částečné negativní vymezení § 3 odst. 6 ZOOU (6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění a) bezpečnosti České republiky, b) obrany České republiky, c)
veřejného pořádku a vnitřní bezpečnosti,
d) předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů, e)
významného hospodářského zájmu České republiky nebo Evropské unie,
f)
významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření,
g) výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f), nebo h) činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti. Působnost zákona o ochraně osobních údajů je částečně omezena ve výše uvedených případech, z důvodů bezpečnostních, hospodářských a fiskálních zájmů státu. V těchto případech není třeba, aby správce osobních údajů plnil své povinnosti uvedené v § 5 odst. 1, § 11 a 12 ZOOU. Toto omezení je sice významné, nutno ovšem dodat, že je pouze částečné, a správce osobních údajů má pořád např. informační povinnost dle § 16 eventuálně dle § 18 odst. 2 ZOOU.
1.4 Zásady ochrany osobních údajů V této kapitole se účastník kurzu dozví o tom, jaké zásady se uplatňují při právní regulaci ochrany osobních údajů. Níže uvedené zásady se pak budou promítat do jednotlivých práv a povinností, které zákon určitým subjektům ukládá. 1.4.1 Zásada účelovosti Zásada účelovosti je základní zásadou ochrany osobních údajů. Vychází se z účelu zpracování osobních údajů, přičemž účel je důvod, proč správce potřebuje osobní údaje zpracovávat. Správce např. chce zamezit tomu, aby se po objektu pohybovali lidé, kteří tam nemají, co dělat, neboť má strach, že mu v objektu něco odcizí. Zavede proto evidenční knihu návštěv, do které se musí každá návštěva zapsat. Účelem zpracování osobních údajů je v tomto případě vlastně ochrana majetku správce. 12
Každé zpracování osobních údajů musí mít svůj legitimní účel. Je zakázáno shromažďovat osobní údaje takříkajíc bezúčelně, tedy jenom tak, aniž by správce věděl, na co osobní údaje potřebuje. Nejdříve by totiž měla existovat určitá činnost správce, kterou správce hodlá vykonávat (např. ochrana majetku). Pokud je při této činnosti nezbytné, aby správce zpracovával osobní údaje, pak to za splnění určitých podmínek dělat může. Tuto logiku však nelze obracet. Tedy nejdříve získávat osobní údaje a teprve potom přemýšlet, co s nimi budu jako správce dělat. 1.4.2 Zásada přiměřenosti (minimalizace rozsahu) Zásada přiměřenosti navazuje na zásadu účelovosti. Za konkrétním účelem je totiž možné zpracovávat jen takový rozsah osobních údajů, který je nezbytný k naplnění stanoveného účelu. Pro příklad se vrátíme k výše uvedené situaci, kdy bude vedena evidenční kniha návštěv. Jelikož tato kniha má pouze návštěvu identifikovat pro případ možné krádeže, plně postačí, aby obsahovala pouze identifikační údaje subjektu údajů, jako je jméno, příjmení, adresa, případně rok narození. Zpracování dalších údajů, jako je např. fotografie (z ofoceného občanského průkazu) nebo rodné číslo, je jaksi již navíc a neodpovídá to stanovenému účelu. 1.4.3 Zásada přesnosti Zásada přesnosti navazuje na praktickou stránku zpracování osobních údajů. Pokud totiž mají správci osobní údaje opravdu napomoci při jeho činnosti, kvůli které je zpracovává, je nezbytné, aby tyto údaje byly přesné, tedy aby byly aktualizované. Zásada přesnosti pak rovněž souvisí s právem na jméno subjektu údajů, tedy jde o to, aby správce osobní údaje již v okamžiku jejich získávání tyto údaje zaznamenával přesně. Zejména, pokud si tyto osobní údaje opisuje z různých dokladů, aby v těchto záznamech neměl překlepy. 1.4.4 Zásada otevřenosti Zásada otevřenosti opět souvisí se zásadou účelovosti. Ze zásady otevřenosti vycházejí některé povinnosti správce osobních údajů, které ho nutí určité informace o zpracování osobních údajů zveřejňovat. Rovněž tak v rámci respektování zásady otevřenosti je zakázáno zpracovávat osobní údaje pod záminkou zpracování za účelem, který neexistuje. 1.4.5 Zásada ochrany před nahodilým přístupem Zásada ochrany před nahodilým přístupem se vztahuje k zabezpečení zpracovávaných osobních údajů. Znamená vlastně povinnost správce přijmout taková bezpečnostní a organizační opatření,
13
která by komukoli znemožňovala se k osobním údajů dostat. Je to určitá prevence před zneužitím osobních údajů ze strany třetích osob. 1.4.6 Zásada mlčenlivosti Zásada mlčenlivosti se vztahuje jednak na správce samotného, jeho zaměstnance, zpracovatele, tedy na každého, kdo přijde s osobními údaji do styku. Zásada mlčenlivosti souvisí s ochranou osobnosti subjektu údajů (ochrana před zasahováním do soukromého a rodinného života). Zákon o ochraně osobních údajů zavádí obecnou povinnost mlčenlivosti. Povinnost mlčenlivosti, která se dříve uplatňovala v rámci zachování tzv. tajemství (lékařské tajemství, advokátní tajemství, bankovní tajemství) jenom v určitých oborech, je nyní stanovená jako obecná povinnost pro všechny, kteří s osobními údaji pracují. 1.4.7 Zásada souhlasu subjektu údajů Zásada souhlasu subjektu údajů je obecným principem, na kterém je založena ochrana osobních údajů. Jádrem této zásady je obecné pravidlo, že cokoli se s osobními údaji děje, musí se tak dít se souhlasem subjektu údajů. Vzhledem k tomu, že důsledné uplatňování této zásady by prakticky paralyzovalo chod veřejné správy i fungování soukromého sektoru, je tato zásada v mnoha případech prolomena a neuplatňuje se. 1.4.8 Zásada informování subjektu údajů Zásada informování subjektu údajů souvisí se zásadou otevřenosti zpracování osobních údajů. Představuje možnou kontrolu zpracování osobních údajů, a to přímo od samotného subjektu údajů. Zásada informování subjektu údajů se prakticky realizuje ve dvou formách. Za určitých podmínek má správce osobních údajů povinnost subjektu údajů poskytovat určité informace vztahující se ke zpracování jeho osobních údajů. Tuto povinnost má správce osobních údajů za určitých podmínek plnit automaticky, a nebo ji má plnit vždy na žádost subjektu údajů. 1.4.9 Zásada oznamování zpracování osobních údajů Zásada oznamování zpracování osobních údajů souvisí rovněž se zásadou otevřenosti zpracování osobních údajů. Představuje možnou kontrolu zpracování osobních údajů, a to prakticky od kohokoli. Zásada oznamování zpracování osobních údajů souvisí s představou, že kdokoli 14
(kterýkoli subjekt údajů) by měl mít možnost nějakým způsobem zjistit, co ten který správce osobních údajů zpracovává za osobní údaje a proč (v dikci ZOOU to znamená zjistit účel a rozsah zpracování osobních údajů). Oznamování zpracování osobních údajů je vlastně obecná povinnost správce osobních údajů, která znamená, že správce je povinen určité informace o zpracování osobních údajů oznamovat. Toto oznámení se v zásadě děje dvěma způsoby. Jednak prostřednictvím registrace u Úřadu pro ochranu osobních údajů, a nebo (za splnění určitých podmínek) přímo na webových stránkách toho kterého správce. 1.4.10 Zásada ochrany práv subjektu údajů Zásada ochrany práv subjektu údajů souvisí s praktickou realizací ochrany osobních údajů. Při realizaci ochrany osobních údajů totiž proti sobě prakticky stojí dva subjekty – jednak správci a jednak subjekty údajů. Zatímco správci mají při zpracování osobních údajů především povinnosti, pak subjekty údajů mají především práva, která jim slouží zejména k tomu, aby mohly správce nějakým způsobem donutit, aby jejich osobní údaje zpracovával v souladu se zákonem. Aby mohly subjekty údajů svá práva realizovat, mají jejich práva podobu tzv. subjektivních práv, což znamená, že jsou vynutitelná prostřednictvím státního donucení (tedy na soudě). Pokud tedy správci dobrovolně nevyhoví právům, jež vůči nim mohou uplatňovat subjekty údajů, je možné domoci se realizace těchto práv prostřednictvím soudů.
15
2 Pojmy ochrany osobních údajů 2.1 Osobní údaj Níže uvedená kapitola pojednává o klíčovém pojmu, se kterým pracují právní předpisy regulující ochranu osobních údajů a to je pojem „osobní údaj“. 2.1.1 Definice pojmu osobní údaj v právních předpisech § 4 písm. a) ZOOU Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Čl. 2 odst. a) směrnice 95/46/ES Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity. Čl. 2 odst. a) Úmluvy č. 108 Osobní údaje znamenají každou informaci týkající se identifikované nebo identifikovatelné fyzické osoby („subjekt údajů“). 2.1.2 Určenost a určitelnost subjektu Z právních definic vyplývá, že osobními údaji jsou informace, které se vztahují ke konkrétní fyzické osobě. Identifikovat (určit) osobu lze buď přímo (např. pomocí takových údajů, jako je jméno, příjmení, rodné číslo, otisky prstů), nebo nepřímo. Údaje, které přímo určují fyzickou osobu (jméno, příjmení, rodné číslo, otisky prstů), jsou vždy osobními údaji. Fyzická osoba však může být určená i nepřímo – tedy v kontextu s jinými informacemi. Pokud bude existovat informace, že farář z Dolní Lhoty má velké dluhy, pak záleží na tom, zda v Dolní Lhotě bude 1 nebo více farářů. Pokud bude existovat v Dolní Lhotě pouze 1 farář, pak je zcela zřejmé, že označení farář, se vztahuje pouze k jedné fyzické osobě, a proto informace, že tato osoba má velké dluhy, bude osobním údajem. Pokud by však bylo farářů v Dolní Lhotě více
16
a nebylo by možné (např. pomocí dalších indicií) určit, koho se uvedená informace týká, pak by tato informace nebyla osobním údajem. Proces, kdy se při zpracování osobních údajů vytvoří situace, kdy osobní údaje nelze vztáhnout k určenému nebo určitelnému subjektu údajů, se nazývá anonymizace osobních údajů, a údaj, který ztratí vazbu ke konkrétní fyzické osobě, se nazývá anonymní údaj. § 4 písm. c) ZOOU Anonymním údajem (se rozumí) takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů. 2.1.3 Které informace jsou osobními údaji? Z právních předpisů vyplývá, že osobním údajem je jakákoli informace vztahující se k fyzické osobě. Nejsou to tedy „pouze“ informace identifikační (např. jméno a příjmení, rodné číslo), ale i jakékoli jiné údaje, které se vztahují ke konkrétní (identifikované) fyzické osobě (např. číslo bot, kde byla fyzická osoba na dovolené, jaké měla ve škole známky, jaké je její oblíbené jídlo, co si koupila v obchodě). V odborné literatuře není jednota názorů v tom, zda jsou osobními údaji pouze údaje, které se vztahují k osobám živým, nebo zda to jsou i údaje, které se vztahují k osobám mrtvým. Pro názor, že osobní údaje jsou i údaje o osobách mrtvých svědčí zejména znění zákona o pohřebnictví (zákon č. 256/2001 Sb., o pohřebnictví a o změně některých zákonů), podle něhož provozovatel veřejného pohřebiště při zpracování osobních údajů zemřelých osob postupuje podle zvláštního zákona, kterým je dle poznámky pod čaru zákon o ochraně osobních údajů. (Více viz Matoušová, M., Hejlík, L.: Osobní údaje a jejich ochrana, Nakladatelství ASPI Publishing, s.r.o., Praha 2003, str. 209–210).
2.2 Citlivý údaj Kapitola citlivý údaj popisuje obsah tohoto pojmu. Je třeba si uvědomit, že citlivý údaj je údaj, který je přesně definován v zákoně o ochraně osobních údajů. Citlivost údaje se tak posuzuje objektivně, a nikoli subjektivně, tedy dle toho, co ten který subjekt údajů za citlivé považuje.
17
2.2.1 Definice pojmu citlivý údaj § 4 písm. b) ZOOU Citlivým údajem je osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Uvedený výčet je taxativní, to znamená, že citlivým údajem je pouze takový údaj, který je uveden v § 4 písm. b) ZOOU, nic víc, nic míň. To mimo jiné znamená, že citlivým údajem není rodné číslo, výše bankovního konta, věk, školní prospěch, a to z toho důvodu, že tyto osobní údaje nejsou zahrnuty v definici uvedené v § 4 písm. b) ZOOU. 2.2.2 Jednotlivé citlivé údaje Národnostní, rasový a etnický původ Tyto osobní údaje vypovídají o příslušnosti osoby k národu, rase, případně etniku. Vzhledem k tomu, že z fotografie obličeje je možné zpravidla poznat, zda je člověk běloch, černoch, indián nebo Asiat (tedy údaje o rasovém původu), považuje se fotografie obličeje konkrétní osoby za citlivý údaj. Politické postoje Do informací o politických postojích je možné zařadit jednak členství osoby v polické straně, ale i další informace o vztahu člověka k politice a veřejným věcem (např. koho volil v komunálních nebo parlamentních volbách, zda podepsal tu či onu petici, zda je zastáncem nebo odpůrcem umístění amerického radaru na území ČR). Náboženské a filozofické přesvědčení Do této kategorie citlivých údajů lze zařadit informace o členství v církvi, náboženské společnosti nebo občanském sdružení sdružující osoby stejného filozofického přesvědčení. Těmito citlivými údaji jsou rovněž i jednotlivé projevy, kterými se demonstruje sympatie s určitým náboženstvím nebo názorem, nebo ze kterých lze filozofické nebo náboženské přesvědčení subjektu údajů vyvodit (např. chození do kostela, držení půstu, slavení svátků). Pokud se týká výuky náboženství na školách, tak údaj o tom, že někdo navštěvuje hodiny náboženství není bez dalšího citlivým údajem. Pouze z informace, že někdo navštěvuje hodinu náboženství, nelze totiž určit náboženské přesvědčení subjektu, neboť účastnit se hodiny náboženství může jak katolík, evangelík, muslim nebo ateista. 18
Členství v odborech Členství v odborech je citlivým údajem o tom, že určitý subjekt údajů je sdružen v některé odborové organizaci. Odsouzení za trestný čin Citlivý údaj odsouzení za trestný čin vlastně znamená, že existuje pravomocný rozsudek soudu, který klade určitému subjektu údajů (pachateli) za vinu spáchání trestného činu. V běžné praxi je možné se setkat s výpisem z rejstříku trestů. Pokud je tento výpis negativní (subjekt údajů nemá záznam), pak se o citlivý údaj nejedná. Zdravotní stav a sexuální život Údaje o zdravotním stavu obsahuje v běžné praxi především zdravotnická dokumentace, ale rovněž i neschopenka, neboť z ní lze zdravotní stav vydedukovat. Pokud ovšem existuje posudek lékaře o tom, že subjekt údajů je práce schopen, pak se nejedná o citlivý údaj. O citlivý údaj by se jednalo pouze tehdy, když by pracovní schopnost subjektu údajů byla nějak omezena, přičemž z tohoto omezení by se dal vydedukovat jeho zdravotní stav (např. údaj o invaliditě). Údaje o sexuálním životě jsou zejména údaje o sexuální orientaci subjektu údajů. Genetické údaje Genetické údaje jsou osobní údaje, které obsahují genetické informace o subjektu údajů. Vzhledem k tomu, že genetická informace je obsažena v DNA, která je v buněčných jádrech, jsou tak genetickými údaji vlastně biologické vzorky, které pocházejí od subjektu údajů (např. vzorky krve, kůže, stěry ze sliznic). Biometrické údaje Definice biometrických údajů byla změněna zákonem č. 170/2007 Sb., který doplnil do textu zákona o ochraně osobních údajů to, že biometrický údaj je údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Biometrickým údajem je údaj, na základě kterého je fyzická osoba jednoznačně a nezaměnitelně určitelná, např. otisk prstu, otisk dlaně, analýza deoxyribonukleové kyseliny, profil deoxyribonukleové kyseliny. Před účinností zákona č. 170/2007 Sb. tato definice biometrického údaje neplatila a bylo třeba za biometrický údaj považovat ty údaje, které se vztahovaly k fyzické osobě jakožto biologické
19
bytosti (bio) a které byly měřitelné (metrické), tedy v podstatě míry a váhy. (Více viz Šalomoun, M.: Právní regulace nakládání s citlivými údaji. Právní rozhledy č. 19/2006.)
2.3 Rodné číslo Rodné číslo je specifický osobní údaj, o kterém je vhodné pojednat samostatně. 2.3.1 Rodné číslo jeho právní regulace Struktura, přidělování a využívání rodných čísel jsou upraveny v zákoně č. 133/2000 Sb., o evidenci obyvatel a rodných číslech, v platném znění. Podle tohoto předpisu je rodné číslo desetimístné číslo, které je dělitelné jedenácti beze zbytku. První dvojčíslí vyjadřuje poslední dvě číslice roku narození, druhé dvojčíslí vyjadřuje měsíc narození, u žen zvýšené o 50, třetí dvojčíslí vyjadřuje den narození. Čtyřmístná koncovka je rozlišujícím znakem obyvatel narozených v tomtéž kalendářním dnu. Rodná čísla přidělená fyzickým osobám narozeným před 1. lednem 1954 mají stejnou strukturu, jsou však devítimístná s třímístnou koncovkou a nesplňují podmínku dělitelnosti jedenácti. Rodné číslo není citlivý údajem dle zákona o ochraně osobních údajů. Je však jednoznačným identifikátorem, jehož použití může přivést k citlivým údajům, které jsou někdy obsaženy např. v osobním spise, proto se doporučuje zacházet s ním jako s citlivým údajem. Použití rodného čísla je upraveno v § 13 c zákona o evidenci obyvatel takto: § 13c (1) Rodná čísla lze využívat jen a) jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí, b) stanoví-li tak zvláštní zákon, nebo c) se souhlasem nositele rodného čísla nebo jeho zákonného zástupce. (2) Pro využívání rodných čísel se rodným číslem rozumí i jakákoliv kombinace čísel vyjadřující den, měsíc, rok narození a třímístnou nebo čtyřmístnou koncovku rodného čísla, z níž je možné dovodit identifikaci fyzické osoby. 2.3.1 Budoucnost používání rodného čísla Zákon č. 111/2009 Sb., o základních registrech, zavedl 4 základní registry. a) základní registr obyvatel - správcem je Ministerstvo vnitra b) základní registr právnických osob, podnikajících fyzických osob a orgánů veřejné moci správcem je Český statistický úřad
20
c) základní registr územní identifikace, adres a nemovitostí – správcem je Český úřad zeměměřický a katastrální d) základní registr agend orgánů veřejné moci a některých práv a povinností - správcem je Ministerstvo vnitra V rámci těchto registrů bude zajištěna ochrana osobních údajů, kdy bude nahrazeno používání rodného čísla jako univerzálního identifikátoru fyzické osoby systémem bezvýznamových identifikátorů. Tyto identifikátory se budou pro jednotlivé agendy nebo skupiny agend lišit, a neumožní tak při znalosti jednoho identifikátoru vyhledávat údaje o fyzické osobě v agendě jiné. Jediným místem, kde budou všechny tyto identifikátory uloženy, je Informační systém ORG, který spravuje Úřad pro ochranu osobních údajů. V tomto systému však nejsou uloženy žádné další údaje fyzických osob, takže ani znalost všech identifikátorů neumožňuje Úřadu (ani nikomu jinému) zjistit jejich přiřazení jednotlivým fyzickým osobám. Rodná čísla však zrušena nebudou, měla by se však postupně přestat používat a budou moci být využita pro vytvoření registru obyvatel, tato možnost by měla skončit 31. 12. 2025. Další informace na stránkách Úřadu pro ochranu osobních údajů http://www.uoou.cz/uoou.aspx?menu=884
2.4 Úřad pro ochranu osobních údajů Tento článek slouží jako exkurz do činnosti speciálního správního orgánu, který má určité kompetence v oblasti ochrany osobních údajů. Tímto orgánem je Úřad pro ochranu osobních údajů. 2.4.1 Zřízení a struktura Úřadu pro ochranu osobních údajů Zákon o ochraně osobních údajů je kromě jiného též organizační normou, která zřídila zcela nový úřad – Úřad pro ochranu osobních údajů se sídlem v Praze (§ 2 ZOOU). V čele úřadu je předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky. Předseda úřadu je jmenován na dobu 5 let. Může být jmenován maximálně na 2 po sobě jdoucí období. Kontrolní a další činnost úřadu vykonávají inspektoři, kterých je celkem 7. Inspektora jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky. Inspektor je jmenován na období 10 let. Může být jmenován opakovaně. Úřad má rovněž své zaměstnance, kteří fakticky vykonávají většinu činností úřadu.
21
2.4.2 Působnost Úřadu pro ochranu osobních údajů Úřad pro ochranu osobních údajů: a) provádí dozor nad dodržováním povinností stanovených tímto zákonem, b) vede registr zpracování osobních údajů, c) přijímá podněty a stížnosti na porušení tohoto zákona a informuje o jejich vyřízení, d) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti, e) vykonává další působnosti stanovené mu zákonem, f) projednává přestupky a jiné správní delikty a uděluje pokuty, g) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, h) poskytuje konzultace v oblasti ochrany osobních údajů, i) spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů. Úřad v souladu s právem Evropských společenství plní oznamovací povinnost vůči orgánům Evropské unie Členské státy Evropských společenství jsou povinny na základě Směrnice 95/46/ES zřídit nezávislý orgán dohledu, kterému jsou svěřovány určité kompetence v oblasti ochrany osobních údajů. Obdobná povinnost platí i pro členské státy Rady Evropy na základě Úmluvy č. 108. Úřad pro ochranu osobních údajů tak plní funkci tohoto orgánu dohledu. Jeho zřízení tedy není pouze českým výmyslem, ale obdobné orgány fungují ve všech státech Evropy.
2.5 Subjekty ochrany osobních údajů V této kapitole se účastník kurzu naučí rozlišovat mezi třemi osobami, které jsou účastny právních vztahů vznikajících při nakládání s osobními údaji. Těmito subjekty jsou správce, zpracovatel a subjekt údajů. 2.5.1 Definice subjektů v zákoně o ochraně osobních údajů § 4 písm. d) ZOOU subjektem údajů (se rozumí) fyzická osoba, k níž se osobní údaje vztahují
22
§ 4 písm. j) ZOOU správcem (se rozumí) každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak § 4 písm. k) ZOOU zpracovatelem (se rozumí) každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona 2.5.2 Rozdíly mezi subjekty Zákon o ochraně osobních údajů vlastně rozlišuje tři subjekty, kterým dává práva a ukládá povinnosti. Zatímco subjektu údajů (osobě, o níž se osobní údaje zpracovávají) dává především práva, pak subjektům, které provádějí zpracování osobních údajů (správce a zpracovatel), ukládá především povinnosti. Jak správce tak zpracovatel provádějí zpracování osobních údajů, rozdíl mezi nimi je však ten, že správce určuje účel a prostředky zpracování osobních údajů, což zpracovatel nedělá. Správce je tak někdo, kdo musí (zejména na základě zákona) nebo chce (na základě vlastní volby) osobní údaje zpracovávat. Zpracovatel je pak osoba, která provádí zpracování osobních údajů pro správce podle jeho pokynů. Z definice správce, kde je uvedeno, že správce určuje účel zpracování a prostředky zpracování, by se mohlo zdát, že správce je v zásadě ten, kdo se rozhodne osobní údaj zpracovávat. Nicméně současná právní realita přináší množství předpisů, které určitým subjektům ukládají povinnost vykonávat určitou činnost (např. zaměstnavatelům platit za zaměstnance sociální a zdravotní pojištění). Aby tuto činnost mohl zaměstnavatel vykonávat, musí zpracovávat osobní údaje o svých zaměstnancích, kdy účel zpracování osobních údajů je mu vlastně předestřen zákonodárcem. Proto je vhodné uvedenou definici správce chápat tak, že správcem je ten, kdo na základě vlastní volby zpracovává osobní údaje (stanovuje účel zpracování), nebo kdo má ze zákona povinnost provádět takovou činnost, při které je nezbytné osobní údaje zpracovávat (v tomto případě je mu vlastně účel zpracování určen přímo ze zákona). Správcem je tedy např. vždy zaměstnavatel, neboť zpracovává osobní údaje zaměstnanců. To může dělat buď sám, nebo si k tomuto účelu může někoho najmout, např. účetní nebo personální agenturu. Tato účetní nebo personální agentura pak bude zpracovatelem osobních údajů.
23
2.5.3 Typičtí správci osobních údajů Vzhledem k tomu, že správcem je vždy ten, kdo má povinnost vykonávat určitou činnost, při níž je nezbytné zpracovávat osobní údaje nebo vést určitou evidenci, je možné uvést určitou kategorii subjektů, která bude správcem osobních údajů.
orgány státní správy
obce
kraje
samosprávné komory
Tyto subjekty vykonávají veřejnou správu, kterou lze uskutečňovat pouze na základě zákona, takže když budou vůči konkrétní osobě tuto veřejnou správu uskutečňovat, budou zpracovávat její osobní údaje a budou v postavení správců osobních údajů. Další kategorii budou představovat ti, kterým zvláštní zákon ukládá zpracování osobních údajů, zpravidla se to v zákoně formuluje tak, že vedou určitou evidenci. školy – na základě školského zákona vedou matriku studentů autoškoly – na základě zákona o získávání a zdokonalování odborné způsobilosti k řízení motorových vozidel a o změnách některých zákonů, mají vést evidenční knihu žáků vysoké školy – na základě vysokoškolského zákona vedou matriku studentů zdravotnická zařízení a soukromí lékaři – na základě zdravotnických předpisů vedou zdravotnickou dokumentaci a na základě dalších zákonů např. evidují recepty, které obsahují osobní údaje lékárny – na základě zákona zpracovávají recepty hotely, penziony a ubytovací zařízení – na základě zákona o místních poplatcích jsou povinni vést evidenční knihu, která obsahuje osobní údaje a slouží k placení poplatku za lázeňský nebo rekreační pobyt ústavy sociální péče – zpracovávají osobních údaje na základě zákona o sociálním zabezpečení Tento výčet rozhodně není úplný, dále do skupiny zpracovávající osobní údaje na základě zákona patří notáři, exekutoři, v podstatě i zaměstnavatelé – zpracovávají osobní údaje na základě různých zákonů (zákoníku práce, zákona o daních z příjmů, zdravotního a nemocenského pojištění atd.) a rovněž i všechny právnické osoby, neboť zpracovávají osobní údaje o svých zakladatelích, členech statutárních a dozorčích orgánů.
24
2.6 Zpracování osobních údajů Kapitola zpracování osobních údajů pojednává o činnostech, které s osobními údaji provádějí. 2.6.1 Definice pojmu zpracování v zákoně o ochraně osobních údajů § 4 písm. e) ZOOU zpracováním osobních údajů (se rozumí) jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace Vzhledem k tomu, že zpracování je jakákoli operace s osobními údaji, je zpracování osobních údajů cokoli, co je s osobními údaji prováděno. 2.6.2 Definované způsoby zpracování Zákon o ochraně osobních údajů definuje v § 4 písm. f)–i) některé způsoby zpracování, je to shromažďování, uchovávání, blokování a likvidace. shromažďováním osobních údajů (se rozumí) systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování uchováváním osobních údajů (se rozumí) udržování údajů v takové podobě, která je umožňuje dále zpracovávat blokováním operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování Významná je zejména definice způsobu zpracování formou uchovávání. Představme si situaci, kdy zaměstnavateli dojde např. žádost o zaměstnání. Zaměstnavatel si tuto žádost přečte, nijak na ni nereaguje, pouze ji založí do skříně nebo do šuplíku. Právě toto založení do šuplíku nebo do 25
skříně je v dikci zákona o ochraně osobních údajů uchovávání. Pokud tedy zaměstnavatel tuto žádost založí, uchovává tím osobní údaje – neboli provádí zpracování osobních údajů.
26
3 Povinnosti správce osobních údajů 3.1 Povinnost stanovit účel, prostředky a způsob zpracování osobních údajů V této kapitole se účastník kurzu naučí rozlišovat účel, prostředky a způsob zpracování osobních údajů. Zvláštní pozornost je věnována účelu zpracování osobních údajů, neboť to je do značné míry klíčový pojem ochrany osobních údajů. § 5 odst. 1 písm. a) a b) ZOOU Správce je povinen a) stanovit účel, k němuž mají být osobní údaje zpracovány, b) stanovit prostředky a způsob zpracování osobních údajů 3.1.1 Účel zpracování osobních údajů Účel zpracování osobních údajů je důvod, proč správce osobní údaje zpracovává. Nejčastější důvody zpracování osobních údajů jsou v zásadě dvojí, jednak je to plnění právní povinnosti správce (tedy protože musí – např. školy musí vést školní matriku, zaměstnavatelé musí vést evidenci o pracovních úrazech) a nebo je to vůle správce osobních údajů (tedy protože chce – např. zavedení desky cti nejlepších žáků nebo zaměstnanců). 3.1.2 Prostředky zpracování osobních údajů Prostředky zpracování osobních údajů jsou technické prostředky, které správce používá na zpracování osobních údajů. Je třeba si uvědomit, že ačkoli se mluví o zpracování osobních údajů, bylo by výstižnější mluvit o zpracování dokumentů, které osobní údaje obsahují. Prostředky zpracování osobních údajů lze rozlišit podle toho, zda se jedná o automatizované (elektronické) zpracování osobních údajů (např. počítače, kopírky, kamerové systémy a výpočetní technika vůbec) nebo manuální zpracování osobních údajů (např. šanony, kartotéky). 3.1.3 Způsoby zpracování osobních údajů Způsoby zpracování osobních údajů jsou demonstračním výčtem uvedeny v § 4 písm. e) ZOOU a rozumí se jím jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky.
27
Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. 3.1.4 Plnění povinnosti stanovit účel, prostředky a způsob zpracování osobních údajů Je důležité si uvědomit, že způsoby zpracování a prostředky zpracování se vždy vztahují k jednomu účelu. K vlastnímu plnění povinnosti ZOOU nic bližšího neříká, jenom to, že uvedenou povinnost je třeba splnit před faktickým zpracováním osobních údajů. Vzhledem k tomu, že plnění této povinnosti může kontrolovat Úřad pro ochranu osobních údajů, bylo by vhodné uvedenou povinnost plnit vytvořením speciálního dokumentu, ve kterém by správce zaznamenal (napsal) jednotlivé účely zpracování osobních údajů a k nim přiřadil prostředky a způsoby zpracování osobních údajů. Může se zdát sporné, zda je správce povinen tuto povinnost plnit tehdy, když zpracovává osobní údaje na základě zákona (např. škola při vedení školní matriky). V tomto případě si správce v podstatě účel nevolí sám, ale je mu tak říkajíc vnucen zákonem. V takovém případě by plnění povinnosti stavit účel, prostředky a způsoby zpracování prakticky znamenalo pouhé „opisování“ zákonů. K uvedenému názoru lze říci, že ZOOU žádnou výjimku z plnění této povinnosti neuvádí, takže by se měla plnit. Správce si navíc žádnou práci neušetří, neboť správci, jimž nařizují zvláštní zákony zpracování osobních údajů (např. vedení školní matriky), mají další speciální povinnost uvádět určité informace o zpracování osobních údajů na svých webových stránkách (§ 18 odst. 2 ZOOU). Pro plnění této povinnosti je třeba rovněž stanovit účel, takže tento účel musejí správci opět „opisovat“ ze zákonů.
3.2 Povinnost zpracovávat osobní údaje se souhlasem subjektu údajů Kapitola pojednává o jedné ze základních povinností správce, jímž je povinnost zpracovávat osobní údaje se souhlasem subjektu údajů, a zejména o výjimkách z plnění této povinnosti. 3.2.1 Právní úprava povinnosti zpracovávat osobní údaje se souhlasem subjektu údajů § 5 odst. 2) ZOOU Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, a) jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce, b)
jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,
28
c)
pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,
d)
jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,
e)
pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,
f)
pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo,
g)
jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního zákona.
§ 9 ZOOU Citlivé údaje je možné zpracovávat, jen jestliže a)
subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21,
b)
je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,
c) se jedná o zpracování při poskytování zdravotních služeb, ochrany veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem, d)
je zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem,
e)
jde o zpracování, které sleduje politické, filozofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení, nadace nebo jiné právnické osoby nevýdělečné povahy (dále jen „sdružení“), a které se týká pouze členů sdružení nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů,
29
f)
se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi, a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem,
g) se zpracování týká osobních údajů zveřejněných subjektem údajů, h) je zpracování nezbytné pro zajištění a uplatnění právních nároků, ch) jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona, nebo i)
se jedná o zpracování podle zvláštních zákonů při předcházení, vyhledávání, odhalování trestné činnosti, stíhání trestných činů a pátrání po osobách.
3.2.2 Zpracování osobních údajů se souhlasem subjektů údajů – obecné teze Základním pravidlem při plnění této povinnosti je zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Z uvedeného pravidla jsou však rozsáhlé výjimky. Pokud se týká výjimek, tak zákon o ochraně osobních údajů stanovuje širší výjimky pro zpracování osobních údajů běžných (NE-citlivých) a užší výjimky pro zpracování osobních údajů citlivých. Rovněž, co se týká „kvality“ souhlasu, je zde rozdíl mezi zpracováním „běžných“ a citlivých osobních údajů. 3.2.3 Výjimky z povinnosti zpracovávat osobní údaje se souhlasem (u „běžných“ osobních údajů) a)
jestliže správce provádí zpracování nezbytné pro dodržení právní povinnosti správce.
Tato výjimka je poměrně obsáhlá. Předpokládá existenci zvláštního zákona, která správce nutí vytvářet určitou činnost, při níž je nezbytné pracovat s osobními údaji (např. u zaměstnavatele vést evidenci dokladů týkajících se mzdy). Je to obecná výjimka, kterou lze použít na fungování veřejné správy, neboť fungování veřejné správy je vždy upraveno zákonem, který ukládá orgánům veřejné správy určitou povinnost (např. vést školní matriku, rozhodovat o přestupcích, povolovat umísťování staveb v území). b)
jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů.
V tomto případě se jedná o evidenci smluv uzavřených se subjektem údajů. Pokud se jedná o zpracování osobních údajů vyvolaných jednáním o uzavření smlouvy, pak příkladem takového jednání může být např. životopis zaslaný uchazečem o zaměstnání. Tento životopis představuje 30
určitou nabídku k uzavření pracovní smlouvy. Pokud tedy subjekt údajů o sobě poskytne správci nějaké údaje, jejichž získání správce neinicioval, zpravidla to jde interpretovat tak, že jde o jednání směřující k uzavření nějaké smlouvy. V tomto případě pak není třeba získávat souhlas subjektu údajů. c) pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat. Bez souhlasu subjektu údajů lze rovněž zpracovávat osobní údaje, pokud je toho nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů. Bude tedy záležet na konkrétní situaci, vždy však bude třeba, aby zpracování bylo „ve prospěch“ subjektu údajů. d)
jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů.
Uvedená výjimka se vztahuje na zpracování osobních údajů, které jsou zveřejněné v souladu se zákonem, zpravidla jsou to údaje z veřejně přístupných seznamů, jako je např. obchodní rejstřík a katastr nemovitostí. Pokud se týká dovětku o tom, že tímto zpracováním nesmí být dotčeno právo na ochranu soukromého a osobního života subjektu údajů, tak k tomu je třeba uvést, že dle § 10 ZOOU nesmí být právo na ochranu soukromého a osobního života dotčeno při zpracování osobních údajů obecně a nikoli pouze v případě uvedeném v § 5 odst. 2 písm. d) ZOOU. e) pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života. Tato výjimka je jakousi záchrannou sítí. Pokud totiž neexistuje jiná výjimka, zpravidla je možné zpracování osobních údajů podřadit pod tuto výjimku, neboť je značně široká. Výjimka zahrnuje zpracování osobních údajů nezbytných nejen k ochraně a uplatnění práv, ale i k právem chráněných zájmů, což je kategorie značně širší. Co se týká dovětku o tom, že tímto zpracováním nesmí být dotčeno právo na ochranu soukromého a osobního života subjektu údajů, tak k tomu je třeba uvést, že dle § 10 ZOOU nesmí být právo na ochranu soukromého a osobního života dotčeno při zpracování osobních údajů obecně a nikoli pouze v případě uvedeném v § 5 odst. 2 písm. e) ZOOU.
31
f)
pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení.
Výjimka uvedená v § 5 odst. 2 písm. f) ZOOU je úzce vymezená a týká se pouze informací o veřejně činných osobách nebo osobách pracujících ve veřejné správě, které vypovídají o jejich veřejné nebo úřední činnosti. Je stále poněkud sporné, zda je na základě této výjimky možné poskytovat informace o platu a odměnách těchto osob. Uvedená věc je vyřešena v rozhodnutí Nejvyššího správního soudu č.j. 5 As 57/2010-79 ze dne 27. května 2011, podle kterého údaje o platech zaměstnanců veřejné správy poskytovat lze. S uvedeným rozhodnutím se nesmířil Úřad pro ochranu osobních údajů, který dokonce vyzýval k nerespektování tohoto rozhodnutí pod pohrůžkou udělování sankcí http://www.uoou.cz/uoou.aspx?menu=14&loc=328. Nejvyšší správní soud si to však nenechal líbit - http://www.nssoud.cz/Poskytovani-informaci-o-prijemcich-verejnych-prostredku/art/684. Uvedený případ tak slouží k mimo jiné k dokumentování toho, že Úřad pro ochranu osobních údajů není povolán k autoritativnímu výkladu zákona, a že při soudním přezkumu nemusí být jeho postup (odůvodněný jeho právními názory) shledán oprávněným. g)
jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního zákona.
Uvedená výjimka se vztahuje pouze na zpracování osobních údajů v režimu zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů. 3.2.4 Výjimky z povinnosti zpracovávat osobní údaje se souhlasem (u citlivých osobních údajů) a) je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas. Výjimka z povinnosti zpracovávat citlivé údaje pouze se souhlasem subjektu údajů uvedená v § 9 písm. b) ZOOU představuje obdobu výjimky uvedené v § 5 odst. 2 písm. c) ZOOU. Uvedená regulace vychází z požadavku evropské směrnice 95/46/ES, podle které je možné bez souhlasu subjektu údajů zpracovávat osobní údaje, je-li to nezbytné k obraně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas. Podmínky uplatnění této výjimky jsou vlastně dvojí a musí být splněny zároveň: a)
existence důležitých zájmů, pro jejichž ochranu je nezbytné zpracování citlivých údajů
b) faktická nebo právní nezpůsobilost subjektu údajů udělit souhlas
32
b) se jedná o zpracování při zajišťování zdravotní péče, ochrany veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem. Uvedená výjimka představuje zpracování osobních údajů v oblasti zdravotnictví. Vzhledem k tomu, že jde o zpracování osobních údajů citlivých, nestačí „pouze“ skutečnost, že se jedná o zpracování osobních údajů, které správci ukládá zvláštní zákon, jako je tomu u zpracování „běžných“ osobních údajů (viz § 5 odst. 2 písm. a) ZOOU). V případě citlivých osobních údajů je totiž třeba, aby tyto zvláštní zákony byly z určité kvalifikované oblasti – v tomto případě z oblasti zdravotnictví. c)
je zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem.
Uvedená výjimka z povinnosti zpracovávat osobní údaje se souhlasem subjektu údajů se vztahuje ke zpracování citlivých údajů v oblasti pracovního práva a zaměstnanosti. Jde rovněž o plnění povinností správce, které jsou mu ukládány zákony z oblastí pracovního práva a zaměstnanosti. d)
jde o zpracování, které sleduje politické, filozofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení, nadace nebo jiné právnické osoby nevýdělečné povahy (dále jen „sdružení“), a které se týká pouze členů sdružení nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.
V tomto případě jde o zpracování osobních údajů členů zájmových organizací a dále těch osob, kteří jsou tzv. sympatizanty těchto organizací. e)
se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi, a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem.
V případě této výjimky jde opět o plnění povinností správce, které mu ukládají zvláštní zákony, tentokráte však v oblasti sociálního zabezpečení.
33
f)
se zpracování týká osobních údajů zveřejněných subjektem údajů.
V uvedeném případě jde o zpracování těch osobních údajů, které byly zveřejněny subjektem údajů. V konkrétním případě však může být někdy obtížně zjistitelné, zda zveřejněné osobní údaje opravdu zveřejnil subjekt údajů. g)
je zpracování nezbytné pro zajištění a uplatnění právních nároků.
Tato výjimka je jakousi „zbytkovou“ výjimkou, neboť pod ni lze podřadit zpravidla zpracování osobních údajů v případě, kdy nemůžeme najít výjimku jinou. V uvedeném případě je třeba vysvětlit, co je to právní nárok. Právní nárok je určitá vlastnost práva, která znamená možnost státního donucení při realizaci práva (vynucení práva cestou soudu). Vzhledem k tomu, že v ČR je v 99 % všech práv vybaveno tzv. nárokem, lze ve většině případů dát rovnítko mezi pojem „nárok“ a pojem „právo“ (alespoň z běžného laického pohledu). Uvedenou výjimku lze tak použít vždy, když jde o zajištění a uplatnění nějakého nároku (rozuměj práva). h)
jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona.
Uvedená výjimka se vztahuje pouze na zpracování osobních údajů v režimu zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů. i)
se jedná o zpracování podle zvláštních zákonů při předcházení, vyhledávání, odhalování trestné činnosti, stíhání trestných činů a pátrání po osobách.
Tato výjimka souvisí v podstatě se zpracováním citlivých údajů v režimu trestního práva. Je to jedna z mála povinností, kterou je správce osobních údajů v této oblasti (typicky Policie ČR) povinen plnit, neboť ohledně jiných povinností jsou stanoveny výjimky z působnosti zákona na ochranu osobních údajů (viz § 3 odst. 6 písm. d) ZOOU).
3.2.5 Formy souhlasu při zpracování osobních údajů Zákon o ochraně osobních údajů rozlišuje mezi zpracováním „běžných“ osobních údajů a citlivých údajů. Při zpracování „běžných“ osobních údajů je možný tzv. prostý nebo-li konkludentní souhlas. Tedy souhlas, který je možný dovodit z jednání. Např. při podpisu smlouvy, která obsahuje identifikační údaje subjektu údajů, je možné dovodit, že podpisem takové smlouvy subjekt údajů souhlasí se zpracováním i osobních údajů, které smlouva obsahuje.
34
Při udělení souhlasu musí být však subjekt údajů informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování (§ 5 odst. 4 ZOOU). Pokud se týká dovozování souhlasu z dokumentu podepsaného subjektem údajů (např. z pracovní smlouvy nebo přihlášky do knihovny), tak informace o účelu zpracování, o osobních údajích, které jsou správci poskytovány, identifikační údaje správce bude možné dovodit z tohoto dokumentu. Poněkud problematické je, že tyto dokumenty zpravidla neobsahují informaci o tom, na jaké období jsou osobní údaje poskytovány (někdy to jde z dokumentů dovodit, ale někdy nikoli). Proto je vhodné na uvedených dokumentech uvést rovnou údaj ohledně doby, po kterou je tento dokument uchováván, případně, kdy dojde k jeho skartaci. Zákon o ochraně osobních údajů nevyžaduje při zpracování „běžných“osobních údajů souhlas písemný, a proto je možno takový souhlas udělit rovněž ústně. Vzhledem k tomu, že dle (§ 5 odst. 4 ZOOU) musí být správce schopen souhlas se zpracováním osobních údajů prokázat po celou dobu zpracování, je vhodné získat takový souhlas písemně. Případně mít podepsané dokumenty, ze kterých je možno takový souhlas dovodit (např. různé smlouvy nebo přihlášky). Při zpracování citlivých údajů je třeba výslovný souhlas (angl. explicit consent) se zpracováním osobních údajů. Dle § 9 písm. a) ZOOU subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21. Vzhledem k tomu, že jde o „výslovný“ souhlas, neměl by se tento souhlas dovozovat z podepisování určitého dokumentu (např. smlouvy), jako tomu je při zpracování „běžných osobních údajů. Tento souhlas by měl být stylizován tak, že subjekt údajů souhlasí se zpracováním svých přesně definovaných citlivých údajů (např. údaje o zdravotním stavu) za přesně stanoveným účelem. Rovněž by měla být uvedena doba, na jakou je souhlas se zpracováním citlivých údajů správci udělen. Co se týká informování subjektu údajů před udělením souhlasu, tak rozsah této informační povinnosti je prakticky stejný jako při zpracování osobních údajů „běžných“. U citlivých údajů je však třeba navíc subjekty údajů poučit o jejich právech, které jsou upraveny v § 12 a v § 21 ZOOU. Praktické plnění této povinnosti je možné realizovat tak, že součástí dokumentu, jehož obsahem je souhlas se zpracováním citlivých údajů, bude rovněž pasáž, ve které bude zkopírován text § 12 a 21 ZOOU, který bude sloužit jako poučení subjektu o jeho právech.
35
U souhlasu je vhodné si uvědomit rovněž jednu samozřejmou věc a to je, že souhlas se zpracováním osobních údajů lze kdykoli odvolat.
3.3 Povinnost oznamovat zpracování osobních údajů veřejnosti V této kapitole se účastník kurzu dozví, jak a kdy je třeba zpracování osobních údajů zveřejňovat způsobem. 3.3.1 Právní úprava povinnosti oznamovat zpracování osobních údajů veřejnosti § 16 ZOOU § 16 Oznamovací povinnost (1) Ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit registrované zpracování podle tohoto zákona, s výjimkou zpracování uvedených v § 18, je povinen tuto skutečnost písemně oznámit Úřadu před zpracováváním osobních údajů. (2) Oznámení musí obsahovat tyto informace: a) identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci, b) účel nebo účely zpracování, c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají, d) zdroje osobních údajů, e) popis způsobu zpracování osobních údajů, f) místo nebo místa zpracování osobních údajů, g) příjemce nebo kategorie příjemců, h) předpokládaná předání osobních údajů do jiných států, i) popis opatření k zajištění ochrany osobních údajů podle § 13. (3) Obsahuje-li oznámení všechny náležitosti podle odstavce 2 a není-li zahájeno řízení podle § 17 odst. 1, lze po uplynutí lhůty 30 dnů ode dne doručení oznámení zahájit zpracování osobních údajů. Úřad v takovém případě zapíše informace uvedené v oznámení do registru.
36
(4) Neobsahuje-li oznámení všechny náležitosti podle odstavce 2, Úřad neprodleně zašle oznamovateli výzvu, v níž upozorní na chybějící nebo nedostatečné informace a stanoví lhůtu k doplnění oznámení. V případě doplnění oznámení začíná běžet lhůta podle odstavce 3 dnem doručení doplnění oznámení. V případě, že Úřad neobdrží doplnění oznámení ve stanovené lhůtě, nahlíží na učiněné oznámení tak, jako by nebylo podáno. (5) O provedení registrace vydá Úřad na žádost správce osvědčení, které obsahuje datum vyhotovení, číslo jednací, jméno, příjmení a podpis osoby, která osvědčení vydala, otisk úředního razítka, identifikační údaje správce a účel zpracování. (6) Na postup Úřadu podle odstavců 1 až 5 se nevztahuje správní řád. 3.3.2 Oznamovací povinnost vůči Úřadu pro ochranu osobních údajů V rámci naplnění zásady otevřeného zpracování osobních údajů bylo a je třeba vytvořit takové podmínky, aby každý měl možnost zjistit, co mají jednotliví správci k dispozici za osobní údaje a proč. K tomu slouží oznamovací povinnost. Oznamovací povinnost plní vyplněním elektronického formuláře na stránkách Úřadu pro ochranu osobních údajů – http://www.uoou.cz/uoou.aspx?menu=29&submenu=31&loc=487. 3.3.3 Výjimky z plnění oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů Výjimky z plnění oznamovací povinnosti jsou uvedeny v § 18 odst. 1 ZOOU, který zní. Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů, a) které jsou součástí datových souborů veřejně přístupných na základě zvláštního zákona, b) které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona, nebo c) jde-li o zpracování, které sleduje politické, filozofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů. Pokud se podíváme na jednotlivé výjimky, tak výjimka uvedená pod písm. a) se týká vedení veřejně přístupných registrů, jako je obchodní rejstřík nebo katastr nemovitostí.
37
Výjimka uvedená pod písm. c) se týká zpracování osobních údajů, které provádějí zájmové organizace ohledně svých členů a dále ohledně sympatizantů těchto organizací, kteří (ještě) nejsou členy. Zákon uvádí termín „sdružení“, který byl v zákoně vymezen v § 9 písm. e) ZOOU. Nejde tak pouze o občanské sdružení vzniklé na základě zákona o sdružování občanů, ale rovněž o nadaci nebo jinou právnickou osobu nevýdělečné povahy. Pokud se podíváme na výjimku uvedenou po písm. b), pak se jedná o zpracování takových údajů, které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona. U tohoto typu zpracování je rovněž možné zpracovávat „běžné“ osobní údaje bez souhlasu subjektu údajů (§ 5 odst. 2 písm. a) a e) ZOOU). Při zpracování těchto osobních údajů tak sice nemá správce oznamovací povinnost vůči Úřadu pro ochranu osobních údajů, ale má namísto ní povinnost jinou, uvedenou v § 18 odst. 2 ZOOU. 3.3.4 Oznamovací povinnost sui generis dle § 18 odst. 2 ZOOU Podle § 18 odst. 2 ZOOU správce, který provádí zpracování podle § 18 odst. 1 písm. b), je povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem pro ochranu osobních údajů podle § 35, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou. Uvedená povinnost se tak týká především zpracování osobních údajů za takovými účely, jež jsou správcům osobních údajů uloženy zvláštními zákony (např. vedení školní matriky, evidence mzdových listů) a dále zpracování osobních údajů, kterých je třeba k uplatnění práv (např. ochrana majetku). Zákon o ochraně osobních údajů uvádí, jaké informace mají být zpřístupněny, a to na internetu (dálkovým přístupem), případně jinou vhodnou formou. Těmito informacemi jsou účel zpracování osobních údajů (zpravidla těchto účelů bude celá řada, neboť zákonů, kterými se musí správce např. z oblasti veřejné správy nebo zaměstnanosti řídit, je celá řada). Ke každému účelu zpracování je pak třeba uvést kategorii osobních údajů zpracovávaných za tímto konkrétním účelem, kategorií subjektů, o nichž jsou osobní údaje zpracovávány, kategorií příjemců, kterým se za tímto účelem osobní údaje poskytují, a dobu uchovávání osobních údajů. Vzhledem k tomu, že informace, které má správce o zpracování osobních údajů na internetu zveřejňovat, mají obsahovat účel zpracování, kategorie osobních údajů, kategorie subjektů údajů, kategorie příjemců a dobu uchování, bude třeba, aby prezentovaná informace tyto údaje obsahovala. Rozhodně tak není možné za plnění této povinnosti považovat sdělení, které je možné objevit často na internetu a to: „Vaše osobní údaje zpracováváme v souladu se zákonem č. 101/2000 Sb. o ochraně osobních údajů“. Z takového sdělení totiž nelze seznat ani účel
38
zpracování, ani kategorie osobních údajů, ani kategorie subjektů údajů, ani kategorie příjemců a ani dobu uchování.
3.4 Informační a poučovací povinnosti Kapitola pojednává o informačních a poučovacích povinnostech správce. Tedy o tom, za jakých okolností je třeba subjektu údajů sdělovat určité informace, které se týkají zpracování osobních údajů. 3.4.1 Informační povinnost správce při shromažďování osobních údajů § 11 (1) Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21. Správce je povinen při zpracování osobních údajů poskytnout subjektu určité informace, těmito informacemi jsou: identifikace správce osobních údajů, případně zpracovatele účel zpracování osobních údajů rozsah zpracovávaných osobních údajů – tedy jaké osobní údaje za tím konkrétním účelem a o kom (kategorie subjektu údajů) správce zpracovává kategorie příjemců osobních údajů informace o právech subjektu údajů Uvedenou povinnost má správce osobních údajů pouze při shromažďování osobních údajů – tedy při prvním úkonu, při kterém se snaží osobní údaje získat nebo je od subjektu údajů získává (viz definici shromažďování v § 4 písm. f) ZOOU). Z plnění této povinnosti je stanovena obecná výjimka, a tou je známost těchto informací subjektu údajů. Uvedená výjimka se však nevztahuje na informování o právech subjektu údajů. Jestliže platí obecná výjimka z plnění této informační povinnosti, kterou je vědomost subjektu údajů o uvedených informacích, je možné správcům osobních údajů doporučit, aby důsledně plnili svoji povinnost uvedenou v § 18 odst. 2 ZOOU a tuto povinnost plnili ohledně všech účelů zpracování osobních údajů (nejen vůči těm, na které dopadá § 18 odst. 2 ZOOU). Jedná se o plnění povinnosti, kdy správce uvádí určité informace na webových stránkách. Vzhledem k tomu,
39
že informace, které správce uveřejňuje na webu, jsou prakticky totožné s informacemi, které má sdělovat subjektům údajů, může se správce vždy při sporech ohledně plnění této povinnosti bránit tím, že tyto informace byly subjektům údajů již známé, neboť jsou volně dostupné na webu správce. Z plnění všech informačních povinností dle § 11 odst. 1 je ještě několik dalších výjimek. Rozsah těchto výjimek je natolik široký, že správce ve většině případů nemusí tuto informační povinnost vůbec plnit, neboť vždy „nalezne“ nějakou výjimku z plnění této povinnosti. 3.4.2 Výjimky z plnění informační povinnosti správce při shromažďování osobních údajů Výjimky z plnění oznamovací povinnosti jsou uvedeny v § 11 odst. 3 ZOOU, který zní. (3) Informace a poučení podle odstavce 1 není povinen správce poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů, pokud a)
zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem. V těchto případech je správce povinen přijmout potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů,
b)
zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,
c)
zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo
d)
zpracovává osobní údaje získané se souhlasem subjektu údajů.
Pro správce osobních údajů je většinou použitelná výjimka uvedená v § 11 odst. 3 písm. b) ZOOU. V uvedeném případě jde o zpracování osobních údajů, které správci ukládá zvláštní zákon nebo je jich třeba uplatnění práv a povinností. Pouze připomínám, že v uvedeném případě existuje výjimka ze zpracování osobních údajů se souhlasem subjektu údajů (§ 5 odst. 2 písm. e) ZOOU) a rovněž výjimka při plnění ohlašovací povinnosti vůči Úřadu pro ochranu osobních údajů (§ 18 odst. 1 písm. b) ZOOU). Rovněž tak není správce povinen uvedenou informační povinnost plnit tehdy, když zpracovává osobní údaje oprávněně zveřejněné (např. údaje z veřejně přístupných rejstříků, jako je katastr nemovitostí nebo obchodní rejstřík), nebo když byly získané se souhlasem subjektu údajů. Při poskytnutí souhlasu je totiž subjekt údajů o těchto informacích již informován (viz § 5 odst. 4 ZOOU).
40
3.4.3 Poučovací povinnost správce při zpracování osobních údajů získaných od subjektu údajů § 11 odst. 2 ZOOU (2) V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí osobních údajů. Plnění uvedené povinnosti je v praxi poněkud komplikované z několika důvodů. V některých situacích totiž nelze dost dobře určit, zda poskytnutí osobních údajů je dobrovolné nebo povinné. Ještě větším problémem pak je poučení subjektu údajů o následcích odmítnutí poskytnutí osobních údajů, pokud je subjekt údajů povinen osobní údaje poskytnout. Stanovení uvedené povinnosti totiž vychází z velkého legislativního optimismu a z představy, že jednotlivé zákony mají pro případ neplnění určitých povinností stanoveny rovněž sankce za neplnění těchto povinností (v tomto případě za neposkytnutí údajů). Ve skutečnosti tomu tak není a ze zvláštních zákonů lze poměrně obtížně zjistit následky neposkytnutí osobních údajů zkrátka proto, že zákony tyto informace prostě neobsahují. V rámci plnění této poučovací povinnosti tak lze z pragmatického hlediska uvést dva okruhy případů. Jednak půjde o případy, kdy zpracování osobních údajů je uskutečňováno kvůli subjektu údajů (např. při vydávání stavebního povolení nebo jiných „návrhových“ správních řízení, nebo při přijímání do zaměstnání). V takovém případě lze subjekt údajů poučit v tom smyslu, že následkem neposkytnutí osobních údajů je nemožnost vyhovět jejich žádosti, podnětu nebo tomu, oč usilují. V dalším okruhu případů půjde o takové situace, kdy správci ukládá zvláštní zákon provádět takové činnosti, při nichž nezbytně potřebuje osobní údaje – typicky je to vedení správního řízení z úřední povinnosti. V takovém případě by následkem neposkytnutí osobních údajů mohla být např. pořádková pokuta, případně spáchání přestupku. 3.4.4 Informační povinnost správce při zpracování osobních údajů za účelem ochrany práv Dle § 11 odst. 5 ZOOU při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm. h) je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování jeho osobních údajů. Uvedenou povinnost má správce pouze tehdy, pokud zpracovává osobní údaje dle § 5 odst. 2 písm. e) a § 9 písm. h) ZOOU, což je tehdy, kdy je zpracování osobních údajů nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby.
41
Co se plnění této povinnosti týká, tak je třeba subjekt údajů informovat o tom, že jsou jeho osobní údaje zpracovávány. Konkrétním příkladem plnění této povinnosti je provozování kamerového systému. Kamerové systémy jsou totiž instalovány zpravidla za účelem ochrany majetku (tedy dle § 9 písm. h) ZOOU). Při provozování kamerového systému je tak třeba subjekty údajů o zpracování jejich osobních údajů informovat. Prakticky se to dělá umístěním informačních cedulek se sdělením, že uvedený prostor je monitorován kamerovým systémem.
3.5 Organizační povinnosti při zabezpečení osobních údajů S ochranou osobních údajů souvisí i zabezpečení těchto osobních údajů a organizace práce s těmito údaji. O těchto problémech a řešeních pojednává následující kapitola. 3.5.1 Právní úprava organizačních povinností § 13 ZOOU (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. (3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány. (4) V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím
42
oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům. 3.5.2 Technicko-organizační opatření k zajištění ochrany osobních údajů Správce a zpracovatel má povinnost zpracovat a dokumentovat technicko-organizační opatření k ochraně osobních údajů. K čemu mají tato organizační opatření směřovat, je uvedeno v § 13 odst. 1 ZOOU – tedy k tomu, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Zpravidla se tato opatření provádějí nějakým vnitřním předpisem správce, který jsou povinni dodržovat jeho zaměstnanci, kteří přicházejí s osobními údaji do styku. Určitým minimálním opatřením by mělo být to, že dokumenty obsahující osobní údaje se nebudou jen tak ledabyle povalovat, kde k nim může mít kdokoli přístup. Pokud se týká dokumentů obsahující osobní údaje, tak ty by měly být uchovávány v uzamčených místnostech, kde k nim budou mít přístup pouze osoby, které s nimi mají pracovat. Tato organizační opatření by měla být zaměřena jednak vůči lidem zvnějšku organizace (aby se nemohli k osobním údajům dostat cizí lidé), ale i rovněž vůči lidem zevnitř organizace (např. uklízečka by neměla mít přístup k pracovním smlouvám ostatních zaměstnanců, neboť je pro výkon svého zaměstnání nepotřebuje). Pokud se jedná o zpracování osobních údajů prostřednictvím výpočetní techniky, tak soubory s osobními údaji by vždy měly být uloženy v počítači tak, aby byl přístup k nim chráněn heslem, které budou znát jenom ti, kteří s těmito dokumenty mohou pracovat (ti, kteří to pro výkon svého zaměstnání nezbytně nutně potřebují). Tyto minimální požadavky na organizační opatření týkající se automatizovaného zpracování osobních údajů jsou ostatně uvedeny v § 13 odst. 4 ZOOU. Součástí technicko-organizačních opatření je rovněž posuzování rizik v rozsahu uvedeném v § 13 odst. 3 ZOOU, které se týká ochrany osobních údajů (tato povinnost je v ZOOU teprve od 1. 9. 2007).
3.6 Faktické povinnosti správce Kapitola pojednává o faktických povinnostech správce, což jsou povinnosti, které se plní určitým faktickým chováním správce. 43
3.6.1 Povinnosti deklaratorní a faktické Povinnosti správce osobních údajů je možné pro pedagogické účely rozdělit na dvě velké kategorie. Jednak na povinnosti deklaratorní a povinnosti faktické. Deklaratorní povinnosti představují takový typ povinností, jejichž plnění představuje vytváření určitých dokumentů. V těchto dokumentech jsou pak zachyceny určité zákonem předepsané informace. Faktické povinnosti pak představují takový typ povinností, které nutí správce osobních údajů chovat se určitým způsobem. Rovněž jsou v nich zakotveny určité kvalitativní požadavky na plnění deklaratorních povinností. 3.6.2 Povinnost zpracovávat pouze přesné osobní údaje získané v souladu se zákonem Dle ustanovení § 5 odst. 1 písm. c) ZOOU je správce povinen zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6. ZOOU. Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům. Správce má tak povinnost zpracovávat osobní údaje přesné. Přesnost osobních údajů se posuzuje podle okamžiku zpracování. Pokud je to nezbytné, má správce osobní údaje aktualizovat. Uvedená povinnost je poměrně liberální, neboť dříve byla v zákoně o ochraně osobních údajů povinnost zpracovávat osobní údaje pravdivé, zákon však neumožňoval tuto pravdivost osobních údajů v průběhu času ověřovat. Ve výše uvedeném ustanovení je rovněž uvedeno, že správce je povinen zpracovávat pouze osobní údaje, které získal v souladu se zákonem. Tuto povinnost je třeba vyložit tak, že správci není dovoleno zpracovávat takové osobní údaje, které by nebyly získané v souladu se zákonem (např. krádeží zdravotnické dokumentace nebo podvodným vylákáním hesel k bankovním účtům). 3.6.3 Povinnost zpracovávat osobní údaje pouze v rozsahu nezbytném pro naplnění stanoveného účelu Povinnost zpracovávat osobní údaje pouze v rozsahu nezbytném pro naplnění stanoveného účelu znamená, že správce může mít pouze tolik osobních údajů, kolik jich pro realizaci stanoveného účelu potřebuje. Uvedená povinnost je uvedena v § 5 odst. 1 písm. d) ZOOU, podle kterého je 44
správce povinen shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu. K této povinnosti je vhodné zmínit rozhodnutí Nejvyššího správního soudu sp. zn. 7A 58/2002. V uvedené věci šlo o to, že knihovna na přihlášce čtenářů kromě jejich jména a příjmení uváděla též jejich rodné číslo a u žáků též adresu školy, kterou žáci navštěvují. Pokud některý žák-čtenář nevrátil knihovně vypůjčenou knihu, knihovna se obrátila na školu, která pak žáka pomocí kázeňských trestů přinutila knihu vrátit. V uvedeném případě tak byly dva sporné body. Jednak zda lze používat rodné číslo jako běžný identifikační údaj, nebo je použití takového identifikačního údaje již nad rámec nezbytně nutného rozsahu (Úřad pro ochranu osobních údajů totiž zastává stanovisko, že ano, neboť k identifikaci fyzické osoby postačí jméno příjemní, adresa, případně rok narození). Další problémem pak bylo, zda údaje o škole žáků jsou nad rámec rozsahu nezbytně nutného k naplnění účelu zpracování osobních údajů. Pokud se týká používání rodného čísla, tak Nejvyšší správní soud se přiklonil k tomu, že rodné číslo není mimo rozsah nezbytně nutný pro naplnění účelu zpracování osobních údajů, neboť je to údaj, na základě kterého jsou osoby dostatečně a určitě identifikovány, a to i tehdy, pokud u jiných identifikačních údajů dojde ke změně (změna jména, nebo adresy). U zpracování údaje o škole žáků měl však Nejvyšší správní soud názor opačný, tedy takový, že zpracování tohoto údaje je nad rámec nezbytně nutného rozsahu, neboť knihovna není vůbec oprávněna sdělovat škole, že si její žáci vůbec nějaké knihy půjčili, respektive, že je nevrátili. 3.6.4 Povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování Správce je povinen uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné (§ 5 odst. 1 písm. e) ZOOU). Uvedené ustanovení opět nesystematicky opakuje, že při zpracování osobních údajů pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví je třeba dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů, přitom tato povinnost platí obecně (§ 10 ZOOU) a nikoli pouze při zpracování pro tyto účely.
45
Doba uchovávání souvisí se skartací písemností, takže doba uchovávání osobních údajů by měla být stanovena tak, aby korespondovala se skartačním plánem (řádem). 3.6.5 Povinnost zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny Správce musí zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat k jinému účelu lze osobní údaje jen v mezích ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem souhlas (§ 5 odst. 1 písm. f) ZOOU). Zatímco povinnost zpracovávat osobní údaje pouze v rozsahu nezbytném k účelu zpracování omezuje správce co do množství osobních údajů, pak povinnost zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, správce omezuje co do vlastního nakládání s osobními údaji. Správci je tak zakázáno např. zveřejňovat osobní údaje, pokud to není nezbytně nutné k naplnění účelu zpracování. Určitou specifickou variantou této povinnosti jsou pak další povinnosti jako zákaz shromažďování osobních údajů pod falešnou záminkou a zákaz sdružování osobních údajů. 3.6.6 Povinnost shromažďovat osobní údaje pouze otevřeně Dle § 5 odst. 1 písm. g) ZOOU je správce povinen shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti. Jedná se tak o zákaz předstíraného jednání, kdy by správce vytvořil jakési fiktivní účely zpracování osobních údajů, kvůli kterým by zpracovával osobní údaje, avšak ve skutečnosti by tyto údaje zpracovával za úplně jiným účelem. 3.6.7 Povinnost nesdružovat osobní údaje, které byly získány k rozdílným účelům Dle § 5 odst. 1 písm. h) ZOOU je správce povinen nesdružovat osobní údaje, které byly získány k rozdílným účelům. Uvedená povinnost opět naráží na základní představu, že za určitým účelem je umožněno zpracovávat jen takové množství osobních údajů, které správce k naplnění tohoto účelu potřebuje. Uvedená povinnost tak znemožňuje správcům, aby si vytvořili jeden velký všeobjímající účel zpracování osobních údajů, pod který by podřadili všechny činnosti, které vykonávají a při nichž zpracovávají osobní údaje.
46
3.6.8 Povinnost dbát, aby při zpracování osobních údajů subjekt údajů neutrpěl újmu na svých právech Uvedená povinnost je rozvedená v § 10 ZOOU. Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. Uvedená povinnost vychází z obecného práva na ochranu osobnosti a platí obecně, neboť ochrana osobnosti (jejich čest, soukromý a rodinný život) subjektu údajů je vždy nadřazena jiným zájmům. Tato povinnost ohleduplnosti nebo základní lidské slušnosti je tak obecná a platí při zpracování osobních údajů vždy. Zákon o ochraně osobních údajů na ni však na mnohých místech upozorňuje opakovaně (viz § 5 odst. 1 písm. e), § 5 odst. 2 písm. d), § 5 odst. 2 písm. e) ZOOU).
3.7 Jak plnit povinnosti správce Kapitola pojednává o tom, jak povinnosti správce vůbec plnit. Informuje účastníky kurzu o nástrojích, které výrazným způsobem ulehčují práci při plnění deklaračních povinností (povinnosti, při nichž je třeba vytvářet určité dokumenty). 3.7.1 Audit osobních údajů Jak bylo zmíněno výše, správce má povinnost stanovit účel, prostředky a způsob zpracování (§ 5 odst. 1 písm. a), b) ZOOU) ještě dříve, než začne osobní údaje zpracovávat. Faktickým problémem však je, že většina správců, kteří se začnou o ochranu osobních údajů zajímat, se o této povinnosti dozvědí až poté, co již měla být splněna. V takovém případě je tak třeba uvedenou povinnost splnit následně. To v podstatě představuje popsat všechny agendy a činnosti, které správce provádí, v dikci zákona o ochraně osobních údajů (tedy stanovit účel, prostředky a způsob zpracování). Značná část povinností správce představuje povinnost vytvářet určité dokumenty (tzv. deklaratorní povinnosti). Obsahem těchto dokumentů jsou zpravidla informace, které se vztahují ke zpracovávaným osobním údajům. V rámci zjednodušení práce do budoucna, je vhodné, aby si správce popsal zpracování osobních údajů, tak aby tento popis mohl využít pro zpracování oněch dokumentů, které má jako správce vytvářet. Ke každému účelu zpracování osobních údajů, by tak měly být přiřazeny způsoby zpracování osobních údajů, doba uchovávání osobních údajů, kategorie subjektů údajů, o nichž jsou osobní údaje zpracovávány, kategorie osobních údajů, prostředky zpracování osobních údajů, kategorie příjemců, zdroje osobních údajů. 47
Audit osobních údajů pak vlastně představuje rozdělení jednotlivých činností správce podle účelů zpracování osobních údajů a přiřazení výše uvedených informací o zpracování osobních údajů k jednotlivým účelům zpracování osobních údajů. 3.7.2 Nástroje k ochraně osobních údajů Jelikož provádění auditu osobních údajů je poměrně náročné, byl vyvinut nástroj, kterým si lze plnění této povinnosti významně ulehčit. Tímto nástrojem je tzv. Klíč k ochraně osobních údajů (http://www.oou.cz/index.php?file=nastroje_k_ochrane_osobnich_dat_klic). Pomocí Klíče k ochraně osobních údajů lze vlastně udělat audit osobních údajů, tedy k jednotlivým účelům zpracování přidělit další zákonem vyžadované informace. Pokud je takto proveden audit osobních údajů, tak Klíč k ochraně osobních údajů pak automaticky vygeneruje zákonem požadované dokumenty (např. souhlas se zpracováním osobních údajů, informaci o zpracování osobních údajů dle § 12 ZOOU, nebo sestavu na webové stránky dle § 18 dost. 2 ZOOU). Vzhledem k tomu, že většina správců provádí značnou část svých agend na základě nejrůznějších zákonů, lze z těchto zákonů v podstatě odvodit účel zpracování osobních údajů a k němu přiřadit i další požadované informace. Toho bylo využito při vytváření tzv. Balíčků nástrojů k ochraně osobních údajů, kde je z valné části proveden modelový audit osobních údajů pro jednotlivé správce (např. pro školy, obce, kraje, podnikatele), takže správci stačí modelové účely zpracování osobních údajů pouze přizpůsobit. Všechny modelové účely zpracování osobních údajů jsou provedeny pomocí Klíče k ochraně osobních údajů, takže je možné je plně využít k vygenerování zákonem požadovaných dokumentů, které má správce povinnost vytvářet. V současné době jsou na trhu tyto druhy Balíčků k ochraně osobních údajů: pro obce pro kraje pro zdravotnická zařízení pro podnikatele pro neziskovky pro základní školy pro střední školy pro konzervatoře pro vyšší odborné školy pro jazykové školy
48
pro domovy mládeže pro předškolní zařízení pro základní umělecké školy pro zvláštní a pomocné školy pro ústavy sociální péče pro hotely a penziony pro autoškoly
3.8 Předávání osobních údajů do cizích států V této kapitole se účastníci kurzu dozvědí o omezeních při předávání osobních údajů do zahraničí. 3.8.1 Předávání osobních údajů do států EU Evropská společenství jsou budována na principu volného pohybu zboží, osob, služeb a kapitálu. Aby mohly být naplněny tyto čtyři základní svobody, bylo nutné se vypořádat rovněž s regulací na úseku ochrany osobních údajů. Při předávání osobních údajů do států Evropské unie tak platí zásada volného pohybu osobních údajů. Tato zásada je pak uvedena i v § 27 odst. 1 ZOOU, kde je uvedeno, že volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie. 3.8.2 Předávání osobních údajů do „bezpečných“ států Rovněž do tzv. bezpečných zemí je možné osobní údaje předávat bez omezení. Otázkou však zůstává, které země jsou bezpečné a které nikoli. Obecně je možno konstatovat, že bezpečné země jsou ty, které upravují regulaci nakládání s osobními údaji obdobně jako Česká republika. Na úseku ochrany osobních údajů existuje mezinárodní úmluva o ochraně osobních údajů – Úmluva č. 108, která ukládá členským státům této úmluvy zajistit určitou minimální míru ochrany osobních údajů. Tato minimální míra ochrany osobních údajů je pak plně slučitelná s požadavky, které se na ochranu osobních údajů klade i Česká republika. Pro zjednodušení se tak dá říci, že za bezpečné státy se považují ty, které jsou signatáři Úmluvy č. 108 (Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb. m. s.).
49
Uvedená zásada je pak promítnuta do textu § 27 odst. 2 ZOOU, který zní: Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku. 3.8.3 Předávání osobních údajů na základě rozhodnutí Dle § 27 odst. 2 ZOOU je možné předávat osobní údaje do třetích zemí (země, které nejsou členskými státy EU) na základě rozhodnutí orgánu Evropské unie. Další možností, jak předávat osobní údaje do třetích zemí, je získání povolení od Úřadu pro ochranu osobních údajů. Před předáním osobních údajů do třetích zemí je správce povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak. Odlišná úprava může existovat v určitých oblastech mezinárodní spolupráce například v oblasti zaměstnanosti, azylu, sociálně-právní ochrany dětí). Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší. Podmínky, které musí být splněny, aby Úřad pro ochranu osobních údajů předání osobních údajů do třetích zemí povolil, jsou uvedeny v § 27 odst. 3 a jsou tyto: a) předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, b) jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu, c) jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem, d) je předání nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,
50
e) je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, f) je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo g) je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotní péče.
3.9 Práva subjektu údajů Kapitola informuje o právech, které mají subjekty údajů vůči správci osobních údajů. 3.9.1 O právech subjektu údajů – obecně Za účelem náležitého plnění povinností správce mají subjekty údajů práva, která jim umožňují správce kontrolovat (v omezeném rozsahu), zda se při zpracování jejich osobních údajů nedopouští něčeho nekalého. Těmito právy jsou: právo na přístup k informacím o zpracování osobních údajů právo na vysvětlení právo na odstranění závadného stavu K povinnostem správců osobních údajů je pak třeba ještě doplnit, že správci mají povinnost těmto právům subjektu údajů vyhovět. Práva subjektu údajů se uplatňují žádostí podanou u správce. Žádost může být poměrně jednoduchá, pro zjednodušení práce je možné použít tyto vzory: žádost o informaci: http://www.oou.cz/index.php?file=zadost_o_informaci žádost o vysvětlení: http://www.oou.cz/index.php?file=zadost_o_vysvetleni žádost o nápravu: http://www.oou.cz/index.php?file=zadost_o_odstraneni_zavadneho_stavu
51
3.9.2 Právo na přístup k informacím o zpracování osobních údajů Právo na přístup k informacím o zpracování osobních údajů je upraveno v § 12 ZOOU, který zní: § 12 Přístup subjektu údajů k informacím (1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat. (2) Obsahem informace je vždy sdělení o a) účelu zpracování osobních údajů, b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji, c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů, d) příjemci, případně kategoriích příjemců. (3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace. (4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel. Právo na informace o zpracování osobních údajů spočívá v možnosti subjektu údajů obrátit se na správce s dotazem o zpracování jeho osobních údajů. Správce má na takový dotaz odpovědět a poskytnout subjektu údajů informace, které jsou přesně uvedeny v § 12 odst. 2 ZOOU. Těmito informacemi jsou informace o účelu zpracování osobních údajů osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování zdroji osobních údajů povaze automatizovaného zpracování příjemci, případně kategoriích příjemců Správce je tak povinen poskytnout informace o tom, jak osobní údaje zpracovává, a nikoli vlastní osobní údaje. Není tedy povinen pořizovat subjektu údajů např. kopii smlouvy, kterou se správcem subjekt údajů uzavřel, ale je povinen mu sdělit, jakým způsobem zpracovává osobní údaje uvedené na smlouvě (popis tohoto zpracování se pak provádí ve výše uvedených termínech
52
jako je účel zpracování, kategorie osobních údajů, zdroj osobních údajů a příjemci osobních údajů). Pokud se jedná o tzv. povahu automatizovaného zpracování osobních údajů v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů (§ 12 odst. 2 písm. c) ZOOU, tak této problematice bude zasvěcen následující článek. Správce je oprávněn za poskytnutí informací požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace. Těmito přiměřenými náklady může být v podstatě jen poštovné, eventuálně hodnota papíru, takže tato náhrada by měla být v řádu desetikorun. Pokud by správce měl v úmyslu účtovat správci náklady na vytvoření takové informace (tedy vlastní rozčlenění jeho činnosti na účely zpracování a přiřazení ke každému účelu kategorii osobních údajů, zdroj a možné příjemce) tak takové náklady by zřejmě nemohly být považovány za přiměřené. Důvodem je, že výše uvedenou práci jako je vlastní rozčlenění činnosti správce na účely zpracování a přiřazení ke každému účelu kategorii osobních údajů, zdroj a možné příjemce má totiž správce již mít hotovou v rámci plnění svých povinností dle § 5 odst. 1 písm. a) a b), § 16, případně § 18 odst. 2 ZOOU. Právo na informace je jedním z nástrojů, které může správce osobních údajů použít k ochraně svých zájmů a dozvědět se, že něco není se zpracováním jeho osobních údajů v pořádku. Problém však může být skutečnost, že tohoto práva lze poměrně velmi jednoduše využít k šikaně správce osobních údajů. Je vhodné si připomenout, že jde o subjektivní právo, které lze vynutit na soudě. Pokud tedy správce osobních údajů žádosti o informaci nevyhoví, případně odpoví jinak, než je uvedeno v § 12 odst. 2 ZOOU, pak je možné obrátit se na soud s žalobou na správce. Vzhledem k tomu, že žalobě bude pravděpodobně vyhověno (pokud ji bude psát znalý advokát), tak správce bude muset kromě poskytnutí informace ještě zaplatit náklady řízení na soudě, které se budou pohybovat kolem 20–30 tisíc. Tímto způsobem pak mohou subjekty údajů správci, který nebude jejich právo na informace respektovat, velmi významně „ztrpčovat“ život. Byť je uvedený postup docela přehledný, dochází v praxi k tomu, že se soudy snaží „přehodit“ řešení plnění informační povinnosti na Úřad pro ochranu osobních údajů. Ten svoji kompetenci rovněž popírá, neboť ani nemá nástroje k tomu, aby řešil spory mezi správci a subjekty údajů, k tomu by musel být výslovně zmocněn, což není. Jeden takový spor o splnění informační povinnosti (povinným subjektem mělo být Město Vizovice) doputoval až k rozhodnutí zvláštního senátu zřízeného podle zákona č. 131/2002 Sb., o rozhodování některých kompetenčních sporů, který rozhoduje, o tom, zda má uvedenou věc řešit soud nebo správní orgán (Úřad pro ochranu osobních údajů). Tento zvláštní senát rozhodl dne 14. 6. 2012 usnesením sp. zn. Konf 10/2012 – 6, tak, že pro rozhodování sporů o plnění informační povinnosti dle zákona o ochraně osobních údajů je soud. Rozhodnutí je přístupné na stránkách Nejvyššího správního soudu http://www.nssoud.cz/files/SOUDNI_VYKON/2012/0010_0Konf120_20120625024012_prevede no.pdf
53
3.9.3 Právo na přístup k informacím o automatizovaném zpracování (určeném k hodnocení určitých rysů osobnosti) V § 12 odst. 2 písm. c) ZOOU je uvedeno, že součástí informace, které má správce na žádost subjektu údajů poskytnout je i sdělení o povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů. Uvedené ustanovení souvisí s § 11 odst. 6 ZOOU, které zní: Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo učinit výlučně na základě automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho žádost. Pro bližší představu, o co vlastně jde, uvádím ještě článek 15 směrnice 95/46/ES, ze kterého je ustanovení o automatizovaném zpracování osobních údajů transponováno do zákona o ochraně osobních údajů. Tato evropská předloha české právní úpravy je totiž poněkud srozumitelnější. Článek 15 směrnice 95/46/ES Automatizovaně podložená rozhodnutí Členské státy poskytnou všem osobám právo nestat se subjektem rozhodnutí, zakládajícího právní účinky vůči nim nebo dotýkající se jich významným způsobem a přijatého pouze na základě automatizovaného zpracování údajů určeného k hodnocení určitých rysů jejich osobnosti, jako například pracovního výkonu, důvěryhodnosti, spolehlivosti, chování atd. Jako konkrétní příklad by bylo možné uvést čipovací zařízení sloužící k evidenci pracovní doby u zaměstnanců. Výpočetní technika by jistě umožňovala zpracovat takový program, který by automaticky po té, co by zaměstnanec přišel do práce pozdě, vygeneroval upozornění na porušení pracovní kázně, a po té, co by přišel pozdě opětovně, mu zmíněný program vygeneroval výpověď z pracovního poměru. Tak přesně tento postup je zakázán, neboť žádný algoritmus nemůže zohlednit důvody, proč vlastně zaměstnanec přišel pozdě do práce. Jestli zaspal nebo pomáhal zachraňovat lidi při automobilové nehodě. Zpracování osobních údajů výhradně automatizovaně výše uvedeným způsobem je sice povoleno, ovšem vydat na základě tohoto automatizovaného zpracování negativní rozhodnutí pro subjekt údajů (výpověď z pracovního poměru) automaticky nelze. Správce sice může automatizované zpracování osobních údajů použít, ale poté musí takové automatizované výstupy ověřit. Je totiž zřejmé, že ve výše uvedeném případě by výpověď zaměstnance, který pomáhal při automobilové nehodě, nebyla na místě.
54
Výše uvedené automatizované zpracování osobních údajů je zakázáno pouze tehdy, když by bylo v neprospěch subjektů údajů. Je však připuštěno, pokud je ve prospěch subjektu údajů nebo na jejich žádost. Příkladem automatizovaného zpracování osobních údajů na žádost je přijímání uchazečů ke studiu na vysoké škole formou testů, kde jsou tyto testy vyhodnocovány automatizovaně počítačem.
3.9.4 Právo na vysvětlení a na odstranění závadného stavu Právo na přístup k informacím o zpracování osobních údajů je upraveno v § 21 ZOOU, který i s nadpisem zní: Ochrana práv subjektů údajů § 21 (1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může a) požádat správce nebo zpracovatele o vysvětlení, b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů. (2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav. (3) Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů podle odstavce 1, má subjekt údajů právo obrátit se přímo na Úřad. (4) Postup podle odstavce 1 nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo. (5) Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů jiná než majetková újma, postupuje se při uplatňování jejího nároku podle zvláštního zákona. (6) Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně. (7) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí. Výše uvedené ustanovení v sobě ukrývá dvě práva subjektu údajů, jednak právo na vysvětlení a dále právo na odstranění závadného stavu. Tato práva se uplatňují žádostí přímo u správce nebo zpracovatele osobních údajů. Jedná se opět o práva subjektivní, takže, pokud jim nebude vyhověno, lze se jich domáhat žalobou na soudě. 55
V praxi dochází občas k tomu, že soudy odmítají uplatněné nároky řešit, řízení zastavují a posílají k vyřízení Úřadu pro ochranu osobních údajů. Ten svoji kompetenci rovněž popírá, neboť ani nemá nástroje k tomu, aby řešil spory mezi správci a subjekty údajů, k tomu by musel být výslovně zmocněn, což není. (Správní orgány jsou k řešení sporů mezi fyzickými a právnickými osobami zmocněny zcela výjimečně, např. ČTÚ je zmocněn k řešení sporu mezi poskytovateli a uživateli služeb elektronických komunikací o úhrady sporů za poskytnuté služby elektronických komunikací.) Spory o příslušnost pak končí u zvláštního senátu zřízeného podle zákona č. 131/2002 Sb., o rozhodování některých kompetenčních sporů, který rozhoduje, zda je k řešení sporu příslušný soud nebo Úřad pro ochranu osobních údajů. Zdá se, že by to měl být soud, viz usnesení tohoto senátu ze dne 17. 11. 2011, sp. zn. Konf 11/2011 – 6, přístupné na stránkách Nejvyššího správního soudu http://www.nssoud.cz/files/SOUDNI_VYKON/2011/0011_0Konf110_20111115023848_prevede no.pdf Zákon o ochraně osobních údajů uvádí rovněž možnost, že pokud by správce nebo zpracovatel žádosti nevyhověl, je možno se obrátit přímo na Úřad pro ochranu osobních údajů. V tomto případě je třeba si uvědomit, že pro Úřad pro ochranu osobních údajů to pak bude podnět k zahájení správního řízení. Rozhodnutí o tom, zda bude správní řízení zahájeno či nikoli, stejně tak jak bude celá věc vyřešena, je však již zcela v kompetenci Úřadu pro ochranu osobních údajů. Subjekt údajů tak má právo „pouze“ dát podnět, ale nemá již právo na to, aby byla věc vyřešena podle jeho představ. Zatímco při vynucování práva soudní cestou je subjekt údajů účastníkem řízení, a může soudní řízení různě ovlivňovat (např. navrhováním důkazů), pak u správního řízení má „pouze“ postavení oznamovatele, který taková práva nemá, takže nemůže do průběhu řízení aktivně zasahovat. Dát podnět Úřadu pro ochranu osobních údajů je sice zdarma, ale také to vůbec nemusí vyústit ke kýženému výsledku. Soudní řízení je zpoplatněné (soudní poplatek 2.000 Kč), avšak subjekt údajů má mnohem větší možnost ovlivnit své zájmy, než při podání podnětu Úřadu pro ochranu osobních údajů. Zákon o ochraně osobních údajů uvádí, že pokud by byla někomu neoprávněným zpracováním způsobena jiná než majetková újma (např. na cti nebo neoprávněný zásahem do soukromého a osobního života) je možno se domáhat napravení takového stavu podle zvláštních předpisů. Zvláštním předpisem je v tomto případě občanský zákoník, který upravuje právo na ochranu osobnosti obecně. Subjekt údajů by se tak mohl domáhat přiměřeného zadostiučinění za způsobenou nemateriální újmu např. omluvou, případně i v penězích.
56
4 Zpracování osobních údajů prostřednictvím osob odlišných od správce 4.1 Zpracování osobních údajů prostřednictvím zaměstnanců Tato kapitola upozorňuje na určitá specifika zpracování osobních údajů, když osobní údaje správce nezpracovává sám, ale prostřednictvím svých zaměstnanců. Informuje rovněž o povinnosti mlčenlivosti zaměstnanců. 4.1.1 Povinnosti správce při zpracování osobních údajů prostřednictvím zaměstnanců Pokud vlastní zpracování osobních údajů neprovádí správce sám osobně, ale prostřednictvím svých zaměstnanců případně dalších osob (např. brigádníků), pak je nezbytné těmto osobám přesně vymezit, se kterými osobními údaji mohou přijít do styku a se kterými nikoli. V dikci zákona o ochraně osobních údajů to znamená vymezit těmto osobám rozsah zpracovávaných osobních údajů. To ostatně souvisí s technicko-organizačními opatřeními, které je správce a zpracovatel povinen k zajištění ochrany osobních údajů provádět. Vymezení tohoto rozsahu zpracování lze technicky provést např. v pracovní náplni zaměstnance, případně v nějakém vnitřním předpise. 4.1.2 Povinnosti osob provádějící vlastní zpracování osobních údajů Zákon o ochraně osobních údajů v § 14 a 15 odst. 1 osobám, jež provádějí faktické zpracování osobních údajů (zaměstnanci, případně brigádníci nebo další osoby provádějící faktické zpracování osobních údajů), umožňuje zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném a ukládá jim rovněž povinnost mlčenlivosti. § 14 Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném. § 15 (1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo
57
zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. Pokud se týká povinnosti mlčenlivosti, tak ta je stanovená přímo ze zákona. To znamená, že správce nemusí se svými zaměstnanci a dalšími osobami, jež pro něho zpracování osobních údajů fakticky provádějí, uzavírat nějakou dohodu o mlčenlivosti, nebo si nechávat závazek mlčenlivosti stvrzovat nějakým prohlášením. V rámci provádění technicko-organizačních opatřeních k ochraně osobních údajů by však bylo vhodné zaměstnance a další osoby na povinnost mlčenlivosti upozornit (např. ve vnitřním předpise). Z logiky věci vyplývá, že povinnost mlčenlivosti je zde pořád, tedy i po té, co osoby mající povinnost mlčenlivosti, přestaly pro správce nebo zpracovatele provádět činnosti, při kterých přicházely do styku s osobními údaji. Povinnost mlčenlivosti se vztahuje jednak na osobní údaje (informace o lidech) a dále na údaje o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.
4.2 Zpracování osobních údajů prostřednictvím zpracovatele V této kapitole se účastníci kurzu dozvědí, co je třeba udělat, aby správce mohl zpracovávat osobní údaje prostřednictvím další osoby (zpracovatele). 4.2.1 Vztah správce a zpracovatel osobních údajů Z definice pojmu správce (§ 4 písm. j) ZOOU) a zpracovatele (§ 4 písm. k) ZOOU) vyplývá, že správce je subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracovatelem je pak subjekt, který pro správce osobní údaje zpracovává. Správce je tak odpovědnou osobou, pro kterou zpracovatel vykonává určité činnosti – zpracování osobních údajů. V praxi tak je správcem např. zaměstnavatel a zpracovatelem je externí firma vykonávající pro zaměstnavatele mzdovou agendu. Vztah správce a zpracovatele buď vzniká přímo ze zákona a nebo smlouvou. Ve výše uvedeném případě by tak práce prováděná pro správce (zaměstnavatele) externí firmou (zpracovatelem) byla realizována zřejmě na základě smlouvy o dílo, smlouvy mandátní, případně nějaké jiné. Zákon o ochraně osobních údajů však v případech, kdy dochází ke vztahu správce–zpracovatel (tedy ke zpracování osobních údajů) prostřednictvím zpracovatele, vyžaduje, aby správce a zpracovatel mezi sebou uzavírali zvláštní typ smlouvy, kterou zákon nazývá smlouva o zpracování osobních údajů.
58
4.2.2 Smlouva o zpracování osobních údajů Smlouva o zpracování osobních údajů je upravena v § 6 ZOOU, který zní: Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Smlouva o zpracování osobních údajů musí mít písemnou formu, jinak je absolutně neplatná. Dále musí obsahovat tyto informace: rozsah a účel uzavření smlouvy (zákon sice uvádí, že má být uveden účel a rozsah
smlouvy, což je poněkud matoucí, neboť z celého kontextu zákona o ochraně osobních údajů je zřejmé, že by mělo jít o účel zpracování osobních údajů a o rozsah zpracování osobních údajů, které bude provádět zpracovatel) doba uzavření smlouvy záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů
Smlouva o zpracování osobních údajů nemusí být uzavírána jako samostatná smlouva. Je totiž zřejmé, že mezi správcem a zpracovatelem bude jejich právní vztah upravovat smlouva jiná (např. smlouva o dílo nebo mandátní). V praxi tak postačí, pokud tato smlouva (např. smlouva o dílo) bude obsahovat výše uvedené informace. Taková smlouva „obstojí“ i jako smlouva o zpracování osobních údajů. Musí však být uzavřena písemně.
4.3 Sankce za porušení povinností při zpracování osobních údajů Tato kapitola pojednává o sankcích, kterými je možno osoby, jež přicházejí do styku s osobními údaji druhých, postihovat, pokud nebudou při nakládání s osobními údaji postupovat podle zákona. Tyto sankce jsou převážně peněžité povahy, nicméně v určitých případech lze za porušení předpisů o ochraně osobních údajů skončit dokonce ve vězení. 4.3.1 O sankcích obecně Sankce, které je možné udělit osobám na úseku ochrany osobních údajů, lze rozdělit do dvou kategorií. Jednak jsou to sankce správní a dále sankce trestní. Sankce správní ukládá správní orgán (Úřad pro ochranu osobních údajů) ve správním řízení. Postup, jakým se tak děje, je upraven ve správním řádu (zákon č. 500/20004 Sb.). Správní sankce lze rozdělit na dvě kategorie, jednak na přestupky a dále na tzv. správní delikty. Rozdíl mezi
59
přestupkem a správním deliktem je v subjektu, který se zakázaného jednání dopustil. Přestupku se může dopustit pouze fyzická osoba (např. zaměstnanec správce osobních údajů nebo přímo správce osobních údajů). Správních deliktů se oproti přestupkům dopouští pouze fyzická osoba podnikající (podnikatel) nebo právnická osoba. Jednání, které je přestupkem nebo jiným správním deliktem, je popsáno v zákoně o ochraně osobních údajů. Sankce trestní ukládá soud v trestním řízení postupem, který je upraven v trestním řádu (zákon č. 141/1961 Sb.). Trestní sankce lze uložit pouze za spáchání trestného činu. Jednání, která jsou trestnými činy jsou popsaná v trestním zákoníku (zákon č. 40/2009 Sb.), který od 1. 1. 2010 nahradil trestní zákon (zákon č. 140/1961 Sb.). Vzhledem k tomu, že český právní řád nezná trestní odpovědnost právnických osob, lze trestní sankce uložit pouze fyzickým osobám. 4.3.2 Přestupky zaměstnanců a dalších osob provádějící faktické zpracování osobních údajů Dle § 44 odst. 1 ZOOU fyzická osoba, která a) je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru, b) vykonává pro správce nebo zpracovatele činnosti na základě dohody, nebo c) v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji, se dopustí přestupku tím, že poruší povinnost mlčenlivosti (§ 15). Za přestupek lze uložit pokutu do výše 100 000 Kč. Přestupek nelze projednat, uplynul-li od jeho spáchání 1 rok (§ 20 zákona č. 200/1990 Sb., o přestupcích). To mimo jiné znamená, že pokud do 1 roku od spáchání přestupku nebylo o přestupku pravomocně rozhodnuto, správní orgán je povinen přestupkové řízení zastavit. 4.3.3 Přestupky správců a zpracovatelů osobních údajů Dle § 44 odst. 2 ZOOU fyzická osoba, která se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)] nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)], c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)], d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)],
60
e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9), f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11), g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21), h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13), i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27). Za přestupek lze uložit pokutu do výše 1 000 000 Kč. Pokud by však správce nebo zpracovatel při tom, když se dopustil přestupku, ohrozil větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo porušil povinnosti pro zpracování citlivých údajů (§ 9), mohla by mu být uložena pokuta až do 5 000 000 Kč (§ 44 odst. 3 a 6 ZOOU). Přestupek nelze projednat, uplynul-li od jeho spáchání 1 rok (§ 20 zákona č. 200/1990 Sb., o přestupcích). To mimo jiné znamená, že pokud do 1 roku od spáchání přestupku nebylo o přestupku pravomocně rozhodnuto, správní orgán je povinen přestupkové řízení zastavit. 4.3.4 Přestupky fyzických osob Dle § 44a ZOOU se fyzická osoba dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem. Za přestupek lze uložit pokutu do výše 1 000 000 Kč. Pokud by však byl uvedený přestupek spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, mohla by mu být uložena pokuta až do 5 000 000 Kč (§ 44a odst. 3 a 6 ZOOU). Přestupek nelze projednat, uplynul-li od jeho spáchání 1 rok (§ 20 zákona č. 200/1990 Sb., o přestupcích). To mimo jiné znamená, že pokud do 1 roku od spáchání přestupku nebylo o přestupku pravomocně rozhodnuto, správní orgán je povinen přestupkové řízení zastavit. Uvedená regulace se dostala do ZOOU v souvislosti se změnou trestního řádu (zákon č. 52/2009 Sb., kterým se mění zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a některé další zákony). Do trestního řádu se totiž dostalo ustanovení o tom, že je zakázáno jakýmkoli způsobem zveřejnit informace umožňující zjištění totožnosti poškozeného, který je osobou mladší 18 let nebo vůči němuž byl spáchán trestný čin kuplířství nebo šíření pornografie nebo některý z trestných činů proti životu a zdraví, svobodě a lidské důstojnosti nebo proti rodině a mládeži (§ 8b odst. 2 trestního řádu).
61
4.3.5 Správní delikty správců a zpracovatelů osobních údajů Dle § 45 odst. 1 ZOOU právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)] nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)], c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)], d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)], e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9), f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11), g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21), h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13), i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27). Za správní delikt lze správci nebo zpracovateli uložit pokutu do výše 5 000 000 Kč. Pokud by však správce nebo zpracovatel při tom, když se dopustil správního deliktu, ohrozil větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo porušil povinnosti pro zpracování citlivých údajů (§ 9), mohla by mu být uložena pokuta až do 10 000 000 Kč (§ 45 odst. 2 a 4 ZOOU). Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.
62
4.3.6 Správní delikty právnických osob a fyzických osob podnikajících Dle § 45a ZOOU se právnická osoba nebo podnikající fyzická osoba dopustí správního deliktu tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem. Za správní delikt lze uložit pokutu do výše 1 000 000 Kč. Pokud by však byl uvedený správní delikt spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, mohla by mu být uložena pokuta až do 5 000 000 Kč (§ 45a odst. 3 a 6 ZOOU). Uvedená regulace se dostala do ZOOU v souvislosti se změnou trestního řádu (zákon č. 52/2009 Sb., kterým se mění zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a některé další zákony). Do trestního řádu se totiž dostalo ustanovení o tom, že je zakázáno jakýmkoli způsobem zveřejnit informace umožňující zjištění totožnosti poškozeného, který je osobou mladší 18 let nebo vůči němuž byl spáchán trestný čin kuplířství nebo šíření pornografie nebo některý z trestných činů proti životu a zdraví, svobodě a lidské důstojnosti nebo proti rodině a mládeži (§ 8b odst. 2 trestního řádu). Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán. 4.3.7 Trestné činy páchané v souvislosti s ochranou osobních údajů Neoprávněné nakládání s osobními údaji Trestný čin neoprávněné nakládání s osobními údaji je upraven v § 180 trestního zákoníku, který zní: (1) Kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti. (2) Stejně bude potrestán, kdo, byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.
63
(3) Odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny, b) spáchá-li takový čin tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, c) způsobí-li takovým činem značnou škodu, nebo d) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch. (4) Odnětím svobody na tři léta až osm let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo b) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu. Trestný čin neoprávněné nakládání s osobními údaji patří mezi trestné činy, kterých se lze dopustit i z nedbalosti. To v podstatě znamená, že neznalost zákona neomlouvá. Při spáchání tohoto trestného činu je totiž jedno, zda jeho pachatel vůbec věděl o existenci zákona o ochraně osobních údajů, případně o povinnostech, které má jako správce nebo zpracovatel plnit. Obdobně to platí i pro porušení povinnosti mlčenlivosti, neboť tato povinnost je dána přímo ze zákona. Nepřekažení trestného činu U některých zvlášť závažných trestných činů, má každý povinnost těmto trestným činům zabraňovat a rovněž je oznamovat Policii ČR, aby proti nim mohla aktivně bojovat. Mezi tyto trestné činy zařadil zákonodárce i trestný čin neoprávněné nakládání s osobními údaji. To znamená, že všichni máme povinnost páchání trestného činu neoprávněného nakládání s osobními údaji zabránit. Právní úprava této povinnosti a postihu za její neplnění je uvedena v § 367 trestního zákoníku, který v upravené podobě zní: § 367 Nepřekažení trestného činu (1) Kdo se hodnověrným způsobem doví, že jiný připravuje nebo páchá trestný čin … neoprávněného nakládání s osobními údaji podle § 178 odst. 3, … a spáchání nebo dokončení takového trestného činu nepřekazí, bude potrestán odnětím svobody až na tři léta; stanoví-li tento zákon na některý z těchto trestných činů trest mírnější, bude potrestán oním trestem mírnějším. (2) Kdo spáchá čin uvedený v odstavci 1, není trestný, nemohl-li trestný čin překazit bez značných nesnází nebo aniž by sebe nebo osobu blízkou uvedl v nebezpečí smrti, ublížení na zdraví, jiné závažné újmy nebo trestního stíhání. (3) Překazit trestný čin lze i jeho včasným oznámením státnímu zástupci nebo policejnímu orgánu; voják může místo toho učinit oznámení nadřízenému.
64
4.3.8 Trestné činy páchané v souvislosti s ochranou osobních údajů právnickými osobami Od 1.1. 2012 je účinný zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. Tento zákon zavádí tzv. trestní odpovědnost právnických osob, kdy za trestné činy spáchané právnickou osobou lze uložit pouze tyto tresty zrušení právnické osoby, propadnutí majetku, peněžitý trest, propadnutí věci nebo jiné majetkové hodnoty, zákaz činnosti, zákaz plnění veřejných zakázek, účasti v koncesním řízení nebo ve veřejné soutěži, zákaz přijímání dotací a subvencí, uveřejnění rozsudku. V § 7 zákona o trestní odpovědnosti právnických osob je uveřejněn katalog trestných činů, kterých se může dopustit právnická osoba. Tento katalog navazuje na trestní zákoník a je v něm uvedeno několik desítek zločinů a přečinů jako např. obchodování s lidmi, padělání a pozměňování peněz, podvod, kuplířství atd. Paradoxní je, že ve výčtu trestných činů, kterých se může dopustit právnická osoba, není uvedeno neoprávněné nakládání s osobními údaji, jenž je upraveno v § 180 trestního zákoníku. Je to poněkud překvapivé, neboť si lze poměrně snadno představit, že nějaká právnická osoba se tohoto trestného činu dopustí (např. když nemocnice vyhodí zdravotnickou dokumentaci do kontejneru). Situace, kdy trestný čin neoprávněné nakládání s osobními údaji není uveden v katalogu trestných činů, kterých se může dopustit právnická osoba, je rozhodně chyba a není to logické. Je tak možno očekávat, že tento nedostatek bude napraven a i právnická osoba se bude moci dopustit tohoto deliktu. Zatím však právnickou osobu za takové jednání trestně právně trestat nelze.
5 Příklady plnění povinností správce v různých situacích 5.1 Konkrétní příklady – Vedení knihy úrazů Uvedená kapitola popisuje konkrétní situaci, jako je vedení knihy úrazů, kterou má vést každý zaměstnavatel. V kapitole jsou popsány a zdůvodněny povinnosti, které správce v tomto případě má. 5.1.1 Vedení knihy úrazů – obecně V § 105 odst. 2 zákoníku práce je uvedeno, že zaměstnavatel vede v knize úrazů evidenci o všech úrazech, i když jimi nebyla způsobena pracovní neschopnost nebo byla způsobena pracovní
65
neschopnost nepřesahující 3 kalendářní dny. Z uvedeného ustanovení lze tedy zcela jednoznačně dovodit, že každý zaměstnavatel má povinnost vést knihu úrazů. Prováděcí předpis k zákoníku práce, konkrétně nařízení vlády č. 201/2010 Sb., o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu potom uvádí rozsah zpracovávaných osobních údajů. Podle uvedeného nařízení kniha úrazů obsahuje jméno, popřípadě jména, a příjmení (úrazem postiženého zaměstnance, datum a hodina úrazu, místo, kde k úrazu došlo, činnost, při níž k úrazu došlo, počet hodin odpracovaných bezprostředně před vznikem úrazu, celkový počet zraněných osob, druh zranění a zraněná část těla, druh úrazu, zdroj úrazu, příčiny úrazu, jména svědků úrazu, jméno a pracovní zařazení toho, kdo údaje zaznamenal. Je zřejmé, že při vedení knihy úrazů se jedná o zpracování osobních údajů, které správci ukládá zvláštní zákon (zákoník práce). Vzhledem k tomu, že kniha úrazů obsahuje záznamy o úrazu – tedy o zdravotním stavu, obsahuje tak citlivé osobní údaje. To je třeba mít na paměti ohledně řešení otázky, zda je možné vést knihu úrazů bez souhlasu subjektu údajů (zaměstnanců) či nikoli. Výjimku z povinnosti zpracovávat osobní údaje pouze se souhlasem subjektů údajů je proto třeba hledat v § 9 a nikoli v § 5 odst. 2 ZOOU. 5.1.2 Vedení knihy úrazů – povinnosti, které je správce povinen plnit stanovit účel, k němuž mají být osobní údaje zpracovány (§ 5 odst. 1 písm. a) ZOOU), tento účel by bylo možné pojmenovat např. jako „Vedení knihy úrazů“ stanovit prostředky a způsob zpracování osobních údajů (§ 5 odst. 1 písm. b) ZOOU), prostředkem bude kniha úrazů, způsob zpracování bude zejména shromažďování, uchovávání, používání, blokování, likvidace, předávání poskytnout informaci o zpracování svých osobních údajů na žádost subjektu údajů (§ 12 ZOOU) zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou (§ 18 odst. 2) ZOOU) Pokud se týká povinnosti zpracovávat osobní údaje se souhlasem, z uvedené povinnosti je výjimka uvedená v § 9 písm. d) ZOOU, takže tuto povinnost není nutné plnit. Vzhledem k tomu, že se jedná o zpracování osobních údajů, které správci ukládá zákon, správce nemusí plnit oznamovací povinnost Úřadu pro ochranu osobních údajů (§ 18 odst. 1 písm. b) ZOOU), ale specifickou oznamovací povinnost dle § 18 dost. 2 ZOOU – tedy zajistit, aby informace týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou (§ 18 odst. 2) ZOOU).
66
5.2 Konkrétní příklady – Kamerový systém Uvedená kapitola popisuje problematiku zpracování osobních údajů při provozování kamerového systému.
5.2.1. Kamerový systém - obecně Dle stanoviska Úřadu pro ochranu osobních údajů je při provozování kamerových systémů dána působnost zákona o ochraně osobních údajů pouze tehdy, když a) kamerový systém je využíván při identifikaci osob, b) provádí se záznam (uchovávání osobních údajů).
Je vhodné upozornit na to, že kamerový systém je prostředek, nikoli účel zpracování osobních údajů. Účel zpracování osobních údajů by tak neměl být pojmenován jako „provozování kamerového systému“, ale jako „ochrana majetku“ nebo něco v tomto smyslu. Kamerový systém zaznamenává zpravidla obličej, to znamená, že jsou na něm zaznamenány citlivé údaje. Úřad zastává názor, že v tomto případě nejde o údaje citlivé, ale prosté osobní údaje, nicméně argumentace k tomu není zcela přesvědčivá. Aby bylo možné provozovat kamerový systém, je třeba najít výjimku z povinnosti zpracovávat osobní údaje se souhlasem subjektu údajů, protože jinak by bylo třeba všechny snímané osoby požádat o souhlas s pořízením záznamu, což je zpravidla nerealizovatelné. Vzhledem k tomu, že se jedná zpravidla o citlivé údaje, je třeba výjimku z povinnosti zpracovávat osobní údaje se souhlasem hledat v § 9 ZOOU. Jako použitelná výjimka by mohla přicházet v úvahu výjimka uvedená v § 9 písm. h) ZOOU tedy zajištění a uplatnění práv (ochrana majetku). Díky názoru úřadu, že nejde o citlivé údaje, pak výjimku z povinnosti zpracovávat osobní údaje se souhlasem nalézá v § 5 odst. 2 písm. e) ZOOU. Pravidlem při instalaci kamerového systému je tzv. subsidiarita použití kamerového systému. To znamená, že kamerový systém by se měl použít pouze tehdy, pokud nelze stanoveného účelu dosáhnout mírnějšími prostředky. Uvedená zásada je v podstatě aplikace povinnosti uvedené v § 5 odst. 1 písm. d) ZOOU – tedy shromažďovat osobní údaje odpovídající stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu.
5.2.2. Právní úprava kamerového systému Je zřejmé, že kamerový systém je opravdu něco speciálního. V sousedních státech (např. Německo, Rakousko, Slovensko) mají tyto státy speciální úpravu vztahující se ke kamerovému systému. V ČR bohužel takovou výslovnou úpravu nemáme a snažíme se vše řešit za pomocí výkladu. Ne vždy se to daří s odpovídajícími výsledky.
67
Předně existují představy, jaké povinnosti by měl provozovatel kamerového sytému plnit, avšak dovodit to jenom z obecných povinností ze zákona na ochranu osobních údajů dost dobře nejde. Navíc v praxi i sám Úřad pro ochranu osobních údajů (dále jen „Úřad“) zastával stanoviska mnohdy velmi protichůdná. V tomto ohledu je tak klíčové rozhodnutí Nejvyššího správního soudu (dále jen „NSS“) ze dne 25. 2. 2015, sp. zn. 1 As 113/2012-133 ve věci Ryneš x Úřad pro ochranu osobních údajů -
http://www.nssoud.cz/files/SOUDNI_VYKON/2012/0113_1As__1200133_20150225164111_pr evedeno.pdf V tomto rozhodnutí je jednak popsaná celá nešťastná právní situace, dále se vyjadřoval NSS k praxi Úřadu při posuzování kamerových systémů a dále se snažil o nějaké zevšeobecnění a shrnutí povinností správce. Nutno říci, že Úřad nevychází z hodnocení NSS zrovna lichotivě, kdy NSS na jeho adresu uvádí např. takovéto výroky: „Nezbývá než konstatovat, že rozhodování v těchto typových věcech bylo nepředvídatelné a svévolné. Žalovaný dle své libovůle rozhodoval, které konkrétní zpracování osobních údajů za pomoci kamerového systému pro účely ochrany majetku pod § 3 odst. 3 zákona o ochraně osobních údajů podřadí, a které nikoli.“ (bod 67 rozsudku) „Až do konce roku 2014 totiž nebylo vůbec jasné, zda český zákon dopadá na tak obvyklé situace, jako byla instalace kamerového systému snímajícího veřejné prostranství za účelem ochrany majetku a jiných hodnot majitele domu.“ (bod 69 rozsudku) „Vysvětlení stěžovatele, proč kamera zabírala ulici i vchod do protějšího naprosto logické“ pokud by byla kamera „sklopena“ a zabírala jen stěžovatelova domu, funkce kamery by se míjela svým účinkem, neboť útočníka nikdy nezaznamenala. Pokud žalovaný „radí“ stěžovateli opak, je toho, že je naprosto odtržen od reálií běžného života.“ (bod 84 rozsudku)
domu, je přitom obvodovou zeď by potenciálního to smutný důkaz
Vzhledem k tomu, že rozsudek ve věci Ryneš x Úřad pro ochranu osobních údajů je klíčový při posuzování kamerových systémů, popíšeme si situaci poněkud podrobněji
Případ Ryneš x Úřad pro ochranu osobních údajů
Jednak je třeba uvést, že tento případ byl dosti medializovaný a několikrát byla veřejnost o případu informována v rámci pořadu Reportéři ČT. Šlo o to, že pan Ryneš, třebíčský novinář na svůj dům nainstaloval v říjnu 2007 kamerový systém poté, co neznámé osoby několik let opakovaně útočily na něj osobně (mimo jiné ho shodili do řeky Jihlavy), na majetek (opakované rozbití okna prakem a obdobnými zařízeními) a na členy jeho rodiny (přímé ohrožení zdraví členů rodiny v souvislosti s průstřely okna). Kamerový systém zaznamenal jeden takový útok, byl předán policií a policie obvinila osoby, které prostřelili panu Rynešovi okno prakem. Soud však tyto osoby zprostil obžaloby, neboť dle jeho názoru nebylo možno pachatele ztotožnit. Jeden z takto obviněných pak dal podnět
68
k prošetření, zda se naopak pan Ryneš nedopustil nějakého deliktu v souvislosti s provozování kamerového systému. Výsledek byl, že Úřad shledal pochybení, uložil panu Rynešovi pokutu za porušení zákona o ochranu osobních údajů. Následovalo souzení o pokutu, kdy pan Ryneš podal žalobu k Městskému soudu v Praze na zrušení rozhodnutí Úřadu týkajícího se uložené pokuty, ale neuspěl. Proto podal kasační stížnost proti rozsudku Městského soudu v Praze, který jeho žalobu na zrušení rozhodnutí, které mu ukládalo pokutu, zamítl. Kasační stížnosti vyhověl NSS. NSS vyložil určité zásady, které je třeba při provozování kamerové systému plnit. Nutno říci, že tam, kde je právní úprava obsažená v zákoně o ochraně osobních údajů ne zcela přehledná, dovozuje NSSS určité povinnosti z právních principů, základních lidských práv a mezinárodních smluv. Ze samotného textu zákona ochranu osobních údajů totiž některé závěry dost dobře vyvodit nelze. V rámci právní regulace kamerových systémů je tak vhodnější postupovat dle postulátů formulovaných v uvedeném rozsudku NSS než z toho, co lze vyčíst ze zákona ochraně osobních údajů.
Případ Ryneš x Úřad pro ochranu osobních údajů – akcentace systému subsidiarity
Rozhodnutí ve věci Ryneš x UOOU nemůže být chápáno tak, že instalovat kamerový systém lze bez dalšího. Kamerový systém by měl být instalován teprve tehdy, pokud jiné (méně invazivní prostředky do soukromí) ke splnění účelu (zpravidla ochrana majetku) selhaly. NSS to popisuje v bodech 86 a 87 uvedeného rozhodnutí následovně: Žalovaný (Úřad) musí při posuzování obdobných případů, kde shromažďování osobních údajů zasahuje do soukromí třetích osob, brát vždy do úvahy, zda instalace a provozování kamery je prevencí před útoky, které v tomto místě hrozí, případně zda snad dokonce představuje reakci na opakované útoky na majetek či jiné ústavně chráněné hodnoty, či naopak zda osoba instaluje kamerový systém z obavy před protiprávní činností, která je však hypotetická a s ohledem na všechny okolnosti spíše nepravděpodobná či iluzorní. Situace v nynější kauze byla zcela extrémní. Stěžovatel (Ryneš) zcela nepřijatelně trpěl po dobu několika let útoky na svou osobu, rodinu a majetek. Přitom během celé této doby využil všech jemu dostupných prostředků nezasahujících do práv a svobod jiných osob za účelem ochrany svých práv, a to zcela bezvýsledně. Teprve záznam z kamerového systému umožnil obvinění konkrétní osoby, proto lze na instalovanou kameru na domě stěžovatele nahlížet jako na potřebnou v porovnání s jinými (stěžovatelem ostatně bezvýsledně využitými) opatřeními. Žádná jiná, do práv na soukromí třetích osob méně invazivní varianta neexistovala, pomineli soud varianty neúnosně drahé (např. placení si soukromé bezpečnostní služby, což je u normálních smrtelníků vyloučeno již jen pro nákladnost takové služby).
5.2.3. Kamerový systém – povinnosti, které je správce povinen plnit v případě monitorování domu pana Ryneše, kde došlo i k monitorování veřejného prostranství: stanovit účel, k němuž mají být osobní údaje zpracovány (§ 5 odst. 1 písm. a) ZOOU), tento účel by bylo možné pojmenovat např. jako „Ochrana majetku před odcizením“,
69
stanovit prostředky a způsob zpracování osobních údajů (§ 5 odst. 1 písm. b) ZOOU), prostředky budou kamery, výpočetní technika, způsob shromažďování, uchovávání, používání, blokování, likvidace,
zpracování
bude
zejména
poskytnout informaci o zpracování svých osobních údajů na žádost subjektu údajů (§ 12 ZOOU),
informovat o zpracování osobních údajů (§ 11 odst. 1 ZOOU) povinnost oznámit zpracování osobních údajů Úřadu (§ 16 odst. 1) ZOOU).
Pokud se týká povinnosti zpracovávat osobní údaje se souhlasem, z uvedené povinnosti je výjimka uvedená v § 9 písm. h) ZOOU, eventuelně v § 5 odst. 2 písm. e) ZOOU, takže tuto povinnost není nutné plnit. V případě pana Ryneše soud tuto výjimku nachází v § 5 odst. 2 písm. e) ZOOU. Pokud se týká povinnosti informovat o zpracování osobních údajů (§ 11 odst. 1 ZOOU), pak se musí subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21 ZOOU. Je zřejmé, že tohle vše se na nějakou tabulku s informací „tento prostor je střežen kamerovým systémem“ nevejde. NSS proto uvádí, že je možno tuto povinnost plnit tak, že se na viditelném místě u monitorovaného prostoru umístí tabulka s informací o provozování kamery se záznamem (postačí třebas i piktogram kamery), uvedením správce osobních údajů a kontaktu, kde budou poskytnuty veškeré informace vyžadované dle § 11 odst. 1 zákona (webová stránka správce, e-mailový či telefonický kontakt na pověřenou osobu atd.) ( bod 103 rozsudku NSS) Pokud se týká povinnosti oznámit zpracování osobních údajů Úřadu, tak Úřad vydal speciální formulář pro plnění této povinnosti - https://www.uoou.cz/registracni-formular-jak-
podat-oznameni-o-zpracovani-osobnich-udaju/ds-1519/archiv=0&p1=1511
5.2.4. Kamerový systém – možná kolize s právem na soukromí Dle § 10 ZOOU nesmí zpracování osobních údajů být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života. Respektovat tuto povinnost ve svém důsledku znamená, že kamerový systém nelze instalovat všude. Nelze ho instalovat všude tam, kde by mohl být soukromý a osobní život subjektů údajů ohrožen. Ochrana soukromého života se stává poslední dobou klíčovým ukazatelem pro posuzování oprávněnosti instalace kamerových systémů. Úřad zpravidla neargumentuje § 10 ZOOU, ale
70
dovětkem k výjimce uvedené v § 5 odst. 2 písm. e) ZOOU, tedy, že výjimku z povinnosti zpracovávat osobní údaje bez souhlasu subjektu údajů je možno z důvodu ochrany práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života. Otázkou zůstává, jaké prostředí lze kamerovým systém monitorovat, aby nešlo o zásah do soukromí. Nebo jinak položeno, které prostředí nelze kamerovým systémem monitorovat vůbec. Není pochyb o tom, že zakázáno je monitorovat např. převlékací kabinky v obchodech s oblečením, záchody, sprchy. Úřad ve svém stanovisku č. 1/2008 o užití kamerových systémů v bytových domech - http://www.uoou.cz/files/stanovisko_2008_1.pdf vymezuje dva typy prostředí: a) prostory, kde obyvatelé domu (tj. lidé, kteří jsou majiteli, nájemci nebo podnájemci bytových jednotek nebo bytů v domě a kteří v bytě opravdu bydlí, dále jen „obyvatelé domu“) obvykle nežijí svůj soukromý život a monitorování těchto prostor v zásadě do soukromí nezasahuje (tj. půdy, sklepy, garáže, vchody na půdu a do sklepa, kočárkáren, koláren, garáží, prostor dopisních schránek, vnější opláštění budov apod.). b) prostory, kde obyvatelé domu požívají vyšší míru soukromí, jelikož tyto prostory jsou ze své podstaty spjaty s jejich soukromým a osobním životem (tj. přístupové chodby k bytům, výtah, schodiště, vchodové dveře do objektů, vchodové dveře do bytů apod.), jsou shromažďovány informace různého druhu o soukromém životě obyvatel domu, jako například kdy, s kým, či „v jakém stavu“ přicházejí nebo odcházejí z domu, a to včetně jejich návštěv. Dochází tak k závažným zásahům do práva na ochranu soukromého a osobního života. Povinnosti, které je tak třeba plnit se v každém takovém případě různí. 5.2.5. Kamerový systém – povinnosti, které je správce povinen plnit v případě monitorování sklepů a garáží (případně veřejného prostranství) stanovit účel, k němuž mají být osobní údaje zpracovány (§ 5 odst. 1 písm. a) ZOOU), tento účel by bylo možné pojmenovat např. jako „Ochrana majetku před odcizením“ stanovit prostředky a způsob zpracování osobních údajů (§ 5 odst. 1 písm. b) ZOOU), prostředky budou kamery, výpočetní technika, způsob zpracování bude zejména shromažďování, uchovávání, používání, blokování, likvidace poskytnout informaci o zpracování svých osobních údajů na žádost subjektu údajů (§ 12 ZOOU) informovat o zpracování osobních údajů (§ 11 odst. 5 ZOOU), pro plnění této povinnosti postačí nainstalovat v prostorách střežených kamerovým systémem informační tabulky,
71
které budou subjekty údajů informovat, že prostor je střežen kamerami, např. takto: „Tento prostor je střežen kamerami“ zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou (§ 18 odst. 2) ZOOU) Pokud se týká povinnosti zpracovávat osobní údaje se souhlasem, z uvedené povinnosti je výjimka uvedená v § 9 písm. h) ZOOU, eventuelně v § 5 odst. 2 písm. e) ZOOU, takže tuto povinnost není nutné plnit. Poněkud zvláštní je to při plnění oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů dle § 16 ZOOU. Úřad pro ochranu osobních údajů zastává názor, že oznamovací povinnost by se měla plnit vždy, dokonce vydal speciální formuláře pro plnění této povinnosti. Vzhledem k tomu, že jde o zpracování např. za účelem „Ochrana majetku před odcizením“, je zde dána výjimka z oznamovací povinnosti (§ 18 odst. 1 písm. b) ZOOU), místo toho má správce povinnost zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou (§ 18 odst. 2) ZOOU). 5.2.6. Kamerový systém – povinnosti, které je správce povinen plnit v případě monitorování jednotlivých vchodů do bytů v bytovém domě stanovit účel, k němuž mají být osobní údaje zpracovány (§ 5 odst. 1 písm. a) ZOOU), tento účel by bylo možné pojmenovat např. jako „Ochrana majetku před odcizením“ stanovit prostředky a způsob zpracování osobních údajů (§ 5 odst. 1 písm. b) ZOOU), prostředky budou kamery, výpočetní technika, způsob zpracování bude zejména shromažďování, uchovávání, používání, blokování, likvidace poskytnout informaci o zpracování svých osobních údajů na žádost subjektu údajů (§ 12 ZOOU) informovat o zpracování osobních údajů (§ 11 odst. 5 ZOOU), pro plnění této povinnosti postačí nainstalovat v prostorách střežených kamerovým systémem informační tabulky, které budou subjekty údajů informovat, že prostor je střežen kamerami, např. takto: „Tento prostor je střežen kamerami“ zpracovávat osobní údaje se souhlasem subjektu údajů (§ 5 odst. 2 ZOOU) oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (§ 16 ZOOU) 5.2.7. Kamerový systém – další zdroje informací http://www.uoou.cz/uoou.aspx?menu=29&submenu=33&loc=38 72
http://www.oou.cz/index.php?file=dotazy/kamerove_systemy
5.3 Konkrétní příklady – Internetová prezentace firmy vylepšená fotografiemi pracovníků Tato kapitola popisuje problematiku zpracování osobních údajů zaměstnanců při prezentaci jejich fotografií na internetu. Popisuje a zdůvodňuje s odkazem na jednotlivá ustavení zákona o ochraně osobních údajů, které povinnosti správce osobních údajů v tomto případě má a které nikoli. 5.3.1 Internetová prezentace – obecně Obchodní společnosti, ale i úřady mívají občas nápad vylepšit svoji image vytvořením webové stránky, na které budou uveřejněny fotografie pracovníků. Argumentují většinou, že je to praktické, neboť zákazník má tak představu, za kým konkrétně jde a s kým bude jednat. Z pohledu ochrany osobních údajů je třeba si uvědomit to, že se jedná o zpracování fotografií pracovníků – tedy o citlivé údaje. V tomto případě je tak třeba výjimku z povinnosti zpracovávat osobní údaje se souhlasem subjektu údajů hledat v § 9 ZOOU. Dále je třeba si uvědomit, že žádný právní předpis zaměstnavatele nenutí, aby takovou prezentaci vytvářel. 5.3.2 Internetová prezentace – povinnosti, které je správce povinen plnit stanovit účel, k němuž mají být osobní údaje zpracovány (§ 5 odst. 1 písm. a) ZOOU), tento účel by bylo možné pojmenovat např. jako „Propagace činností správce na internetu“ stanovit prostředky a způsob zpracování osobních údajů (§ 5 odst. 1 písm. b) ZOOU), prostředkem bude výpočetní technika, způsob zpracování bude zejména shromažďování, uchovávání, používání, blokování, likvidace, zveřejňování povinnost zpracovávat osobní údaje s výslovným souhlasem subjektu údajů (§ 9 písm. a) ZOOU), vzhledem k tomu, že Úřad zastává názor, že nejde o citlivé údaje, může jít o prostý souhlas dle § 5 odst. 2 ZOOUU poskytnout informaci o zpracování svých osobních údajů na žádost subjektu údajů (§ 12 ZOOU) oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (§ 16 ZOOU)
73
Pokud se týká povinnosti zpracovávat osobní údaje se souhlasem, z uvedené povinnosti lze těžko najít výjimku. Asi nejvíce bychom mohli uvažovat o výjimce stanovené v § 9 písm. h) ZOOU, tedy zpracování, které je nezbytné pro zajištění a uplatnění právních nároků. Problém je, že správce žádný právní předpis nenutí mít webovou prezentaci a dále, že samotnou webovou prezentací se žádný právní nárok nezajišťuje ani neuplatňuje. Takže výjimku z povinnosti zpracovávat osobní údaje se souhlasem najít nelze. Obdobně je to rovněž s oznamovací povinností, kde rovněž nelze najít výjimku z plnění této povinnosti, takže ji správce má plnit.
5.4 Některé názory úřadu na použití fotografií Tato kapitola popisuje postoje Úřadu pro ochranu osobních údajů k použití fotografií a tím i ke kamerovým systémům. Názory Úřadu se ohledně používání fotografií argumentačně poněkud liší od jeho jiných názorů. Předně je to vůbec hodnocení toho, zda je či není fotografie osoby citlivým údajem. Je zřejmé, že se z fotografie dá zjistit rasa, proto by měla citlivým údajem být. Úřad však uvádí, že citlivým údajem není, jestliže jsou informace z fotografie subjektu údajů používány pro pouhé rozlišení jeho podoby ve srovnání s jinými osobami. (Stanovisko Úřadu č. 2/12 http://www.uoou.cz/files/stanovisko_2012_12.pdf). V tuto chvíli, kdy je dotvářena aktualizace tohoto kurzu (březen 2013) nelze názory Úřadu jednoznačně deklarovat, neboť uvedené stanovisko dokonce stáhl ze svých internetových stránek http://www.uoou.cz/uoou.aspx?menu=14&loc=329. Z uvedeného postoje však nelze dovodit, zda se Úřad od svých názorů nějak odklání nebo jde jenom o technickou chybu. Posuzování citlivého a obyčejného osobního údaje se tak neděje podle informace, kterou tento osobní údaje nese, ale podle používání této informace. Je to posouzení, které nemá oporu v textu zákona. Úřad se odvolává na stanovisko Pracovní skupiny pro ochranu údajů zřízená podle článku 29 směrnice Evropského parlamentu a Rady 95/46/ES, která ve svém stanovisku č. 5/2009 k internetovým sociálním sítím, v bodě 3.4 citlivé údaje, konstatuje, že „pracovní skupina obecně nepovažuje snímky na internetu za citlivé údaje, nejsou-li snímky jednoznačně použity k odhalení citlivých údajů o fyzických osobách“. (Věstník Úřadu pro ochranu osobních údajů, částka 54, str. 3124). Zvláštní rovněž je, že Úřad nepovažuje za zpracování osobních údajů „Pořízení a následné použití jednotlivých fotografií nebo časově omezeného obrazového nebo zvukového záznamu projevu fyzické osoby (skupiny osob) – jednání, schůze, jiné akce“ (podle stanoviska Úřadu č. 2/12 - http://www.uoou.cz/files/stanovisko_2012_12.pdf). Další zajímavý názor je obsažen ve Výroční zprávě Úřadu pro ochranu osobních údajů za rok 2011 str. 28): „Podle § 3 odst. 3 se zákon o ochraně osobních údajů nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu. Typickým příkladem je využití kamerových systémů k ochraně vlastního majetku, nejčastěji soukromých domů. Ochrana soukromého majetku je nezadatelné ústavní právo každého občana. […] Vzhledem k uvedenému
74
Úřad deklaruje, že nadále nebude řešit sousedské spory typu: Policie ČR postoupila městskému úřadu oznámení o spáchání přestupku, kterého se měla dopustit fyzická osoba tím, že dlouhodobě natáčela videokamerou a mobilním telefonem svého souseda na jeho pozemku, a městský úřad oznámení dále postoupil Úřadu.“ Uvedené názory Úřadu dávají tušit jistý posun v jeho názorech, kdy k řešení jednotlivých problémů by neměl přistupovat ryze formalisticky, ale komplexně za použití principu proporcionality (blíže viz stanovisko č. 1/2008 o užití kamerových systémů v bytových domech http://www.uoou.cz/files/stanovisko_2008_1.pdf). Z hlediska výsledku je možno tento postoj Úřadu přivítat. Problém činí spíše způsob, jakým se tak děje, neboť se při výkladu zákona o ochraně osobních údajů nepostupuje jednotně, což činí interpretační potíže do budoucna.
75