informační bulletin / 2006
1
1. TADY A TEĎ Bilance prvního čtvrtletí roku 2006 je pro Úřad spíše lichotivá, než aby v jeho prostorách budila rozmrzelé pocity. V konsolidované česko-anglické verzi vyšla tištěná podoba výroční zprávy. Je k dispozici Senátu Parlamentu ČR k projednání, které probíhá každoročně. Předložena byla také novinářům přítomným na tiskové konferenci 27. 4. a je k dispozici všem zainteresovaným médiím. Poskytována je partnerským úřadům v Evropě i příslušným orgánům EU, Evropské komise a Rady Evropy. K dispozici je na vyžádání rovněž veřejnosti až do vyčerpání nákladu, v němž byla vydána. Dá se tedy říci, že veřejnost má loňskou činnost Úřadu jako na dlani. Výroční zpráva je od února zveřejněna na webových stránkách Úřadu, které byly v prvním čtvrtletí uvedeny do provozu v nové podobě: Nově jsou uspořádány po stránce obsahové (větší důraz je položen na logiku členění rubrik dle kompetencí Úřadu, na zvýšení aktuálnosti zveřejňovaných informací i na uživatelský komfort). Stránky procházejí ještě v detailech úpravami, k nimž dává podnět každodenní provoz i připomínky jak pracovníků Úřadu, tak uživatelů zvenčí. V prvním čtvrtletí vyšla také 40. částka Věstníku Úřadu, jejíž obsah i materiály rovněž naleznete na webových stránkách Úřadu. Upozorňujeme především na definitivní vyjádření Úřadu k problematice využívání kamerových systémů z hlediska zákona o ochraně osobních údajů. Téma tiskové konference 27. 4. bylo věnováno vyhodnocení poznatků Úřadu při postihování nevyžádaných obchodních sdělení a zapojení Úřadu v celoevropském prostoru v odborných skupinách a sdruženích zabývajících se postihováním spamu. Tradičně na tiskové konferenci informoval předseda Úřadu RNDr. Igor Němec o konkrétních případech, které byly předmětem kontroly. Největší pozornost médií se soustředila na uzavřené správní řízení vůči České televizi v souvislosti s postihováním domnělých neplatičů koncesionářských poplatků. Rozhodnutí Úřadu nabylo právní moci 28. 4. 2006; ČT porušila zákon a je povinna zaplatit 100 000 Kč pokuty. Bližší informace jsou obsaženy v tiskové zprávě umístěné na webových stránkách Úřadu v rubrice Tiskové zprávy a konference na adrese http://www.uoou.cz/index.php?l=cz&m=top&mid=03&u1=&u2=&t= . Úřad považuje za pozitivní řešení, k němuž se dospělo v prověrkách pracovníků letišť. Naopak, za nepříznivé pro soukromí občanů považuje přijatou dikci novely zákona o silniční dopravě. Možnost revizorů vstupovat do evidence obyvatel považuje Úřad za prolamování zákona o evidenci obyvatel. Schválená právní úprava je navíc v rozporu s dlouhodobě projednávanou a nyní schvalovanou novelou zákona o evidenci obyvatel (k problematice více komentář na str. 3 v článku Návrh zákona o dráhách...). Informaci z účasti pracovníků Úřadu na zahraničních jednáních přinášíme uvnitř Bulletinu. Do budoucna je namístě přislíbit informace o průběhu mise, kterou Úřad řídí v Bosně a Hercegovině – v průběhu dubna se uskutečnily první přednášky a semináře v rámci twinningového programu financovaného EU „Pomoc Komisi ochrany osobních údajů Bosny a Hercegoviny“. V jarních měsících proběhl také program intenzivní spolupráce s rakouskými partnery, kteří předávají pracovníkům českého Úřadu své zkušenosti s kontrolní činností v rámci „Schengenu“ a v souvislosti s fungováním „e-governmentu“ v Rakousku. Podrobnější informace o aktivitách Úřadu vyplývajících z povinnosti zajišťovat dodržování pravidel ochrany osobních údajů po přistoupení České republiky do schengenského prostoru je tématem tohoto čísla Bulletinu. O tom, co pro Úřad tato povinnost znamená a jak se s tímto úkolem vyrovnává jsme už přinesli stručnou zprávu v dvojčísle Bulletinu 3–4 za loňský rok. Tentokrát je naše zpráva podrobnější a je obsažena také v rozhovoru s inspektorem Úřadu Ing. Janem Zapletalem, kterému je svěřeno řízení uvedené kontrolní agendy. Všem čtenářům Bulletinu přejeme příjemné léto. A napište nám, co byste se rádi dozvěděli o ochraně osobních údajů. Potěšily by nás také Vaše poznatky i podněty – samozřejmě nejvíce ty pozitivní, ale ne-
budeme se schovávat ani před tím, co Vás v oblasti ochrany osobních údajů trápí. Informační bulletin
1/
2006
1
Spolupráce Úřadu pro ochranu osobních údajů s akademickými pracovišti V letošním roce se předpokládá otevření pobočky Úřadu pro ochranu osobních údajů na Právnické fakultě Masarykovy univerzity v Brně. Jedním z cílů tohoto záměru je rozsáhlá spolupráce např. v oblasti analýzy kontrolních procesů v české legislativě nebo v mezinárodních projektech v EU. Další vysokou školou, se kterou Úřad spolupracuje, je Fakulta managementu a informatiky Univerzity Hradec Králové. Zde se v rámci výběrových projektů na Katedře informačních technologií připravuje mj. i konstrukce znalostního systému interpretujícího zákon o ochraně osobních údajů. Ve druhém pololetí roku 2006 bude zahájena spolupráce s Bankovním institutem. Tato pražská vysoká škola bude rozvíjet výukový program ochrany osobních údajů v bankovnictví a pojišťovnictví.
Zahraniční aktivity Úřadu Česko-rakouský twinningový projekt zahájen Úřad pro ochranu osobních údajů zahájil 21. února 2006 nový twinningový projekt podporovaný z finančních zdrojů EU. Institut Ludwiga Bolzmanna z Vídně a partnerská rakouská Komise pro ochranu dat poskytují českému Úřadu podporu zejména na základě svých zkušeností s ochranou osobních údajů při využívání elektronických komunikací – mj. spojené též s propojováním databází v rámci prohlubování e-governmentu. Mezi konzultovanými problémy však budou rovněž velmi aktuální otázky ochrany osobních údajů v rámci schengenského prostoru a poznatky o nárocích pro ochranu dat vyplývajících z členství státu v Europolu. Zahajovací jednání ukázalo také jako aktuální problematiku ochrany osobních údajů na pracovišti, která proto byla zařazena na program konzultačních jednání. Projektu je vyměřeno období 8 měsíců. O jeho průběhu bude Úřad pravidelně informovat.
Madridský workshop ve znamení e-governmentu a ochrany osobních údajů na pracovišti Ve dnech 27. – 28. března 2006 proběhl v Madridu XIII. Case Handling Workshop jako další z pravidelných setkání zástupců institucí, které mají v jednotlivých evropských zemích na starosti ochranu osobních údajů. Setkání zástupců většiny evropských úřadů se konalo na půdě madridského regionálního parlamentu. Hostitelem byla madridská regionální agentura pro ochranu osobních údajů APCM, jejíž předseda v rámci úvodní prezentace svou agenturu detailně představil. Klíčovým tématem plenárních zasedání byl problém ochrany osobních údajů v projektech e-governmentu. Přednášející se zabývali zejména organizací projektů e-governmentu v jednotlivých zemích, charakteristikou jednoznačných identifikátorů a tvorbou identifikačních dokumentů. Rakouský účastník předvedl už dosti propracovanou verzi e-governmentu a zdůraznil, jak pomocí různých PINů (personal identification number) a šifrování (kryptování) je zabráněno tomu, aby se k osobním údajům dostaly nepovolané osoby. Zejména nizozemská zástupkyně upozornila na problémy a nevýhody tvorby a používání jednoznačných identifikátorů. Neméně zajímavé byly i prezentace v rámci diskusních skupin na téma ochrana osobních údajů na pracovišti, které se týkaly přístupu k osobním údajům zaměstnanců a sledování zaměstnanců. Např. německý zástupce předvedl zákonem upravený přístup ke zpracovávání osobních údajů pro potřeby zaměstnanecké personalistiky. Mezi diskutovaná témata patřila i problematika kamerových systémů nebo sledování elektronické pošty jednotlivých pracovníků. Problém sledování elektronické pošty se může dostat až k soudu, o čemž účastníky přesvědčila citace jednoho soudního rozhodnutí sporu mezi firmou a jejím zaměstnancem, u něhož měl zaměstnavatel podezření ze spolupráce s konkurencí, a proto kontroloval obsah jeho e-mailové korespondence posílané z pracoviště. Soud jednoznačně podpořil stanovisko zaměstnance, že k takovému kroku firma neměla právo,
2
Informační bulletin
1/
2006
protože se jednalo o soukromou poštu, byť e-mailovou. Jednotlivé příspěvky se dotkly i vztahu ochrany osobních údajů a práva na informace, či využívání biometrických údajů. V rámci diskusí se objevil i problém existence tzv. černých listin, které se týkají zejména dlužníků z různých oblastí, popř. i jiných subjektů, které mohou být společnosti nebezpeční, např. pedofilů. Taková setkání jsou obrovským přínosem pro pracovníky Úřadu, neboť nabízejí jedinečnou možnost rozšířit si obzory a získat nadhled nad problémy v České republice. Prostřednictvím zkušeností ze zahraničí se lze také připravit na problémy, které nás v budoucnu teprve čekají. V tomto případě jsou to právě poznatky evropských agentur týkající se zkušeností se zaváděním e-governmentu. Pracovnice zastupující český úřad se zúčastnily diskusí na téma sledování zaměstnanců zaměstnavateli a prezentovaly například u nás velmi diskutované téma ochrany osobních údajů v souvislosti s otevíráním svazků bývalé Státní bezpečnosti. O úspěchu českého Úřadu v prosazení změny zákona ohledně prověrek zaměstnanců letišť informovala náměstkyně Úřadu JUDr. Alena Kučerová a setkala se s živým ohlasem.
Přátelské pracovní setkání se slovenským partnerem Ve Valticích se 21. března 2006 uskutečnilo přátelské pracovní setkání zástupců českého Úřadu pro ochranu osobních údajů a slovenského Úradu na ochranu osobných údajov. Jedním ze zásadních bodů jednání byly otázky týkající se problematiky ochrany osobních údajů po začlenění obou států do schengenského prostoru. Ochránci osobních údajů obou států se shodli na tom, že historický vývoj, minulá společná státnost a především současné nadstandardní pracovní i přátelské vztahy umožňují oběma stranám shodné náhledy a postoje při prosazování společných cílů v oblasti ochrany osobních údajů. Obě strany dospěly ke společnému ujednání, které zakotvily v memorandu o spolupráci. Plné znění memoranda je k dispozici na webových stránkách Úřadu na adrese http://www.uoou.cz/index.php?l=cz&m=left&mid=08:01:05&u1=&u2=&t= a bude publikováno ve Věstníku v částce 41.
2. NEMĚLO BY VÁM UNIKNOUT Návrh zákona o dráhách – možný průlom do soukromí občanů odvrácen V prvním dubnovém týdnu tohoto roku byl Senátem Parlamentu ČR projednáván návrh zákona, kterým se mění zákon č. 266/1994 Sb., o dráhách. Ačkoliv se jednalo o opakované projednávání tohoto návrhu právního předpisu v legislativním procesu, je s podivem, že bez konzultace s ochránci osobních údajů a bez vyjádření rezortů odpovědných za dopravní problematiku a informační systém evidence obyvatel bylo navrženo nové oprávnění pro dopravce, kteří postupují podle tohoto zákona. Navrhované opatření by umožňovalo revizorům při postihu neplatičů v hromadné dopravě vyžadovat doplnění či upřesnění jejich osobních údajů z databáze informačního systému evidence obyvatel. To, že by byl umožněn vstup soukromých subjektů do registru určeného pouze pro potřeby orgánů veřejné správy, považuje Úřad pro ochranu osobních údajů za nesprávné. Z pohledu pravidel pro zpracování osobních údajů by bylo nové oprávnění dané revizorům nedůvodné. Návrh nezajišťoval, aby v evidenci obyvatel byly zjištěny skutečné údaje o konkrétní cestující osobě. Vůbec tím nebyl řešen případ jednání tzv. „černých pasažérů“, kteří při kontrole uvedou osobní údaje jiných osob. Návrh tak falešně deklaroval záměr doplnění a upřesnění osobních údajů za situace, kdy dopravci podle platných právních předpisů mohou k vymáhání jízdného a zejména ke zjištění pravé identity nepoctivých pasažérů využívat jiné přiměřené zákonné postupy. Úřad pozitivně hodnotí, že návrh tohoto zákona senát neschválil. (Text návrhu naleznete na adrese http://www.senat.cz/xqw/xervlet/pssenat/htmlhled?action=doc&value=37221)
Informační bulletin
1/
2006
3
3. TÉMA: Schengenský informační systém (SIS) Obecně o Schengenském systému a jeho vývoji Základním cílem Schengenského systému, jemuž propůjčilo název lucemburské městečko Schengen, je prostřednictvím zrušení kontrol na vnitřních hranicích mezi členskými státy dosáhnout zjednodušení mezistátního pohybu občanů a odstranění další z překážek volného obchodu. Schengenský systém vznikl v roce 1985 na základě mezivládní spolupráce některých členských zemí mimo struktury Evropských společenství (ES); konkrétně byla Schengenská dohoda uzavřena dne 14. června 1985, a to mezi Francií, Belgií, Nizozemím, Lucemburskem a tehdejší Spolkovou republikou Německo. Uvedená pětice schengenských států přijala dne 19. června 1990 Prováděcí úmluvu k Schengenské dohodě, která stanovila podrobnější pravidla pro fungování celého systému, tj. zejména zrušení kontrol na vnitřních hranicích, pro vízovou a azylovou problematiku, policejní spolupráci a výměnu informací pomocí Schengenského informačního systému (SIS). Vzhledem k prodlevám s ratifikací Schengenských dohod a v důsledku technických problémů začal Schengenský systém plně fungovat až od 26. března 1995. Schengenský systém se postupně rozrůstal o další členské země ES a v současné době jsou jeho členy (kromě zakládajících států) také Itálie, Španělsko, Portugalsko, Řecko, Rakousko, Dánsko, Švédsko a Finsko. Ze zemí ES zůstávají mimo schengenský prostor pouze Velká Británie a Irsko, a naopak přidruženy jsou i některé státy mimo ES, konkrétně Norsko a Island. Od roku 1997 (tedy od přijetí Amsterodamské smlouvy, která mj. přenesla otázky vízové, azylové a imigrační politiky ze třetího “mezivládního” pilíře do pilíře prvního “nadnárodního“), probíhá postupné začleňování Schengenského systému (resp. tzv. schengenského acquis) do struktur Evropské unie. V souvislosti s přijetím deseti nových členských států do Evropské unie (EU) k 1. květnu 2004 se započala zcela nová kapitola vývoje Schengenského systému, neboť tento systém ve své stávající podobě není koncipován na zapojení předpokládaných 25 zemí. Jednání o definitivní podobě tzv. Schengenského systému druhé generace (SIS II) stále probíhají. Zrušením kontrol na vnitřních hranicích Schengenský systém nepochybně přispěl ke zjednodušení života občanů EU a současně byl základem pro užší justiční a policejní spolupráci v rámci Evropské unie a také inspirací pro regulaci azylové politiky.
Česká republika a Schengenský systém Vstupem do EU se pro Českou republiku (ČR) stala veškerá ustanovení schengenského acquis závazná, avšak účinnost (tedy přímá použitelnost v praxi) některých z nich je vázána až na dodatečné rozhodnutí Rady EU, vydané po konzultaci s Evropským parlamentem. Uvedené znamená, že začlenění nových členských států do struktury Schengenského systému bude možné až po splnění všech nutných podmínek a zároveň po provedení výše popsané reformy SIS. ČR se na vstup do Schengenského systému připravuje již od roku 1998 a v průběhu letošního roku bude její připravenost hodnocena formou expertních misí zaměřených na jednotlivé sledované oblasti (konkrétně oblast policejní spolupráce, zajištění vzdušných hranic, vízová problematika a ochrana osobních údajů). Výsledkem uvedených misí budou hodnotící zprávy obsahující konkrétní doporučení, jak legislativních, tak i technických opatření, která bude nezbytné přijmout, aby se ČR mohla k Schengenskému systému připojit. Je zřejmé, že kromě vytvoření technických podmínek pro vstup ČR do Schengenského systému, budou zapotřebí i úpravy některých zákonů (především zákona o Policii ČR, zákona o pobytu cizinců na území ČR, celního zákona anebo zákona o ochraně osobních údajů).
4
Informační bulletin
1/
2006
Ochrana osobních údajů Vzhledem k tomu, že odstranění hraničních kontrol a s tím spojená snadná migrace osob v rámci schengenského prostoru současně přináší zvýšené riziko převozu nepovoleného zboží přes hranice, úniku stíhaných osob před spravedlností do jiného státu anebo komplikace vízových a azylových záležitostí, bylo nutno přijmout určitá kompenzační opatření k omezení těchto bezpečnostních rizik. Významnou roli při ochraně Schengenského prostoru hraje již zmíněný Schengenský informační sytém (SIS), který byl zřízen Prováděcí úmluvou z roku 1990. SIS je databáze informací nezbytných k řádnému fungování Schengenského systému a jeho smyslem je zprostředkování přístupu k informacím o osobách a věcech příslušným orgánům pro účely provádění kontrol na vnějších hranicích EU a řízení o udělování víz nebo vydávání povolení k pobytu. SIS obsahuje data o osobách se zákazem pobytu, o pohřešovaných osobách nebo podezřelých ze závažných trestných činů. Dále zahrnuje informace o ukradených motorových vozidlech, zbraních nebo bankovkách. SIS tak umožňuje, aby se například celní či pasový úředník v Rakousku informoval, zda člověku, který se pokouší do Rakouska přicestovat, nezakázala některá z členských zemí pobyt, nebo zda auto, které právě opouští rakouské území, nehledá například francouzská policie. Schengenský informační systém tak obsahuje velké množství důvěrných dat nejen o občanech EU, ale i o občanech třetích zemí (tj. i ČR), jejichž neoprávněné zpřístupnění nebo chybné zpracování by mohlo vyústit ve velmi závažný zásah do práv dotčené osoby. S ohledem na tato rizika je třeba ochraně osobních údajů zpracovávaných v SIS věnovat zvýšenou pozornost a důsledně dodržovat pravidla stanovená pro nakládání s těmito daty. Dozorem nad dodržováním zásad nakládání s daty obsaženými v SIS jsou pověřeny jednotlivé národní dozorové orgány (obdobné Úřadu pro ochranu osobních údajů) a dále byl zřízen Společný kontrolní orgán (Joint Supervisory Authority, JSA) sdružující zástupce národních dozorových orgánů (ČR se jednání JSA účastní v roli pozorovatele). Významnou součástí ochrany osobních údajů a soukromí je i garance určitých práv jednotlivců, jejichž uplatněním se mohou aktivně na ochraně svého práva podílet. Schengenské acquis klade velký důraz na zajištění práva jednotlivců na přístup k údajům, které jsou o nich v SIS evidovány, tj. práva na informaci, jaké údaje jsou zde zpracovávány a z jakého důvodu, a práva požadovat opravu, případně odstranění nesprávných nebo nezákonně zpracovávaných dat. Jak již bylo výše uvedeno, úroveň ochrany osobních údajů v ČR a připravenost Úřadu pro ochranu osobních údajů plnit svoji roli nezávislého dozorového orgánu pro SIS jsou součástí předvstupního hodnocení ČR. Expertní mise posuzující tuto oblast navštívila ČR počátkem března tohoto roku a již nyní je možno uvést, že její hodnotící zpráva, k níž měl Úřad možnost se vyjádřit, vyzněla velmi pozitivně. Pokud nedojde k zásadním prodlevám při přípravě Schengenského systému druhé generace – SIS II, který počítá s participací 25 států, lze předpokládat zapojení ČR do tohoto systému k říjnu 2007.
Informační bulletin
1/
2006
5
Dnes Vám představujeme: Rozhovor s inspektorem Úřadu, Ing. Janem Zapletalem, zodpovědným za průběh přípravných prací ke vstupu České republiky do schengenského prostoru (SP) v oblasti osobních údajů na základě Schengenské prováděcí úmluvy (SPÚ). V souvislosti s kompetencemi, které budou Úřadu v rámci zapojení ČR do schengenského prostoru svěřeny, probíhaly v Úřadě přípravné práce, které jste koordinoval. Jak Vy nahlížíte na průběh tohoto procesu?
Úřadu přinese vstup ČR do schengenského prostoru nové kompetence, na které je třeba se náležitě připravit. V případě Úřadu zejména po organizační, legislativní i personální stránce. V Úřadě byla v loňském roce vytvořena malá expertní skupina (1 inspektor a 2 právníci), která se přípravami zabývala. Jejím hlavním cílem bylo zabezpečit podmínky v oblasti ochrany osobních údajů, samozřejmě také proto, aby ČR byla pozitivně hodnocena na evropské úrovni. V závěrečné fázi spolupracovalo i vedení Úřadu. Současně byla v rámci speciálních pracovních skupin navázána spolupráce s ostatními zainteresovanými resorty (především s Ministerstvem vnitra, Prezídiem Policie ČR, Ministerstvem zahraničních věcí a Generálním ředitelstvím cel), protože hodnocení se netýká jen našeho Úřadu, ale i příslušných policejních složek a dalších státních orgánů. Jako člen mezinárodní mise jste se zúčastnil hodnocení skandinávských zemí a také jednání o přípravných pracích na Slovensku. Může naše republika ve stávající fázi přebírat zkušenosti a čerpat podněty od „unijních sousedů“? Připravují se tyto země stejným způsobem, nebo jste shledal nějaká zajímavá národní specifika či zásadní odlišnosti?
ČR se může v mnohém inspirovat. Úřad tak činí jednak jako pozorovatel při společném dozorovém orgánu pro Schengen, jednak účastí na zmíněných hodnotících misích. Je třeba také konstatovat, že jsou stále velké rozdíly v tom, jak přistupují k ochraně osobních údajů státní orgány v zakládajících zemích schengenského prostoru a v zemích nově přistupujících. Vyplývá to mimo jiné i z tradic a z historických zkušeností, které mají mnohé země v ochraně osobních údajů svých občanů. V zemích, které stojí v počátcích formování schengenského prostoru, má ochrana soukromí legislativní kořeny už v 70. letech. Dnes má většina z těchto zemí principy ochrany osobních údajů a dozorové orgány zakotveny ve svých ústavách. Proto jsou také v povědomí jejich občanů principy ochrany osobních údajů a jejich práva „zakódovány“ lépe než u nás. Proto je také v těchto zemích již samozřejmostí, že se některé věci nedělají, protože jsou pro společnost i z hlediska obecné slušnosti nepřijatelné. U nás se musíme k takovým postojům v našem vlastním zájmu co nejrychleji dopracovat. V současné době také probíhá twinningový projekt Úřadu s rakouským úřadem, jehož součástí je i téma Schengenského informačního systému (SIS), jehož provozování je podstatnou povinností členských států schengenského prostoru. Všechny členské země schengenského prostoru jsou například pravidelně hodnoceny z hlediska úrovně ochrany dat zpracovávaných v Schengenském informačním systému a také musejí splnit podmínky, které vyplývají z Schengenské prováděcí úmluvy. Určitá specifika v přístupu ke zpracování osobních údajů v tomto informačním systému sice existují, ale neměnným požadavkem je kontrola dodržování ochrany osobních údajů zpracovávaných nezávislým národním dozorovým orgánem. Česká republika však bude přistupovat do schengenského prostoru v době, kdy by měl být již v provozu tzv. Schengenský informační systém II, tedy databáze mnohem rozsáhlejší, obsahující údaje z 25 členských zemí EU včetně biometrických údajů. V současné době probíhá diskuse o změně databáze SIS I., která má charakter vyhledávací, na databázi SIS II., která bude de facto využitelná také jako „vyšetřovací“. Pokud bychom chtěli porovnávat způsob hodnocení „starých“ zemí schengenského prostoru, pak lze konstatovat, že hodnocení „nováčků“ je přísnější než hodnocení stávajících členů. Z pohledu ochrany osobních údajů a soukromí našich občanů se jedná o závažný krok. Je naše legislativa připravena?
Úroveň připravenosti legislativy, ale i Úřadu a ostatních resortů, je předmětem hodnocení tzv. evaluačních, hodnotících, misí. Mise v oblasti ochrany dat proběhla počátkem března tohoto roku a mě6
Informační bulletin
1/
2006
li jsme i hodnotící zprávu k připomínkám. Ta je v podstatě velmi pozitivní. Obsahuje určitá doporučení pro legislativní úpravu, kterou již Česká republika připravuje. Chystá Úřad v oblasti kontroly zabezpečení ochrany osobních údajů v rámci vstupu do Schengenského informačního systému nějaká nová opatření?
Úřad bude své kompetence vůči této databázi vykonávat obdobně jako vůči jakémukoli jinému informačnímu systému. Žádná nová či zvláštní opatření tedy není třeba přijímat. Jde však o specifickou oblast, a proto bude pravděpodobně nutné ustanovit tým specialistů. Velkou pozornost je ale potřeba věnovat informační kampani, aby občané věděli, co je Schengenský informační systém, jak funguje nebo jaká práva pro ně vyplývají z Schengenské prováděcí úmluvy. S přístupem do schengenského prostoru získávají naši občané možnost volného pohybu v zemích Evropské unie. Co by občané v této souvislosti tedy měli vědět a na co by se měli připravit?
Pro občany tato změna přinese především zjednodušení cestování v rámci schengenského prostoru, a tedy i plnohodnotné členství v EU. Je zřejmé, že tato svoboda pohybu musí být z důvodu bezpečnosti určitým způsobem kompenzována – jednak posílením vnějších hranic (to by však „řádní“ občané České republiky jako občané členské země schengenského prostoru, neměli negativně pocítit); druhou stranou této mince je užší spolupráce zejména policejních orgánů při stíhání trestných činů a s tím související partnerství bezpečnostních složek v rámci Schengenského informačního systému. S jakými dotazy a problémy se mohou občané na Úřad obrátit a co od něj v této oblasti mohou očekávat?
Úřad bude občanům poskytovat základní informace o fungování Schengenského informačního systému a o jejich právech. Je také třeba, aby občané (a to nejen ČR) věděli, že například při zneužití jejich dokladů (např. v důsledku ztráty či jejich odcizení atd.) se mohou obrátit na Úřad pro ochranu osobních údajů a obdobné instituce ve státech schengenského prostoru, a ty budou kompetentní zjednat nápravu nezákonného zpracování jejich osobních údajů v Schengenském informačním systému. Děkujeme za rozhovor.
4. CO NOVÉHO V ZAHRANIČÍ 1. Velká Británie – snaha o důraznější dodržování zásad ochrany osobních údajů Velká Británie zavedla nový a důraznější nástroj k dodržování zásad ochrany osobních údajů nazvaný Regulatory Action Strategy, který má napomoci důslednějšímu dodržování zákona o ochraně osobních údajů (Data Protection Act z roku 1998). Zástupce „Information Commissioner’s Office“ (obdoba českého Úřadu pro ochranu osobních údajů) zdůvodnil nutnost aplikace této strategie tím, že stále existují organizace, které nejsou schopny, či ochotny při své činnosti dodržovat povinnosti vyplývající ze znění výše uvedeného zákona. Terčem působnosti se stanou ty organizace, které vědomě, či opakovaně poškozují občany zlehčováním a nedodržováním ochrany osobních údajů. Strategie předpokládá uplatňování pravomocí občanskoprávního vymáhání, trestního stíhání a provádění auditu. Představitel „zákona“ zdůraznil, že na prvním místě při zjednávání nápravy bude vždy jednání a vysvětlování. Dodal však, že organizace si musejí být vědomy skutečnosti, že v případě neochoty a nevstřícnosti z jejich strany budou vůči nim učiněny nezbytné právní kroky.
2. Jižní Korea – volba největšího provinilce prolamujícího soukromí V Jižní Koreji byla zvolena společnost Samsung SDI vítězem soutěže „Největší narušitel soukromí“. Jedná se o korejskou verzi udílení cen „Velkého Bratra“. Toto umístění si firma vysloužila za podezření ze sledování mobilních telefonů svých zaměstnanců za účelem „špehovat“ je. Do soutěže byInformační bulletin
1/
2006
7
lo v kategorii nejhorší společnosti nominováno 10 firem. Jiným horkým kandidátem byl například telefonický a internetový operátor KT, jehož vedení údajně nařídilo svým zaměstnancům slídit a špehovat ty kolegy, kteří odmítli jít dobrovolně do důchodu, nebo internetová společnost SK Communications, která velice špatně zabezpečovala osobní údaje. Soutěž vyhlásili občanští aktivisté, kteří tak chtějí upozornit veřejnost na nadměrné sledování vládními a obchodními institucemi. Bylo rozděleno celkem 27 cen ve třech kategoriích – nejhorší společnost, nejhorší ministerstvo a nejhorší projekt.
3. USA – požadavek na zdokonalení systému zabezpečení osobních údajů klientů Americká společnost Retail Systems Alert Group uskutečnila průzkum v maloobchodních řetězcích zaměřený na úroveň zabezpečení ochrany databází zákaznických údajů. Studie vytvořená na základě výsledků průzkumu posuzuje, jak maloobchodní řetězce získávají údaje o zákaznících a jak je následně využívají, a také kontroluje, jakým způsobem je zajištěna ochrana soukromí zákazníků. Průzkum ukazuje, že většina maloobchodů se při zajištění ochrany a nedotknutelnosti zákaznických údajů spoléhá na kontroly prováděné vnitřním auditem. Více než 50 % z dotazovaných přenáší tuto zodpovědnost na složku, která zajišťuje bezpečnost. Ostatní většinou školí své zaměstnance tak, aby byli schopni řádně soukromí zákazníků ochránit bezpečným zajištěním jejich osobních údajů. Využívání vnějších certifikačních programů k zajištění kontrol je minimální. Zákazníci maloobchodních řetězců na tom v oblasti ochrany svých osobních údajů nejsou moc dobře, neboť mají jen malou kontrolu nad tím, jak je s jejich údaji nakládáno.
4. USA – obavy zaměstnanců z možného zneužívání zdravotnických informací Podle závěrů průzkumu z roku 2005 projevuje stále více občanů USA obavy z možného zneužití svých zdravotních informací. Mnozí se domnívají, že zaměstnavatelé tyto informace mohou zneužít k omezení jejich pracovních příležitostí. Největší obavy mají ti lidé, kteří trpí chronickými onemocněními nebo náleží k rasovým či národnostním menšinám. Výše uvedené zjištění vychází ze závěrů telefonické ankety uskutečněné kalifornskou zdravotnickou institucí CHCF (California HealthCare Foundation) a z projektu Health Privacy Project, jehož zadavatelem je hlavní město Washington, D.C. Ankety se zúčastnilo 2 100 osob starších 18 let. Ve srovnání s rokem 1999 vzrostl v roce 2005 počet občanů, kteří se obávají o řádné zabezpečení svých osobních zdravotních údajů, z 36 % na 52 %. Anketa také prokázala, že i přes skutečnost, že od roku 1996 je v platnosti HIPAA* (Health Insurance Portability and Accountability Act), mají lidé převážně velmi nízké povědomí o svých právech ve věci ochrany osobních údajů ve zdravotnictví. *HIPAA – Health Insurance Portability and Accountability Act je zákon o přenosu a uchovávání informací o zdravotním pojištění, který v USA vstoupil v účinnost v roce 1996. HIPPA požaduje bezpečnou elektronickou výměnu lékařských záznamů, které jsou v zákoně nazývány „chráněné zdravotní informace“. Informace o soukromí, uložené v kartotékách a počítačových databázích, jsou majetkem jednotlivců, jichž se týkají, a poskytovatelé zdravotní péče musejí tyto informace chránit před nepovolanými osobami.
5. Velká Británie – platby za přístup k informacím? Vláda Velké Británie uvažuje o změně ve využívání zákona o svobodném přístupu k informacím (Freedom of Information Act). Za požadavek získat informace například od vládních, školských či zdravotnických institucí by občané měli platit. Pro veřejnost, která si teprve začíná zvykat na tento zákon a učí se s ním pracovat a využívat ho, by bylo takové rozhodnutí nepříznivé a znamenalo by krok zpět. Předseda Sněmovny lordů uvedl, že jistá regulace a jiný postup při získávání informací jsou nezbytné vzhledem k nárůstu zmatečných a planých dotazů, které často odvádějí organizace od soustředěné práce na hodnotných užitečných úkolech.
8
Informační bulletin
1/
2006
5. OSOBNÍ ÚDAJE V ŠIRŠÍCH SOUVISLOSTECH Pohlednice z Bosny a Hercegoviny Pozdrav od JUDr. Jiřího Maštalky, našeho „misijního“ pracovníka v BaH Bosna a Hercegovina (BaH) může být evidentně nazvána jakousi Mekkou pluralismu. A to proto, že vedle Srbů a Chorvatů představují jeden z konstitutivních národů BaH i muslimští Bosňáci. Ti v současné době nepochybně dominují v jeho hlavním městě Sarajevu, kde bylo dne 1. 2. 2006 založeno detašované pracoviště ÚOOÚ. Při cestě z práce kromě několika mešit projdu okolo pravoslavné „crkve“, dále pak synagogy a nyní již zrušeného evangelického chrámu přeměněného na fakultu výtvarných umění, abych nakonec zaslechl zvony katolického kostela sv. Ante (Antonína) zvoucí na večerní pobožnost. O tom, že z oken svého bytu pohodlně přes ulici dohlédnu až na dvůr „svatostánku češství“, tedy místního rozlehlého pivovaru (mimochodem založeného našimi krajany ještě v době vlády Turků), se raději taktně zmíním jen letmo. Ačkoli nepochybně patřím k vyznavačům plurality, občas se mi zde až „zajídá“. Nemohu si pomoci, ale z hlediska čtyřmilionového státu mi více než deset parlamentních stran a stejně tolik policejních sborů přijde až trochu příliš. Pluralita na tento způsob totiž vede k těžkostem a někdy snad až k nemožnosti dohodnout se na podstatných věcech, třeba na definitivním přijetí zákona o ochraně osobních údajů, který by tuto zemi přiblížil EU a tedy i nám. A to je škoda i pro nás. Českou přítomnost je tady totiž cítit na každém kroku. O pivovaru jsem se již zmínil, ale tím výčet zdaleka nekončí. Na ulicích můžete zahlédnout v požehnaném množství škodovky, naše tramvaje, mnohé z budov navrhli čeští architekti… Je tedy na co navazovat a co prohlubovat. Věřme proto, že v dalších měsících přibude i ochrana osobních údajů. A o dalších krocích, nebo věřme raději, že pokrocích v této věci i dalších důležitých záležitostech vás budeme moci průběžně informovat.
Návštěva knihovny Úřadu Se vznikem Úřadu pro ochranu osobních údajů v roce 2000 byla založena i jeho knihovna. Záměrem bylo vybudovat specializovanou oborovou knihovnu zaměřenou na oblast ochrany osobních údajů a právní aspekty ochrany lidských práv s ochranou osobních údajů související. Zpočátku, v prvním roce budování knižního fondu, byly nakupovány odborné publikace pro potřeby pracovníků jednotlivých složek Úřadu. Tehdy to byly především zákony, komentáře k zákonům, odborné tituly pro ekonomické a personální oddělení a publikace z oboru informatiky a slovníky. Začátkem roku 2003 se Úřad přestěhoval do nových prostor, které umožnily zařídit i samostatný prostor pro knihovnu. Od té doby je knihovna budována jako prezenční, ovšem poskytuje především studijní a odborné zázemí pracovníkům Úřadu. Těm slouží také prostřednictvím místní sítě Intranet, kde mohou najít informace o nových publikacích, o obsahu odborných časopisů s anotacemi zahraničních článků v češtině. Součástí knihovny je také archiv video a audio záznamů. Z materiálů, které jsou uloženy v knihovně, lze pořizovat na místě fotokopie. Fond knihovny je zveřejněn na webových stránkách Úřadu http://www.uoou.cz/index.php?l=cz&m=left&mid=10:05&u1=&u2=&t= Knihovna slouží i odborné veřejnosti – ať již studentům, či odborníkům zabývajícím se danou problematikou. Spolupráce se studenty, kteří navštěvují knihovnu za účelem získání informací pro své práce, přináší výsledky: Studenti se již naučili knihovnu využívat a někteří ochotně poskytli výtisk svých závěrečných studijních prací knihovnímu fondu Úřadu; v knihovně je v současné době možné nalézt již čtyři diplomové a jednu bakalářskou práci na téma ochrany osobních údajů.
Informační bulletin
1/
2006
9
V současné době tvoří fond knihovny 1500 knih, které se zpracovávají v knihovnickém programu Clavius, používaném většinou menšími knihovnami. Kromě odborných knih je součástí fondu také sbírka periodik. Tu tvoří 33 titulů časopisů včetně odborných zahraničních časopisů s tématikou ochrany osobních údajů a samozřejmě denní tisk. Odborné publikace získává knihovna koupí nebo darem. Knihy jsou převážně v českém jazyce, ale ve fondu jsou zastoupeny i cizojazyčné tituly. Co se týče zahraničních publikací, může se knihovna pochlubit odbornými knihami především z Německa, Rakouska, Francie, USA a Nizozemí. Mnohé ze zahraničních titulů o ochraně osobních údajů patří v řadě případů v České republice k unikátním. Přínosné materiály získává Úřad také z oddělení publikací Rady Evropy, OECD a Evropské komise. Důležitou součástí fondu jsou ročenky z americké organizace zabývající se ochranou soukromí EPIC (Electronic Privacy Information Center). Díky spolupráci s obdobnými institucemi v Evropě a ve světě se knihovna Úřadu může pochlubit řadou materiálů, ročenek a výročních zpráv těchto institucí. A co tedy v knihovně Úřadu pro ochranu osobních údajů najdete? Předně jsou to základní právní normy a prameny, publikace věnované ochraně osobních údajů v různých oblastech lidské činnosti. Jsou zde samozřejmě i publikace, jejichž autory jsou pracovníci Úřadu. Dále jsou to například tituly o ochraně osobnosti či o svobodném přístupu k informacím a svobodě projevu a literatura z oblasti ochrany lidských práv. Dalšími tématy, jež v poslední době s ochranou osobních údajů zejména souvisejí, jsou biometrie, zdravotnictví a boj proti terorismu. Z těchto oblastí lze v knihovně nalézt české, ale převážně zahraniční tituly. V úzkém rozsahu je zde zastoupena i historická literatura, mapující vývoj evropské civilizace a práva, a publikace přinášející poznatky o nových informačních technologiích s ohledem na ochranu dat a ochranu lidských práv. Knihovna Úřadu, jak již bylo řečeno, slouží především jeho zaměstnancům, ale svůj fond a služby nabízí také odborné veřejnosti, která hledá pramennou literaturu k tématu ochrany osobních údajů. Návštěvu v knihovně je nezbytné si domluvit telefonicky nebo písemně předem. Dotazy ohledně knih a provozu knihovny je možné rovněž zasílat na adresu
[email protected]. Těšíme se na shledanou.
6. Fejeton Nebuď zvědavý... Znáte to načaté moudro? Z toho, co je známo, by se dalo dovodit, že nejstaršími jsou v této zemi bankovní domy. Především proto, že podle dostupných indicií jsou zvědavé přespříliš a hřeší na to, že se občané nebrání dotěrným dotazům poukazem na povinnost, kterou ukládá zákon o ochraně osobních údajů – totiž, že shromažďovat osobní údaje lze pouze v rozsahu odpovídajícím danému účelu. Pokud už občané o sobě kdeco vypoví dobrovolně – ze strachu, že jim nebude poskytnuta finanční služba, na které je nepochybně každý někdy závislý – zákon by měly znát alespoň slovutné instituce a neměly by chtít po občanech, co pro poskytnutí služby vědět nemusí a nepotřebují. Přesto můžeme dát k dobru jeden příběh, který je skutečný – žádné bylo nebylo, skutečně bylo, jen zatím neřekneme kde… Protože jsme lidé smrtelní, stane se, že v rámci dědického řízení se staneme tím, kdo má po zemřelé osobě převzít běžný účet vedený… Rozhodne se o tom u notáře, dostaneme rozhodnutí soudu a jdeme do příslušné finanční instituce, které například náš zemřelý partner svěřoval své finanční prostředky na běžný účet, k němuž i my jsme měli podpisové právo. V oné jisté instituci vám sdělí, že si musíte nechat vyznačit na dokumentu právní moc. Stane se a přijdeme znovu. Dáma za okénkem si přečte celé rozhodnutí soudu o dědickém řízení, ač se jí snažíme ukázat pouze odstavec týkající se rozhodnutí ve věci dědictví účtu; potom vám sdělí „tak si uděláme kopii“. Co byste jí na to opáčili?
10
Informační bulletin
1/
2006
Pokud znáte zákon, řeknete, že to v žádném případě, protože ve věci, v níž přicházíte, je důležitý pouze ten jeden odstavec, který jste se snažili už původně ukázat. A tu ona dáma začne tvrdit, že bez kopie vám nezpřístupní ani nepřevede nic. A tak se snažíte dozvědět, na základě jakého právního zmocnění po vás požaduje onu kopii. Po trapných vytáčkách a nechutné tahanici se dozvíte, že na základě interního předpisu. Marně ho samozřejmě chcete vidět. Je přece interní. Ptáte se, zda podobné ustanovení, kterým vy byste byli informováni o tomto předpisu, je obsaženo v obchodních podmínkách. S trochou váhání, ale rozhodně ne s výrazem někoho, kdo vám poskytuje službu (ba právě naopak, jste už v tu chvíli obtížným hmyzem vy!) vám dáma sdělí, že nikoli, nic takového v obchodních podmínkách není. Domáháte se vedoucího pracovníka, ale při vší smůle půl hodiny před uzavřením instituce není na pracovišti. A ona dáma se začne podivovat nad vaší neodbytností, a současně Vám dává netrpělivě najevo, že se nemůže dnes zdržet, přivolává jiné pracovníky, mladší (jen ať si tu nepříjemnost vychutnají!) a ti už vám začnou vysvětlovat: Tak se to dělá vždycky, vždyť dál už se s tím dokumentem nic neděje, jen se založí, co v tom máte, že nechcete, aby to někdo viděl a vždyť tam žádné osobní údaje ani nejsou! Znáte-li zákon, máte toho dost a dáte najevo, že zřejmě v tom ústavu není nikdo, kdo by zákon znal. A dozvíte se, že máte jedinou možnost – požádat soud, aby poslal sdělení té instituci, že jste skutečně právě vy dědicem onoho běžného účtu. Ale že stejně soud pošle celé rozhodnutí a oni si je založí. Tedy s nepořízenou odejdete. Na příslušný soud ovšem zavoláte a dozvíte se, že okamžikem nabytí právní moci automaticky poslali instituci, z níž vás vypoklonkovali, sdělení o tom, že právě vy, plně identifikovaný subjekt osobních údajů, jste dědicem inkriminovaného účtu. Řeknou vám, kdy bylo doručeno, i jméno pracovníka, který na centrále té instituce sdělení přijal. Jak vidno a zřejmé v tu chvíli nad slunce jasněji, on-line propojení v takové instituci je jen pro kočku… Když se další den vrátíte, začnou se dít věci v této zemi málokdy zakoušené: Stanete se klientem, je vám prokazována normální slušnost, už nejste obtížný hmyz. Dokonce se stanete pozoruhodným klientem, protože za přepážkou začnou přecházet rádoby roztržitě úředníci, kteří po vás jakoby ledabyle přelétnou pohledem… Možná jste se pro ně stali celebritou toho dne… Ba co víc: Když namítnete, že jste nějaký čas platili za vedení účtu, který byl zadržován proti vaší vůli, přeochotně vám napíší potvrzení o vrácení částky za ten „neoprávněný“ čas. Snažíte se vnímat vše pobaveně, ale je to smích skrz slzy. Dědické řízení se vždycky odehrává ve sledu neveselých událostí ve vašem životě. Ale to je příliš subjektivní, a tudíž nezajímavé… Kdyby šlo vše odbýt jen úsměvnou průpovídkou, „kdo je zvědavý, bude brzy starý“, vzal to koneckonců nešť… Víte ale, že doba je jiná a že informace znamenají moc. A že umění klamu je také cestou k moci… A zapřemýšlíte o tom, zda se Orwellův román „1984“ už náhodou nemění v jakousi pohádku o Modrovousovi a zda se skutečnost nevydala jiným, ale podobně zrůdným směrem… Tak už to ale s utopickými vizemi bývá… Na podstatě – snaze ovládat prostřednictvím využívání informací – se ale nic nemění. Ovšem ani na tom, že zrůdnostem je třeba se bránit.
štěp
Informační bulletin
1/
2006
11
V Y D ÁVÁ Ú Ř A D P R O O C H R A N U O S O B N Í C H Ú D A J Ů E D I T O R : P H D R . H A N A Š T Ě PÁ N K O VÁ REDAKTOR: MILENA NEJEDLÁ G R A F I C K Á Ú P R AVA : M I L O S L AV Ž Á Č E K ADRESA REDAKCE: ÚOOÚ, PPLK. SOCHORA 27, PRAHA 7, 170 00 T E L E F O N : 2 3 4 6 6 5 2 8 6 , FA X : 2 3 4 6 6 5 5 0 5 E–MAIL:
[email protected] I N T E R N E T O VÁ A D R E S A : W W W. U O O U . C Z
PERIODIKUM JE ZAPSÁNO V EVIDENCI PERIODICKÉHO TISKU POD ČÍSLEM MK ČR E 10548 © ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ
DÁNO DO TISKU 20. 6. 2006
12
Informační bulletin
1/
2006
