Vysoká škola ekonomická v Praze Fakulta managementu v Jindřichově Hradci
Diplomová práce
Markéta Bošková 2010
Vysoká škola ekonomická v Praze
Fakulta managementu
Katedra managementu podnikatelské sféry
2008/2009
ZADÁNÍ DIPLOMOVÉ PRÁCE Autorka práce:
Bc. Markéta Bošková
Studijní program:
Ekonomika a management
Obor:
Management
Název tématu:
Zákon o ochraně osobních údajů a právní vztahy
Rozsah práce:
60
1. Cílem práce je vymezení základních dopadů zákona o ochraně osobních údajů na společenské vztahy a vymezení základních pravidel ochrany osobních údajů a dopadů na potřebu úpravy návrhů de lege ferenda s důrazem na činnost manažera v pracovně právních vztazích. Seznam odborné literatury: 1. KUČEROVÁ, A. Zákon o ochraně osobních údajů : komentář. Praha: C.H. Beck, 2003. ISBN 80-7179-762-6. Datum zadání diplomové práce:
listopad 2008
Termín odevzdání diplomové práce:
březen 2009
Bc. Markéta Bošková
doc. JUDr. Dr. Jan Hejda
Řešitelka
Vedoucí práce
prof. Ing. František Kovář, CSc.
prof. Radim Jiroušek, DrSc.
Vedoucí ústavu
Děkan FMJH VŠE
2
Vysoká škola ekonomická v Praze Fakulta managementu v Jindřichově Hradci Katedra společenských věd
Zákon o ochraně osobních údajů a právní vztahy
Vypracovala: Markéta Bošková
Vedoucí diplomové práce Doc. Judr. Dr. Jan Hejda Jindřichův Hradec, červen 2010
3
Prohlášení
Prohlašuji, že diplomovou práci na téma
„Zákon o ochraně osobních údajů a právní vztahy“ jsem vypracovala samostatně.
Použitou literaturu a podkladové materiály uvádím v přiloženém seznamu literatury.
Jindřichův Hradec, červen 2010
podpis studenta
4
Anotace
Zákon o ochraně osobních údajů a právní vztahy
Cílem práce je vymezení základních dopadů zákona o ochraně osobních údajů na společenské vztahy a vymezení základních pravidel ochrany osobních údajů s důrazem na činnost manažera v pracovněprávním vztahu na potřebu úpravy návrhů de lege ferenda.
5
Poděkování Za cenné rady, náměty a inspiraci bych chtěla poděkovat Doc. JUDr. Dr. Janu Hejdovi,vyučujícímu na Fakultě managementu Vysoké školy ekonomické v Jindřichově Hradci.
6
Obsah Úvod ................................................................................................. 9 1. Jak vznikal zákon o ochraně osobních údajů? ........................................... 15 2. Základní pojmy ............................................................................................ 17 3. Zákon č. 101/2000 Sb. .................................................................................. 23 4. Rodné číslo jako fenomén ............................................................................ 27 5. Daňové identifikační číslo ............................................................................ 29 6. Zdravotnictví ................................................................................................ 31 6.1. Právo pacienta na ochranu osobních údajů .....................…….…….… 32 6.2. Povinná mlčenlivost zdravotnických pracovníků ................................. . 33 6.3. Zdravotnická dokumentace ................................................................... 33 6.4. Možný vývoj (elektronická dokumentace) ............................................ 34 6.5. Porovnání třech zdravotnických organizací .......................................... 35 7. Bankovnictví ................................................................................................ 39 7.1. BRKI a NRKI ...................................................................................... 40 7.2. Centrální registr dlužníků ..................................................................... 43 8. Pojišťovnictví ............................................................................................... 45 9. Spotřebitelské soutěže .................................................................................. 47 10. Internet ........................................................................................................ 50 11. Pracovněprávní vztahy ............................................................................... 11.1 Personalistika ....................................................................................... 11.1.1 Zpracování osobních údajů před uzavřením pracovního poměru ... 11.1.2 Zpracování osobních údajů za trvání pracovního poměru .............. 11.1.3 Poskytování osobních údajů o zaměstnancích ............................... 11.1.4 Předávání osobních údajů do zahraničí + B. C. Rules .................... 7
52 52 53 55 57 58
11.1.5 Uchovávání osobních údajů zaměstnance po skončení pracovního poměru ....................................................................... 11.2 Zveřejňování údajů o mzdě nebo platu ................................................ 11.3 Monitoring .......................................................................................... 11.3.1 Kamery na pracovišti .................................................................... 11.3.2 Monitorování e-mailové pošty zaměstnanců .................................
60 61 63 64 65
Praktická část .................................................................................................... 68 1. Představení organizace ................................................................................ 68 2. Identifikace společnosti ................................................................................ 2.1 Telefónica Európe .............................................................................. 2.2 O skupině Telefónica .......................................................................... 2.3 Spojení sil – O2 a Telefónica ..............................................................
69 69 71 71
3. Firemní kultura ............................................................................................ 72 4. Hodnoty společnosti ..................................................................................... 72 5. Správní orgány společnosti O2 .................................................................... 74 Praktická aplikace ............................................................................................. 77 6. Přijímání nových zaměstnanců ................................................................... 77 7. Pracovní poměr v O2 a osobní údaje ...........................................................82 7.1 Pracovní smlouva s O2 ....................................................................... 87 7.2 Benefity .............................................................................................. 89 8. Firemní kultura ............................................................................................ 90 9. Data zaměstnance v O2................................................................................. 91 10. Docházka ...................................................................................................... 93 11. Monitoring ................................................................................................... 96 11.1 Monitoring e-mailové pošty zaměstnanců call-centra ........................ 97
Závěr .............................................................................................. 100 Literatura ....................................................................................... 104 8
Úvod V době nazývané často informačním věkem je naplnění ústavního práva na informace, které mají k dispozici státní orgány, orgány územní samosprávy a další veřejné subjekty, klíčovým prvkem vztahu mezi veřejnou mocí a občanem a vůbec charakteru veřejné moci navenek. V teorii v zásadě není pochyb o tom, že přihlášením se České republiky k principům demokratického právního státu, resp. přijetím Listiny základních práv a svobod došlo také u nás k přechodu od koncepce diskrétnosti (veřejné, státní) správy k principu publicity správy. Tím se změnilo základní právněfilozofické východisko při řešení otázky přístupu veřejnosti k informacím o činnosti veřejné správy v tom smyslu, že nyní mají v zásadě všichni právní nárok na přístup ke všem informacím kromě těch, které jsou zvláštním zákonem taxativně a pouze z nezbytných důvodů vyloučeny. Hlavním
pramenem
ústavního
práva
na
informace
je
bezpochyby
1
článek 17 Listiny základních práv a svobod. Ústavní omezení práva na informace je vyjádřeno v odst. 4 již zmíněného článku a to tak, že právo vyhledávat a šířit informace lze omezit zákonem. Jakékoli omezení práva na informace musí tedy splňovat formální a materiální podmínky, přičemž formální podmínkou je konkrétní ustanovení zákona, materiální podmínkou je nezbytnost příslušného omezení v demokratické společnosti pro některý z taxativně, leč co do obsahu značně všeobecně vyjmenovaných účelů. Obě podmínky musejí být splněny současně. Tento princip konvenuje mezinárodním
_____________________ 1
Článek 17 (1) Svoboda projevu a právo na informace jsou zaručeny. (2) Každý má právo vyjadřovat své názory slovem, písmem, tiskem, obrazem nebo jiným způsobem, jakož i svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice státu.
9
požadavkům vyplývajícím z Mezinárodního paktu o občanských a politických právech2 i z Úmluvy o ochraně lidských práv a základních svobod3. Formální podmínka zjevně nemůže být splněna tehdy, pokud přístup k informacím omezuje či jinak reguluje jen podzákonný předpis nebo dokonce pouhé nařízení či pokyn z titulu pracovně-právní nadřízenosti nebo pouhé správní uvážení povinného subjektu o vhodnosti poskytnutí informací. Materiální podmínka se posuzuje politickými a etickými měřítky panujícími v demokratické společnosti, ovšem zřejmě nikoli idealisticky, nýbrž ve vztahu k reálným společenským souvislostem. Řešení vzájemného nesouladu obou podmínek pro omezení přístupu k informacím je vždy krajně složité, neboť představuje střet práva (formální podmínka) a věcné reality (materiální podmínka). Zároveň představuje střet běžného práva a práva ústavního, a někdy dokonce konkurenci dvou ústavních zaručených práv. Základem pro omezení svobody informací jsou vedle zvláštních zákonů i některá ustanovení samotné Listiny základních práv a svobod, která sledují opačný zájem než článek 17, tj. ochranu před nežádoucím přijímáním a šířením informací. Těmi jsou:
článek 7 odst. 1 (nedotknutelnost osoby a jejího soukromí),
článek 10 odst. 1, 2 (obecná ochrana osobnosti),
článek 10 odst. 3 (ochrana osobních údajů),
článek 12 odst. 3 ( nedotknutelnost obydlí),
článek 13 (listovní tajemství).
Poskytování, šíření a jiné operace s informacemi, které by se mohly dotknout výše uvedených ústavně chráněných zájmů, jsou za podmínek nezbytnosti jejich ochrany v demokratické společnosti nepřípustné. _____________________ 2
Vyhláška MZV č. 120/1976 Sb. ze dne 10. května 1976 o Mezinárodním paktu o občanských a politických právech a Mezinárodním paktu o hospodářských, sociálních a kulturních právech 3 Sdělení FMZV č. 209/1992 Sb. s vnitrostátní účinností od 18. 3. 1992. Samostatná Římská Úmluva, k níž ČSFR přistoupila až v roce 1991, je však datována výrazně před vznikem Mezinárodního paktu o občanských a politických právech, již rokem 1950.
10
Právo na soukromí fyzické osoby, neboli právo na osobní soukromí chrání nedotknutelnost soukromí fyzické osoby. Je chápáno jako univerzální a nejrozsáhlejší ze všech osobnostních práv. Upravuje jej § 11 Občanského zákoníku a dále Listina základních práv a svobod ve článku 7 a 10 odst. 2 a 3, jakož i další mezinárodní dokumenty, např. z Evropská úmluva o ochraně lidských práv a základních svobod. V občanském zákoníku bylo toto dílčí osobnostní právo jeho novelou z r. 1991 výslovně zařazeno mezi ostatní dílčí osobnostní práva, tvořící ve svém celku osobnost fyzické osoby v její tělesné a morální integritě. Právo na osobní soukromí lze vymezit jako právo fyzické osoby rozhodnout podle vlastního uvážení zda vůbec, popř. v jakém rozsahu a jakým způsobem mají být skutečnosti jejího soukromí zpřístupněny jiným a současně bránit se proti neoprávněným zásahům do této sféry ze strany jiných subjektů. O porušení práva na soukromí jde nejenom tehdy, jestliže někdo neoprávněně získává vědomosti o skutečnostech soukromého života jiné osoby, nýbrž i tehdy, jestliže tyto skutečnosti dále rozšiřuje. Právo na soukromí není ovšem právem absolutním, to znamená, že do něj mohou zasahovat takové instituce, které jsou k tomuto zásahu oprávněni (např. policie či státní úřady). A také ochrana soukromí není u všech osob stejně intenzivní, protože osoby veřejného zájmu (např. politici, populární osobnosti) jsou vystaveni daleko větším zásahům do soukromí. Lze na tomto místo hovořit o jediné výjimce v jakém rozsahu však mohou být skutečnosti soukromého života těchto osob považovány za věci oprávněného veřejného zájmu, přenechávají právní řády zpravidla soudní praxi. Soukromí můžeme definovat jako „okruh skutečností osobního života. V případě přijetí této definice pak tedy respektování soukromí spočívá právě v tom, aby bez řádného důvodu tyto skutečnosti nebyly zjišťovány a dále šířeny".[1] Málokdo si to uvědomuje, ale právo na soukromí patří k základním lidským právům. Je oporou lidské důstojnosti i dalších základních hodnot, jakými jsou svoboda shromažďování a svoboda projevu. Na právo na soukromí by dnes mělo být nahlíženo jako na jedno z nejdůležitějších lidských práv moderního věku. V poslední době se můžeme občas setkat s názorem, že soukromí už vlastně žádné nemáme - že přestalo existovat. 11
V poslední době se stále více setkáváme s hrozbou zneužití informací o našem soukromí. Nové informační technologie, které se postupně objevují a pronikají do společnosti, hrají v tomto případě ambivalentní roli. Jen díky Internetu je dnes možné zjistit údaje, které byly dříve nedostupné. Jen díky mobilním telefonům je možné instalování „špiónovacích" programů, které nás mohou sledovat po celý den. Jen díky elektronickému platebnímu styku se o nás mohou banky i obchodníci dozvědět, co rádi nakupujeme a také kde. Dnešní možnosti shromažďování osobních dat a soukromých údajů jsou nedozírné a ze strany jednotlivce v podstatě bez možnosti účinné kontroly. Začíná se mluvit o globálním monitoringu.
Právo na ochranu osobnosti je široký a různorodý soubor dílčích práv, která poskytují fyzické osobě soukromoprávní ochranu osobnostních práv, to znamená nemajetkových práv souvisejících s její osobní svobodou, tělesnou integritou, soukromím, rodinným životem, ctí, důstojností a postavením ve společnosti. Postupně z práva na soukromí vyplynulo zvláštní právo na ochranu osobních údajů, které bylo nakonec uznáno jako zcela samostatné právo. Právo na ochranu soukromí a právo na ochranu osobních dat se staly trvalou součástí našeho života a jsou považovány za samostatná základní lidská práva. Osobní údaje tedy mají speciální charakter. Jedná se o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci či společenské postavení.
Osobní údaje a jejich ochrana jsou aktuálním tématem pro začátek třetího tisíciletí. Toto téma se bez nadsázky dotýká jak celé naší společnosti, tak každého jednotlivce. Každý z nás žije svůj soukromý i svůj veřejný život a i když to není možná na první pohled zcela patrné, osobní údaje jsou v prostředí, ve kterém se pohybujeme, nezbytnou součástí naší každodenní existence. Toto naše jedinečné vlastnictví je dnes možné jistými způsoby získat, zkompletovat a nadále s ním zacházet jako s každým jiným zbožím. Osobní a soukromé údaje, stejně jako informace, začínají být oficiálně uznávanou hodnotou a mají svou cenu. Cenu, která se může rovnat ceně za ztrátu soukromí. 12
Rozvojem komunikačních a informačních technologií, ale i velmi často selháním lidského faktoru se řada údajů stává dostupnější a dosažitelnější, a tím dochází čím dál častěji k jejich únikům, využití a bohužel i ke zneužití těchto dat. Vláda České republiky vyvíjí snahu naše osobní data ochraňovat, jejich zneužití sankcionovat, společně s tím naše zákony přiblížit legislativě Evropské unie a dále se s ní v tomto směru integrovat. Dnem 1. června 2000 nabyl účinnosti v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Díky němu jsme kompatibilní s Evropskou unií, pokud se jedná o ochranu osobních údajů. Zákon upravuje ochranu osobních údajů fyzických osob, práva a povinnosti při shromažďování a zpracovávání těchto údajů a stanovuje podmínky, za nichž se uskutečňuje jejich předávání do jiných států. Smyslem zákona o ochraně osobních údajů je ochrana občana před neoprávněným zasahováním do jeho soukromého a osobního života neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním těchto dat. Ve své diplomové práci přiblížím tento zákon, jeho dopady a oblast ochrany osobních údajů v běžném životě. Dle mého názoru totiž mnozí z nás, přestože se tato oblast dotýká nás všech a stále více na sebe upozorňuje, o existenci zákona mnoho neví a cenu osobních údajů si pořádně ještě neuvědomili. A to i přesto, že se s tématem osobních údajů a její ochranou setkáváme denně. Mnozí z nás bez váhání vyplňují různé osobní dotazníky, které jim předkládá komerční firma pod příslibem nějakých výhod – kdo ale ze sběru osobních dat těží, bývají právě ony firmy. Měli bychom téma ochrany našich osobních údajů začít brát vážně – pakliže je pokládán dotaz na výši našeho příjmu, příjmu naší rodiny či na to, zda bydlíme ve vlastním či v nájmu, určitě je takový dotaz v případě peněžní instituce, od níž si chceme půjčit peníze, na místě. Když ale podobné údaje žádá provozovatel řetězce čerpacích stanic ve chvíli, kdy se chceme zapojit do jím vyhlášené soutěže, tak to už je situace naprosto jiná, a mělo by to v nás vzbudit podezření. Buďme práva znalí a nenechme si líbit například to, aby v autopůjčovně, v jiných půjčovnách anebo třeba v hotelech kopírovali náš občanský průkaz či pas, případně nás rovnou vyzvali, 13
abychom na místě doklady nechali, že nám teprve na základě toho poskytnou službu. Toto je nepřípustné, takové instituce si mohou pouze opsat příslušné údaje, ale nikdy je kopírovat nebo zadržet naše osobní dokumenty – na to má právo pouze policie. Téma ochrany osobních údajů jsem si vybrala hlavně z důvodu dlouhodobé aktuálnosti tohoto problému, který je sice ošetřen zákonem a využívají se kombinace zabezpečovacích technologií a kontrolních mechanismů, přesto, ať vědomě nebo nevědomě, je naše právo v různém rozsahu porušováno. Jak už bylo nastíněno výše, týká se toto téma každého z nás, a proto bychom mu měli věnovat náležitou pozornost. Téma považuji za problematické zejména z toho důvodu, že na jedné straně zákon poukazuje na nutnost ochrany osobních údajů před jejím případným zneužitím, na straně druhé však v mnoha situacích našeho každodenního života jsme každý z nás vystaven či v důsledku dalších právních předpisů donucen své osobní údaje sdělit, a to ať už jsme v roli pacienta ve zdravotnickém zařízení, či potenciální klient banky, nebo účastník pracovně právního vztahu. V teoretické části této práce představím zákon jako takový, pro pochopení zákona si objasníme některé základní pojmy, s nimiž se v něm pracuje. Dále zmíním existenci Úřadu na ochranu osobních údajů, který byl v souvislosti s ochranou osobních údajů založen a jehož působení je důležitým stavebním kamenem ochrany osobních údajů. Protože se nás téma ochrany osobních údajů dotýká každodenně ve všech oblastech společenského života, nahlédneme, kterak sehrávají osobní údaje a jejich poskytování svou roli v oblasti zdravotnictví, bank, pojišťovnictví, spotřebitelských soutěžích a v neposlední řadě fenoménu dnešní doby – internetu. V závěru teoretické části se zaměřím na pravidla nakládání s osobními údaji v pracovně právním vztahu, poukáži na činnost personální práce, vysvětlím, co znamená ochrana soukromí zaměstnanců a otázky s tím spojené, tedy společně nahlédneme do Zákoníku práce, který by nám měl dát návod, kterak se v pracovně právním vztahu chovat, co můžeme či musíme od zaměstnance za informace požadovat, pakliže jsme v roli zaměstnavatele, a co naopak můžeme či musíme našemu chlebodárci poskytnout za informace, jsme-li v pracovním vztahu jako zaměstnanec. 14
V praktické části nastíním dopady tohoto zákona v pracovně právním vztahu. Pro účel poukázat na činnost manažera v souvislosti se získáváním a následným zpracováváním a uchováváním osobních dat svých zaměstnanců či zákazníků jsem tuto část aplikovala na společnost zabývající se ziskem, konkrétně na akciovou společnost. Výsledkem této práce bude vyhodnotit případné nesrovnalosti mezi tím, co ukládá legislativa a tím, jak je tento právní předpis dodržován či do jaké míry v pracovně právních i ostatních právních vztazích nedodržován a zejména, jak by tyto konkrétní poznatky z praxe mohly přispět ke změnám v právní úpravě de lege ferenda.
1. Jak vznikal zákon o ochraně osobních údajů? Historie právní úpravy osobních údajů není příliš dlouhá, nicméně dle mého názoru, v oblasti soukromí a ochrany osobních údajů prošla Česká republika velice výrazným vývojem. Ještě v první polovině 20. století nikdo nepovažoval za nutné přijmout speciální veřejnoprávní úpravu ochrany osobních dat, a prvním významným impulzem signalizujícím naléhavou potřebu ochrany našich dat byly zkušenosti demokratické společnosti s praktikami totalitních režimů za 2. světové války. Díky jejich nedostatečné ochraně byla tato data nejprve zneužívána vůči vlastním občanům, později v okupovaných státech. Období od roku 1948 do tzv. sametové revoluce lze popsat také poměrně stručně. Protože jsme byli po celou tuto dobu pod nadvládou totalitního režimu, a ten žádnou ochranu soukromí nepřipouštěl, podněty na změnu situace přicházely ze západních
demokratických
zemí.
Již
v
roce
1982
upozornil
P.
Bellet
na XI. mezinárodním kongresu srovnávacího práva na skutečnost, že jsou lidé nuceni vyplňovat množství nejrůznějších formulářů, dotazníků apod., pokud nechtějí ztratit výhodu, ale i proto, že jim to ukládají právní předpisy. Impulzem pro jeho jednání bylo 15
především masové rozšíření technologií, které dávají možnost rychle shromažďovat velké množství dat, víceméně uchovávat je neomezeně, vybírat ze souborů jednotlivá data a vytvářet nové a nové soubory, a to vše bez efektivní kontroly. O tom, že lidé mají právo na ochranu soukromí, se tedy u nás začalo psát až na počátku 80. let a o ochraně osobních údajů se objevily sporadické zmínky až teprve v 90. letech a důležitou roli zde sehrála Rada Evropy [2], díky níž byla v roce 1981 přijata Úmluva č. 108 na ochranu osob, se zřetelem na automatizované zpracování osobních údajů. Z této úmluvy pak vycházel první zákon, jímž byla v tehdejší České a Slovenské federativní republice zakotvena úprava osobních údajů, zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Tento zákon však v praxi v podstatě nebyl nikdy zrealizován, protože jej zákonodárci nevybavili potřebnými správně-právními sankcemi za jeho porušování, a odmítány byly i snahy o zřízení zvláštního nezávislého orgánu, který by nad dodržováním povinností při nakládání s osobními údaji dohlížel. Situace se však podstatně změnila v době, kdy Česká republika začala vyvíjet snahy o vstup do Evropské unie. V roce 1995 přijala Evropská unie Směrnici Evropského parlamentu a rady č. 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volným pohybem těchto údajů. Naše nedostatečná právní úprava ochrany osobních údajů byla předmětem kritiky ze strany Evropské unie, a ta nám uložila povinnost promítnout tuto směrnici do tří let do svých právních řádů. Výše uvedené vedlo k tomu, že byl v roce 2000 přijat zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Tento zákon byl do současnosti dvaadvacetkrát novelizován v souvislosti se změnou zákonů, které jej mění.4
_____________________ 4
http://www.uoou.cz
16
2. Základní pojmy Než nahlédneme přímo do zákona, v němž jsou základní pojmy jasně definované, pamatujme si, že je osobním údajem, zjednodušeně řečeno, každý údaj, na jehož základě by mohl někdo jiný přímo nebo nepřímo určit naši osobu, aniž by na to musel vynaložit nepřiměřené množství času, úsilí a materiálních prostředků. K určení toho, o jakou konkrétní osobu se jedná, je obvykle zapotřebí vědět více údajů, ale někdy nám může postačit i údaj jeden. Vždy si musíme uvědomit, pro potřeby jak velké komunity údaje poskytujeme. Příklad: Probíhá výzkum s cílem zjistit názory obyvatel malého města na danou věc a součástí anonymního dotazníku je i dotaz na povolání. V případě, že do příslušné kolonky vyplníme slovo starosta, v tu chvíli se stává dotazník neanonymní, jelikož už tento jeden údaj přesně určuje toho, kdo dotazník vyplnil. Pokud bychom vyplnili do příslušné kolonky raději termín úředník státní správy, je údaj takzvaně anonymní a těžko nás podle něj lze identifikovat. Pro pochopení zákona je ovšem důležité objasnit si některé základní pojmy, s nimiž se v něm pracuje. Vymezení pojmů je věnován § 4 zákona o ochraně osobních údajů.§ 4 pro účely tohoto zákona tedy stanovuje5:osobním údajem jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků. Úřad považuje za důležité upozornit na to, že nelze zaměňovat pojem „osobní údaj“ a pojem „projev osobní povahy“, jak je upraven v § 11 a dalších Občanského zákoníku. Jde o dva samostatné právní instituty, přičemž však projev osobní povahy může za určité situace obsahovat osobní údaj (např. podobizna, písemnost osobní povahy nebo zvukový projev) a za takové situace dochází k jejich překrývání. _____________________ 5
Obyčejným písmem je vyznačen text zákona č. 101/2000 Sb., v kurzívním textu následuje výklad příslušné pasáže zákona (zdroj www.uoou.cz)
17
„Nepřiměřené množství času nebo prostředků“ je obvyklý neurčitý pojem, který je používán v evropských předpisech. Konkretizace těchto pojmů závisí na okolnostech práce s osobními údaji a posuzuje je buď Úřad nebo případně soud.
citlivým údajem je osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů.
Výčet citlivých údajů je taxativní a jiné údaje povahu citlivých údajů nemají. Bude-li údaj obsahovat jak citlivé, tak i ostatní osobní údaje, je třeba při jeho zpracování postupovat podle ustanovení o citlivých osobních údajích. Rozsah osobních údajů, které v § 4 písm. b) zákon označuje za citlivé, se novelou (zákon č. 177/2001 Sb.) změnil v tom slova smyslu, že z původního znění byly vypuštěny údaje o „členství v politických stranách či hnutích“ a také údaj o „členství v zaměstnaneckých organizacích.
anonymním údajem je takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů.
Do definičního ustanovení byl zařazen z toho důvodu, že anonymizované (tedy později učiněné anonymními) osobní údaje je možno zpracovávat i bez souhlasu subjektu údajů pro účely vědecké nebo statistické. Bude se tedy jednat o velké databázové soubory, z nichž bude nezvratně odstraněno vše, co umožňuje fyzickou osobu určit, a také nebude existovat v takovém anonymizovaném souboru možnost na základě jakéhokoliv jiného údaje anonymizované údaje zpět propojit na informace či údaje umožňující identifikaci subjektu údajů. Příklad: Pokud by zdravotnické zařízení zpracovávalo anonymizované soubory subjektu údajů (pacientů), ale zároveň by mělo přístup k národnímu zdravotnímu 18
registru, z něhož by bylo možno získat identifikaci těchto osob (a jednoznačně ji k nim přiřadit), pak se nejedná o zpracování osobních údajů anonymních, tj. podle definice lze odvozovat, že se nejedná o zpracování osobních údajů o určených nebo určitelných fyzických osobách.
subjektem údajů fyzická osoba, k níž se osobní údaje vztahují.
Subjektem údajů může být výlučně fyzická osoba; není rozhodné, zda se jedná o občana České republiky nebo o cizince, důležitý není její věk, skutečnost, zda má zachovánu plnou způsobilost k právním úkonům apod. Subjektem údajů zásadně nemůže být právnická osoba, u níž pojmově vůbec nelze o osobních údajích hovořit a u níž jsou údaje o právnické osobě upraveny podle příslušných ustanovení obchodního zákoníku, popř. občanského zákoníku. Zákon se vztahuje pouze na údaje o žijících fyzických osobách.
zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění
nebo
kombinování, blokování a likvidace.
Podstatnou částí této definice je skutečnost, že se nemusí vždy jednat o celý soubor činností, ale může jít v některých případech jen o některé z nich, dokonce se může jednat o operaci jedinou. Důležité je, že se musí dít systematicky. Aby se předešlo nedorozuměním, zákonodárce výslovně stanovil, že není důležité, zda jsou operace s osobními údaji prováděny automatizovaně nebo neautomatizovaně.
19
shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování.
Nutným znakem shromažďování osobních údajů je systematičnost. Je třeba dodat, že nemusí jít vždy nezbytně o činnost nepřetržitou nebo nepřerušenou. Podstatným znakem je skutečnost, že získaná osobní data jsou bezprostředně po jejich shromáždění uložena na nosič informací (disketa, pevný disk, papír apod.) a možnost jejich dalšího zpracovávání tak zůstává pro správce nebo zpracovatele otevřena, aniž je nějakým způsobem dále limitována.
uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat.
Není nezbytné, aby osobní údaj byl vždy uchováván pouze v původním tvaru (podobě, formě), ale stále více se rozšiřují nové metody a postupy pro uchovávání informací, které zabezpečují jejich bezproblémové budoucí zpracování.
blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat.
Jedná se o dočasné znepřístupnění dat jiným osobám než těm, o jejichž data se jedná. Důvody pro takovéto jednání správce vycházejí z vlastního záměru správce nebo zpracovatele, nebo mohou být tyto postupy i součástí opatření konaných vůči správci jiným k tomu oprávněným subjektem, tímto subjektem je například Úřad, který má podle § 40 odst. 2 oprávnění uložit jako opatření k nápravě likvidaci osobních údajů. Blokování osobních údajů jako postup pro zabezpečení nebo zajištění osobních údajů nesmí být však nikdy v rozporu se zájmy subjektu údajů, o jehož osobní data se jedná.
20
likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování.
Takový krok nebo operace, jejímž důsledkem je jejich nenávratné zničení. Nebude se většinou jednat o postup, kdy je likvidace osobních údajů současně prováděna spolu s likvidací jejich nosiče. Lze ovšem uvažovat postup označovaný jako vymazání osobních údajů; takový výmaz musí být proveden způsobem neumožňujícím obnovu.
správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak.
Není rozhodné, zda jde o osobu fyzickou či právnickou, orgán státní správy či soukromý
subjekt,
podnikatel
či
osoba
nepodnikající.
Mezi
správce
patří
i zaměstnavatel, který zpracovává osobní údaje svých zaměstnanců nebo jejich rodinných příslušníků. Správcem je subjekt i tehdy, když osobní údaje nezpracovává, jestliže byl zpracováním zmocněn zákonem nebo správcem pověřen zpracovatel. Vztah mezi správcem a zpracovatelem musí mít právní náležitost (musí jej tedy upravovat zákon nebo právně platná smlouva). V této souvislosti je podstatné si uvědomit, že i když dochází k takovému přesunu činnosti, nedochází k úplnému přechodu odpovědnosti správce na zpracovatele. Za škodu způsobenou subjektu údajů v souvislosti se zpracováním osobních údajů totiž odpovídají správce a zpracovatel společně a nerozdílně.
zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona.
21
Na rozdíl od správce zpracovatel provádí zpracování osobních údajů, nikoliv určuje účel a prostředky zpracování těchto dat. Příklad: Takovým příkladem je ustanovení § 38a zákona č. 21/1992 Sb., o bankách, podle kterého se banky a pobočky zahraničních bank mohou vzájemně informovat o bankovním spojení, identifikačních údajích o majitelích účtů a o záležitostech, které vypovídají o bonitě a důvěryhodnosti jejich klientů, a to i prostřednictvím právnické osoby, která není bankou. I v tomto případě zvláštní zákon sice založil oprávnění bank, aby jistou část zpracovávání osobních dat o svých klientech přenesly na jinou osobu, nicméně toto ustanovení očekává, že banky uzavřou smlouvu, jejímž obsahem budou mimo jiné i podmínky pro zpracování osobních údajů ve smyslu příslušných ustanovení zákona o ochraně osobních údajů. Zákon dále stanoví, nejen že zpracovatel provádí zpracování a odpovídá za něj, ale zároveň určuje správci další konkrétní povinnosti, jako např. povinnost registrace podle § 16 povinnost žádat Úřad o vydání povolení pro přenos osobních údajů do jiných států nebo další povinnosti při zpracován osobních údajů.
zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu.
Hromadným sdělovacím prostředkem je např. periodický tisk, Český rozhlas či Internet. Jiným veřejným sdělením může být oznámení veřejnou vyhláškou. Příklad: Velmi aktuálním problémem je zveřejňování osobních údajů v souvislosti se zveřejňováním usnesení rady obce a zastupitelstva obce. Povinnost pořizovat a ukládat na obecním úřadu k nahlédnutí zápisy o průběhu zasedání zastupitelstva obce vyplývá z ustanovení § 101 odst. 3 zákona č. 128/2000 Sb., o obcích. Nelze zpochybnit skutečnost a praxi, že v zápisech o průběhu zasedání zastupitelstva obce a v zápisech o schůzi rady obce a s nimi souvisejících
usneseních budou
v některých případech obsaženy osobní údaje o fyzických osobách, které jsou nezbytné 22
k jejich identifikaci a s nimiž obec bude například uzavírat některé smlouvy podle občanského zákoníku, mezi právem k nahlédnutí do zápisu nelze klást rovnítko. Co se týká veřejných seznamů, nerozlišuje zákon mezi seznamy, které vedou orgány veřejné moci a těmi, jež jsou provozovány pro komerční účely. Má-li veřejný seznam část veřejnou a neveřejnou (např. živnostenský rejstřík), je zveřejněn pouze údaj týkající se veřejně přístupné části. Zákon nerozlišuje mezi tím, zda ke zveřejnění došlo oprávněně či protiprávně. Na druhé straně lze ovšem bez souhlasu subjektu údajů nakládat pouze s oprávněně zveřejněnými údaji.
3. Zákon č. 101/2000 Sb. Zákon, jemuž je tato práce věnována, vláda ČR schválila 22. září 1999 a Poslanecké sněmovně jej předložila 28. září 1999. Dne 17. dubna 2000 následoval podpis prezidenta České republiky a dne 25. dubna 2000 byl zákon vyhlášen ve Sbírce zákonů České republiky pod číslem 101/2000 Sb. Na základě ustanovení v něm obsažených nabyl účinnosti ve dvou vlnách:obecně nabyl účinnosti 1. června 2000,§ 16, § 17 a § 35 byly účinnými až od 1. prosince 2000 (zde se jedná o ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů, kde bylo nutné ponechat určitý čas pro konstituování a zahájení práce Úřadu pro ochranu osobních údajů. Současný zákon nejen, že upravuje nakládání s osobními daty v informačních systémech stejně jako jeho předchůdce zákon č. 256/1992 Sb., ale zabývá se ochranou osobních dat bez ohledu na nějakou specifickou formu jejich zpracování a stanovuje podmínky, za nichž se uskutečňuje předávání osobních údajů do jiných států. Významné je nové pravidlo, že osobní údaje lze zpracovávat pouze se souhlasem fyzických osob, kterých se osobní údaje týkají.
23
„Pokud po nás nejrůznější firmy formou dotazníků, přihlášek, eventuálně objednávek na zboží žádají spousty údajů od jména přes adresu až po rodinné a sociální poměry, pak je to s velkou pravděpodobností proto, aby takto získané osobní údaje mohly dále zpracovávat, čímž se konkrétně rozumí, že je budou shromažďovat, ukládat, zpřístupňovat nejrůznějším subjektům, upravovat a pozměňovat, používat nebo předávat dál, mohou je šířit a zveřejňovat, vzájemně si je vyměňovat a kombinovat a nakonec, když už se z nich nedá nic dalšího vytěžit, tak likvidovat. Ano, to všechno se s údaji o naší osobě může dít, pokud k tomu dáme souhlas. A vtip je v tom, že naprostá většina dotazníků, o kterých je tady řeč, obsahuje krátkou nenápadnou větu, že souhlasíme s tím, aby námi poskytnuté údaje byly zpracovány, a tu s klidem mnozí podepíší, aniž vlastně znají obsah toho, k čemu dali svolení. Ke zpracování našich osobních údajů potřebuje ten, kdo je shromažďuje, zásadně náš souhlas, pokud nejde o výjimky v zákoně přesně stanovené anebo o údaje z nějakých veřejných seznamů, jako je třeba telefonní seznam nebo katastr nemovitostí. A pozor, dle zákona by mělo být patrné, v jakém rozsahu užití svůj souhlas poskytujeme, komu a k jakému účelu a na jaké období. Doporučení zní: Onu větu, že souhlasíme se zpracováním námi poskytnutých údajů nepodepisovat, pokud tam nebude ona zákonná bližší specifikace. Zkrátka něco za něco. Chtějí o nás kdeco vědět a ještě s tím pracovat? Budiž, ale my máme rozhodně právo zase vědět alespoň rámcově, co se s našimi osobními údaji bude dít. A důležité upozornění na závěr. Svůj jednou udělený souhlas můžeme kdykoliv bez vysvětlování a bez nějaké čekací lhůty odvolat.“ [3] Na rozdíl od zákona č. 256/1992 Sb. zavádí sankce za porušení povinností stanovených tímto zákonem nebo stanovených na jeho základě. Správním deliktům se věnují paragrafy 44, 45 a 46 a určitě je na tomto místě upozornit na skutečnost, že co se případných sankcí týká, zákon rozlišuje, zda přestupek učinila fyzická osoba, nebo se nežádoucího chování dopustila fyzická osoba jako správce nebo zpracovatel. V prvém případě lze uložit pokutu do 100 000 Kč, v případě druhém až do výše 5 000 000 Kč.
24
Pro větší výstižnost a srozumitelnost zákona jsou také oproti předešlé právní úpravě vymezeny nové pojmy:
pojem „citlivý údaj“ obsažený v § 4 současného zákona, který i když se
v našem právním řádu objevil v § 16 zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, nebyl tak výslovně označen,
výraz „subjekt údajů“. Je to nový pojem, který je však mnohem
výstižnější než starší pojem „dotčená osoba“ (používaný v zákoně č. 256/1992 Sb.). Pod tento termín lze zahrnout genetické údaje, údaje o nenarozeném dítěti apod., tedy tam, kde by nebylo vhodné použít termín „fyzická osoba“. I v tomto zákoně je upraveno zřízení samostatného a nezávislého úřadu. Na rozdíl od zákona předchozího však nezávislý orgán reálně vznikl, a to pod názvem Úřad pro ochranu osobních údajů (ÚOOÚ) se sídlem v Praze. Stará se o reálné prosazování tohoto zákona a bdí nad jeho dodržováním. Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a další kompetence stanovené zvláštním právním předpisem, mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropských společenství. Úřad vykonává působnost dozorového úřadu pro oblast ochrany osobních údajů vyplývající z mezinárodních smluv, které jsou součástí právního řádu.6 Co se týká postavení a působnosti Úřadu, najdeme toto zakotveno v § 28 a § 29 zákona o ochraně osobních údajů (ZoOU). Dle paragrafu 28: -
je Úřad nezávislý orgán a ve své činnost postupuje nezávisle a řídí se pouze zákony a jinými právními přepisy,
-
do jeho činnosti lze zasahovat pouze na základě zákona,
_____________________ 6
§2 zákona č. 101/2000 Sb.
25
-
jeho činnost je hrazena ze samostatné kapitoly státního rozpočtu České republiky. Úřad tedy nepodléhá žádnému ministerstvu ani jinému státnímu orgánu, jsou mu
však svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném zákonem. Zákon pamatuje i na zajištění nezávislosti Úřadu po stránce ekonomické. Dle paragrafu 29: Úřad -
provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů,
-
vede registr zpracování osobních údajů,
-
přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení.
Do jisté míry poskytuje také konzultace.
ÚOOÚ již na počátku své činnosti zřídil vlastní internetové stránky na http://www.uoou.cz. Zde je zakotven popis činnosti Úřadu, jeho organizační struktura a jmenovitě všichni zaměstnanci Úřadu. Nalezneme zde cenné informace týkající se praxe, na to navazující doporučení Úřadu nebo spolupráce s podobnými institucemi v zahraničí. Nalezneme zde také odkaz na úplné znění zákona č. 101/2000 Sb. a o změně některých zákonů. Organizaci Úřadu jsou věnovány paragrafy 30 až 34 ZoOU, zde si můžeme dohledat, kterak je Úřad personálně obsazen – zakotven předseda, inspektoři a ostatní zaměstnanci – a jaké mají tito lidé pravomoci a povinnosti.
26
4. Rodné číslo jako fenomén
Podle ustanovení § 4 písm. b) zákona o osobních údajích je osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Ten se považuje za určený či určitelný, pokud lze subjekt údajů přímo nebo nepřímo identifikovat zejména na základě čísla, kódu či jednoho nebo více prvků specifických pro jeho identitu. Rodné číslo je, jak všeobecně známo, identifikátorem fyzické osoby informačním systému evidence obyvatel a je přidělováno každému občanu České republiky. Velice důležitá je v tomto směru novela zákona o evidenci obyvatel a rodném čísle, která zákonnou úpravu rodných čísel upravuje. Proč se na tomto místě pojmem „rodné číslo“ zabýváme? Z hlediska ochrany osobních údajů je rodné číslo osobní identifikátor významový. Znamená to, že není tvořen náhodou, ale obsahuje jasná pravidla pro jeho vytvoření. Pravdou ale zůstává, že díky tomuto deseti- případně devítimístnému číslu již na první pohled zjistíme spoustu informací o dané osobě. Mám tím samozřejmě na mysli věk dané osoby, jeho pohlaví a u osob narozených před 1. 1. 1954 dokonce informaci o tom, zda se narodili v Čechách, na Moravě či na Slovenku. Je to také v současné době jakýsi „univerzální“ identifikátor každé osoby, a tím pádem je zanesen v řadě systémů. Je holý fakt, že mnohé soubory o občanech jsou vedeny právě na základě rodného čísla, a proto nelze nikdy vyloučit, že správce či zpracovatel se pomocí rodného čísla dostane k dalším údajům o konkrétním jednotlivci. Pravdou zůstává, že těchto pár číslic o nás vypovídají více, než si mnohdy umíme představit. Je to spolehlivý identifikační znak osoby, který používá řada institucí od finančního úřadu přes banky, pojišťovny třeba až po dráhy. A pro některé lidi není problém se na základě našeho rodného čísla do takových registrů dostat a udělat si tak o našem životě docela slušný obrázek, aniž by nás kdy museli vůbec vidět. Rodné číslo je osobním údajem, které mají vlastní právní úpravu a uceleně jejich problematiku upravuje zákon č. 133/2000 Sb., o evidenci obyvatel o rodných číslech a změně některých zákonů. Jakýsi řád a odstranění nedostatků zákona z r. 2000 dala až 27
jeho novela – zákon č. 53/2004 Sb., kterou byla do zákona doplněna právní úprava používání a využívání rodného čísla, a také byla doplněny sankce za jeho neoprávněné používání či využití. Stanovení pravidel pro užívání rodného čísla bylo konec konců nutností, protože absence těchto pravidel by znamenala neplnění transpozičních povinností státu před vstupem do Evropské Unie. Z výše uvedeného je zřejmé, jako jsou nevýhody rodného čísla jako jednoznačného identifikátoru. Vzhledem ke značnému množství evidencí, do kterých je jedinec v moderním informačním světě zařazen, hrozí potenciální nebezpečí, že nesprávným nebo naopak záměrným užitím rodného čísla budou neoprávněným osobám zpřístupněny informace, ke kterým by se za jiných okolností dostat neměly a nemohly. [4] A o čem se mezi našimi zákonodárci v této otázce diskutuje? Hlavní chystanou změnou
je
příchod
BIO,
bezvýznamného
identifikátoru
obyvatele.
Nejvíc
pravděpodobná je zatím podoba tohoto znaku, kterou už dnes používá Ministerstvo práce a sociálních věcí. Toto číslo má 10 míst. Důvody pro zavedení BIO jsou hned dva:
rodná čísla v podobě, jak je známe, jsou problematická ve vztahu k platné legislativě, protože až příliš vypovídají o svém nositeli, a s ohledem na zákon o ochraně osobních údajů jde o velmi problematickou oblast. ÚOOÚ se snaží omezit užívání rodných čísel tím, že ve většině případů vykládá rodné číslo jako údaj nadměrný,
fakt, že dnešní podoba rodných čísel je platná od 1. 1. 1954, hrozí tím již za 40 let, že nebudou k dispozici žádná volná současná rodná čísla (děti narozené po 31. 12. 2053 by musela dostávat stejná rodná čísla, jako ti, kdo se narodili po 1. 1. 1954).
Podle Ministerstva práce a sociálních věcí by měl do 10 let každý člověk získat nové osobní identifikační číslo, a do 40 let se už nebudou rodná čísla používat vůbec. Po zavedení tohoto systému by už novorozeňata nedostávala rodná čísla a postupně by se od jejich používání upustilo i u dospělé populace, např. při výměně dokladů apod. 28
Obecně lze pro využívání rodných čísel v aplikační praxi doporučit spíše restriktivní přístup a zvláštní zákony aplikovat v doslovném výkladu a v případě pochybností bude vhodnější rodné číslo nevyužívat vůbec. Jsem toho názoru, že připravované nové osobní číslo bude opodstatněnou a přínosnou změnou, která přispěje k větší bezpečnosti osobních a jiných dat. Určitě to nebude změna k lepšímu jen v novém identifikátoru jako takovém, ale hlavně v zpřesnění pravidel v zákoně č. 133/2000 Sb., což je žádoucí a v návaznosti na větší ochranu dat představuje významný krok správným směrem.
5. Daňové identifikační číslo Protože jsem v předchozím textu zmínila nutnost změny v užívání osobního identifikátoru každé fyzické osoby, a v praktické části své diplomové práce budeme tyto souvislosti vztahovat na konkrétní podnikatelský subjekt, bylo by určitě nesprávné nezmínit se v krátkosti také o těch subjektech, což jsou právě podnikatelé. Daňové identifikační číslo fyzické osoby je v současné době jedním ze základních identifikačních údajů o fyzických osobách zabývající se podnikáním nebo jinou samostatně výdělečnou činností. DIČ má každá osoba registrovaná jako poplatník nebo plátce některé daně u místně příslušného finančního úřadu a ten také dle § 33 odst. 12 zákona o správě daní toto číslo přiděluje. Dle § 33 odst. 13 téhož zákona daňové identifikační číslo obsahuje kód „CZ“ a kmenovou část, kterou tvoří obecný identifikátor, a oním obecným identifikátorem není u fyzické osoby nic jiného než rodné číslo. Proč tomu ale tak je? Proč jsou fyzické osoby oproti právnickým, u nichž je DIČ tvořeno kódem „CZ“ a osmimístným identifikačním číslem, z hlediska ochrany osobních údajů takto znevýhodněni? Dle mého názoru je ochrana soukromí těchto podnikatelů značně ohrožena, protože jeho rodné číslo v souvislosti s jeho podnikatelskou činností vidí každý: 29
na internetu v databázi firem,
v databázi živnostníků,
na každé jeho faktuře,
na každém jeho příjmovém dokladu,
kdokoli, kdo mu vystavuje fakturu,
a nejspíš i na dalších dokumentech.
Řešení vidím v legislativní změně a to takové, že by se systém pro přidělování daňových identifikačních čísel sjednotil u obou skupin podnikatelů – jak u fyzických osob, tak u právnických. ÚOOÚ opakovaně na nevhodnost podoby DIČ z hlediska ochrany osobních údajů upozorňoval ještě dříve, než byla uzákoněna stávající podoba DIČ roku 2004. Zákon je samozřejmě třeba respektovat, a Úřad nemá zákonodárnou iniciativu, a proto ke změně daňového identifikačního čísla nemá možnost dát podnět. Může ovšem vyjadřovat své připomínky, a to zejména v rámci legislativního procesu, což také činí. Úřad poměrně často dostává otevřené dopisy od občanů –podnikatelů, kteří se s touto problematikou na něho obracejí, a doporučení ÚOOÚ zní: Je třeba obrátit se na některého z členů zákonodárných orgánů, případně na ministerstvo financí, které je touto zákonodárnou iniciativou také nadáno.
30
6. Zdravotnictví Jakékoliv údaje o zdravotním stavu člověka jsou podle zákona č. 101/2000 Sb. považovány za citlivé osobní údaje, kterým přísluší přísná ochrana. Je pouze na konkrétním jednotlivci, zda si přeje či nepřeje, aby některé údaje o jeho zdravotním stavu byly sdělovány dalším osobám. Lékaři či jiný zdravotnický pracovník může údaje o zdravotním stavu svého pacienta sdělovat pouze za přísných, zákonem stanovených podmínek. Zákon o péči o zdraví lidu ani další právní předpisy v oblasti zdravotnictví zatím v tomto směru dostatečně nereflektovaly článek 10 Úmluvy o lidských právech a biomedicíně, ani článek 10 Listiny základních práv a svobod. Údaje o zdravotním stavu mají být pochopitelně chráněny i před spolupacienty, zvláště pokud si pacient nepřeje, aby spolupacienti byli o jeho zdravotním stavu, diagnóze a prognóze informováni. To se v praxi často porušuje, když například při vizitách na vícelůžkových pokojích se pacientovi a konziliu lékařů prezentuje diagnóza, potřebné výkony i případná prognóza před ostatními spolupacienty. Taková praxe by mohla být právem předmětem žaloby na ochranu osobnosti, a podle konkrétních okolností by mohla nastat aktuální i trestní odpovědnost lékaře a právní odpovědnost zdravotnického zařízení. V budoucí právní úpravě se předpokládá podstatně podrobnější a konkrétnější právní úprava povinné mlčenlivosti zdravotnických pracovníků, práva pacienta na informace o vlastním zdravotním stavu i práva osob příbuzných a blízkých pacientovi na tyto informace.
31
6.1 Právo pacienta na ochranu osobních údajů Některá ustanovení zákona č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, jsou skutečně vágní. Podle § 23 odst. 1 cit. zákona, je lékař povinen poučit vhodným způsobem nemocného, popřípadě členy jeho rodiny, o povaze onemocnění a potřebných výkonech tak, aby se mohli stát aktivními spolupracovníky při poskytování léčebně preventivní péče. Kdo jsou ale ti členové rodiny, zákon blíže nespecifikuje. Není v zákoně ani uvedeno, že tyto informace mohou členové rodiny obdržet pouze se souhlasem pacienta. A dokonce tento souhlas nemusí být vydán zatím ani písemně. Samozřejmě, je určitě situace jiná, pakliže mám na mysli pacienta způsobilého k platnému projevu vůle, který je při vědomí nebo naopak jde-li o pacienta, který je v bezvědomí. Lékař by však měl mít vždy jistotu, že údaje o zdravotním stavu pacienta nesděluje jiným osobám proti vůli pacienta. Jde-li o pacienta, který je v bezvědomí nebo v takovém zdravotním stavu, kdy není možno, aby se k této otázce vyslovil, nedává zatím platný zákon jasnou odpověď, které osoby lze o jeho zdravotním stavu informovat. V některých případech se analogicky vychází z ustanovení § 15 občanského zákoníku, jindy z ustanovení o osobách blízkých, dle § 16 občanského zákoníku. Budoucí právní úprava předpokládá, že v takovéto situaci by právo na informace měl mít ten, kdo prokáže, že je osobou pacientovi blízkou, ve smyslu § 16 občanského zákoníku. Není na lékaři, aby ověřoval, zda tomu tak skutečně je; ten, kdo se informací dožaduje, by měl sám prokázat, že je osobou, oprávněnou tyto informace získat. [5]
32
6.2 Povinná mlčenlivost zdravotnických pracovníků Podle § 55 odst. 2 písm. d) zákona č. 20/1966 Sb. je každý zdravotnický pracovník povinen zachovávat mlčenlivost o skutečnostech, o nichž se dozvěděl v souvislosti s výkonem svého povolání, s výjimkou případů, kdy skutečnost sděluje se souhlasem ošetřované osoby nebo kdy byl této povinnosti zproštěn nadřízeným orgánem v důležitém státním zájmu. Při nakládání s osobními údaji pacienta, je třeba vycházet i ze zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Pokud způsob zacházení s osobními údaji pacienta neupravuje zákon č. 20/1966 Sb., o péči o zdraví lidu či jiný speciální zákon. Z tohoto zákona mimo jiné vyplývá, že povinnou mlčenlivostí je vázán nejen zdravotnický pracovník, ale každý, kdo přijde při výkonu jakékoliv činnosti ve zdravotnickém zařízení i mimo něj do styku s údaji o zdravotním stavu pacienta. Zákon tedy zavazuje mlčenlivostí i zaměstnance zdravotnických zařízení a další osoby pro zdravotnická zařízení činné, které nemají postavení zdravotnických pracovníků, a to ve stejném rozsahu jako zdravotnické pracovníky.
6.3 Zdravotnická dokumentace Problematika vedení zdravotnické dokumentace a nakládání se zdravotnickou dokumentací nebyla dlouhou dobu v našem právním řádu řešena vůbec. Teprve zákonem č. 260/2001 Sb., byla přijata novela zákona č. 20/1966 Sb., která v § 67b) stanovila způsob vedení zdravotnické dokumentace a nakládání s ní. Zmíněný paragraf dále taxativně stanoví, kdo je oprávněn nahlížet do zdravotnické dokumentace, a to pouze v rozsahu nezbytně nutném pro splnění konkrétního úkolu v rozsahu své kompetence.
33
6.4 Možný vývoj (elektronická dokumentace)
V České republice již několik let funguje podoba elektronicky vedené zdravotnické dokumentace, která je založena na principu dobrovolnosti, a to z obou zúčastněných stran – lékařů i pacientů. Jedná se o projekt IZIP, tedy o zdravotní knížku na internetu. Tato „knížka“ může obsahovat všechny informace o zdravotním stavu a číst v ní může pacient nebo lékař, kterému to pacient umožní. Po registraci pacient obdrží přístupový kód, který zná jen on. S vlastní databází pracují výhradně její administrátoři. Jedná se pouze o několik oprávněných osob speciálně vyškolených, z nichž žádná nemá přístup ke zdravotním informacím. Systém IZIP funguje tak, že bez přístupového kódu a osobního hesla není možné se dostat ke zdravotním informacím konkrétního pacienta. Údaje jsou uloženy takovým způsobem, že bez hesla není možné zjistit, ke kterému klientovi se vztahují. Přístupový kód generuje program zcela náhodně, žádný z pracovníků IZIP ani jiná třetí osoba nemá možnost jej zjistit. Druhé, tzv. osobní heslo si může pacient vytvořit při přihlašování do své elektronické zdravotní knížky sám. Z toho, že IZIP existuje a je využíván, je zjevné, že současná legislativa již nebrání takovýmto formám zpracování citlivých údajů a i v rámci stávajících pravidel je možné využívat elektronická média. Můj osobní názor v této věci je takový, že jsme opět pokročili o něco vpřed správným směrem, protože nikdy nevíme, kdy nám třeba takový údaj o naší krevní skupině zapsaný v elektronické zdravotní knížce může zachránit život, a zároveň, pakliže je zabezpečení našich osobních údajů provedeno způsobem, jak jsem popsala výše, považuji ochranu svých dat naprosto v pořádku.
34
6.5 Porovnání třech zdravotnických organizací Nyní se na problematiku osobních údajů a zdravotnictví podíváme z praktického hlediska. Vybrala jsem tři zdravotnická zařízení, abych porovnala, jakým způsobem se ona zařízení k osobním údajům svých pacientů staví. Jsou jimi fakultní nemocnice Motol v Praze, krajská nemocnice České Budějovice a nemocnice v Mostě. Velmi mě překvapila právě pražská nemocnice, která na svých webových stránkách (http://www.fnmotol.cz) nikterak problematiku osobních údajů neřeší. Nemá nikde uvedeno, jaké údaje je oprávněna vyžadovat, případně jakým způsobem se k těmto údajům po jejich získání bude přistupovat. Jediné, co bylo možno vyhledat a trochu vzdáleně „přiblížit“ naší problematice, je uveřejnění Etického kodexu pacientů. Tento kodex však ve svém obsahu odkazuje hlavně na léčebný postup a informuje, co by pacient mohl v souvislosti s léčbou očekávat. Snad jen v bodě 6 z celkem jedenácti bodů kodexu bychom mohli hovořit o „jakési ochraně dat“: „pacient má právo očekávat, že veškeré zprávy a záznamy týkající se jeho léčby jsou považovány za důvěrné i v případě počítačového zpracování“. Protože nemocnice naopak informuje o právu na informace, zajímalo mě, jestli náhodou v této sekci nebude problematika osobních údajů zakotvena. Dočetla jsem se o tom, kde danou informaci získám a jakým způsobem mohu žádat o tuto informaci, nicméně jsem v této sekci zjistila, že informace o osobních údajích se jednoduše neposkytují To krajská nemocnice v Českých Budějovicích už je na tom podstatně lépe. Na internetové adrese http://www.nemcb.cz problematice osobních údajů je věnováno více pozornosti. Zde jsou nejdůležitější informace shrnuty v následujících bodech:
Pravidla podávání informací o pacientech Veškeré informace o pacientech jsou sdělovány pouze s jejich souhlasem. Při
příjmu do nemocnice je pacient tázán, kdo je oprávněn vznést dotaz a komu je pak možno sdělit informaci, že je hospitalizován, a komu o jeho zdravotním stavu, a zda je možné tyto informace sdělovat telefonicky. Pacient samozřejmě může kdykoli své pokyny 35
změnit. Výjimkou je situace, kdy pacient nemůže vyjádřit své přání, např. při poruše vědomí. Tehdy jsou o jeho zdravotním stavu informovány osoby blízké.
SMS služba Pro jednoduché, rychlé a přesné předávání informací pacientům a jejich blízkým
zavedla nemocnice možnost zasílat SMS zprávy, a to zejména ke kontaktu s pacientem při zjištění anomálních laboratorních výsledků a ke kontaktu s blízkými pacienta, kterému se zhorší zdravotní stav a jejich přítomnost či informovanost je vhodná či nezbytná. Dále při výzvě dárců krve. Z těchto důvodů je každý pacient, popř. jemu blízká osoba požádán o kontaktní mobilní telefon a o podepsání souhlasu, že může být kontaktován v případě potřeby prostřednictvím SMS zprávy. Textová zpráva zpravidla obsahuje žádost, aby adresát kontaktoval nemocnici na konkrétním telefonním čísle. Nesmí obsahovat žádné osobní údaje ve smyslu zákona o ochraně osobních údajů, ani citlivé údaje o zdravotním stavu pacienta. K jejich sdělení slouží až osobní rozhovor.
Pravidla podávání informací o úmrtí Úmrtí pacienta se bezodkladně oznamuje osobám blízkým zemřelému. Dříve používaný telegram se opouští a nejčastěji je používána předem dohodnutá žádost o kontakt na konkrétní telefonní číslo pomocí SMS.
Právo na náhled do dokumentace Pacient má právo na poskytnutí veškerých informací shromážděných ve zdravotnické dokumentaci vedené o jeho osobě. I když to automaticky neznamená, že má právo na nahlížení do dokumentace a za vhodnější považujeme rozhovor s ošetřujícím lékařem, ve většině případů je přání pacienta nahlédnout do dokumentace respektováno. Za úhradu nákladů je možno pořídit i kopii dokumentace.
36
Když se vrátím zpět k zákonu č. 101/2000 Sb., i k zákonu č. 20/1966 Sb., dle obou těchto právních předpisů shledávám vše v pořádku, je zde informace o právu pacienta souhlasit, komu své osobní údaje hodlá svěřit, o jeho právu nahlížet do zdravotnické dokumentace i o případném vyrozumění osob, u kterých pacient souhlasil s předáním svých údajů. U nemocnice v Mostě jsem po zákonné stránce shledala také vše v pořádku, nejen, že informuje o zákonných právech pacienta, také přímo uvádí, jak může pacient se zdravotnickým pracovníkem jednat, protože jsou zde v rovném postavení, nikoliv nadřízený – lékař, podřízený – pacient. Lidsky je zde popsáno, že pokud si pacient přeje soukromí před ostatními spolupacienty, určitě je toto umožněno a zdravotnický pracovník pak hovoří pouze k němu, nikoliv ke všem. Jak je zajištěna ochrana Vašich osobních údajů? 7 O Vašem zdravotním stavu jsou zdravotníci povinni vést dokumentaci, která se řídí zvláštními právními předpisy. Údaje z Vaší zdravotní dokumentace a údaje o Vašem zdravotním stavu mohou být sdělovány pouze s Vaším souhlasem. To se týká i souhlasu vyžádaného policií při šetření různých událostí (např. úrazů) a to v rozsahu nezbytně nutném a týkajícím se pouze vyšetřované události. Zdravotnickým pracovníkům ukládá mlčenlivost zákon, tzn., že skutečnosti, se dozví v souvislosti s Vaší osobou a Vaší nemocí nesmí nikomu sdělovat, ani rodinným příslušníkům. I nezdravotničtí pracovníci, kteří přicházejí do styku s osobními údaji pacientů jsou vázáni mlčenlivostí jednak v pracovní smlouvě a i zákonem o ochraně osobních údajů. Existují však výjimky dané zákonem, např. povinná statistická hlášení, ve kterých však data směřující k identifikaci Vaší osoby nejsou sdělována. Ani zákon o svobodném přístupu k informacím a novelizace zákona o zdraví lidu upřesňující způsob vedení zdravotnické dokumentace neumožňují poskytovat Vaše osobní údaje a informace o Vašem zdravotním stavu _____________________ 7
http://www.nspm.cz/prava.asp#udaje
37
neoprávněným osobám. Aby byla zajištěna kontinuita léčby, dostává nutné medicínské informace Váš praktický lékař a nebo specialista, který se na Vaší léčbě účastní. Pokud by došlo k úniku informací, bylo by to v důsledku vážného pochybení konkrétního pracovníka s veškerými právními důsledky pro jeho osobu. V úvodu hospitalizace dostanete informační tiskopis, ve kterém budete mimo jiné blíže seznámeni s možnostmi sdělování informací o Vašem zdravotním stavu a ve kterém vyznačíte komu, v jakém rozsahu a jakým způsobem mohou být informace o Vašem zdravotním stavu sdělovány. Tímto Vaším pokynem se pak všichni zdravotničtí pracovníci na oddělení budou řídit.
S ochranou Vaší osobnosti souvisí i způsob sdělování důvěrných informací zdravotníkům. Není vhodné sdělovat a řešit Vaše problémy před ostatními pacienty na pokoji nebo před personálem, který se přímo na Vašem léčení neúčastní. Můžete požádat lékaře nebo sestry o osobní jednání. Při určitých vyšetřeních na ambulanci však ve Vašem zájmu, ale i v zájmu vyšetřujícího lékaře přítomnost třetí osoby, například zdravotní sestry. Co si můžeme z tohoto průzkumu odnést? Z tohoto výběru zdravotnických zařízení nejlépe plní svou zákonnou povinnost nemocnice v Mostě, nejméně informuje pražský Motol. U této nemocnice mě opravdu překvapuje fakt, že když už o se otázce nakládání s osobními údaji nic nedozvíme, nikde na svých stránkách na zákon věnující se ochraně osobních údajů ani neodkazuje. Čím to je? Že by větší nemocnice braly toto téma za samozřejmé a je naprosto zbytečné věnovat mu pozornost? Vzhledem k tomu, že osvěta veřejnosti je v tématu ochrana osobních údajů čím dál větší, je na místě doporučit tomuto zdravotnickému zařízení začít tohle téma řešit a veřejnosti přiblížit. Nemocnice, která problematiku osobních údajů ve svých veřejně dostupných informačních zdrojích zakotveno má, může být totiž v konečném důsledku, co se důvěryhodnosti týká, v daleko lepší pozici a pacienti se v ní budou cítit lépe, vezmemeli v úvahu otázku ochrany osobních údajů, i když se bude jednat třeba jen „o pouhou okresní nemocnici“ - s nadsázkou řečeno. 38
7. Bankovnictví
Banky se staly běžnou součástí našeho života a člověk je v zásadě potřebuje stále více, neboť mu usnadňují život. Právě proto jsou vztahy mezi uživatelem služeb bank, tedy subjektem údajů a bankou velmi specifické. Dalo by se říci, že ač obecně bezpochyby platí základní pravidlo, že ve vzájemných vztazích jsou si účastníci vztahů vznikajících interakcí občana a banky rovni, dá se usoudit, že ne nepodstatná část občanů má pocit opačný, tedy že se při jednání s bankami ocitají v postavení nerovného. Tento pocit plyne právě ze složitostí vztahů, které jsou regulovány poměrně komplikovaným právním rámcem, a při aplikaci tohoto právního rámce jsou banky „automaticky“ považovány občany za autoritu, jejíž rady, pokyny a vůli je třeba respektovat. Zmíněný právní rámec tvoří celý komplex zákonů a podzákonných norem, z nich je třeba zmínit minimálně zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů. Základním problémem v přístupu bank ke klientům z hlediska ochrany osobních údajů, z něhož vyplývají i všechny ostatní problémy, je nesprávné používání zákona o ochraně osobních údajů (dále také ZoOU) ve vztahu k zákonům, které upravují činnost bank. Přínosem v oblasti ochrany osobních údajů v tomto směru byla novela zákona o bankách, která doplnila § 37 odst. 2 o povinnost shromažďovat pouze údaje, jež jsou přiměřené právním a věcným rizikům bankovního obchodu se subjektem údajů a relevantní pro posouzení těchto rizik. Výše uvedená ustanovení ZoOU a zákona o bankách banky nezřídka nerespektují a postupují v rozporu s nimi. Jako příklad je možno uvést zpracování rodného čísla podle zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech, ve znění pozdějších předpisů, který bankám neukládal zpracování rodných čísel a ponechával v souvislosti se zákonem o bankách a se zákonem o opatřeních proti legalizaci výnosů z trestné činnosti na svobodné vůli klientů, zda tento identifikátor poskytnou. Pro banky totiž rodné číslo nemohlo a nemůže sloužit jako ověřitelný identifikátor, neboť banky jako soukromé subjekty nemají přístup do Centrální evidence obyvatel. Banky tak patřily ke správcům,
39
kterých se týkala povinnost buď do konce roku 2005 získat souhlas se zpracováním rodného čísla, nebo zpracování rodného čísla ukončit. Úmysl zákonodárce zvýšit ochranu soukromí občanů však banky obešly tím, že k návrhu zákona č. 377/2005 Sb., o doplňkovém dohledu nad bankami, spořitelními a úvěrními družstvy, institucemi elektronických peněz, pojišťovnami a obchodníky s cennými papíry ve finančních konglomerátech a o změně některých dalších zákonů, byla pomocí pozměňovacího návrhu přidána povinnost bank zpracovávat rodné číslo. Je nasnadě, že banky, zřejmě vedeny jakousi snahou o racionalizaci procesů, nepříliš výrazně rozlišují, pro jaké účely osobní údaje vlastně shromažďují. Vyžadují, shromažďují od svých klientů větší množství údajů, než je v daném okamžiku třeba, přitom by stačilo aplikovat již zmíněný § 37 odst. 2 zákona o bankách, neboť jeho dikce umožňuje a současně vyvažuje vztah k ustanovení § 5 odst. 1 písm. d) ZoOU. Kopie osobních dokladů Banky samy nemají oprávnění pořizovat kopie osobních dokladů na základě zákona o opatřeních proti legalizaci výnosů z trestné činnosti. Ze zásady zákazu kopírování občanských průkazů a cestovních pasů platí výjimka a to taková, že je toto konání v souladu se zákonem, pokud subjekt údajů k pořízení kopie udělí souhlas. Tudíž se v praxi banky tímto souhlasem klienta „kryjí“ a v zásadě také tuto skutečnost prezentují jako povinnost pro uzavření obchodu mezi klientem a bankou.
7.1 Bankovní registr klientských informací (BRKI) a Nebankovní registr klientských informací (NRKI) BRKI je společná databáze údajů vytvořená na základě informací, které si vzájemně poskytují banky o smluvních (úvěrových) vztazích mezi bankami a jejich klienty. Je společným projektem bank a společností zabývajících se vývojem a provozováním informačních systémů sloužících k výměně informací. Základní účel BRKI je stanovený zákonem, pro účely této práce je potřeba vědět, že zpracování
40
informací v BRKI není v souladu s příslušnými ustanoveními zákona o ochraně osobních údajů a zákona o bankách a je podmíněno poskytnutím souhlasu klientů bank – fyzických osob se zpracováním jejich osobních údajů v BRKI. Obsahem BRKI jsou základní identifikační údaje klientů (jméno, příjmení, rodné příjmení, datum narození, místo a země narození, adresa bydliště klienta a rodné číslo), údaje o závazcích klientů, o včasnosti jejich plnění, o jejich zajištění apod. Informace obsažené v BRKI jsou pravidelně měsíčně aktualizovány a jsou uchovávány pro potřebu vzájemného informování bank po dobu čtyř let po jeho ukončení. Ovšem pozor, pokud požadovaná smlouva s klientem uzavřena nebyla, i přesto jsou údaje uchovávány v BRKI po dobu čtyř let ode dne podání žádosti klienta o uzavření příslušné smlouvy. Základním účelem NRKI je vzájemné informování věřitelských subjektů o záležitostech vypovídajících o bonitě, důvěryhodnosti a platební morálce jejich klientů. Členy NRKI jsou především úvěrové a leasingové společnosti. V rámci NRKI jsou opět zpracovávány osobní údaje – stejné jako v případě BRKI. Pokud požadovaná smlouva s klientem nebyla uzavřena, jsou údaje uchovávány v NRKI po dobu šesti měsíců ode dne podání žádosti klienta o uzavření příslušné smlouvy. Vložení osobních údajů do NRKI jedním z věřitelských subjektů automaticky neznamená, že tyto údaje jsou volně přístupné dalším věřitelským subjektům – ty opět potřebují prokazatelný souhlas příslušného klienta, aby se na tyto údaje obsažené v NRKI mohly dotázat.
Vybrala jsem dvě známé bankovní instituce, abychom se podívali, kterak je to s nakládáním s osobními údaji právě u nich. Jedná se o Českou spořitelnu, a. s., a GE Money Bank, a. s. To, že obě instituce ve svých informačních zdrojích uvádí, jakým způsobem nakládají s osobními údaji svých klientů je v pořádku, a dávám jim za to jedničku z hvězdičkou. Ovšem, v souvislosti s BRKI a NRKI vidím jasný problém u obou organizací, a to je v uchovávání klientových osobních údajů, i když ke smlouvě mezi oběma stranami nedojde! V tomto jednání shledávám jasný rozpor se zákonem č. 101/2000 Sb. Když totiž odstoupí od bankovního obchodu ještě před jeho uzavřením sám subjekt údajů, nestal se tedy klientem banky, z jakého důvodu banka tato jeho data shromažďuje? Není tady jasný rozpor s ustanovením zákona na ochranu osobních údajů
41
dle § 5 odst.1 písm. e)8? Dle mého názoru rozhodně ano, a je až s podivem, že ač je na tomto místě porušení zákona zcela zjevné, pro banky znamenají tyto situace běžnou každodenní praxi! Moje doporučení? Novelizovat zákon č. 21/1992 Sb., o bankách, kde bude jasně uvedeno, jaké informace banky smějí vyžadovat, co mohou vyžadovat se souhlasem subjektu údajů a pro všechny další situace související s ochranou osobních údajů jednoznačně aplikovat zákon o ochraně osobních údajů v plném rozsahu. Protože nynější situace je zatím taková, že banky mají tendenci vykládat zejména zákony, které přímo neregulují jejich činnost, do jisté míry tendenčně tak, aby jim v práci „nevadily“, resp. aby jejich dodržování znamenalo co nejmenší zásah do zaběhlého stavu věci. V souvislosti s BRKI a NRKI je u obou institucí rozdíl v tom, jak své klienty vůbec informují o tom, o jaké systémy se jedná. Zatímco Česká spořitelna, a. s., na internetové adrese http://www.cbcb.cz/download/inf_mem_brki_nrki.pdf informuje občany v pětistránkovém dokumentu o tom, co se pod BRKI a NRKI skrývá a popisuje souvislosti se systémy spojené, GE Money Bank a. s., na svých stránkách http://www.gemoney.cz/ge/cz/1/bankovni-registr sice také tuto informační povinnost splnila, nicméně v rozsahu značně chudém. Ne, že bych upřednostňovala kvantitu nad kvalitou, každopádně zde chybí – dle mého názoru podstatná – informace o tom, že „podle platné právní úpravy je možné používat Vaše rodné číslo v rámci BRKI i bez Vašeho souhlasu, přičemž v rámci NRKI pouze na základě Vašeho předchozího souhlasu. V této souvislosti bychom Vás chtěli informovat, že podle právních předpisů nemáte povinnost takový souhlas pro účely NRKI poskytnout“. Na místo toho, aby GE Money Bank, a. s., klienta řádně informovala o tom, co je povinen poskytnout a co nikoliv, předloží mu raději formulář k souhlasu „mnoha věcí“. Obsah tohoto formuláře uvádím jako přílohu č. 1 Na tomto formuláři shledávám hned dvě pochybení. Co se týká BRKI a NRKI, ať už jsou tyto dva registry principielně stejně fungující, jedná se pořád o dva _____________________ 8
Správce je povinen uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné.
42
systémy, které jak jsem nastínila výše se v mnoha skutečnostech liší. Jak je tedy možné, že je formulář univerzální pro oba tyto registry? Ano, je pravda, že u zkratky BRKI v obsahu názvu Souhlasu najdeme asi dvoumilimetrový odkaz na poznámku pod čarou, ale není toto zrovna v bankovním sektoru více než směšné? A také absolutně neseriózní, které v konečném důsledku může poškozovat dobré jméno podniku? Tato „informovanost“ zákazníka mi připomíná různé soutěže na internetu nebo jinde zhruba před deseti lety, kdy ještě osvěta v oblasti ochrany osobních údajů nebyla rozhodně taková jako dnes a právní úprava ochrany osobních údajů zrovna začala platit. Tehdy tím nejdrobnějším písmem na konci dotazníku bylo po nás chtěno, stvrdit svým podpisem souhlas se zpracováním našich údajů. Toto ale patří do jiné kapitoly. Druhým důvodem, proč jsem se zarazila nad zmíněným Souhlasem je ta část, kdy nás banka informuje o tom, že v rámci rodných čísel postupuje v souladu se zákonem č. 133/2000 Sb. Jak to, když jí k nakládání a využívání rodných čísel tento zákon vůbec neopravňuje? A jak už bylo nastíněno výše, banky tuto problematiku obešly návrhem zákona č. 377/2005 Sb. Tuto informaci považuji nejen za mylnou, ale zvlášť závažnou, pokud se jedná o náš identifikátor, jakým rodné číslo samozřejmě je. Moje doporučení bance GE Money Bank a. s., by bylo nejspíš najmout nové právní poradce, v jejichž kompetenci je vytváření smluv. Člověk nemusí být totiž zrovna právník, aby po prostudování několika zákonů k dané problematice neviděl, k jakých pochybením v případě tohoto bankovního institutu dochází.
7.2 Centrální registr dlužníků
S různými registry, ať už bankovního či nebankovního typu se v posledních letech jakoby roztrhl pytel. Rostou spotřebitelské úvěry, objem hypoték, a s tím i větší pravděpodobnost nesplácení těchto půjček. Registry dlužníků jsou konzultovaným tématem
v
poslední
době
čím
dál
tím
častěji.
Když
se
podíváme
na
http://www.centralniregistrdluzniku.cz, s překvapením zjistíme již na první stránce, jakých deset jmen bylo naposledy do registru zaneseno, o co horší je pro nás zjištění, že
43
u každého jména máme k dispozici také jeho trvalou adresu! Je toto přípustné s ohledem na zákon č. 101/2000 Sb. a také pro Úřad pro ochranu osobních údajů? Jak se dočteme v Sekci Správa osobních údajů, o souhlas ke zpracování osobních údajů právnických osob a fyzických osob – podnikatelů, nemusí registr nijak žádat – zákon č. 101/2000 Sb. se týká fyzických osob. Abychom si přiblížili, jak takový dlužník na webové stránce vypadá, vybrala jsem jeden konkrétní:
Gabriela J....... Typ záznamu: Fyzická osoba
Adresa (všechny registrované adresy subjektu) Druh adresy: trvalá Platné od: 16.06.2010 Ulice: ….... …. Město: …... PSČ: 73. ..
Neshledávám zde v pořádku fakt, že je na celosvětové síti uvedeno konkrétní jméno, které se váže ke konkrétní trvalé adrese. Toto může být dle mého názoru tak moc zneužitelné, že si následky nechci ani představovat. Jak je možné, aby si někdo dle těchto údajů a při zneužitelnosti internetu, která stále hrozí a hrozit bude, našel např. na sociální síti Facebook další informace a díky nim si o mé osobě udělal docela slušný obrázek, aniž by mě kdy viděl? Tyto informace v registrech budou vždy velice „ošemetná“ témata, osobně se zveřejňováním v takovém rozsahu nesouhlasím. Pokud bude mít člen BRKI, NRKI či centrálního registru oprávnění dotyčný subjekt prověřit, tak proč ne. Pokud se na centrální registr připojí prakticky kdokoliv, tyto informace pokládám za velice zneužitelné.
44
Moje doporučení? Otevírá se v této souvislosti prostor pro Úřad pro ochranu osobních údajů, na něm je, aby podal doporučení, které by bylo zaneseno do legislativy. Máme čerstvě po volbách do Poslanecké sněmovny, je to tedy jeden z mnoha návrhů, které by bylo třeba nově vznikající vládě lépe dřív než později předložit.
8. Pojišťovnictví
Odraz ochrany osobních údajů v pojišťovnictví se nejvíce projevil zhruba v období 2001 – 2002, kdy bylo několik pojišťoven nařknuto z toho, že neopatrně zacházejí s osobními údaji a přetřásala se otázka, jak moc je nebezpečné svěřit pojišťovně citlivé informace. Bohužel se toto nedělo pouze ve zmíněných letech, s problémem zabezpečení našich informací se pojišťovny potýkají stále. Nejen že se jedná o kombinaci nejrůznějších zabezpečovacích prvků informačních systémů, nýbrž díky jiným zákonným předpisům musíme své pojistné smlouvy předkládat např. při podání daňového přiznání. Přikládám příspěvek z http://www.mesec.cz, kde toto téma pisatelka vystihla tak, jak to v realitě funguje: „Mně ani tak nevadí, že poskytnu své osobní údaje pojišťovně, kterou si zvolím, jako mě spíš rozčiluje jiná věc. Poprvé v tomto roce bylo možné přidat do daňového přiznání potvrzení na odpočet daně za životní pojištění nebo penzijní připojištění. Jaký to byl ale šok, když jsem se dozvěděla, že k potvrzení, které zaslala pojišťovna, musím doložit fotokopii pojistné smlouvy. Toto je nutné doložit jak na mzdové účtárně příslušného zaměstnavatele, nebo pokud nechcete tam, tak na finančním úřadu. Myslím si, že už vůbec není třetí osobě nic po tom, jaké si platím pojištění a na jakou pojistnou částku. Tady je ten únik osobních údajů jistě daleko větší. Mimo jiné jsem se zrovna na
45
finančním úřadě setkala s neskrývaným údivem, že si tyto pojistky platím dvě a do kolika let jsou uzavřené“. Je určitě dobře, že tyto názory mezi veřejností zaznívají a je potřeba apelovat na změnu legislativy. Z mé zkušenosti jako klienta pojišťovny vím, že v pojistných smlouvách je spíše více než méně osobních údajů, a proto by se rozhodně neměly volně povalovat či být ukradeny kvůli nezodpovědnosti a nedbalosti. Je možné, že ztráta mé adresy a její následné použití by znamenala „jen“ další reklamní obálku v mojí schránce, ale více problematičtější se mi však právě v pojišťovnictví jeví ztráta zdravotních záznamů popř. záznamů o příjmů a majetku pojištěného apod. Proto si myslím, že by sankce týkající se této oblasti měly být jedny z nejvyšších. A která pojišťovna se v poslední době setkala s únikem dat? V loňském roce to postihlo pojišťovnu UNIQA9. Osobní údaje klientů UNIQA pojišťovny včetně rodných čísel, telefonních čísel a
údajů
rodinných
příslušníků
byly
volně
ke
stažení
na
serverů
http://www.rapidshare.com a http://www.uloz.to. Nešlo o údaje všech klientů pojišťovny, ale těch, kteří si v době od 3.7.2005 do 20.1.2008 sjednali cestovní pojištění. V první fázi šlo snadno stáhnout textový soubor, který obsahoval číslo pojistné smlouvy, jméno pojistníka, adresu, rodné číslo a telefonický kontakt. Následně prostřednictvím standardní aplikace, která je na webu pojišťovny UNIQA určena prioritně pro ověření pojistné smlouvy, šlo získat kompletní informace obsažené v pojistné smlouvě. Pokud byly pojištěné i děti pojistníka, jejich údaje dohledatelné byly také. Pojišťovna UNIQA uvedla, že se nejednalo přímo o databázi UNIQA pojišťovny, nýbrž databázi zprostředkovatelů pro UNIQA pojišťovnu. Co to ovšem pomůže postiženým klientům, zda jsou v takové či jiné databázi, když zkrátka jejich _____________________ 9
http://www.mesec.cz/aktuality/osobni-udaje-klientu-uniqa-pojistovny-na-netu/
46
osobní údaje nebyly dostatečně chráněny a došlo k jejich úniku? Pojišťovna samozřejmě podala trestní oznámení na neznámého pachatele, nicméně ten, kdo se k takovým informacím dostane a zkrátka se rozhodne je zneužít, tak to jednoduše provede a postiženému klientovi nepřeji v budoucnu žádné nepříjemné překvapení.
9. Spotřebitelské soutěže Spotřebitelské soutěže a loterie jsou nástrojem ke zvýšení prodeje zboží. Pořadatel od nich neočekává a nepořádá je pro zisk z vkladů, ale představují pro něj výdaj shodný jako každý jiný výdaj na reklamu, tedy můžeme říci, že právě soutěže pořádané firmami souvisí s jejich marketingovou strategií. A co tato strategie znamená pro občana? Poštovní schránky plné letáků, soutěžních karet, časopisů. A nejenom zde se setkáme se všemožnými dotazníky, nýbrž na nás různé dotazníky a průzkumy trhu „útočí“ v supermarketech, na veřejném prostranství či třeba v městské hromadné dopravě. Vyplníme jméno, příjmení, rodné číslo, přesnou adresu, telefon a další údaje, vše vlastnoručně podepíšeme a snad se na nás štěstí usměje. Je až s podivem, co všechno jsme ochotni sdělit neznámé společnosti pod vidinou nějaké výhry. Slíbená potenciální odměna je právě tím rozhodujícím faktorem, který nás donutí prozradit na sebe věci, u kterých bychom si měli dvakrát dobře rozmyslet, zda je chceme zveřejnit. Jenže, víme, jak ona firma nadále nakládá s námi sdělenými osobními údaji? A zajímá nás to vůbec nebo v návalu soutěživosti toto neřešíme? Určitě bychom měli. Málokdy si povšimneme textu psaného drobným písmem nebo bodu v podmínkách a pravidlech schovaného v množství jiných bodů, kde vyjadřujeme souhlas se zařazením a použitím osobních údajů k marketingovým a reklamním účelům v souladu se zákonem č. 101/2000 Sb.
47
Jednoznačně tuto oblast upravuje § 5 odst. 5 ZoOU: „Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.“ Tak, a z výše uvedeného ustanovení je zřejmé, že se zde nic o rodném čísle, popř. našem podpisu nedočteme. Podle mého názoru se můžeme chránit před neseriózními soutěžemi tak, že pokud se nám některé otázky zdají být příliš dotěrné, dotazník zkrátka nevyplňovat. Co se týká zmíněného podpisu, myslím, že určitě nebude vhodné podepisovat se podpisovým vzorem z naší banky, na druhou stranu obecně pokud uděluji k něčemu souhlas, není nic zvláštního na tom, že svůj souhlas stvrzuji svým podpisem. Doporučuji při podepisování mít určitě na paměti, komu, co a jak podepisuji, abychom se do budoucna případných komplikací souvisejících s naším podpisem díky „jedné“ soutěži vyvarovali.. Když se podíváme na soutěže konkrétně, dle mého názoru v dnešní době hodně záleží, jak známou dotyčná firma je. Nahlédla jsem do pravidel soutěže pořádané firmou PENAM , a. s., abych zjistila, že tématu ochrany osobních věnuje značnou pozornost, a že o nějakém drobném písmu někde „pod čarou“ zkrátka nemůže být řeč. Úplné znění pravidel a podmínek soutěže přikládám jako přílohu č. 2. Ochraně osobních údajů se zde podrobně zabývá bod 7.7. Nejenže zde najdeme zakotven souhlas se zpracováváním osobních údajů, vymezení správce i zpracovatele, ale i informaci o tom, že je náš souhlas dobrovolný. Dále je zde účastníkovi soutěže poskytnuta informace o době, na jakou svoje osobní data sděluje či informace o možnosti odvolání svého souhlasu a to kdykoliv. Pokud by měl účastník zjistit nějaké nesrovnalosti, dále ho Penam, a. s. informuje o blokaci údajů či jejich likvidaci. Za správný krok považuji také odkaz na Úřad pro ochranu osobních údajů.
48
Čím dál víc - dle mých zkušeností, roste objem průzkumů trhu spojených se spotřebitelskou soutěží přímo na ulici. Je to zhruba týden, co mě na ulici oslovila slečna pracující pro společnost Oriflame Czech Republic, s. r. o. Nijak nadšena jsem zrovna nebyla, ani ne proto, že bych někam pospíchala, ale právě z důvodu mého očekávání sběru informací o mé osobě. Jednalo se o propagační akci, kdy jsem obdržela katalog firmy se vzorky kosmetických výrobků a bylo mi položeno několik otázek týkajících se jak jinak než kosmetiky. V pořádku. Když mi začala povídat o tom, že bych se mohla zapojit do soutěže o kosmetické balíčky, již jsem zpozorněla a moje nechuť neudávat jakákoliv moje osobní data, rostla. Byla jsem ovšem mile překvapena, když jsem zodpověděla dotaz na jméno a příjmení, město bydliště a telefonní kontakt. Krom toho, byla pracovnice velice příjemná, určitě měla i obchodní talent, neboť mi za dva dny volala, že jsem výherkyně, a zda si přijdu výhru převzít a při té příležitosti přijmout možnost nalíčení profesionálem. Ještě jsem danou „akci“ nepodnikla, i když jsem účast přislíbila – vím, že toto se již netýká bezprostředně tématu této práce, chci ovšem poukázat i na fakt, že firmy, pokud se budou chovat přirozeně a nebudou při svých dotazech a sběru informací dotěrné, mnohdy daleko více získají z takového nenásilného chování než z nějaké agresivní marketingové kampaně. Je
to
tak
tři
měsíce
zpět,
kdy
mě
oslovil
v nákupním
centru
v Českých Budějovicích pracovník systému IZIP, který jsem také zmiňovala v kapitole věnované zdravotnictví. Zeptal se mě na moji zdravotní pojišťovnu a začal vyprávět o výhodách IZIP. Bylo to zajímavé až do doby, kdy mi sdělil, že pro registraci je nutné moje rodné číslo. Nejenom, že jsem díky této práci zákona znalá více než dříve, i přesto rozhodně nesděluji své rodné číslo na potkání. Pracovník se mně musel legitimovat nějakým průkazem a jménem, které koneckonců bylo na smlouvě, kterou jsme nakonec uzavřeli, ale dosti se podivoval, že něco „tak malicherného jako je rodné číslo“ řeším. A já se naopak podivovala nad chováním pracovníka. Jelikož je rodné číslo i moje číslo pojištěnce a pracovník se řádně legitimoval, svoje údaje jsem mu nakonec svěřila, i když vnitřně jsem o správnosti svého počínání přesvědčena nebyla. Očekávala jsem
49
doporučenou poštou vstupní údaje k registraci, které do 14 dnů opravdu přišly a já si mohla oddechnout. Apeluji na tomto místě na to, abychom se v žádné situaci nenechali zastrašit podivováním kohokoliv nad naším chováním, protože naše osobní údaje jsou jen naše a ochrana našeho soukromí záleží opět jen na nás samotných. Nesmíme zapomínat na to, že cena, kterou zaplatíme, může být příliš vysoká. Soukromí máme opravdu jen jedno a pokud ho jednou ztratíme, bude více než obtížné získat ho zpět.
10. Internet Vlastnit počítač a mít připojení na Internet v dnešní době přestalo, podobně jako u mobilních telefonů, být v České republice výsadou pouze určitého okruhu lidí. Přes Internet hledáme informace, studujeme, komunikujeme, seznamujeme se, obchodujeme, spravujeme své osobní finance, nakupujeme, posloucháme rádio, sledujeme videa - a to je jen část jeho širokého využití. V neposlední řadě zde také sdílíme své soukromí a dáváme všanc informace o nás samých. A přestože se málokdo z uživatelů do detailů zajímá o to, jak internet funguje, jistě tušíme, že se při jeho používání nevyhneme částečnému odhalení našich osobních informací a dat. Také masové rozšíření platebních karet během posledních let je jistě krokem vpřed v oblasti nákupů. Dnes se jedná o nedílnou součást našeho života. Pokud se ovšem zaměříme na oblast zneužití osobních údajů právě pomocí plateb, uskutečněných našimi vlastními kartami, je na místě zmínit se o jisté hrozbě. Každý z nás ví, že platební karty fungují v návaznosti na účet, který máme vedený v bance. K založení účtu v bance po nás banka vyžaduje určité osobní údaje, jako je jméno, příjmení, adresa atd. Každá platba, uskutečněná pomocí platební karty, je tedy navždy svázána přímo s naší osobou. Banky jsou pochopitelně vázány vůči svým
50
klientům bankovním tajemstvím, ovšem i banky mohou být nějakým způsobem napadeny zvenčí a proto se občas stává, že k může k úniku nějakých citlivých dat dojít např. odcizení klientských dat z ČSOB v roce 2007.10 Pokud dojde k úniku dat o našem účtu a s ním spojených transakcích, do nepovolaných rukou se dostane celkem přesný přehled toho, jak vedeme svůj život. Jaký máme plat, jaké splácíme půjčky, ale také kde nakupujeme, jak často, za jaké částky, jaké zboží a prodejny preferujeme atd. Internet je jedním z největších fenoménů dnešní doby. Jak už to tak bývá, každý velký vynález však mívá i své stinné stránky. Informace lze díky němu získat, ale také o ně přijít. Komunikační sítě, mobilní telefony, elektronické peníze apod. jsou věci, které jsme si zvykli používat ke každodennímu životu, které nám usnadňují práci a šetří čas, ale které se mohou obrátit proti nám. Doba, ve které dnes žijeme, nabízí takové možnosti, o kterých se našim předkům vůbec nezdálo. Někteří odborníci11 na informační technologie vidí ochranu našeho soukromí v budoucnosti spojenou například s osobním „antispyware", což by měl být určitý filtr, přes který se staneme pro jakéhokoliv elektronického slídila neviditelní. Jiní autoři navrhují jako variantu pro toho, kdo se bude cítit ohrožený, používání stále dokonalejších kryptopřístrojů, anonymizérů nebo počítačových programů, které kolem nás vytvoří spolehlivou ochrannou zeď - a údajně budeme tyto prostředky používat se stejnou samozřejmostí, s jakou dnes používáme alarmy proti zlodějům, ochranné kódy nebo zámky na kola.
_____________________ 10 11
http://ekonomika.ihned.cz
http://www.inflow.cz
51
11. Pracovněprávní vztahy Pracovní právo upravuje společenské vztahy týkající se práce, v nichž na jedné straně vystupují lidé jako zaměstnanci a na druhé straně lidé a firmy (právnické osoby) jako zaměstnavatelé. Zaměstnanec a zaměstnavatel jsou vždy dvě rozdílné osoby. Zaměstnanec je ve výkonu práce závislý na zaměstnavateli. Nejzákladnějším pracovněprávním předpisem je zákoník práce (poslední novelizace s účinností od 1. ledna 2001). Zákoník práce nabyl účinnosti dnem 1. 1. 1966 a byl více než dvacetkrát novelizován. Po roce 1989 se jeho podoba přizpůsobovala potřebám tržní ekonomiky, soukromého podnikání, masivnímu nástupu fyzických osob jako zaměstnavatelů. Současně byl zajišťován soulad s mezinárodními smlouvami, jimiž je Česká republika vázána.
11.1 Personalistika
Personalistika bývá obecně charakterizována jako činnost, která se zaměřuje na získávání pracovníků a práci s nimi. Vzhledem k tomu, že není myslitelné, aby se personální práce obešla bez údajů osob, jichž se personální práce týká, bude se v každém případě jednat o zpracování osobních údajů a na tato zpracování bude také dopadat ZoOU. Základní hmotněprávní úpravu vztahů mezi fyzickou osobou, subjektem údajů a potenciálním zaměstnavatelem z hlediska práva pracovního představuje zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů a Zákoník práce. Z hlediska časové posloupnosti lze zpracování osobních údajů rozdělit do tří základních částí – zpracování osobních údajů před uzavřením pracovního poměru, zpracování v jeho průběhu a konečně po jeho ukončení.
52
11.1.1.
Zpracování
osobních
údajů
před
uzavřením
pracovního poměru
(výběrové řízení) Z hlediska ochrany osobních údajů je důležité, že zákonem o zaměstnanosti jsou od počátku jeho účinnosti stanoveny rozsahy údajů, které vůbec není přípustné v prepracovním procesu, tedy ve fázi výběru zaměstnanců, zjišťovat. V § 12 odst. 2 zákona o zaměstnanosti je výslovně stanoveno, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se:
národnosti,
rasového nebo etnického původu,
politických postojů,
členství v odborových organizacích,
náboženství,
filozofického přesvědčení,
sexuální orientace, není-li jejich vyžadování v souladu se zákonnými výjimkami12, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem.
Je tedy zřejmé, že zákonodárce vyloučil v této fázi pracovního poměru tzv. citlivé osobní údaje podle § 4 písm. b) ZooU. Z toho vyplývá, že rozsah informací, které může zaměstnavatel požadovat po uchazečích o zaměstnání, je značně omezen a může se týkat toliko údajů, které bezprostředně souvisí s obsazovaným pracovním místem. Bude se jednat o základní identifikační údaje jako:
jméno a příjmení,
adresa bydliště,
datum narození (nikoliv však rodné číslo),
_____________________ 12
§ 4 odst. 3 a 4 zákon o zaměstnanosti
53
informace o vzdělání a praxi, případně i informace o zvláštních předpokladech nebo schopnostech, které mají vztah k obsazované pracovní pozici,
a běžné kontaktní údaje, jako číslo telefonu nebo e-mailová adresa.
Pokud by rozsah informací požadovaný potenciálním zaměstnavatelem přesahoval oblast výše zmíněných dat, na které má ze zákona nárok, je zaměstnavatel povinen na žádost uchazeče o zaměstnání prokázat potřebnost požadovaného osobního údaje. Potřebuje zaměstnavatel (správce osobních údajů) k následnému zpracování osobních údajů souhlas subjektu údajů? Dle § 5 odst. 2 ZoOU písm. b) je uvedeno, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, pakliže je zpracování nezbytné pro plnění smlouvy uskutečněné na návrh subjektu údajů. V případě náboru zaměstnanců se jedná právě o takový případ – byť je toto jednání v pouhém zahajovacím stadiu. V okamžiku, kdy je vybrán vhodný uchazeč a je s ním uzavřena pracovní smlouva, pominul důvod, pro který byly shromážděny osobní údaje všech ostatních uchazečů a v tomto okamžiku končí oprávnění zaměstnavatele dále zpracovávat tyto osobní údaje bez jejich souhlasu, a tedy si je ponechat pro nějaké potenciální budoucí využití. Jak vidno, stále platí limity stanovené ZoOU, a je tedy jen otázkou správné aplikace jak ZoOU, tak zákoníku práce a v neposlední řadě také zákona o zaměstnanosti. Správnou aplikací všech tří zákonů ve vzájemných souvislostech lze pak dosáhnout natolik vyváženého shromažďování a následného dalšího zpracování osobních údajů, že bude nejen chráněno soukromí uchazečů o zaměstnání, ale také zaměstnavatelé budou mít dost informací pro to, aby mohli pracovní místo obsadit vhodným kandidátem.
54
11.1.2 Zpracování osobních údajů za trvání pracovního poměru Zpracování ve vztahu k oznamovací povinnosti správce § 16 ZoOU. Jednou z častých otázek, s níž se zaměstnavatelé obracejí na ÚOOÚ je, jestli dle § 16 ZoOU musí provádět registraci (písemně oznámit Úřadu), protože zpracovávají osobní údaje svých zaměstnanců. Podíváme-li se na tomto místě do zmíněného paragrafu, najdeme se zde výjimku, kterou dále rozvádí § 18 zákona o ochraně osobních údajů, a tady dojdeme k odpovědi, jak to tedy se zpracováním údajů o zaměstnancích je. Pravdou zůstává, že právě zaměstnavatel (správce osobních údajů) musí znát a aplikovat celou řadu právních norem, které mu ukládají mnoho povinností a z nichž plyne, že musí zpracovávat velké množství osobních údajů. Tyto zvláštní zákony také přímo či nepřímo určují, které konkrétní údaje zpracovány být musí. Kromě zákoníku práce je na místě zde zmínit zákon č. 48/1997 Sb., o veřejném zdravotním pojištění, zákon č. 155/1995 Sb., o důchodovém pojištění, zákon č. 582/1991 Sb., o organizaci provádění sociálního
zabezpečení, zákon č. 435/2004 Sb., o zaměstnanosti, zákon
č. 586/1992 Sb., o daních z příjmu a mnohé další. Tedy: Pokud zaměstnavatel zpracovává osobní údaje svých zaměstnanců pouze za účelem vedení personální a mzdové agendy, pro dodržení jeho právních povinností uložených zvláštními zákony, nemusí plnit oznamovací povinnost dle § 16 ZoOU. Dnešní podoba zákoníku práce vymezuje ve svém § 312 možnost zaměstnavatele vést osobní spis zaměstnance. Tento spis však může obsahovat jen písemnosti, které jsou nezbytné pro výkon práce. Typicky se bude jednat o listiny, které tvoří „informační základnu“ zaměstnavatele o jeho zaměstnanci a které je také zaměstnanec zaměstnavateli povinen poskytnout – a to právě pro plnění jeho zákonných povinností. Zpravidla tento spis obsahuje osobní dotazník (bývají u všech zaměstnavatelů prakticky stejné), který zaměstnanec většinou vyplňuje ještě před formálním uzavřením pracovního poměru a dále dokumenty uvedené v tomto dotazníku, popř. další dokumenty, které souvisejí přímo se zaměstnaneckým poměrem. Každopádně i k nahlížení do spisu zaměstnance je potřeba dodržování určitého chování. Krom zaměstnavatele je stanoven okruh osob, které mohou do spisu nahlížet. Jedná se výhradně o nadřízeného dotyčného zaměstnance, nikoliv o jakéhokoliv
55
vedoucího zaměstnance. A samozřejmě může do spisu nahlížet ta osoba, která je pověřena jeho vedením, neboť jej aktualizuje o nezbytné písemnosti, jež má daný spis obsahovat. Protože i takový dotazník vyplňuje každý zaměstnanec společnosti, které se budeme věnovat v praktické části této práce, konkrétně se o něm více zmíním v části navazující. Zvláštní pozornost věnuje zákoník práce ve své novelizované podobě také zpracování citlivých osobních údajů, a to v ustanovení § 316 odst. 4. Citované ustanovení zakazuje („zaměstnavatel nesmí“) vyžadovat informace, které bezprostředně nesouvisí s pracovněprávním vztahem. Považuji tuto novou úpravu za velice zásadní, a samozřejmě za krok správným směrem, protože v dřívější úpravě byla absence tohoto zákazu, vycházelo se z Listiny základních práv a svobod a za použití zásady dobrých mravů. Jak už to ale v životě bývá, stále plno lidí se domnívá, že co není zakázáno, je vlastně povoleno, a v právu to platí dvojnásob. Jsou zde samozřejmě také výjimky; nejvíce polemik bývá u výpisu z rejstříku trestů či o informacích o zdravotním stavu. Ovšem ani výpis z trestního rejstříku, který dokládá beztrestnost, ani potvrzení lékaře nebo zdravotnického zařízení (např. ze vstupní nebo preventivní lékařské prohlídky) není citlivým údajem. Výjimkou může být případ zaměstnání zaměstnanců se změněnou pracovní schopností, kdy se zaměstnávání těchto osob řídí zvláštním právním předpisem, ale to už bychom překračovali rozsah této. V souvislosti s integrací střední Evropy do Evropské Unie se stala aktuální problematika zaměstnávání cizích státních příslušníků. Zde bych chtěla poukázat na stejná pravidla zpracovávání citlivých údajů u všech bez rozdílu, tudíž, že zaměstnavatele při zaměstnání cizince musí zajímat jeho státní příslušnost, nikoliv národnost, a že zaměstnavatel nemá žádné právo tuto informaci po zaměstnanci požadovat. Danou státní příslušnost samozřejmě potřebuje zaměstnavatel znát např. pro účely odvodu pojistného za zaměstnance a další zákonné povinností. Zaměstnanec má také možnost vstoupit do některého ze sociálních programů, např. takového, který umožňuje zaměstnancům čerpat nějaké výhody i pro rodinné
56
příslušníky, typicky se jedná o děti mladší 15 let. Tady radím být obezřetný: V praxi mají zaměstnavatelé tendenci zjednodušovat si práci a vyžadují od svých zaměstnanců např. kopii rodného listu dítěte. Toto bývá jen zřídka zaměstnancem odmítnuto, a tak se ve spisech zaměstnance objevují veškeré informace, které rodný list obsahuje, a které mají s podmínkou využití daného benefitu pramálo společného. Jsou tak uchovávány, a tedy také zpracovávány osobní údaje osob, k jejichž
zpracování obecně nemají
zaměstnavatelé žádné oprávnění.
11.1.3 Poskytování osobních údajů o zaměstnancích Jak jsme se zmínila výše, do osobního spisu zaměstnance může nahlížet on sám, jeho nadřízený (nejedná se pouze o přímého nadřízeného, ale nadřízenost je zde míněna v celé hierarchii řídících pracovníků konkrétního zaměstnance) a osoba, tento spis vedoucí. Účel vedení tohoto spisu je dán, a není možné využívat informace z osobních spisů pro jiné účely. Tak a nyní jsme narazili na jednu konkrétní situaci, která je součástí asi každého pracovního kolektivu, a to jsou narozeniny zaměstnance. Dle definice, k čemu slouží spis zaměstnance, je tedy vyloučeno například zveřejňovat data narození zaměstnanců, byť by to bylo s dobrým úmyslem gratulace k narozeninám, což konec konců může být i součástí „firemní kultury“. A té také my budeme věnovat v praktické části. S poskytováním osobních údajů zaměstnanců také úzce souvisí i povinnost mlčenlivosti. Obecná povinnost mlčenlivosti ve vztahu k osobním údajům zaměstnanců v zákoníku práce stanovena není, týká se jen omezeného okruhu zaměstnanců, které můžeme vyčlenit do dvou skupin: členové odborové organizace, rady zaměstnanců a zástupce pro oblast bezpečnosti a ochrany zdraví a odborníci, které si zástupci zaměstnanců k výkonu svých oprávnění přizvou (§ 276 odst. 3 a 4), zaměstnanci veřejné správy (uvedeni v § 303 odst. 1).
Povinnost mlčenlivosti je tedy nutné ze zákoníku práce dovozovat v celém rozsahu kontextuálně, nicméně je zjevné, že povinnost mlčenlivosti tu existuje a už
57
jsme opět u našeho dobrého známého zákona č. 101/2000 Sb. Protože se v rámci personální práce jedná z hlediska ZoOU o zpracování osobních údajů, zaměstnavatel má postavení správce osobních údajů, a tudíž se bude řídit § 15 ZoOU, v kterém je povinná mlčenlivost zakotvena. Za porušení mlčenlivosti stanovené ZoOU lze uložit pokutu, a to až do výše 100 000 Kč.
11.1.4 Předávání osobních údajů do zahraničí + B. C. Rules Specifickým problémem, který musí řada zaměstnavatelů jako správců osobních údajů řešit, je skutečnost, že v některých případech hodlají tyto údaje předat do zahraničí. Tato problematika je upravena v § 27 ZoOU. Dle odst. 1 je povoleno předávat osobní data zaměstnanců v rámci států Evropské unie volně, a tudíž není potřeba k takovému předání povolení Úřadu pro ochranu osobních údajů. Obdobný režim platí i pro některé země mimo Evropskou unii za podmínky splněné v odst. 2 výše zmíněného paragrafu, který stanovuje, že do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas a kterou je Česká republika vázána, nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Takovou smlouvou je např. Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat předpisy těchto zemí
13
(Rada Evropy, ETS 108, 1981). Právní
, které k této úmluvě přistoupily, totiž zaručují dostatečnou
ochranu osobních dat odpovídající všem požadavkům směrnice Evropského parlamentu a Rady 95/46/ES. Druhou skupinou tzv. třetích zemí, do nichž je možno předávat osobní údaje bez povolení Úřadu, tvoří ty země, o nichž, jakožto o zemích bezpečných z hlediska _____________________ 13
V současné době Albánie, Bosna a Hercegovina, Černá Hora, Gruzie, Chorvatsko, Island, Lichtenštejnsko, Makedonie, Moldavsko, Norsko, Srbsko, Švýcarsko a Andorra.
58
ochrany zpracování osobních údajů, rozhodl příslušný orgán (Komise) Evropské unie14. A specificky je nutno také přistupovat k předávání osobních údajů do USA a Kanady. Zde závisí na konkrétním posouzení uvažovaného předání, tedy zda jsou v daném případě splněny podmínky stanovené rozhodnutím orgánu Evropské unie. A tady lze také určitě doporučit, aby takové předání bylo před jeho realizací minimálně konzultováno s Úřadem. Pokud se nejedná o výše uvedené případy, co se předávání osobních údajů do zahraničí týká, je nutné v souladu s ustanovením § 27 odst. 4 ZoOU požádat Úřad o povolení k předání. Protože je této problematice věnována na webových stránkách Úřadu široká kapitola, nebudeme se na tomto místě podrobně zabývat náležitostmi, které je
potřeba v povolení o předání doložit, nýbrž odkazuji přímo na
http://www.uoou.cz. Zde je totiž komplexně popsáno vše, pakliže se nás předání našich osobních údajů do zahraničí může týkat, a to od textu o povolovacím řízení, přes vzor žádosti k povolení, přes přehled příkladů, kde právě o ono povolení není nutné žádat, až po příklady z praxe. V praxi se také můžeme setkat s tím, že v řadě případů předávání osobních údajů do jiných států je požadavek jejich zpracování dán specializovanými či odbornými pracovišti u tzv. „mateřských“ společností v zahraničí , které jsou z pohledu ZoOU zpracovateli. Pak je nutné naplnit zejména ustanovení § 6 ZoOU, tedy uzavřít smlouvu mezi správcem a zpracovatelem. V souvislosti s předáváním osobních údajů do zahraničí, resp. do třetích zemí, je vhodné zmínit zvláštní institut, který je z hlediska předávání praktický a jehož význam bude pravděpodobně stoupat. Je to jakási „ochrana“ pro správce údajů tehdy, jestliže třetí země, do níž mají být údaje předány, nezajistí odpovídající úroveň ochrany údajů. Zde náležitá opatření
směřující k ochraně poskytne právě sám správce. Jedná se
o přijetí „Závazných podnikových pravidel“ (Binding Corporate Rules). Tento způsob je vhodný zejména pro velké nadnárodní společnosti, nikoli již pro předání mimo tuto společnost. _____________________ 14
V současné době se jedná o Argentinu, Guernsey, Ostrov Man a Jersey.
59
Jsem toho názoru, že i když je vytvoření a konečné schválení Závazných podnikových pravidel poměrně složitý a časově náročný proces, jeho absolvování se řadě velkých korporací jistě vyplatí, protože tak eliminují rizika plynoucí z neoprávněného zpracování (předávání) osobních údajů. Zpracování osobních údajů po ukončení pracovního poměru
11.1.5 Uchovávání osobních údajů zaměstnance po skončení pracovního poměru
Zákoník práce uchovávání osobních údajů, pakliže pracovní poměr zaměstnance skončí, nikterak neřeší. Z hlediska zákona o ochraně údajů bychom se na tomto místě mohli vrátit v této práci ke kapitole základních pojmů, kde je vysvětleno přímo uchovávání osobních údajů. Dále v § odst. 1 písm. e) 5 ZoOU je uvedena obecná povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracovávání. A jaké údaje vůbec můžeme uchovávat, a po jak dlouhou dobu? Vodítko, o jaké informace (osobní údaje) se jedná, poskytuje ustanovení § 150 zákoníku práce. Ten praví, že se evidují údaje, jimiž jsou jméno, příjmení, adresa u fyzické osoby, název a sídlo, jde-li o právnickou osobu, a písemnosti týkající se prováděných srážek ze mzdy, a to po stejnou dobu jako ostatní údaje a doklady týkající se mzdy nebo platu. Jedním z právních předpisů, kterým jsou stanoveny uschovací lhůty pro uchovávání některých vybraných dokumentů je zákon č. 187/2006 Sb., o nemocenském pojištění . Byla stanovena 10letá uschovací doba, která začíná běžet po roce, jehož se záznamy týkají. Jedná se o záznamy pro účely nemocenského pojištění a vyplývající pro zaměstnavatele z povinností vést příslušné evidence. Za záznamy o těchto skutečnostech se považují doklady o druhu, vzniku a skočení pracovního vztahu, záznamy o úrazech a o nemocech z povolání a záznamy o evidenci pracovní doby, včetně doby pracovního volna bez náhrady příjmu.
60
Doba stanovená pro uchování dokladů s údaji potřebnými pro účely důchodového pojištění činí 30 kalendářních let. V tomto případě se bude jednat zejména o mzdové listy nebo příslušné účetní záznamy.
11.2 Zveřejňování údajů o mzdě nebo platu Informace o příjmech byly, jsou a budou vždy předmětem zájmu. Údaj o mzdě či platu je ve smyslu ustanovení § 4 písm. a) ZoOU také údajem osobním. Ač není zařazen mezi citlivé osobní údaje, je vesměs vnímán jako informace, kterou dotčené osoby pociťují velmi silně jako citlivou, a také oprávněně očekávají, že informaci o mzdě nebo platu bude zaměstnavatel chránit tak, aby se k této informaci nedostaly neoprávněné osoby. Dá se na základě zákona č. 101/2000 Sb. uzavřít, že údaje o mzdě nebo platu nejsou obecně určeny ke zveřejňování nebo zpřístupňování a právo seznámit se s nimi a zpracovávat je v souladu s právními předpisy má jen velmi omezený okruh osob. Samozřejmě budou existovat situace, kdy výše mzdy nebo platu bude zpřístupněna i jiným osobám, avšak vždy na základě právního předpisu. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní úřad a zpravodajské služby. Protože se v současnosti vedou dlouhé diskuse o tom, zda je možné na základě zákona o svobodném přístupu k informacím (č. 106/1999 Sb.) žádat informaci o výši platů vyšších úředníků nebo funkcionářů, zmíníme se o této problematice krátce i na tomto místě. Jedná se o státní orgány, územní samosprávné celky a jejich orgány a veřejné instituce a dále ty subjekty, kterým zákon svěřil rozhodování o právech, právem chráněných zájmech nebo povinnostech fyzických nebo právnických osob v oblasti veřejné správy. Argumentace, proč by tyto informace zveřejňovány být měly, je vedena jednoduchou myšlenkovou linkou – jedná se o orgány, jejichž činnost je hrazena ze státního rozpočtu, tedy veřejnými prostředky. Důležitý je zde paragraf 8b) výše
61
zmíněného zákona, který sice ve svém odstavci 1 vymezuje povinnost subjektu poskytnout základní osobní údaje o osobě, které poskytl veřejné prostředky, a tedy že i plat je vlastně poskytnutím veřejných prostředků, jež mají spíše podobu dotace, podpory, daru nebo jiné obdobné finanční podpory, která je skutečně z veřejných prostředků, na druhé straně je zde paragraf 8a stejného zákona, jež limituje poskytování informací z hlediska ochrany soukromí. A opět jsme u našeho dobrého známého zákona č. 101/2000 Sb. a jak už asi tušíme, ani na základě zákona o svobodném přístupu k informacím nelze získat informaci o výši platu zaměstnance, jehož zaměstnavatel náleží mezi povinné subjekty ve smyslu § 2 uvedeného zákona.
Protože většina z nás nejspíš není a nebude vyšším státním úředníkem, vybrala jsem z našeho praktického života poměrně typický příklad, kdy je dotazováno na výši našeho platu třetí osobou. Jedná se o telefonické ověřování platu. Je to totiž poměrně častá forma ověření potvrzení, které zaměstnavatel na žádost zaměstnance vystavil pro účely nějaké formy půjčky, spotřebitelského úvěru, leasingu apod. My už ale na tomto místě víme, že není možné obecně sdělit nebo potvrdit výši platu nebo mzdy na základě telefonického dotazu kohokoliv. Běžná životní praxe však vyžaduje najít řešení: dle mého názoru by jednoduše postačilo, kdyby dané potvrzení obsahovalo nějakou značku, ne příliš obvyklou nebo nějaké zvláštní označení. Pak lze i pouhým dotazem volajícímu zjistit, zde je schopen takovou identifikační značku sdělit a popsat. Je potom možné mít přinejmenším jistotu, že se s velkou pravděpodobností jedná o potvrzení, které bylo zaměstnavatelem pro zaměstnance skutečně vydáno. To totiž již bývá připraveno a vyhotoveno poskytovatelem nebo se jedná o obecný prázdný formulář, kde se výše příjmů jen doplní a potvrdí. Pokud jde o ZoOU, právně zcela konformní by příklad byl, kdyby bylo možné postupovat se souhlasem zaměstnance, když by tento souhlas byl v souladu s ZoOU pro účel telefonického potvrzení vydaného dokumentu.
62
11. 3. Monitoring zaměstnanců Jednou z oblastí, která je v důsledku v minulosti zcela nevídaného rozvoje odposlouchávacích, kamerových a jiných podobných zařízení stále častěji veřejností v tomto smyslu přetřásána, je také ochrana soukromí zaměstnance při výkonu práce pro zaměstnavatele. Nové technologie také umožňují zaměstnavatelům mít zaměstnance neustále pod dohledem, „svádějí“ je ke kontrole elektronické pošty, obsahu hlasových komunikací, k monitorování využívání počítačů a podobně. Jedná se o značně citlivou problematiku, jež má především ústavní aspekty; střetávají se zde zájmy zaměstnanců jako fyzických osob, a ty jako známo, mají ústavně zaručená osobnostní práva (na soukromí, ochranu cti, projevů osobní povahy apod.), se zájmy zaměstnavatele, jehož cílem je především to, aby jeho zaměstnanci pracovali efektivně. A protože jsou osobnostní práva jakýmsi pilířem pro to, aby se stát mohl právním vůbec nazývat, jsou nejsilnější ze všech, proto mají při střetu s právy jinými zpravidla přednost, a postup zaměstnavatele při zajišťování svých zájmů by měl být v tomto ohledu maximálně obezřetný, kdy musí vědomě zohledňovat některé relevantní předpisy. Dle nové právní úpravy zákoníku práce je tato problematika upravena v jeho čtyřech odstavcích § 316. Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole e-mailové pošty nebo kontrole listovních zásilek adresovaných zaměstnanci.15 Co si lze představit pod pojmem „zvláštní povaha činnosti?“ Zákonodárce zde měl patrně na mysli takové činnosti zaměstnavatele, kde je třeba dbát zvýšených nároků na chování zaměstnanců – např. vzhledem k ochraně utajovaných skutečností,
povinnosti
mlčenlivosti,
ochraně
_____________________ 15
§ 316 odst. 2 , zákoník práce
63
obchodního
tajemství,
vyšších
majetkových hodnot, know-how apod. V definici je uvedena i určitá pojistka proti zneužívání těchto výjimek, proto je spojení „bez závažného důvodu“. Znamená to tedy, že má-li zaměstnavatel důvod předpokládaný zákonem, má právo zavést určité kontrolní mechanismy.
11.3.1 Kamery na pracovišti Kamerové systémy začali také užívat mnozí zaměstnavatelé k monitorování svých zaměstnanců v zaměstnání. Zpravidla vidí využití tohoto systému ke dvěma účelům: ke sledování, zda zaměstnanci plní své povinnosti a důsledně využívají pracovní dobu, k ochraně majetku (sledování návštěv, zejména za účelem předcházení krádežím).
Je toto jejich jednání, byť s těmi nejlepšími úmysly, přípustné? Na základě ustanovení § 316 zákoníku práce nikoliv, na základě ZoOU, konkrétně § 10 ZoOU také ne, neboť by zaměstnavatel nedbal na ochranu před neoprávněným zasahováním do soukromého a osobního života zaměstnanců – subjektu údajů. Jedinou možností, jak v souladu se zákonem instalovat kamerové systémy, je využití výjimky podle § 316 odst. 3, tedy výjimky spočívající ve zvláštní povaze činnosti. Pokud ovšem zaměstnavatel dojde k názoru, že se na něj uvedená výjimka vztahuje, je potřeba si na jeho místě také uvědomit, že tím vstupuje do sféry ZoOU, konkrétně je zde na místě oprávněná otázka, zda se bude jednat na základě pořizování cílených záběrů o zpracování osobních údajů či nikoliv. Co znamená zpracovávání osobních údajů, bylo vysvětleno v kapitole základních pojmů. A určitě je potřeba upozornit na to, že jen u malé části shromážděného materiálu k identifikaci konkrétní osoby v praxi dochází. Jde tedy v tomto případě o zpracování osobních údajů, pakliže je osoba z větší části případů anonymní? Odpověď zní: Účelem dohledu pomocí videokamer je právě identifikace osob zachycených na záznamu ve všech případech, kdy to správce pokládá za nezbytné. Celý systém jako takový se proto musí považovat za zpracování údajů
64
o identifikovatelných osobách, i když některé osoby zachycené na záznamu v praxi identifikovatelné nejsou. Ovšem ani využití výjimky § 316 odst. 3 zákoníku práce neznamená, že by zaměstnavatel mohl monitorovat své zaměstnance bez omezení. I na pracovišti by měl zaměstnanec mít jistou minimální úroveň soukromí zaručenu. To se týká nezbytných soukromých telefonických hovorů, (rovněž nezbytné) elektronické korespondence, činnosti v průběhu přestávek v práci, osobních věcí, které má zaměstnanec na pracovišti apod. Je nutné si uvědomit, že striktní kontrola v podobě, jaká byla nastíněna výše, nemusí nutně vést k zefektivnění práce. Pracuje-li člověk pod tlakem a s vědomím, že je zcela pod kontrolou, rozhodně jej to nebude ovlivňovat příznivě.
11.3.2 Monitorování e-mailové pošty zaměstnanců Jsme u tématu, co se týká monitoringu, bezesporu nejširšího, na tomto místě probírané problematiky. Otázka je opět nasnadě – může zaměstnavatel kontrolovat elektronickou poštu, kterou zaměstnanec obdržel do schránky počítače, jenž mu byl svěřen k výkonu práce? Vyjma případů, jako je např. vyšetřování trestného činu, nikoliv. Vychází se zde z Listiny základních práv a svobod, především z článku 1316, na něj navazuje ustanovení § 12 občanského zákoníku, které mimo jiné stanoví, že písemnosti osobní povahy smějí být pořízeny nebo použity jen se svolením fyzické osoby, jíž se týkají. Na toto téma existuje mnoho názorů a svou roli zde sehrává Úřad pro ochranu osobních údajů, aby jako regulátor stanovoval podrobnější pravidla „praktického“ přístupu, která by byla vodítkem pro zaměstnavatele a my se na některé situace nyní podíváme. _____________________ 16
Nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon. Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným obdobným zařízením.
65
1/ Objevují se dotazy, zda zpráva soukromá doručená zaměstnanci pomocí elektronických komunikačních sítí je i po doručení zprávou soukromou či nikoliv. Ano, je. Vychází se ze Směrnice Evropského parlamentu a Rady z roku 2002 o zpracování osobních údajů a o ochraně soukromí v odvětví elektronických komunikací, kterou Česká republika promítla do svého právního řádu před vstupem do EU. Ve smyslu této směrnice je uživatelem jakákoli fyzická osoba používající veřejnou elektronickou komunikační službu pro soukromé či obchodní účely, přičemž není nezbytně nutné, aby byla účastníkem této služby. 2/ Z jiného pohledu se objevil dotaz, zda (když už tedy k monitorování e-mailové pošty dochází) dochází ke zpracování osobních údajů. Tady se jedná o to, že těch situací, kdy zaměstnavatel vstupuje do pošty svého zaměstnance není mnoho – většinou je jedná o situaci, kdy je zaměstnanec např. z důvodu nemoci dlouhodobě nepřítomen na pracovišti, a je třeba vyřídit pracovní korespondenci – v tomto případě se nejedná o zpracování, protože podmínkou zpracování – jak již dobře víme – je systematická činnost, tedy muselo by se jednat o systematické monitorování, což zde rozhodně není. 3/ Zaměstnanec může sledovat počet přijatých a poslaných zpráv. Ano, to je možné. Cílem je snaha zaměstnavatele mít pod kontrolou to, aby své soukromé záležitosti si zaměstnanec vyřizoval v přiměřené a více méně v nezbytné míře v pracovní době. O svém záměru či praxi sledovat četnost přijímaných či odesílaných e-mailových zpráv by měl zaměstnavatel předem své zaměstnance uvědomit, a to nejlépe při navazování pracovního vztahu. 4/ Objevuje se i názor jiný. Podle něho Úřad ne zcela přesně vychází z předpokladu, že se monitorováním kontroluje dodržování pracovní doby zaměstnance, ale že jiných důvodů může být celá řada, např. síťová bezpečnost, povinnost předcházet a chránit zaměstnance před různými formami obtěžování, ochrana obchodního tajemství, ochrana před nedovoleným kopírováním dat, filtrování spamu nebo i přístup k firemním informacím, je-li příslušný zaměstnanec např. na dovolené. Zaměstnavatel v těchto případech argumentuje tím, že monitorování je v odůvodněném rozsahu a že může být součástí jeho kontrolní pravomoci. Proti tomu stojí ochrana soukromí
66
a osobních údajů, jakožto ústavní právo. Pokud nebudou stanovena přesná firemní pravidla týkající se užívání internetu a zasílání e-mailů v průběhu i mimo pracovní dobu, nejen že půjde o možný problém poklesu efektivity práce zaměstnanců trávících podstatnou část pracovní doby soukromými aktivitami, ale společnost také riskuje ztrátu dobrého jména, případně i vznik právní odpovědnosti. Tudíž je určitě v zájmu zaměstnavatelů, aby si plně uvědomili tato rizika a přijali potřebná právní, technická i praktická opatření. Dle mého názoru, pozorováním praxe a snahou stanovovat průběžně mantinely pro řádné jednání zaměstnavatelů a zaměstnanců lze nalézt řešení. Zaměstnavatelé by měli v interním předpisu nebo pracovní smlouvě podrobněji upravit firemní přístup k monitorování soukromé korespondence zaměstnanců, pravidelně se svým přístupem všechny zaměstnance seznamovat a diskutovat případné odůvodněné změny svého přístupu. Nezapomeňme ovšem na to, že ať už jsou argumenty zaměstnavatelů jakékoliv a diskuse na toto téma více či méně zajímavé, na základě české právní úpravy je jakékoliv monitorování soukromé e-mailové komunikace zaměstnance, zkrátka nepřípustná
.
67
Praktická část 1. Představení organizace
Pro praktickou aplikaci diplomové práce jsem si zvolila společnost Telefónica O2 Czech Republic, a.s. Důvody pro tento výběr jsou hned dva:
jako přední poskytovatel fixních a mobilních telefonních služeb si je samozřejmě tématu ochrany osobních údajů zcela vědom, když zpracovává velké množství údajů svých zákazníků,
jsem v této společnosti zaměstnaná a mohu tudíž co nejpříměji posoudit ochranu svých osobních dat jako zaměstnance této organizace.
Telefónica O2 Czech Republic, a.s., je prvním integrovaným operátorem v České republice, který vznikl 1. července 2006 spojením nejvýznamnějšího provozovatele pevných linek, ČESKÉHO TELECOMU, a.s., a nejsilnějšího mobilního operátora, Eurotel Praha, spol. s r.o., do jedné telekomunikační společnosti. Společnost dnes provozuje více než sedm miliónů mobilních a pevných linek, což z ní činí jednoho z vedoucích poskytovatelů plně konvergentních služeb na světě.
Telefónica O2 Czech Republic nabízí nejucelenější nabídku hlasových a datových služeb v České republice. Mimořádnou pozornost věnuje využití růstového potenciálu především v datové a internetové oblasti. Společnost provozuje nejrozsáhlejší pevnou a mobilní síť včetně sítí 3. generace – datovou síť CDMA a síť UMTS, která umožňuje přenos dat, hlasu, obrazu a videa. Telefónica O2 Czech Republic nabízí také největší síť WiFi hotspotů v zemi.
V rámci mezinárodní skupiny Telefónica patří Telefónica O2 Czech Republic ke skupině Telefónica Europe.
68
2. Identifikace společnosti
Identifikace společnosti platná od 1.8. 2007:Úplná identifikace (nutná pro faktury, obchodní listiny atd.). Telefónica O2 Czech Republic, a.s., IČ 60193336, DIČ CZ60193336, se sídlem Za Brumlovkou 266/2, 140 22 Praha 4 - Michle, zapsaná v Obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 2322 Při zadávání obchodního jména „Telefónica O2 Czech Republic, a.s.“ do aplikací, šablon atd. je potřeba dodržet tyto zásady:
všechna první písmena v názvu firmy jsou velká,
v označení právní formy není mezera, tj. „a.s.“ bez mezer,
v „O2“ je písmeno „O“, nikoliv číslice nula,
Výslovnost je anglická, tj. „telefónika ou tú ček repablik“.
2.1 Telefónica Europe Skupina Telefónica Europe (dále jen Telefónica Europe) poskytuje integrované mobilní, pevné a broadbandové služby ve Velké Británii, Irsku, Německu, České republice a na Slovensku a na ostrově Isle of Man. Společně je společnost nazývána Telefónica Europe, ale zákazníci znají značku O2. Telefónica Europe rovněž vlastní 50% podíl ve společném podniku Tesco Mobile ve Velké Británii a Irsku a Tchibo Mobilfunk v Německu. Kromě toho do skupiny patří i operátor pevných linek a mobilů na Isle of Man, Manx Telecom. Telefónica Europe má po celé Evropě více než 43 milionů zákazníků mobilních i pevných linek a v celé skupině je zaměstnáno 29 tisíc lidí, má sídlo v britském Slough. I přes rostoucí konkurenční tlak na evropských trzích O2 i nadále staví na úspěšném hospodářském výsledku prvního pololetí 2008, kdy se ve druhém čtvrtletí podařilo získat dalších 750 tisíc zákazníků, z nichž více než 60% podepsalo účastnickou smlouvu. Dosud získala skupina v roce 2008 1,3 milionu mobilních zákazníků
69
a 416 tisíc zákazníků pevných linek. Non-SMS datové výnosy, které v prvním pololetí roku 2008 dosáhly výše 420 milionů EUR, nadále rostou, a představují tak meziroční nárůst o 39,8%. Jako první na světě společnost vybudovala a spustila síť GPRS (do 2,5 G) do komerčního provozu. V průběhu let 2004 a 2005 spustila O2 3G spotřebitelské a obchodní služby v Německu, Spojeném království a Irsku. O2 se stala prvním operátorem provozujícím funkční 3G síť v Evropě, a to na Isle of Man, a v listopadu 2005 spustila na ostrově jako první v Evropě do komerčního provozu High Speed Downlink Packet Access (HSDPA). Se značkou O2 se chce společnost stát mobilním operátorem první volby, což chce podpořit i poskytováním vysoce kvalitních produktů a služeb, udržením co největšího počtu zákazníků a věrnostními programy. O2 chce jasně a srozumitelně ukázat zákazníkům, co s novými datovými službami, přístroji a technologiemi „mohou dělat“. O2 informuje o svém hospodářském výsledku v rámci čtvrtletního cyklu předkládání zpráv o hospodářském výsledku ve skupině Telefónica. V období do 31. prosince 2007 zaznamenali výnosy převyšující 14 miliard euro. Coby součást větší společnosti si bude O2 moci ke svým úspěchům v oblasti provozního plnění připsat i sílu značky a pozici, kterou si na všech svých trzích vybudovala. O2 a Telefónica je spojením dvou silných, úspěšných, na růst zaměřených společností,
ze
kterého
vzniká
silný
celoevropský/globální
telekomunikací.
70
hráč
v oblasti
2.2 O skupině Telefónica
Skupina Telefónica je jednou z největších telekomunikačních společností na světě ve vztahu ke kapitalizaci trhu. Její činnost se orientuje především na mobilní a pevnou telefonii, přičemž broadbandové technologie jsou využívány k rozvoji obou těchto směrů. Společnost je významně zastoupena ve 24 státech a její zákaznická základna čítá na 245 milionů zákazníků po celém světě. Telefónica je společnost 100% kótovaná na burze s počtem více než 1,5 milionu přímých akcionářů. Akciový kapitál společnosti zahrnuje 4.921.130.397 kmenových akcií obchodovaných na španělské burze (v Madridu, Barceloně, Bilbau a Valencii) a na burzách v Londýně, Paříži, Frankfurtu, Tokiu, New Yorku, Limě, Buenos Aires a São Paulu.
2. 3 Spojení sil - O2 a Telefónica
O2 a Telefónica je spojením dvou silných, úspěšných, na růst zaměřených společností,
ze
kterého
vzniká
silný
celoevropský/globální
hráč
v oblasti
telekomunikací. Co se týče aktivních uživatelů, s více než 245 miliony zákazníků vznikl sloučením těchto subjektů druhý největší bezdrátový operátor na světě kromě Číny. Takto sloučená skupina je navíc čtvrtým nejhodnotnějším telekomunikačním operátorem na světě s tržní kapitalizací dosahující téměř 150 miliard USD.
71
3. Firemní kultura „Firemní kultura je to, jak se chováme jeden k druhému, k zákazníkovi, co říkáme, jak se oblékáme, jak spolu mluvíme, jak komunikujeme, jak se dokážeme vcítit jeden do druhého, jak dobře vykonáváme svou práci, jaké máme ambice, jak umíme dotáhnout věci. K tomu patří i řada dalších doprovodných věcí, jako výzdoba na chodbách, barvy, celé stěny apod. Každý, kdo přijde do firmy, okamžitě firemní kulturu cítí. Někdy to ani neumí pojmenovat, ale všichni to vnímají, stejně jako my.“ Takto definoval Ron Clarke, ředitel pro vzdělávání a rozvoj zaměstnanců firemní kulturu společnosti.
4. Hodnoty společnosti Telefónica O2 Czech Republic, a. s. si vytyčila čtyři základní hesla, která shrnují, za jakou společnost se O2 považuje, potažmo k jakému cíli chce díky těmto hodnotám dospět. Jejich hlavní body uvádím: 1/ Smělí Jsme jiní než ostatní a stále něčím překvapujeme. Věříme si, ale nejsme arogantní. Přicházíme s novými, zajímavými a praktickými nápady, které splňují potřeby našich zákazníků. Jsme značka plná energie a života. 2 /Otevření Mluvíme otevřeně, říkáme věci tak, jak skutečně jsou. Nic netajíme. Hledáme pro své zákazníky nové možnosti.
72
3/ Důvěryhodní Rozumíme svým zákazníkům. Jsme precizní, pravdomluvní a neslibujeme nemožné. Máme velmi blízko ke svým zákazníkům, vždy se jim snažíme pomoci, podpořit je a vyjít jim vstříc, cítíme k nim zodpovědnost. Zákazníkům nic nevnucujeme, nasloucháme jim. 4/ Srozumitelní Složité technologie přinášíme v jednoduché, srozumitelné a snadno použitelné podobě. Vyjadřujeme se jasně a přímo k věci. Vyhýbáme se nesrozumitelným odborným výrazům, mluvíme stejnou řečí jako naši zákazníci. „Ačkoliv od integrace uběhla poměrně dlouhá doba, stále je pro nás všechny osobně nezbytné pracovat na společné kultuře a na etickém chování. Neboť jak se chováme uvnitř, sami k sobě, chováme se i navenek. Jedním z nástrojů etického chování jsou nové integrované Etické zásady podnikání - naše hodnoty zůstávají stejné jako doposud, nově jsou navíc podpořeny hodnotami skupiny Telefónica. Byli bychom rádi, kdyby jste je přijali za své ve svých každodenních činnostech a řídili se jimi. Věříme, že Vám pomohou při řešení Vašich etických dilemat. Protože žádnou úspěšnou změnu nelze nařídit směrnicemi či normami. Změnu můžeme přinést jen MY všichni společnými silami.“ Představenstvo společnosti Telefónica O2 Czech Republic, a.s. tento proces podpořilo (dne 25. června 2007) schválením zavedení integrovaných Etických zásad podnikání (Business Principles) skupiny Telefónica ve skupině Telefónica O2 Czech Republic (kterou tvoří mateřská společnost Telefónica O2 Czech Republic, a.s. a její dceřiné společnosti). Etické zásady podnikání odráží firemní hodnoty a zásady skupiny Telefónica a stanovují principy chování a jednání všech jejích zaměstnanců. Zároveň jsou tyto zásady součástí úsilí o budování dobrého jména a značky O2 a základním rámcem pro zavádění postupů a pracovních metod, na nichž jsou budovány vztahy se zákazníky, akcionáři, zaměstnanci, dodavateli a celou společností jako takovou.
73
Plnění těchto Etických zásad podnikání všemi zaměstnanci je jednou z priorit skupiny Telefónica. Odpovědností všech zaměstnanců skupiny Telefónica je naplňovat smysl a literu tohoto dokumentu a usilovat o to, aby byl dodržován také ostatními. Etické zásady podnikání nemohou předvídat všechny možné situace, ale nastavují základní principy, jež by měly převládat v rámci chování zaměstnanců: jednat čestně a profesionálně v každé situaci, která může nastat.
5. Správní orgány společnosti O2
Valná hromada Valná hromada, kterou tvoří akcionáři, rozhoduje o zásadních hospodářských, organizačních a provozních záležitostech. Její působnost a pravomoci určují Obchodní zákoník a Stanovy. Představenstvo svolává valnou hromadu zpravidla jednou ročně. Základní informace o valné hromadě, jejím postavení a působnosti jsou uvedeny v článcích 7–13 Stanov společnosti. Dozorčí rada Dozorčí rada je složena z 15 členů a dohlíží na výkon působnosti představenstva a realizaci podnikatelské činnosti společnosti. Složení, působnost a pravomoci dozorčí rady určují Obchodní zákoník a Stanovy. Dozorčí rada zasedá podle potřeby, zpravidla jednou za čtvrtletí, nejméně však 4krát v kalendářním roce. Dvě třetiny členů dozorčí rady volí a odvolává valná hromada, jednu třetinu členů dozorčí rady volí a odvolávají zaměstnanci společnosti. Funkční období členů dozorčí rady je stanoveno na dobu pěti let. Základní informace o dozorčí radě a její působnosti jsou uvedeny v článcích 20–25 Stanov společnosti.
74
Výbor pro audit Výbor
pro
audit
má
šest
členů
a
je
samostatným
orgánem
společnosti s posílenou působností v záležitostech týkajících se statutárního auditu, sestavování a ověřování finančních výkazů a hodnocení účinnosti vnitřního kontrolního systému společnosti. Členové výboru pro audit jsou voleni a odvoláváni valnou hromadou společnosti a jeho členy mohou být členové dozorčí rady nebo třetí osoby. Funkční období členů výboru pro audit je pětileté. Výbor pro audit se schází dle potřeby, zpravidla jednou za čtvrtletí, nejméně však čtyřikrát v kalendářním roce. Základní informace o výboru pro audit a jeho působnosti jsou obsaženy v článcích 26a-26f Stanov společnosti.
Představenstvo Představenstvo společnosti má 7 členů a je statutárním orgánem, jenž řídí činnost společnosti a jedná jejím jménem. Představenstvo rozhoduje o všech záležitostech společnosti, které nejsou právními předpisy nebo Stanovami vyhrazeny do působnosti valné hromady nebo dozorčí rady společnosti. Představenstvo zasedá zpravidla jednou za kalendářní měsíc, nejméně však dvanáctkrát v kalendářním roce. Členy představenstva volí a odvolává dozorčí rada společnosti. Funkční období členů představenstva je pětileté. Základní informace o představenstvu a jeho působnosti jsou uvedeny v článcích 14–19 Stanov společnosti.
Výbory dozorčí rady Nedílnou součástí správy společnosti jsou Výbory dozorčí rady, které zřizuje dozorčí rada v rámci svých kompetencí jako své poradní a iniciační orgány. Dozorčí rada zřizuje vždy Výbor pro jmenování a odměňování. Členové výborů jsou voleni a odvoláváni dozorčí radou a jejich funkční období trvá 2,5 roku. Výbory dozorčí rady mohou být složeny pouze ze členů dozorčí rady. Působnost Výborů dozorčí rady je vymezena v článku 26 Stanov společnosti. Ve společnosti jsou zřízeny tyto Výbory dozorčí rady:
75
Výbor pro jmenování a odměňování
Výbor pro etiku a společenskou odpovědnost.
76
Praktická aplikace 6. Přijímání nových zaměstnanců
Společnosti Telefónica O2 Czech Republic, a. s. nábor nových zaměstnanců zprostředkovává především personální agentura Adecco na základě smluvního vztahu mezi oběma organizacemi. Tato spolupráce pokračuje již šestým rokem. Internetové stránky, kde si může uchazeč o práci zjistit potřebné informace o této personální agentuře, jsou www.adecco.cz. Tam najde vše potřebné její potenciální klient, coby zaměstnanec, najdeme zde samozřejmě sekci pro zaměstnavatele. O2 zadává agentuře požadavek, jaký profil by měl uchazeč mít, na základě tohoto inzeruje agentura nabídku práce – nejčastěji přes internet (např. www.jobs.cz), v regionálním tisku nebo přímo v dané pobočce agentury(letáčky, upoutávky). Již v základním menu záložky O Adeccu si můžeme přečíst právní prohlášení firmy a také text věnovaný ochraně osobních údajů. A tady je jeho konkrétní podoba:
Ochrana osobních údajů Společnost Adecco, spol. s r. o. respektuje Vaše soukromí. K hodnotné realizaci nabídky našich služeb je však potřeba znát některá osobní data uchazečů o zaměstnání. Shromažďujeme, uchováváme a zpracováváme pouze osobní údaje osob, které potřebujeme za účelem naplnění našich služeb. Tato data jsou přísně chráněna proti zneužití. Postupujeme v souladu se zákonem č. 101/2000 Sb. ve znění pozdějších předpisů. Znalost požadovaných osobních údajů je nezbytná i pro poskytování našich služeb na potřebné úrovni. Adecco, spol. s r.o. je společnost registrovaná u Úřadu na ochranu osobních údajů. Při zprostředkování zaměstnání je nutná registrace kandidáta o zaměstnání. Při registraci se, prosíme, seznamte důkladně se všeobecnými podmínkami. Adecco používá Vaše osobní údaje k těmto účelům: - aby Vám ve Vašem zájmu poskytlo požadovanou službu na nejlepší možné úrovni - aby Vás mohlo identifikovat aby s Vámi
77
mohlo podle potřeby komunikovat - aby je mohlo statisticky zpracovat Poskytnutím údajů souhlasíte se shromažďováním a zpracováním Vašich osobních údajů za účelem zaměstnání a zprostředkování zaměstnání. Naše databáze je přísně chráněna před zneužitím. Vaše osobní data jsou důvěrná. Adecco, spol. s r.o. neposkytuje Vaše osobní údaje třetím osobám v rozporu se zákonem a za účelem jejich shromaždování, v rozporu s Vašimi zájmy nebo pokyny a třetí osobě jsou poskytována jen v rámci uvedeného účelu. Třetím osobám nebo veřejnosti může být poskytována pouze souhrnná statistická informace. Tato statistika neobsahuje žádnou informaci, která by vedla k identifikaci některého z kandidátů. Samozřejmě, pokud si to budete výslovně přát, tak budou na Vaše přání zlikvidována Vaše osobní data a údaje z naší databáze. Případné změny ve firemní politice ochrany osobních údajů zveřejníme na těchto stránkách, nevyžaduje–li zákon jinak.
Uchazeč o práci vyplňuje v agentuře dotazník. Ten slouží agentuře samozřejmě pro informace o tom, jaký pracovní profil uchazeč má a také slouží pro další fázi přijímacího řízení, čímž je osobní pohovor se zástupcem agentury. Pakliže je kandidát na pracovní místo dle pohovoru v agentuře vhodný, pokračuje další fáze, a to je osobní pohovor přímo se zástupci dané firmy. Nyní se zastavíme u již zmíněného dotazníku. V teoretické části jsme si definovali, jaké údaje od nás personalista může a nesmí požadovat, když nahlédneme do tohoto dotazníku, zjistíme, že je naprosto vše v pořádku a jsou po nás chtěna základní data jako jméno, příjmení, adresa, datum narození, nikoliv však rodné číslo. Důležitá pro personalistu je samozřejmě část o našem vzdělání, odborných dovednostech, případných osvědčeních, vlastnictví řidičského průkazu, jazykových a počítačových znalostech atd. Pro nás je zase důležité vědět, že jsou po nás požadována data v rozsahu, v jakém je náš budoucí zaměstnavatel potřebuje znát. Jak již bylo zmíněno v teorii, na každém dotazníku musí být informace o zpracování osobních údajů a v jakém rozsahu, což daná listina bezesporu splňuje, a že jsme byli s tímto faktem seznámeni, stvrzujeme svým podpisem.
78
Protože je tento dotazník předkládán každému, kdo si přes agenturu Adecco hledá práci, poprosila jsem pobočku Adecca v Českých Budějovicích o spolupráci v souvislosti s touto diplomovou prací. Určitě je totiž na místě také vědět, jak se k poskytování svých osobních údajů staví sami uchazeči o práci, ať už se hlásí na dělnickou či manažerskou pozici. Agentura mi vyšla maximálně vstříc, tudíž jsem vytvořila vlastní dotazník, abych zjistila, kterak se lidé ke svým osobním údajům a jejich ochraně staví. Podoba dotazníku byla taková:17 Dotazník Dobrý den, jsem studentkou Vysoké školy ekonomické a chtěla bych Vás touto cestou požádat o pomoc při sběru cenných podkladů pro moji diplomovou práci na téma ochrany osobních údajů. Informace, které v tomto dotazníku poskytnete, zůstanou anonymní a budou sloužit výhradně pro statistickou analýzu potřebnou pro zpracování tohoto tématu. 1. Kolik je Vám let? □ 15 – 19 let (26 %) □ 20 – 24 let (29%) □ 25 – 35 let (24%) □ 36 – 49 let (16%) □ nad 50 let (5 %) 2. V jakém zaměstnaneckém poměru jste se naposledy nacházel? □ Student (31%) □ Zaměstnaný v soukromé sféře (47%) □ Zaměstnaný ve veřejné sféře (22%) _____________________ 17
V závorkách jsou pro již uvedeny výsledky výzkumu.
79
3. Myslíte si, že jsou Vaše osobní data v rámci personální agentury dobře chráněna? □ Ano, určitě se s nimi nemůže nic stát. (6%) □ Spíše ano, pravděpodobnost zneužití je malá. (29%) □ Spíše ne, je tu docela velké riziko. (5%) □ Určitě ne, zneužít se dá všechno. (43%) □ Nevím. (3%) □ Nezáleží mi na tom. (14%) 4. Myslíte si, že jsou Vaše osobní data zneužitelná? □ Rozhodně ano. (18%) □ Spíše ano. (21%) □ Spíše ne. (25%) □ Rozhodně ne. (18%) □ Nevím. (18%)
5. Myslíte si, že mohou dotazníky ohrozit Vaše soukromí? □ Rozhodně ano. (51%) □ Spíše ano. (9%) □ Spíše ne. (11%) □ Rozhodně ne. (15%) □ Nevím (14%) 6. Dáváte si pozor na své osobní údaje? □ Ano, dodržuji všechna pravidla. (19%) □ Snažím se, ale občas polevím v obezřetnosti. (66%) □ Jak kdy. (11%) □ Ne, když je někdo bude chtít, tak je stejně získá. (2%) □ Ne. (2%)
80
A co z tohoto průzkumu vyplývá? Myslím, že poměrně velká část lidí si důležitost svých osobních údajů ještě zcela neuvědomuje. Dle mého názoru je to ta část populace, kterým ani oddělení veřejné a soukromé sféry mnoho neříká, a od kterých se třeba v městské hromadné dopravě na základě jejich hlasitého soukromého hovoru dozvíme, aniž bychom chtěli, co včera konali, co měli dnes k snídani, a jak bude vypadat jejich zítřek. Je tady na místě na tyto lidi stále apelovat, ať už formou sdělovacích prostředků či jinak, aby si vážnost předávání svých údajů plně uvědomili, jednou by totiž mohlo být pozdě. Vůbec ne, že bych to někomu přála, ale když nám např. někdo odcizí doklady, a my už jejich ztrátu na Policii ČR nenahlásíme, nemůžeme se potom divit, když se nám po nějakém čase ozve společnost prodávající ledničky, že neplatíme splátky, a samozřejmě nám to spočítá i s úroky, a to doslova. Větší skupinu respondentů naštěstí tvoří lidé, kterým ochrana osobních údajů něco říká, a také se podle toho chovají. Uvědomují si zneužití dat prakticky kdykoliv a kdekoliv, a mají také povědomí o tom, že nějaký zákon, který pamatuje na ochranu jejich osobních dat, existuje. Myslím, že to bude z velké části právě hromadnými sdělovacími prostředky, kteří toto téma dle mého názoru poměrně často opakovaně přinášejí, ať už se jedná o únik dat bankovních klientů nebo s tím spojenou trestnou činnost, kdy se na základě PINu naší bankovní karty pachatel dostane v mžiku k našim financím, nebo se najdou někde na skládce sčítací listy z roku 2001, protože je „někdo nezodpovědný“ pozapomněl (nebo nepozapomněl, ale jen si chtěl ušetřit čas a práci?) skartovat tak, jak se mají tyto dokumenty správně likvidovat, a vyhodil je do směsného odpadu. Všechno je to určitě na každém z nás, našem přístupu a ochotě se o tomto tématu i o tématu, který velmi úzce souvisí, a to je stále rozvíjející se technika, dozvídat co nejvíce, abychom zaprvé věděli, jak se v běžných situacích zachovat, a za druhé neznalost neomlouvá, a to by se nám taky v budoucnu nemuselo vyplatit.
81
7. Pracovní poměr v O2 a osobní údaje
Nyní se vrátíme k pracovnímu poměru v O2. Pakliže je na základě osobního pohovoru přímo ve firmě uchazeč přijat, neznamená to, že se hned stává kmenovým zaměstnancem firmy. Je to samozřejmě v každé organizační jednotce firmy různé, z velké části to záleží na tom, kolik pracovních míst je v O2 obsazeno, zda je prostor pro kmenové zaměstnance či nikoliv. To znamená, pakliže prostor v té dané jednotce firmy není, vybraný uchazeč se stává zaměstnancem firmy Adecco a ta jeho zaměstnavatelem, tudíž veškerá práva a povinnosti pracovního vztahu jsou mezi zaměstnancem a Adeccem, které následně sestavuje pracovní smlouvu mezi oběma stranami, vyplácí zaměstnanci mzdu, odvádí za něho sociální a zdravotní pojištění, poskytuje stravenky zaměstnanci a plní veškeré další povinnosti jako zaměstnavatele. Zaměstnanec je zase povinen veškeré důležité dokumenty dokládat přímo agentuře, mám na mysli zejména doklad o pracovní neschopnosti, případně další náležitosti či skutečnosti, které se bezprostředně týkají naplňování pracovního poměru.
Pokud se naskytne volné místo pro kmenového zaměstnance, je zaměstnanec -„Adekář“ dle svých pracovních výsledků svým přímým nadřízeným doporučen. A tady již dostává od personalistky, ke které je v rámci firmy přidělen instrukce na základě e-mailové pošty. Obsah sdělený určený přímo mé osobě, vypadal takto:
Hezký den, slečno/paní Bošková, protože jste přijala nabídku pracovat v naší společnosti na pozici Konzultant pro retenci zákazníků a já, coby Vaše personalistka, budu o Vás v tomto směru pečovat, posílám Vám materiály důležité pro nástup nového zaměstnance. Prosím, vyplňte kompletně osobní dotazník a odešlete ho na mou e-mailovou adresu, zároveň si ho vytiskněte a při podpisu pracovní smlouvy jej 2x podepíšete. Zároveň Vás chci požádat o naskenování a zaslání e-mailem Vaší barevné fotografie klasického občankového typu ve formátu .jpg, fotografie bude umístěna na firemním intranetu a bude použita na výrobu Vaší zaměstnanecké vstupní karty.
82
Je třeba, abyste absolvovala lékařskou vstupní prohlídku. Zavolejte si co nejdříve do společnosti Santé na tel.č. 1212, kde oznámíte nástup do společnosti Telefónica O2 a oni už Vás nasměrují na lékaře, u něhož tuto prohlídku absolvujete. Před návštěvou ordinace vytiskněte 2x potvrzení o lék. prohlídce (v příloze), vezměte ho s sebou, po vyplnění výsledku LP si lékař jedno vyhotovení nechá a 1 vyhotovení si zatím ponecháte, později ho odevzdáte při podpisu pracovní smlouvy. Za prohlídku NEBUDETE PLATIT! Přiložené formuláře o školení v PO a BOZP si – prosím – pouze prostudujte, podepíšete je, až Vám je předá při podpisu pracovní smlouvy paní Píchová. Pokud byste potřebovala cokoliv ujasnit a vysvětlit, určitě mne kontaktujte, jsem Vám plně k dispozici.
Tak, a jsme u osobního dotazníku, zmíněného v teoretické části. Najdeme ho na konci této práce jako přílohu č. 3. Již jsme plnohodnotní zaměstnanci firmy, a je potřeba jí sdělit plno údajů pro plnění zákonných povinností. V části 1 dotazníku už je po nás požadováno rodné číslo, které bezesporu plní na tomto místě funkci pro odvody sociálního a zdravotního pojištění. Je zde požadována naše státní příslušnost, nikoliv však naše národnost, což by byl citlivý údaj. Pakliže bychom v minulosti pracovali v zahraničí, i tady jsou samozřejmě zákonné povinnosti toto oznámit opět pro účely pojištění. Ale především – i na dotazníku O2 je po nás požadován souhlas ke zpracovávání osobních údajů, na tomto místě včetně naší fotografie, který stvrzujeme podpisem. Myslím si, že výňatek ze souhlasu „mé osobní údaje budou sloužit pro potřeby těch útvarů zaměstnavatele, které se na plnění příslušných činností v rámci své působnosti podílejí“ není moc dobře srozumitelný, protože konkrétně kterých útvarů se toto týká se už nepíše a není to ani v žádných interních dokumentech přesně specifikováno. Naštěstí následující věta v souhlasu nás utvrzuje v tom, že „osobní údaje budou zpracovávány a spravovány výlučně pro účely související se zaměstnaneckým vztahem a v souladu se zákonem o ochraně osobních údajů.“ Co se týká naší fotografie, je z dotazníku jasné, že také toto musíme zaměstnavateli poskytnout, protože je podmínkou pro vznik pracovního poměru.
83
V souladu se zákonem č. 101/2000 Sb. je toto chování našeho zaměstnavatele taktéž. Společnost O2 je samozřejmě jedna z největších v ČR, co se počtu zaměstnanců i počtu budov týče, je tudíž jasné, že vstupy do budov jsou zajištěny na základě čipu a turniketů, aby se třetí osoby nepohybovali v těchto prostorách neoprávněně a zaměstnanecké karty je tudíž potřeba. V praxi to vypadá tak, že vrátný budovy okamžitě na svém monitoru vidí, kdo jmenovitě právě turniketem vešel. Někdo by se mohl ptát, proč i s fotografií? O2 je samozřejmě účastna řady vedlejších aktivit, jako je např. nadace O2, pořádání kulturních a sportovních akcí, pořádání teambuildingů pro své zaměstnance, pořádání hudebních festivalů atd. Při těchto příležitostech, pakliže se chci prokázat, že jsem zaměstnancem O2, je potřeba naší fotografie. Pokud budu mít nárok na služební telefon18, objednám si jej přes firemní intranet, a vyzvednu si jej na mnou určené značkové prodejně. I tady nastává situace, kdy je po mě požadována moje osobní karta i s fotografií. Jak vypadá profil zaměstnance na celofiremním intranetu, vidíme zde:
_____________________ 18
nárok vzniká po uplynutí zkušební lhůty
84
Vidíme, že již na základě příjmení zaměstnance se lze o svém „kolegovi“ dozvědět poměrně dost informací, a to já mohu být v Českých Budějovicích a druhá strana například v Ostravě. Když se pozorně podíváme na obrázek, vidíme pod fotografií zelený pruh, v němž je osobní číslo zaměstnance, a když se v levé části obrázku podíváme do legendy, zjistíme že daný pracovník dnes není přítomen v práci, takže může čerpat řádnou dovolenou nebo je na pracovní neschopnosti. Zkrátka, na první pohled zjistíme, na jaké adrese sídlí, veškerá spojení od telefonních čísel po e-mail, u tohoto pracovníka, že vlastní titul „Bc.“, dále kdo je jeho nadřízený, jaká je jeho pozice a v jaké divizi. Toto všechno, kdyby chtěl kdokoliv nějaký způsobem využít, v horším případě zneužít, určitě tomu v rámci firmy nijak nezabráníme. Mohu však potvrdit, že tento telefonní seznam společnosti je určitě výborná, a hlavně nezbytná věc, denně chodí napříč firmou značné množství e-mailů, kdybychom si nevěděli s nějakou konkrétní situací rady, určitě je potom velice snadné díky tomuto seznamu vyhledat tu správnou osobu a obrátit se na ni. Součástí e-mailové komunikace od mé personalistky byly kromě osobního dotazníku také velice cenné informace k nástupu, které pro úplnost dokládám: INFORMACE K NÁSTUPU NOVÉHO ZAMĚSTNANCE Vážená paní, vážený pane, jsme rádi, že jste po úspěšném absolvování výběrového řízení přijal/a nabídku zaměstnání v naší společnosti. Nástup do zaměstnání je významnou událostí v životě člověka, věnujte mu prosím náležitou pozornost. Pro podpis pracovní smlouvy (nejpozději v den nástupu) budete potřebovat:
Občanský průkaz
Záznam o vykonané vstupní prohlídce (spol. SANTÉ, objednávky 1212 ) - (po dohodě lze dodat v pozdějším termínu)
Výpis z trestního rejstříku nebo potvrzení o zažádání
85
Zápočtový list od posledního zaměstnavatele (po dohodě lze dodat v pozdějším termínu)
Potvrzení úřadu práce u nezaměstnaných
Osoby samostatně výdělečně činné (OSVČ) předloží potvrzení OSSZ
Při pobírání jakéhokoliv důchodu doklad o jeho pobírání a rozhodnutí o přiznání ZPS nebo invalidity
Číslo Vašeho bankovního účtu pro zasílání mzdy
Kartičku zdravotní pojišťovny
Fotokopii dokladů o nejvyšším ukončeném vzdělání-pokud jste již dříve nepředložil/a
SŠ - maturitní vysvědčení
VŠ - diplom
Dokumenty požadované navíc u cizinců:
Povolení k pobytu a zaměstnání
Název a číslo cizozemského nositele pojištění
Dovolujeme si Vás upozornit, že tyto doklady jsou nezbytně nutné pro vznik pracovního poměru. V případě jejich nedodání bude Vaše přijetí oddáleno na pozdější dobu. Pro získání dalších informací kontaktujte mailem nebo telefonicky níže uvedenou personalistku. Přejeme Vám hodně úspěchů a těšíme se na spolupráci s Vámi.
Podle mého názoru, všechny tyto údaje souvisí s vykonáváním pracovního poměru, neshledala jsem zde žádný rozpor mezi tím, co by ukládal zákon a tím, co po nás vyžaduje náš zaměstnavatel při vzniku pracovního poměru.
86
7.1 Pracovní smlouva s O2
Pracovní smlouva zajišťuje nástup do zaměstnání k určitému datu. Nyní se na ni podíváme podrobněji. Smlouva se samozřejmě řídí zákoníkem práce, my se na ni podíváme z pohledu ochrany osobních údajů. V minulosti na tuto problematiku nebyl kladen takový důraz, ochraně osobných údajů byl věnován pouze jeden „souhrnný“ bod. Nyní jsou smlouvy ošetřeny zákonem č. 101/2000 Sb. mnohem lépe. Ochraně osobních údajů je věnován v pracovní smlouvě článek VI. a to, v bodech 3 až 9: Bod 3: Zaměstnanec souhlasí s tím, aby zaměstnavatel zpracovával jeho osobní údaje v rozsahu uvedeném v této pracovní smlouvě, Osobním dotazníku a další osobní údaje, které mu sdělil nebo sdělí v souvislosti se vznikem a trváním pracovního poměru. Zaměstnanec uděluje souhlas na dobu trvání pracovněprávního vztahu a na dobu po jeho skončení do vypořádání práv a závazků z něj vyplývajících. Zaměstnavatel je oprávněn zpracovávat osobní údaje zaměstnance v souladu se zákonem č. 101/2000 Sb., za účelem plnění činnosti společnosti, která vykonává nejen jako zaměstnavatel, ale i jako podnikatel a subjekt vlastnických práv, zejména pro účely vytváření a realizace programů péče o zaměstnance, vzdělávacích programů, průzkumů spokojenosti zaměstnanců, fotografie na intranetu a fotografie na zaměstnaneckých průkazech a rozesílání marketingových nabídek zaměstnancům. Bod 4: Zaměstnanec souhlasí s použitím jeho fotografie k identifikačním účelům na zaměstnaneckém průkazu a v prostředcích interní komunikace zaměstnavatele po dobu jeho pracovního poměru. Bod 5: Zaměstnanec souhlasí s tím, aby zaměstnavatel zpracovával za výše uvedenými účely jeho osobní údaje sám nebo na základě smluvního vztahu prostřednictvím třetích osob. Bod 6: Zaměstnanec je povinen poskytnout zaměstnavateli osobní údaje, které zaměstnavatel potřebuje k plnění svých zákonných povinností (jméno, příjmení, rodné číslo, trvalý pobyt). V případě, že zaměstnanec tyto údaje neposkytne, nebude
87
zaměstnavatel schopen zajistit uspokojení nároků zaměstnance plynoucích z obecně závazných právních předpisů. Poskytnutí dalších osobních údajů je dobrovolné. Bod 7: Osobní údaje budou zpracovány pouze v rozsahu a za účely výše uvedenými. Osobní údaje budou zaměstnavatelem zpřístupněny zaměstnancům a jiným pověřeným osobám, kteří se podílejí na plnění výše uvedených činností zaměstnavatele. Osobní údaje zaměstnance budou zpracovávat manuálně nebo pomocí prostředků výpočetní techniky k tomu pověřené osoby. Bod 8: Zaměstnanec má právo na přístup k osobním údajům a má právo na jejich opravu. Bod 9: Zaměstnanec má právo obrátit se na zaměstnavatele a žádat vysvětlení nebo odstranění závadného stavu, nebo se za podmínek stanovených ZOÚ obrátit na Úřad pro ochranu osobních údajů. Ostatní práva zaměstnance jsou stanovena v ustanovení § 21 ZOÚ.
Co z tohoto výčtu bodů zaměřujících se na ochranu osobních údajů zaměstnanců v pracovní smlouvě vyplývá? Podíváme-li se zpětně do zákona č. 101/2000 Sb., je bezesporu jasné, že zaměstnavatel ve stadiu tvorby pracovní smlouvy zcela jistě neopomenul tuto důležitou právní normu a vše, čemu jsme se v teoretické části věnovali, mám tím na mysli náš souhlas k poskytnutí, zpracovávání – i s případným zpracováváním dalším subjektem, důležitou informaci, po jakou dobu bude zaměstnavatel s údaji nakládat, možnost náhledu a opravy našich osobních údajů a důležitým odkazem na Úřad pro ochranu osobních údajů, můžeme v tomto dokumentu ocenit jedničkou s hvězdičkou.
88
7.2 Benefity Letmo se chci zmínit o dalším faktu, proč může být po zaměstnancích firmy O2 požadováno v dalších situacích souvisejících s jejich zaměstnáním další množství jejich osobních údajů. O2 v rámci své politiky totiž poskytuje širokou škálu zaměstnaneckých benefitů. Jejich výčet je takový:
Příspěvek na penzijní připojištění,
Příspěvek na životní pojištění,
Sleva na telekomunikační služby společnosti,
Zboží ze značkových prodejen společnosti,
Dovolená, kultura, sport, zdraví a vzdělávání,
Havarijní pojištění služebního vozidla,
Podpora zaměstnanců s dětmi v předškolních zařízeních,
Příspěvek na vzdělávání, stavební spoření včetně splácení úvěru, dopravu do
zaměstnání,
pojištění
odpovědnosti
za
škody
způsobené
zaměstnavateli či havarijní pojištění soukromého vozidla a pojištění denní dávek v nemoci,
Péče o zdraví,
Jazykový poukaz na výuku angličtiny, španělštiny nebo češtiny.
Z těchto benefitů si na základě svých preferencí každý zaměstnanec vybere, který konkrétně chce čerpat, případně libovolnou možnou kombinaci těchto benefitů. Je každému asi jasné, že co se týká různých příspěvků na pojištění, zaměstnanec bude muset doložit další důležité dokumenty pro poskytnutí tohoto benefitu. Mám tím na mysli doložení různých smluv u různých finančních institucí, a s těmito dokumenty úzce souvisí nic jiného, než opět další várka našich osobních údajů. Takže ne, že bychom v rámci našeho pracovněprávního vztahu museli ihned uvádět tvar státní poznávací značky našeho vozidla, v rámci dosažení benefitu na havarijní pojištění soukromého vozidla se s touto informací náš zaměstnavatel dřív nebo později setká.
89
A když si vybereme služební mobilní telefon? Tak to si ho potom půjdeme vyzvednout na určenou značkovou prodejnu O2, a co že tam po nás tamní personál bude požadovat? Nic jiného než naši identifikační kartu zaměstnance s fotografií. Je právě v těchto situacích pochopitelné, že fotografie na našem průkazu má svoje opodstatnění a že osobní číslo zaměstnance, které je na průkazu uvedeno samozřejmě také, by v mnoha případech nebylo zcela úplný identifikátor.
8. Firemní kultura
Již v předchozím textu jsme se si vytyčili, co pojem firemní kultura představuje. A i s tímto souvisí naše osobní údaje. Jak je to možné? Jednoduše. Mám na mysli každoroční narozeniny zaměstnanců. A protože součástí firemní kultury O2 je nezapomínat na své zaměstnance v den jejich narozenin, je to např. v pobočce České Budějovice, kde je zaměstnáno cca 120 zaměstnanců, zařízeno tak, že na veřejné nástěnce, ke které mají přístup všichni zaměstnanci, jsou vždy na začátku nového měsíce „uveřejněni“ ti, kterých se v daném měsíci narozeniny týkají, a také samozřejmě jejich konkrétní datum. Asi se shodneme na tom, že gratulace k narozeninám prostě patří, a že je určitě milé si v hektickém pracovním dni udělat byť jen malou chvilku na to, popřát svému kolegovi, přímému nadřízenému nebo podřízenému v jeho den. Je to běžná praxe mnoha firem či institucí, pravdou ovšem zůstává, že i tady narážíme z hlediska ochrany osobních údajů na otázku, zda je to vlastně v pořádku? Protože přeci, když už je uveřejňováno moje datum narození, jde o můj osobní údaj, a ten má být přece v mém osobním spisu, a to dobře střežen! A když už tedy s takovým chováním budu souhlasit, nikdo se mě ale neptal, jestli k tomuto dávám souhlas a už vůbec ne, na jak dlouho!! Z vlastní zkušenosti mohu podotknout, že se ještě v rámci mého zaměstnání nenašel nikdo, komu by uveřejnění jeho data narození za účelem gratulace vadila. Pakliže by se někdo takový našel a vznesl námitky, je povinností
90
zaměstnavatele tento jeho údaj dále nezveřejňovat. V této situaci, ostatně jako v jakékoliv jiné oblasti každodenního života, je určitě na místě používat cit, nejenom se řídit striktně danými právy a povinnostmi, ale chovat se lidsky, a myslím si, že v tomto případě se o zneužití osobních údajů v žádném případě nemůže jednat.
9. Data zaměstnance v O2
Nyní se zaměřme, kde přesně krom našeho osobního spisu, který je uložen u naší personalistky, mohu své osobní údaje v rámci společnosti O2 vyhledat, případně pozměnit nebo návrh na změnu podat. Personálně-mzdová jednotka vede přesnou evidenci osobních údajů o všech zaměstnancích společnosti. Rozsah evidovaných údajů je vymezen stanoveným účelem a osobním dotazníkem. Veškeré osobní údaje zaměstnanců jsou důvěrné. Personálně-mzdová jednotka odpovídá za jejich ochranu v souladu se směrnicí SM000549 Ochrana informací, jejíž dodržování je také součástí pracovní smlouvy. Osobní údaje jsou zaměstnanci přístupné v aplikaci Data zaměstnance.
Hlášení změn O změnu osobních údajů, vč. trvalého bydliště, stavu, zdravotní pojišťovny musí zaměstnanec včas zažádat v aplikaci Data zaměstnance. Zároveň musí hlásit i další změny, které mají vliv např. na uplatňovaní daňových slev a zvýhodnění. Tyto změny hlásí písemně u své personalistky. Změnu všech evidovaných údajů a zejména zdravotní pojišťovny je zaměstnanec povinen nahlásit do 8 kalendářních dnů. V případě, že zaměstnanec nebude moci prokázat, že změny nahlásil v řádném termínu, a společnosti vznikne v důsledku pozdního oznámení škoda, může od něj společnost požadovat úhradu penále vyměřeného příslušnou institucí za dlužné částky.
91
Jak vypadá aplikace Portál 2000, jejíž součástí je aplikace Data zaměstnance, můžeme vidět na následujícím obrázku:
A obrázek níže ukazuje Profil zaměstnance, který je samozřejmě součástí dat zaměstnance:
Společnost v rámci plnění požadavků právních předpisů a systémových norem udržuje a rozvíjí efektivní systém pravidelného proškolování zaměstnanců. Veškerá normativní školení a školení související s integrovaným systémem řízení pro všechny zaměstnance jsou hrazena ze speciálně vyčleněného rozpočtu jednotky LZ. Jednou z forem normativních školení je e-learning v prostředí Virtuální univerzity; tam, kde je
92
to nutné, jsou pro zaměstnance organizována prezenční školení. Požadavky na normativní školení/zkoušky vycházejí z kvalifikačních deficitů právě v aplikaci Profil zaměstnance. Tady každý zaměstnanec najde detailní informace, seznam požadovaných normativních zkoušek a postup nutný pro splnění každé zkoušky.
10. Docházka
Aplikace Docházka je určena pro evidenci nepřítomností a sběr autorizovaných podkladů pro následné zpracování mezd a kalkulace nákladů na základě vykázaných aktivit. Evidují se nepřítomnosti a skutečnosti ovlivňující výši mzdy, a to minimálně s přesností odpovídající měsíčnímu intervalu zpracování mezd, tzn. že některé informace mohou být zadány souhrnně za celý měsíc. Data v aplikaci Docházka jsou základním podkladem pro výpočet mzdy zaměstnance a nároku na stravenky. Uživatelé aplikace docházka jsou:
zaměstnanec – vyplňuje nepřítomnosti, mzdové náhrady a příplatky a odešle je ke schválení,
nadřízený - vyplňuje vlastní nepřítomnosti, mzdové náhrady a příplatky, vyplňuje či schvaluje nepřítomnosti, mzdové náhrady a příplatky podřízených,
asistent – vyplňuje
a schvaluje nepřítomnosti, mzdové náhrady
a příplatky zaměstnanců, pro něž je nastaven jako asistent a pro přímé podřízené těchto zaměstnanců,
93
personálně-mzdový specialista – schvaluje vybrané nepřítomnosti, poradí
zaměstnanci
v případě
dotazů
či
problémů,
s výjimkou
technických . Zajímavostí pro účely této práce je v Portále 2000 také odkaz na Virtuální univerzitu a katalog kurzů. Z jakého důvodu? Každého jistě bezesporu napadne, že se bude jednat o vzdělávání formou nějakých kurzů, ale co to má společného s ochranou osobních údajů? Mnoho, protože zaměstnanci samozřejmě nemají povinnost chránit pouze svoje údaje, ale především údaje firemních zákazníků, jak to z podstaty zaměření činnosti společnosti O2 logicky vyplývá. E-learning E-learning je jedním z možných typů vzdělávacích kurzů v prostředí Virtuální univerzity, a je využíván pro: normativní školení, Etické zásady podnikání (a případně další kurzy podle pracovní náplně např. Soutěžní právo, Ochrana osobních údajů), distribuci produktových znalostí při školení nových zaměstnanců, uvádění nových produktů na trh, pro testování znalostí zaměstnanců v rámci různých certifikací, v případě zavádění nových systémů a aplikací do firemní praxe. Etické zásady podnikání jsem již zmínila v textu výše při charakteristice organizace, na tomto místě je vhodné zmínit skutečnost, jaký konkrétní kurz jsem já osobně v rámci své práce absolvovala, a tím není žádný jiný než kurz „Ochrana osobních údajů“. Myslím si, že je vhodné na toto upozornit, protože v zaměstnání, kdy zaměstnanec přichází do styku se zákazníky opravdu denně, je nutné toto téma velice detailně znát, a já chválím O2 za to, že na své zaměstnance v rámci vzdělávání rozhodně nezapomíná. Není to jenom o tom, „nastuduj si občanský zákoník a zákon
94
č. 101/2000 Sb., abys jako správný a hlavně znalý občan věděl, jak se máš chovat“, což je samozřejmě naší povinností právo znát, protože – jak už bylo několikrát v této práci zmíněno, neznalost neomlouvá – ale samozřejmě tyhle kurzy lze chápat i jako prevenci společnosti před případnými budoucími nepříjemnostmi, které by ji z hlediska právního mohly potkat. Certifikát o absolvování kurzu dokládám jako přílohu č. 4.
Z pohledu zabezpečení údajů zaměstnanců v O2 dle mého názoru je vše v pořádku. Do aplikace Portál 2000 se zaměstnanec přihlašuje na základě svého loginu, který obsahuje dvě počáteční písmena jeho křestního jména, poté 0 a bez mezer pokračující jeho osobní číslo, tedy např.: ma058663, z čehož si každý může odvodit osobní číslo ve tvaru 58663, a dále na základě hesla, které si každý zaměstnanec zvolí sám. Prvotní heslo dostane při nástupu přidělené IT jednotkou, nicméně je v jeho zájmu si heslo změnit, koneckonců je to i jeho povinností. Heslo má pevně danou strukturu, jak má být zadáno: celkem osm znaků, z čehož první dvě písmena velká, druhá dvě písmena malá, další dvě číslice a další dva jiné znaky, jako např. hvězdička, plus, pomlčka apod. Tedy tvar hesla do aplikace Portál 2000 by mohl být pro představu takový: Toma11**. Heslo se také pravidelně obměňuje, samozřejmě právě z důvodu ochrany osobních údajů, k čemuž nás pravidelně systém zhruba v dvouměsíčním intervalu vyzývá. Nastanou i takové situace, kdy můžeme heslo zapomenout, i tady se samozřejmě máme na koho obrátit, a to je linka interního HelpDesku, která je pro účely technického zabezpečení určená. Pro úplnost dokládám i spojení: 800150101. Někdo zvídavý by mohl říct, „a co když právě v této situaci je dostatek prostoru pro zneužití a dostání se pracovníkem HelpDesku k mým veškerým údajům od výplatní pásky až po adresu trvalého bydliště?“, ale tady zase zpětně můžeme odkázat na Směrnici M800.SM000549 Ochrana informací i na Směrnici SC00.SM000583, kterou se samozřejmě všichni zaměstnanci musejí řídit, a zaměstnancům IT jednotek je zde věnována ještě samostatná zvláštní kapitola.
95
11. Monitoring
Chtěla bych zdůraznit fakt, že prostory O2 nejsou monitorovány kamerovými systémy, a ani se o jejich zavedení v blízké budoucnosti neuvažuje. Mám na mysli vnitřky budov, jako jsou např. call-centra, provozní budovy, účtárny atd. Co se týká značkových prodejen, situace je jiná, nicméně průmyslové kamery jsou zde instalovány za účelem ochrany zaměstnanců, nikoliv za účelem narušování jejich soukromí – toto je třeba si také uvědomit. Dnešní doba je bohužel taková, že nikdy nevíme, kdy nás na prodejně kvůli stokoruně někdo ohrozí. Stejně tak mohou být monitorována firemní parkoviště, tady to má stejně opodstatněný důvod . Parkoviště může být přístupné pouze na základě naší osobní karty, není to ale ve všech případech stoprocentní. Potom jsou zde kamery z důvodu ochrany majetku, dále z důvodu monitoringu parkování neoprávněnými osobami, protože i když může být na takovém parkovišti jednoznačně uvádějící cedule, kdo zde parkuje, velký počet osob se domnívá, že co není zakázáno, je vlastně dovoleno. Ani hovory uskutečněné přes služební SIM karty nejsou žádným způsobem monitorované. Této otázce byl věnován již v roce 2004 článek tehdejšího právního zástupce firmy. Tehdy se ještě jednalo o Český Telecom, ale je dobré vědět, že již tehdy byla této otázce věnována dostatečná pozornost. V tomto článku je souhrnně zmíněn monitoring jak e-mailové pošty, tak internetu či služebních telefonů, ovšem vylučuje jakékoliv zásahy do soukromí svých zaměstnanců. Samozřejmě, kdyby se mělo jednat o nějaké soudní nařízení, situace je jiná a takovýmto činnostem se útvar Bezpečnost, který má ve společnosti svoje místo, bezpochyby zabývá. Běžná obsluha zaměstnaneckých mobilních telefonů monitorována samozřejmě není.
96
11.1 Monitoring e-mailové pošty zaměstnanců call centra
V pracovní smlouvě
je v článku V., bodě 5 uveden obchodní monitoring,
tj. zaznamenávání komunikace zaměstnance se zákazníky za podmínek upravených právními předpisy a vnitřními předpisy zaměstnavatele. Tento monitoring nemá s osobními údaji svých zaměstnanců mnoho společného, snad jen skutečnost, že se operátoři v telefonických hovorech představují svým celým jménem, ale toto je nezbytnou podmínkou pro vytvoření příjemného prostředí mezi firmou a zákazníkem, a také povinností, pakliže je se zákazníkem jednáno formou, kdy je komunikace přenášena
pouze sluchově nikoliv vizuálně. Proč tedy na tomto místě obchodní
monitoring uvádím, bude zřejmé v zápětí. Zaměstnanci se nahrávají hovory náhodně speciálním nahrávacím softwarem Nice Universe. Pakliže zaměstnanci jeho nadřízený hodnotí hovor, slyší a především vidí na obrazovce monitoru vše, co „se během hovoru na obrazovce dělo“ a bylo zaměstnancem činěno. Je potřeba při hodnocení daného hovoru vidět, jaké aplikace zaměstnanec ke komunikaci se zákazníkem použil, jestli dostupný software dostatečně využívá pro informace, které vedou, ke spokojenosti zákazníka. Toto všechno je v pořádku a je obsahem obchodního monitoringu. Na obrazovku se ovšem během hovoru „prosvítí“ i každý příchozí e-mail, a tady již nesoulad s ochranou osobních údajů zaměstnanců shledávám. Nadřízený totiž má při poslechu hovorů možnost si obsah této e-mailové zprávy přečíst! Dle mého názoru je toto nepřípustné. Když se na toto budeme dívat z pohledu zaměstnavatele, je dobré, když ví, že danému zaměstnanci přichází pouze firemní komunikace a nepoužívá svou pracovní schránku pro soukromé účely. Protože soukromé e-maily má operátor v rámci vykonávání své práce zakázané. Takže chápala bych to tady, že má možnost si takto namátkově dělat svou soukromou statistiku o tom, od koho příchozí pošta pochází – zda je to z interních zdrojů či z vnějšku. A o tom byla také zmínka výše, že není porušování ochrany osobních údajů zaměstnanců, když zaměstnavatel zjišťuje, odkud mail přijde a jak velký objem odchozí pošty zaměstnanec učiní. Je to samozřejmě v jeho zájmu, aby zaměstnanci pracovali efektivně a produktivně. Pro doplnění mohu také podotknout, že je zaměstnanec
97
z hlediska příchozí pošty, která mu přijde během hovoru, značně byt i v hodnocení. Pokud by totiž zaměstnanci měl přijít nějaký e-mail třeba jen od kolegy, netýkal by se pracovní náplně, nýbrž například toho, v kolik hodin půjde jeho kolega na oběd, je zaměstnancův nadřízený oprávněn ohodnotit hovor známkou nejhorší, i kdyby po obsahové stránce zaměstnanec v hovoru exceloval. A to je právě to. Zaměstnavatel by samozřejmě musel odůvodnit, proč hovor takové hodnocení má. Pravdou totiž zůstává, že když se příchozí pošta na monitoru „prosvítí“, určitě zaregistrujeme odesílatele, předmět e-mailu a začátek textu, rozhodně ne celý e-mail. Je pak zřejmé, že si zaměstnavatel musí takovýho e-mail otevřít a přečíst celý, aby mohl známkou nejhorší tento hovor takto ohodnotit a svoje jednání obhájit. Dle mého názoru nemá takové chování a zavádění takových praktik s ochranou osobních údajů nic společného! Se skutečností, že se hovory ohodnocené známkou nejhorší kvůli příchozí poště vyskytují a ne nijak ojediněle, jsem se u svých kolegů již setkala. Určitě je v tomto nastavení pravidel u hodnocení hovorů i jistá dávka nespravedlnosti, protože kdo z nás ovlivní, aby mu zrovna v tuto chvíli nepřišel žádný e-mail? Toto více rozebírat ovšem není předmětem této práce. Jedinkrát jsem se v rámci svého zaměstnání setkala se situací, kdy jedné z mých kolegyň byla na dolní liště počítače viděna při poslechu hovoru soukromá e-mailová schránka. Protože byl tento hovor poslouchán v Praze na marketingovém oddělení, stal se z tohoto „velký problém“, určitě větší než by byl v rámci komunikace na její „domovské scéně v Českých Budějovicích“. Tato kolegyně má povědomí o Listině základních práv a svobod značně silné, takže když tato skutečnost byla mezi ní a jejími nadřízenými probírána a bezděčně se nadřízení přiznali i o faktu, že ví, co bylo předmětem jejího soukromého e-mailu, nenechala to být. Řešila to tedy pouze ústně a argumentovala ochranou osobních údajů. Nadřízení zřejmě museli usoudit, že je kolegyně v tomto ohledu v právu, takže tato „velká kauza týkající se porušení pracovních povinností“ nakonec byla – jak se říká – zametena pod koberec. Když se nad tím člověk zamyslí, kdyby to chtěl někdo řešit dál, jak by to asi dopadlo? Dle mého názoru, řešení na právní úrovni (a tato kolegyně má opravdu velký smysl pro spravedlnost a rozhodně by se právní cesty nebála) by muselo dopadnout tak, že by
98
z hlediska ochrany osobních údajů dalo právo za pravdu mojí kolegyni, ovšem, jak by daná kolegyně dopadla z hlediska práva pracovního, jí radši ani předpovídat nechci. Protože si jsem jistá, že by pro O2 byla soukromá e-mailová schránka zaměstnance call centra na liště počítače v pracovní době brána jako hrubé porušení pracovní kázně, obávala bych se na místě své kolegyně výpovědi danou zaměstnavatelem podle ustanovení § 52 písm. f) zákoníku práce. Samozřejmě, nic takového se nakonec nedělo, a myslím, že obě strany byly rády, že se toto chování vysvětlilo ústně a více se tím již nikdo nezabýval. Tyto situace z praxe jsou opravdu sporné, zvlášť pokud se jedná o vztah zaměstnavatele a zaměstnance, protože cesty k uspokojení jejich potřeb, budou vždy protichůdné, těžko jejich zájmy půjdou ruku v ruce. Já osobně chápu jak zaměstnavatele a jeho neúnavnou starost o zisk, nicméně v této situaci zcela nepochybně přikláním na stranu své kolegyně – také bych totiž dala najevo znalost zákona a upozornila na to, že je mi známo, na co mám právo.
99
Závěr A co si z toho teoretického a praktického výkladu můžeme odnést? Problematika ochrany osobních údajů se nás dotýká každý den, proto jsem ráda, že se vstupem do Evropské unie se i v České republice stává toto téma známější a v médiích je na něj často upozorňováno. Naplňovaným cílem zákona č. 101/2000 Sb., o ochraně osobních údajů je s větším či menším úspěchem zabránit zneužívání osobních údajů. Dle mého názoru je díky úpravám předchozích nedostatečných zákonů o ochraně našich dat v souladu s integrací České republiky a Evropské unie zákon ve výborné formě. Co se týká vymezení pravidel nakládání s osobními údaji, nenalezla jsem v něm žádnou nesrovnalost. Ani si nemyslím, že by po obsahové stránce, co se týká pravidel, nějaký důležitý fakt v textu chyběl. Otázka bezpečnosti a rizik eventuálního zneužití či úniků je bohužel aktuálně skloňovaná ze všech stran, jelikož útoky proti osobním údajům občanů se u nás stále množí. Neexistuje snad žádná společnost resp. instituce shromažďující osobní data, které by se něco takového nemohlo stát. Co si ovšem myslím, že by pravomoc Úřadu pro ochranu osobních údajů měla být značně rozšířena. Je určitě dobře, že může takové osoby či podniky, porušující zákon, sankcionovat, a naopak těm, kteří toto téma neberou na lehkou váhu, poskytovat poradenskou činnost, dle mého názoru by však měl mít zákonodárnou iniciativu. Otázkou samozřejmě zůstává, jak to v praxi provést. Přeci jenom úřad není poslancem či skupinou poslanců, kteří mohou vznést návrh ke změně zákona. A kdyby např. předseda Úřadu měl být jedním z těchto poslanců, zase by šlo o střet zájmů, a na to je jak jinak opět zákon, tentokrát o střetu zájmů. Konstatovala jsem, že shledávám zákon v pořádku, každopádně právě z těch praktických situací je třeba brát si příklad a dle nich i jiné zákony novelizovat – viz zmínka o nedostatečnosti daňového identifikačního čísla živnostníků. Jsem si vědoma toho, že legislativa není nikterak jednoduchá, a že celý právní systém už vůbec ne, protože všechno souvisí se vším, a u každého zákona je mnoho výjimek a hlavně odkazů na mnoho dalších zákonů, které se opět jak jinak než novelizují a odkazují zase na jiné novelizace jiných zákonů. Pravdou ovšem zůstává, že objem zpracovávaných osobních údajů stále více roste a tím také roste nebezpečí jejich
100
možného zneužití. A najít rovnováhu mezi ochranou soukromí jednotlivce a uspokojením informačních potřeb společnosti, je těžké.
Na základě vyplněných dotazníků k tomuto tématu soudím, že lidé ochraně svých údajů příliš nevěří. Selhání avšak nevidím na straně zákona, který by nedostatečně problematiku upravoval, ale vinou selhání jednotlivců. Koneckonců bylo to již nastíněno v praktické části. Je určitě naší povinností zákon znát, protože neznalost neomlouvá, extrémem je záměrné vědomé zneužití, ale to je opravdu otázkou svědomí každého z nás. Když se bude chtít kdokoliv nějakým způsobem na někom či něčem obohacovat, a nic mu nebude svaté, s nadsázkou řečeno, těžko s tím my jako jednotlivci něco zmůžeme. Když však bude celá společnost smýšlet tak, že to či ono je prostě nepřípustné a zákon to podloží kvalitní právní úpravou, je tu šance působení nás všech, aby se toto nežádoucí chování potlačovalo. Já osobně to tak cítím, že hlavním přínosem zákona nebylo vytváření nových úředních míst, které s tímto bezpochyby spojeny byly, ale hlavně ochrana soukromí individuálních osob. Nyní máme mít své údaje pod kontrolou. Máme nárok dozvědět se, kde byly údaje získány, k jakému účelu a jak jsou používány. Máme právo požádat o vyřazení informací a to je užitečné pro každodenní situace každého jednotlivce. Myslím si, že se zákon může velmi líbit soukromým osobám, které se starají o své soukromí, méně již většině firem, kterým bezesporu přináší dodatečné administrativní a zejména i finanční náklady s tím související. Osobně si dost často uvědomuji, jak jsem šťastná, že jsem se narodila v Evropě, kde se svobody a práva jednotlivců, neberou na lehkou váhu. Samozřejmě, naši zemi v minulosti ovládaly totalitní režimy a tehdy byly především osobní svobody občanů naprosto potlačovány, tato doba je však naštěstí 20 let již minulostí, a já spatřuji mimo jiné i zákon č. 101/2000 Sb., jako formu, jak zabezpečit základní lidská práva a svobody, k nimž se vztahuje. Společnost O2, i jakákoli jiná organizace, může učinit všechny právní kroky k tomu, aby zajistila maximální dodržování zákona o ochraně osobních údajů, ovšem změnit charakter některých lidí, kteří k obohacení vlastní osoby použijí jakýchkoliv prostředků, v jejích silách není. Ve firemních zásadách etického chování je vše
101
vytyčeno jasně, srozumitelně a každému průměrně inteligentnímu člověku je jasné, co je jejich obsahem a jak se má v pracovním, ale i osobních životě chovat. Úřad pro ochranu osobních údajů uvádí zásadní otázky, které by si měl každý z nás položit, aby předešel možnému zneužití svých osobních informací. Jsme si dostatečně vědomi toho, kdo (instituce, firmy, osoby apod.) zpracovává naše osobní údaje? Ukládá mu to zákon, nebo tak činí s naším souhlasem či dokonce bez něj?Jsou údaje, které jsou o nás zpracovávány, přesné, pravdivé a aktuální? Máme důvodné podezření, že někdo nezákonně - bez našeho souhlasu - shromažďuje naše osobní údaje? Pociťujeme, že je naše soukromí narušováno způsobem, který svědčí o takovém postupu? Zjistili jsme, že naše osobní údaje byly předány někomu, kdo je neměl znát? Pokud si v odpovědích na tyto otázky nejsme jistí, ÚOOÚ doporučuje požádat o nápravu ten subjekt, který naše osobní údaje zpracovává. V případě, že se nedostaví úspěch, je možné se obrátit přímo na ÚOOÚ. Ten poté pomůže prosadit nápravu a zabrání i dalším neoprávněným zásahům do našeho soukromí. Prevence je tím nejjednodušším a možná i nejdůležitější prostředkem v „boji" za ochranu našeho soukromí. Problémům, které vzniknou různým neuváženým chováním a nepředvídavostí, by se dalo v mnoha případech předejít. Málokoho napadne, že důsledky jeho nerozvážného chování a bezhlavého zveřejňování osobních informací mohou být někdy i fatální. Proto je nutné hledat různé prostředky, díky kterým by se zlepšila informovanost v oblasti ochrany osobních údajů. V době, kdy většina žáků základních škol nějakým způsobem využívá všechny možné druhy nových technologií, je nutné seznámit je nejen s tím, jak tyto technologie fungují, ale i s tím, jaké sociální důsledky s sebou jejich používání přináší. Do školních osnov se proto zavádí nebo by měl postupně zavádět předmět typu „Mediální výchova" či „Mediální gramotnost" nebo „Informační výchova" či „Informační gramotnost", součástí jejichž osnov by mělo být i seznámení se s nebezpečím zneužití osobních údajů.19 _____________________ 19
http://www.inflow.cz
102
Naše soukromí bude dle mého názoru v budoucnu ceněnou komoditou. Možná za pět minut dvanáct, možná pět minut po dvanácté, ale jednou nastane chvíle, kdy si uvědomíme, že se musíme o své osobní údaje starat stejně tak důkladně, jako o náš movitý i nemovitý majetek. A možná v tu chvíli začneme používat pomocníka nejcennějšího - náš vlastní zdravý rozum. Ve chvíli, kdy jsem si vybírala téma své diplomové práce, jsem se měla určitý zúžený pohled na ochranu našich dat. Měla jsem osobní zkušenosti s tím, jak je snadné zveřejnit své osobní údaje a pak jen pasivně sledovat, jaký to bude mít dopad. V žádném případě jsem si nedovedla představit, jak obsáhlé a zajímavé toto téma bude, kolik různých skutečností s touto problematikou souvisí a jak moc se tato problematika může dotýkat každého z nás. A velice mne překvapila rychlost, se kterou se objevují stále modernější a lepší technologie a vůbec celková dynamika, která se dotýká celé této oblasti. Potvrdila jsem si hypotézu, že bez informačních a komunikačních technologií dnes existovat nemůžeme a že se prolínají opravdu celým spektrem moderní společnosti. Nebylo záměrem této práce problém ochrany osobních údajů zveličovat nebo přeceňovat. Cílem mé práce má být poukázání na závažnost zpracovávaného tématu a doufám, že se mi podařilo tento cíl naplnit. Svou práci jsem pojala jako souhrnné a popisné zpracování různých možností, které mohou ohrožovat naše soukromí. Vzhledem k tomu, že téma ochrany osobních informací je tématem vysoce aktuálním, snažila jsem se pracovat s těmi nejrelevantnějšími prameny a informacemi, ke kterým jsem měla přístup. V práci jsem uvedla konkrétní příklady zneužití našeho soukromí či našich osobních údajů a situace, se kterými se setkáváme, a měli bychom mít určitý návod, jak se v daném okamžiku zachovat. Na závěr bych chtěla zdůraznit jednu myšlenku, která by měla prostupovat celou prací. Všechny situace ve zmíněných právních vztazích, kterými jsme součástí, mají vždy dvě strany. A je nutné na ně nahlížet z obou těchto stránek - z té, která nám ukazuje užitečnost a nepostradatelnost a z té druhé, která se dotýká etických a společenských problémů souvisejících s používáním moderních technologií. Budou to vždy dvě misky vah.. Je na každém z nás, jak se k tomuto dilematu postaví.
103
Literatura [1] MAŠTALKA, J. Osobní údaje, právo a my. Praha: C. H. Beck, 2008. ISBN 978-80-7400-033-1 [2] MATES, P. Ochrana soukromí ve správním právu. Praha: Linde Praha a.s., 2006. ISBN 80-7201-589-3 [3] BENÁTČANOVÁ, P. Neznalost zákona neomlouvá 3. Praha: MOTTO, 2006. ISBN 80-7246-292-X [4] BARTÍK, V. Ochrana osobních údajů v aplikační praxi. Praha 2009, Linde Praha a. s., ISBN 978-80-7201-740-9 [5] MACH, J. Medicína a právo. Třebíč: C. H. Beck, 2006. ISBN 80-7179-810-X KNAP, K. Ochrana osobnosti podle občanského práva. Praha: Linde Praha a. s., 2004. ISBN 80-7201-484-6 KORBEL, F. Právo na informace – komentář. Praha: Linde Praha a. s., 2005. ISBN 80-7201-532-X KUČEROVÁ, A. Zákon o ochraně osobních údajů, Komentář. Praha: C. H. Beck, 2003. ISBN 80-7179-762-6 VYSOKALOVÁ, M. Zákoník práce s komentářem. Praha: ASPI a. s., 2007. ISBN 80-7357-224-9 Zákon č. 1/1993 Sb. - Ústava České republiky Zákon č. 2/1993 Sb. - Listina základních práv a svobod Zákon č. 101/2000 Sb. – Zákon o ochraně osobních údajů http://iuridictum.pecina.cz/w/Pr%C3%A1vo_na_ochranu_osobnosti http://o2.intranet.com http://mpsv.cz http://www.penam.cz/cs/svet-penam/darkove-balicky/uplna-pravidla-a-podminkyspotrebitelske-souteze-platna-pro-uzemi-ceske-republiky.html http://www.polac.cz/katedry/kspd/pril9.ppt http://www.uoou.cz
104
