KAPITOLA 1
Zpracování osobních údajů v pracovněprávních vztazích
1.1 Základní právní rámec ochrany osobních údajů v pracovněprávních vztazích Bylo uvedeno, že na problematiku ochrany osobních údajů v pracovněprávních vztazích dopadá více právních předpisů. Krom naznačení účelu úpravy, jakožto jednotícího prvku, je na místě vztah předpisů přiblížit i v konkrétní rovině. Základní strukturu vztahů předpisů jednoduchého práva lze z hlediska ochrany osobních údajů vyjádřit takto: (e) OchOsÚ – generální právní předpis pro oblast ochrany osobních údajů. Ve vztahu k OchOsÚ je třeba pamatovat na to, že se jedná o právní předpis, jímž dochází k transpozici směrnice 95/46/ES, tzn. jeho ustanovení je třeba vykládat i k jí sledovaným cílům a účelům; (f) ZPr – speciální právní předpis zakládající zaměstnavateli jisté povinnosti a oprávnění pro zpracování osobních údajů svých zaměstnanců (a dalších osob), předpis v několika směrech modifikující pravidla vyplývající zejména z OchOsÚ a obsahující některá další práva zaměstnanců co by subjektů údajů; (g) speciální právní předpisy jako např. zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů, zákon č. 155/1995 Sb., o důchodovém pojištění, ve znění pozdějších předpisů, nebo zákon č. 187/2006 Sb., o nemocenském pojištění, ve znění pozdějších předpisů, anebo speciální sektorové právní předpisy upravující výkon určitých povolání, jako je zákon č. 49/1997 Sb., o civilním letectví, zákon č. 6/2002 Sb., o soudech a soudcích atd. – ukládající zaměstnavateli povinnost provádět určitá zpracování určených osobních údajů jeho zaměstnanců a dále modifikující pravidla vyplývající z OchOsÚ; (h) ObčZ/NOZ jako právní předpis poskytující zejména možnost pro ochranu osobnosti v mezích určených pro daný případ působením všech právních předpisů v rozmezí bodů (a) až (c) – tj. právní předpis poskytující možnost ochrany (obrany) zaměstnanci jako fyzické osobě v oblasti soukro170
ochrana osobnich udaju.indd 170
16.8.2013 12:27:00
Zpracování osobních údajů v pracovněprávních vztazích
moprávní, jestliže došlo k vybočení z případů zpracování osobních údajů, resp. překročení podmínek takového zpracování, jež nastavily předpisy obsažené pod body (a) až (c).255
1.2 Zpracování osobních údajů a zákoník práce Je zřejmé, že z hlediska pracovněprávních vztahů je rozsah činností zaměstnavatele, při nichž dochází ke zpracování osobních údajů zaměstnanců (a někdy i jeho blízkých osob), relativně značný. Z typologického hlediska lze rozlišovat: 1. zpracování osobních údajů v rámci vertikálních právních vztahů (příp. od nich odvozené). Zde nelze právními předpisy nastavené meze překonat souhlasem subjektu údajů. Souhlas subjektu údajů nemůže zhojit ani nedostatek zákonného zmocnění z hlediska právního titulu. Aby bylo možné ke zpracování osobních údajů přistoupit, musí zde tudíž být jasné zákonné zmocnění (zákon musí minimálně ohraničovat rámec daného zpracování prostřednictvím účelu – vedle toho by měl určovat rozsah zpracovávaných osobních údajů minimálně prostřednictvím neurčitých právních pojmů); 2. zpracování osobních údajů v rámci horizontálních právních vztahů. Zde lze na základě souhlasu subjektu údajů zpracovávat osobní údaje i k jiným účelů, nežli jsou ty, které explicitně vyplývají z právních předpisů. I. obligatorní zpracování osobních údajů. Jedná se o zpracování osobních údajů, které je správci osobních údajů uloženo právním předpisech, tzn. tento se nemůže rozhodnout o tom, zda jej bude, či nebude provádět. Takové zpracování osobních údajů může mít více či méně právními předpisy předem určenou podobu. V případě pracovněprávních vztahů se může jednat o zpracování osobních údajů pro účely personální a mzdové agendy (sociální pojištění, platba daní atd.), zpracování osobních údajů v případě pracovních úrazů a nemocí z povolání, evidence pracovní doby, evidence dovolené atd.; II. fakultativní právními předpisy předdefinované zpracování osobních údajů. Jedná se o zpracování osobních údajů, které není povinné, nicméně rozhodneli se správce pro něj, má prostřednictvím právních předpisů alespoň z části stanovenou podobu – ač je toto členění spíše akademické, lze pod něj zařadit 255
V této souvislosti nelze opomenout ani fakt, že např. v samotném zákoníku práce dochází v jistých případech k tomu, že některá jeho ustanovení z pozice speciální úpravy vylučují použití ustanovení jiných, která mají povahu toliko generální. Takovým ustanovením je např. i § 316 odst. 4 ZPr.
171
ochrana osobnich udaju.indd 171
16.8.2013 12:27:00
Právní řád České republiky a ochrana osobních údajů
například osobní spis zaměstnance (vycházíme-li z formálního znění § 312 ZPr.); III. fakultativní právními předpisy nepředdefinované zpracování osobních údajů. Jedná se o zpracování osobních údajů, které není povinné a ani nijak právními předpisy předdefinované. Právní předpisy (primárně OchOsÚ) pouze stanoví, jak takové zpracování osobních údajů vypadat nesmí. a) absolutně určité zpracování osobních údajů. Jedná se o zpracování osobních údajů, které má po všech stránkách předvídaných OchOsÚ předdefinovanou podobu, tzn. správce nemá možnost se od právními předpisy stanovené podoby jakkoli odchýlit; b) relativně určité zpracování osobních údajů. Jedná se o zpracování osobních údajů, které má z části právními předpisy předem určenou podobu, tzn. právní předpisy neřeší všechny otázky a nároky kladené OchOsÚ na správce v souvislosti s jím prováděným zpracováním osobních údajů (kupříkladu není řešena explicitně otázka způsobu zabezpečení zpracovávaných osobních údajů nebo doby jejich uchování atp.); c) absolutně neurčité zpracování osobních údajů. Jedná se o zpracování osobních údajů, které nemá právními předpisy v žádném směru konkrétně stanovenou podobu, tzn. pro takové zpracování osobních údajů se rozhoduje sám správce, přičemž jeho parametry následně určuje s přihlédnutím k limitům, které plynou zejména z OchOsÚ. Pro jejich uskutečnění je třeba zvlášť hledat právními předpisy uznaný důvod (právní titul). Můžeme hovořit o zpracování osobních údajů, které souvisí například s poskytováním jistých fakultativních benefitů jak pro zaměstnance, tak pro jeho rodinné příslušníky, anebo i o sledování zaměstnanců ve smyslu § 316 ZPr (jedná se zejména o sledování prostřednictvím kamerového systému se záznamem, které zaměstnavateli neukládá žádný zvláštní právní předpis). Jak vyplývá z uvedeného, v případě pracovněprávních vztahů připadá v úvahu plná šíře právě naznačených typů zpracování osobních údajů a to, zejména s přihlédnutím ke skutečnosti, že za zpracování osobních údajů se považuje i jejich předání jinému subjektu, stejně tak jako jejich uložení. Zpracování osobních údajů zaměstnanců zaměstnavatelem lze dále rozdělit i z hlediska trvání pracovního poměru (základního pracovněprávního vztahu) na zpracování (i.) před vznikem pracovního poměru; (ii.) při vzniku a za trvání pracovního poměru; (iii.) po jeho skončení.
172
ochrana osobnich udaju.indd 172
16.8.2013 12:27:00
Zpracování osobních údajů v pracovněprávních vztazích
Z povahy věci je zřejmé, že zaměstnavatel může zpracovávat jisté kategorie osobních údajů již před vznikem pracovního poměru, tj. ve fázi výběru zaměstnanců z uchazečů o zaměstnání. Zde je zásadním limitem jejich rozsahu a kvality zejména § 30 ve spojení s § 316 ZPr a OchOsÚ. Ve vztahu k těmto údajům nemusí nutně platit, že v případě neúspěšných uchazečů o zaměstnání musí zaměstnavatel k likvidaci údajů vždy přistoupit v plném rozsahu ihned po ukončení výběrového řízení – je nesporně legitimní, jestliže si ponechá určitou sumu dat např. pro účely obrany v soudní při, bude-li vystaven nařknutí (žalován) z diskriminačního postupu při výběru zaměstnanců.256 Pro tyto případy limity doby uchování dat vychází primárně z promlčecích či prekluzivních dob ve vztahu k případnému žalobci – obdobné platí i s ohledem na možnou správněprávní odpovědnost zejména na úseku inspekce práce. Stejně tak je možné si údaje po dobu, kdy lze předpokládat, že zůstanou aktuální, ponechat pro účely případného navázání jednání o vzniku pracovního poměru v budoucnu – v tomto směru je však nutný alespoň minimální předpoklad, že bude pracovní síla v reálné době potřeba. Hlavní těžiště zpracování osobních údajů v rámci pracovněprávních a souvisejících vztahů však představují případy sub. (ii.), tj. zpracování osobních údajů související se vznikem a trváním pracovního poměru (základního pracovněprávního vztahu). V rámci této kategorie lze pak v zásadě nalézt všechny shora uvedené případy podřazené pod písmena (a) až (c). Následující výklad k zákonu o ochraně osobních údajů, jeho základnímu pojmosloví, obsahu povinností, které v souvislosti se zpracováním osobních údajů zakládá atd., se vztahuje obecně ke všem právě zmíněným skupinám. Důvodem jest, že z hlediska úpravy ochrany soukromí v procesech zpracování osobních údajů se zákon o ochraně osobních údajů jako generální úprava užije vždy, není-li zvláštním právním předpisem explicitně nebo implicitně stanoveno jinak. Uvedené znamená, že je třeba k němu (např. ohledně povinnosti zabezpečit zpracovávané údaje a zpracování jako takového) přihlížet i tehdy, jestliže zvláštní právní přepis upravuje nějaké podmínky konkrétního zpracování výslovně sám (typicky např. zpracování osobních údajů pro účely daňové). Seznámení se s komplexním přehledem relevantních povinností a institutů za současného odkázání na případy ex lege uložených zpracování a se současným naznačením možných zpracování by mělo dát odpovídající základ pro následně uvedené závěry.
256
Bude žalován neúspěšným uchazečem o zaměstnání na základě § 10 zákona č. 198/2009 Sb.
173
ochrana osobnich udaju.indd 173
16.8.2013 12:27:00
Právní řád České republiky a ochrana osobních údajů
Jak již bylo řečeno, hlavními zdroji obligatorního zpracování osobních údajů jsou právní předpisy na úseku sociálního zabezpečení257 a v oblasti daňové258. Neopomenutelným pramenem řady nutných zpracování osobních údajů je však i sám ZPr, či další související předpisy259. U určitých povolání nebo funkcí pak další nutná zpracování mohou vycházet i z příslušných sektorových předpisů. Celou oblast tohoto obligatorního zpracování osobních údajů, jež má zpravidla prostřednictvím příslušných předpisů (více či méně) předdefinované podmínky, lze označit jako zpracování osobních údajů pro účely personální a mzdové agendy.260 Pro tyto případy zpracování osobních údajů platí v rámci OchOsÚ v jistém směru speciální režim – např. ohledně nich zaměstnavatel nemusí plnit oznamovací povinnost vůči ÚOOÚ. Zpracováním osobních údajů pro účely personální a mzdové agendy je například vedení evidence pracovních úrazů a nemocí z povolání dle § 105 odst. 6 zákoníku práce nebo evidence zaměstnávaných osob se zdravotním postižením dle § 80 písm. e) zákona o zaměstnanosti atp. 257
258
259 260
V této oblasti lze uvést např. § 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů, § 95 a § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, ve znění pozdějších předpisů, § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších přepisů. Např. zákona 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, např. jeho ustanovení § 35ba a § 38j. V rámci ZPr lze mezi ustanoveními, jež zaměstnavateli přímo nebo nepřímo (zejména proto, že u něj předvídají znalost určitého údaje zaměstnance) ukládají zpracovávat nějaké osobní údaje zaměstnance, jmenovat např. §§ 103, 105, 112, 123, 141, 147, 156, 191, 196, 211 až 227, 235, 303, 304, 310, 311, 312 až 314, 348. Ze souvisejících právních předpisů pak znalost určitých údajů zaměstnance předvídá např. nařízení vlády č. 564/2004 Sb., o platových poměrech zaměstnanců ve veřejných službách a správě. V této oblasti lze uvést např. § 80 a § 102 zákona č. 435/2004 Sb. K tomu z rozhodovací činnosti ÚOOÚ – Ke zpracování osobních údajů bývalých zaměstnanců: „Jestliže účastník řízení uchovává v osobním spise pouze ty písemnosti (tedy osobní údaje na nich uvedené), jejichž uchování je stanoveno právními předpisy, tj. v pracovněprávních vztazích zejména předpisy o důchodovém a sociálním zabezpečení, daňovými zákony nebo zákony upravujícími nakládání s rozpočtovými prostředky, jedná se o zpracování v souladu s ustanovením § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., tedy o zpracování nezbytné pro dodržení právní povinnosti účastníka řízení, k němuž není zapotřebí souhlas subjektů údajů. Obdobně i uchování osobních údajů (písemností) z důvodu probíhajících, popř. reálně, v dohledné době hrozících soudních a jiných sporů, lze považovat za zpracování v souladu se zákonem č. 101/2000 Sb., konkrétně s ustanovením § 5 odst. 2 písm. e) tohoto zákona, k němuž také není třeba disponovat souhlasem dotčených subjektů údajů.“ Dále uvádí příklady obligatorních zpracování osobních údajů např. Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana, 2. doplněné a aktualizované vydání, ASPI, Praha, 2008, s. 149, z hlediska zaměstnavatele pak zejména s. 179.
174
ochrana osobnich udaju.indd 174
16.8.2013 12:27:00
Zpracování osobních údajů v pracovněprávních vztazích
Zpracování osobních údajů pro účely personální a mzdové agendy však, jak již bylo naznačeno, představuje pouze jednu z oblastí zpracování osobních údajů prováděných zaměstnavatelem ve vztahu k pracovněprávním vztahům. Vzhledem k jistému předdefinování zpracování se jedná o oblast méně komplikovanou – minimálně kvůli absenci hledání právního titulu pro realizaci těchto zpracování osobních údajů. Z hlediska jak dozorové pravomoci příslušných státních orgánů, jako je například ÚOOÚ, tak samotných zaměstnanců a zaměstnavatelů je zde poměrně jasně čitelné, zda zaměstnavatel provádí zpracování osobních údajů pro účely personální a mzdové agendy v souladu se zákonem, či nikoli. Důvodem je fakt, že účel zpracování zde stanoví právní předpis, podobně jako třeba rozsah údajů a někdy i délku jejich uchování atp. Jedinou relativně neřešenou otázkou v této oblasti bývá zabezpečení zpracovávaných dat, resp. zpracování jako takového. Vedle této oblasti obligatorního zpracování osobních údajů zde však existuje i značná část zpracování osobních údajů, která mají fakultativní povahu, tzn. že zaměstnavatel o tomto zpracování osobních údajů rozhoduje z vlastní iniciativy a provádí jej za účelem, který si sám určí, anebo za účelem, který je předdefinován příslušným právním předpisem. Za nejčastěji diskutovaný případ fakultativního zpracování osobních údajů, které není nijak ve zmíněném smyslu předdefinováno (kromě určitých výjimečných případů), lze označit provozování kamerového systému se záznamem v rámci provozovny zaměstnavatele. Až na případné zákonem předvídané výjimky musí zaměstnavatel každé takové fakultativní nepředdefinované zpracování osobních údajů ÚOOÚ oznámit. Pokud jde o skončení pracovního poměru (základního pracovněprávního vztahu), lze dodat, že z jedné strany je zaměstnavateli zvláštními právními předpisy uloženo, aby určité údaje o bývalých zaměstnancích archivoval, a z druhé strany je nesporně legitimní a legální, ponechá-li si některé údaje o nich za účelem realizace svých práv či případné obrany – v tomto směru je opětovně lhůta k jejich uchování odvislá od příslušných promlčecích, resp. prekluzivních lhůt (veřejnoprávních i soukromoprávních) obdobně jako v případě vzniku pracovního poměru (viz shora). Následně připojený komentář k OchOsÚ se pak zaměřuje krom samotného ozřejmění významu jednotlivých ustanovení OchOsÚ a pravidel, která OchOsÚ zavádí, i na na předchozích řádcích naznačené otázky a oblasti, které rozvádí a propojuje, zejména prostřednictvím praktických příkladů, právě s úpravou a pravidly OchOsÚ.
175
ochrana osobnich udaju.indd 175
16.8.2013 12:27:00
KAPITOLA 2
Vybraná komentovaná ustanovení zákona o ochraně osobních údajů261 §1 Předmět úpravy Tento zákon v souladu s právem Evropských společenství, mezinárodními smlouvami, kterými je Česká republika vázána, a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států. Komentář k § 1 1. Zákon o ochraně osobních údajů a předmět jeho úpravy. Přijetí a existence speciální právní úpravy na ochranu osobních údajů byl, resp. je závazkem každého členského státu EU. Základním unijním předpisem je v tomto směru směrnice Evropského parlamentu a Rady 95/46/ES.262 Pokud jde o rovinu mezinárodního práva veřejného, je Česká republika v tomto směru vázána zejména mezinárodní mezivládní smlouvou Rady Evropy, konkrétně Úmluvou č. 108, a to ve znění Dodatkového protokolu ze dne 8. listopadu 2001. Úmluva se stala pro Českou republiku závaznou ke dni 1. listopadu 2001, dodatkový protokol pak ke dni 1. července 2004. V této souvislosti lze podotknout, že úmluva sloužila ve své podstatě jako předloha směrnice 95/46/ES. Samotný OchOsÚ nabyl účinnosti (§ 51) dne 1. června 2000, s výjimkou ustanovení § 16, 17 a 35, která nabyla účinnosti až dnem 1. prosince 2000. OchOsÚ 261
262
Rámcově tato kapitola vychází z Morávek, J. Zákon o ochraně osobních údajů – komentář in Hůrka, P., Bezouška, P., Schmied, Z., Šubertová, Z., Trylč, L., Morávek, J., Zákoník práce a související ustanovení občanského zákoníku s podrobným komentářem – 2. vydání, ANAG, spol. s.r.o., Olomouc, 2012. Dostupná na http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:15:31995L00 46:CS:PDF
176
ochrana osobnich udaju.indd 176
16.8.2013 12:27:00
Vybraná komentovaná ustanovení zákona o ochraně osobních údajů
nahradil zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, který ve své podstatě, ač Česká republika v té době nebyla vázána shora zmíněnou Úmluvou č. 108 Rady Evropy, rámcově převzal jí zavedená pravidla a přenesl je na vnitrostátní úroveň. Pokud jde o vztah OchOsÚ a směrnice 95/46/ES, ač je zřejmé, že OchOsÚ je předpisem transponujícím její obsah, je třeba říci, že odpovídající soulad OchOsÚ a směrnice byl (měl být) zajištěn až zákonem č. 439/2004 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. V této souvislosti důvodová zpráva (Parlament České republiky, Poslanecká sněmovna, volební období 2002–2006, tisk č. 508/0) k zákonu č. 439/2004 Sb. uvádí : „zákon o ochraně osobních údajů je základním zákonem reflektujícím požadavky práva ES týkající se možného narušení soukromí osob v souvislosti se zpracováním jejich osobních údajů. Tímto zákonem byla do právního řádu České republiky implementována ustanovení Směrnice Evropského Parlamentu a Rady č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Směrnice 95/46/ES“). Vedle citované směrnice byly zákonem o ochraně osobních údajů implementovány principy ochrany osobních údajů vyplývající z Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108 (dále jen „Úmluva 108“), která je pro Českou republiku závazná na základě výsledků ratifikačního procesu (viz Sdělení Ministerstva zahraničních věcí č. 115/2001 Sb.m.s.). Zákon o ochraně osobních údajů, který nabyl účinnosti dnem 1. června 2000, byl od doby svého přijetí již několikrát novelizován (viz úplné znění zákona obsažené v části VI. předloženého materiálu). I když novelizace nebyly vždy vyvolány z iniciativy Úřadu pro ochranu osobních údajů (dále jen „Úřad“), dá se konstatovat, že jejich schválením nedošlo k nežádoucímu vybočení z procesu přibližování se právních podmínek pro zpracování osobních údajů právního řádu České republiky s právem ES. Vysoká míra kompatibility zákona o ochraně osobních údajů s právem ES byla již několikrát ohodnocena v rámci součinnosti Úřadu s experty a orgány Komise EU, zejména například v Pravidelné zprávě Evropské komise 2002 o pokroku České republiky v přípravě na vstup do EU, kde se v kapitole 3 – Volný pohyb služeb, v části „Celkové hodnocení“ konstatuje, že legislativa v oblasti ochrany osobních údajů je ve vysoké míře v souladu s acquis, že však je nicméně k dosažení plné shody s acquis třeba zákon o ochraně osobních údajů z r. 2000 ještě upravit.“ Z uvedeného tudíž vyplývá, že OchOsÚ přejímá, provádí a konkretizuje zejména úpravu jak směrnice 95/46/ES (a i čl. 16 SFEU), tak Úmluvy č. 108. Vedle toho je 177
ochrana osobnich udaju.indd 177
16.8.2013 12:27:00
Právní řád České republiky a ochrana osobních údajů
však zřejmé, že do jeho obsahu prozařuje jak obsah článku 7 odst. 1 a 10 odst. 3 LZPS, spolu s článkem 8 Úmluvy o ochraně lidských práv a základních svobod, a článkem 2 odst. 1, článkem 9 odst. 1 a zejména pak článkem 17 Mezinárodního paktu o občanských a politických státech, tak v konečném důsledku v současné době zejména i obsah článku 8 Listiny základních práv EU. Ač Listina základních práv EU je historicky nejmladším dokumentem a rámcově staví na směrnici 95/46/ES i Úmluvě č. 108, je právě s ohledem (nejen) na skutečnost, že vystihuje základní principy a momenty ve vztahu k zárukám pro legální a legitimní zpracování osobních údajů, ze všech dokumentů nejzásadnější, resp. lze očekávat, že její význam bude v budoucnu největší. Účelem OchOsÚ pak je, vedle naznačeného v úvodním slovu, v konkrétní rovině naplnit právo každého, tedy univerzální lidské právo, na ochranu před neoprávněným (nepřiměřeným) zasahováním do soukromí, soukromého a osobního života prostřednictvím zpracování osobních údajů, tedy realizovat závazek České republiky vyplývající zejména z ústavní roviny, a to formulací a konkretizací práv a povinností ve vztahu ke zpracování osobních údajů. Jedná se o podmínky, při jejichž naplnění lze započít se zpracováním osobních údajů. Jako speciální oblast zpracování pak OchOsÚ upravuje problematiku předávání osobních údajů do jiných států. Vedle hmotněprávní úpravy obecných práv a povinností ochrany osobních údajů upravuje OchOsÚ i některé procesní otázky a procesní instituty dotýkající se řízení, které ÚOOÚ vede, stejně tak jako oprávnění a povinnosti kontrolujících zaměstnanců, postavení ÚOOÚ a jeho organizaci, předpoklady pro výkon funkce předsedy ÚOOÚ a proces jeho ustanovení, stejně tak jako předpoklady pro výkon funkce inspektorů ÚOOÚ a proces jejich ustanovení atp. Zvlášť lze zmínit, že OchOsÚ obsahuje ve své části I. Hlavě VII. skutkové podstaty správních deliktů (v širším slova smyslu – tedy správních deliktů právnických osob a fyzických osob podnikajících a přestupků) na úseku ochrany osobních údajů – jedná se vesměs o odkazující skutkové podstaty navázané zejména na povinnosti v rámci OchOsÚ. V této souvislosti lze podotknout, že vedle toho zde existují skutkové podstaty správních deliktů (v širším slova smyslu) i ve vztahu k některým specifickým způsobům zpracování (např. v rámci zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů), anebo ve vztahu ke zpracování některých specifických osobních údajů jako jsou například rodná čísla (jedná se například o zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů).
178
ochrana osobnich udaju.indd 178
16.8.2013 12:27:00
Vybraná komentovaná ustanovení zákona o ochraně osobních údajů
§2 (1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen „Úřad“). (2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a další kompetence stanovené zvláštním právním předpisem, mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropských společenství. (3) Úřad vykonává působnost dozorového úřadu pro oblast ochrany osobních údajů vyplývající z mezinárodních smluv, které jsou součástí právního řádu. Komentář k § 2 1. Zřízení ÚOOÚ Ustanovením § 2 OchOsÚ byl s účinností (§ 51) ke dni 1. června 2000 zřízen ÚOOÚ, jakožto nezávislý ústřední orgán státní správy, který postupuje a řídí se pouze zákony a jinými právními předpisy a do jehož činnosti je možné zasahovat pouze na základě zákona. Jeho úkolem je zjednodušeně řečeno zejména dohlížet nad dodržováním pravidel v oblasti ochrany osobních údajů, která vyplývají jak z OchOsÚ, tak ze zvláštních právních předpisů. ÚOOÚ má sídlo v Praze. Vedle toho mu z mezinárodních a unijních aktů připadají určité kompetence a úkoly z hlediska mezinárodního – primárně jde o mezinárodní spolupráci v oblasti konzultací a o podobné činnosti. ÚOOÚ nemá žádná detašovaná pracoviště, či pobočky, je tedy univerzálně místně příslušným úřadem. Existenci nezávislého dozorového orgánu v oblasti ochrany osobních údajů vyžaduje jak směrnice 95/46/ES, konkrétně článek 28 a následující, tak jeho existenci předpokládá Dodatkový protokol k Úmluvě č. 108, jímž je Česká republika vázána, ale i např. článek 8 odst. 3 Listiny základních práv EU, podle kterého na dodržování pravidel vyplývajících z jeho odstavce 1 a 2 dohlíží nezávislý orgán. Těmito pravidly se pak míní: „Každý má právo na ochranu osobních údajů, které se ho týkají.“ odst. 1; „Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu.“ odst. 2. I když je Listina základních práv EU relativně novým dokumentem, ve svém článku 8 179
ochrana osobnich udaju.indd 179
16.8.2013 12:27:01
