Ochrana osobních údajů

1. 1. 2014 | Zdroj: BusinessInfo.cz

Kapitoly článku

Ochranu osobních údajů upravuje zejména zákon o ochraně osobních údajů č. 101/2000 Sb. v platném znění. Pozornost je věnována především zpracování osobních údajů, citlivým údajům, právům a povinnostem subjektů zpracovávajících informace, Úřadu pro ochranu osobních údajů, kontrolní činnosti a problematice předávání osobních údajů do zahraničí.

Tento článek reflektuje právní stav ke dni 1. 1. 2014, tedy stav po nabytí účinnosti zákona č. 89/2012 Sb. občanský zákoník, v platném znění (dále také jen „Občanský zákoník“) a doprovodné legislativy vztahující se k rekodifikaci soukromého práva.

Podrobný obsah

Související zákony

Ústavní základy ochrany osobních údajů

Základním pramenem právní úpravy ochrany osobních údajů je zákon č. 2/1993 Sb., Listina základních práv a svobod (dále jen „Listina“) jako součást ústavního pořádku České republiky, ve které je zakotveno i právo na ochranu osobních údajů.

V čl. 7 Listina zakotvuje právo na nedotknutelnost osoby a jejího soukromí, v čl. 10 odst. 3 upravuje právo každého na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě a v čl. 13 stanoví, že nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon; stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Další právní předpisy upravující ochranu osobních údajů

Ochrana osobních údajů je zakotvena také v dalších zákonech, zejména:

  • Občanský zákoník – na právní úpravu obsaženou v Listině navazují ustanovení zákona č. 89/2012 Sb., občanský zákoník, a to zejména v rámci ustanovení o ochraně osobnosti (viz § 81 a násl.) a ochraně obchodního tajemství (§ 504 a násl.).
  • Zákon č. 89/1995 Sb. o státní statistické službě – ustanovení tohoto zákona (zejména § 16 až 18) upravují ochranu údajů, které od jednotlivých osob získávají Český statistický úřad (dále jen „ČSÚ“) nebo jiné státní orgány vykonávající státní statistickou službu.
  • Zákon o zdravotních službách – zákon č. 372/2011 Sb., stanoví v § 51 poskytovatelům zdravotních služeb, zdravotnickým pracovníkům a jiným odborným pracovníkům mimo další povinnosti též povinnost zachovávat mlčenlivost o skutečnostech, o nichž se dozvěděli v souvislosti s poskytováním zdravotních služeb , s výjimkou případů stanovených zákonem, tedy zejména zprostil-li pacient povinné osoby mlčenlivosti nebo jedná-li se o údaje, k jejichž poskytnutí není ze zákona souhlas pacienta nutný.
  • Zákon o bankách – ochrana bankovního tajemství je upravena v zákoně č. 21/1992 Sb., o bankách. Dle § 38 a následujících ustanovení zákona o bankách se na všechny bankovní obchody, peněžní služby bank, včetně stavů na účtech a depozit, vztahuje bankovní tajemství. Banka je povinna osobám pověřeným výkonem bankovního dohledu podat zprávu o všech záležitostech, které jsou předmětem bankovního tajemství. Za porušení bankovního tajemství se nepovažuje výměna informací mezi Českou národní bankou a orgány bankovního dohledu a obdobných institucí jiných států, jestliže předmětem výměny jsou informace o subjektech, které působí nebo hodlají působit na území příslušného státu.
  • Autorský zákon – zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), obsahuje např. v ustanovení § 7 (dílo anonymní a pseudonymní) také úpravu institutu ochrany osobních údajů.
  • Zákon o advokacii – povinnost mlčenlivosti je upravena také v zákoně č. 85/1996 Sb., o advokacii (§ 21) a vztahuje se jak na advokáta a na advokátní koncipienty, které zaměstnává, tak i na jeho zaměstnance.
  • Trestní zákoník a zákon o přestupcích – zákon č. 40/2009 Sb., trestní zákoník, obsahuje úpravu několika trestných činů souvisejících s ochranou údajů a informací. Jedná se zejména o neoprávněný přístup k počítačovému systému a nosiči informací (§ 230), opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231) a poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (§ 232). Dále v § 180 je definován trestný čin neoprávněného nakládání s osobními údaji a v § 183 trestný čin porušení tajemství listin a jiných dokumentů uchovávaných v soukromí. Ke správně právnímu postihu by v případě porušení povinností při ochraně osobních údajů mohlo dojít na základě § 46 zákona č. 200/1990 Sb., o přestupcích, který obsahuje obecně formulovanou skutkovou podstatu přestupku proti pořádku ve státní správě a přestupku proti pořádku v územní samosprávě. Dle citovaného zákona spočívá přestupek proti pořádku ve státní správě a přestupek proti pořádku v územní samosprávě v porušení i jiných povinností, než které jsou uvedeny v § 21 až 45 zákona o přestupcích, jestliže jsou stanoveny zvláštními právními předpisy včetně nařízení obcí, okresních úřadů a krajů a v obecně závazných vyhláškách obcí a krajů vydaných na úseku jejich samostatné působnosti.
  • Zákon č. 119/2002 Sb., o střelných zbraních a střelivu, který usměrňuje rozmezí osobních údajů na žádosti o vydání zbrojního průkazu či zbrojní licence a osobní údaje osoby, která v rámci svého pracovního zařazení zabezpečuje plnění služebních povinností.
  • Zákon č. 221/2003 Sb., o dočasné ochraně cizinců, který upravuje zejména způsob uchovávání údajů v evidencích používaných Policií České republiky a zpravodajskými službami, především ve způsobu předávání osobních údajů do jiných států.
  • Zákon č. 289/2005 Sb., o Vojenském zpravodajství, který upravuje povinnost zabezpečení ochrany údajů obsažených v evidencích Vojenského zpravodajství před vyzrazením, zneužitím, poškozením nebo zničením.
  • Zákon č. 154/1994 Sb., o Bezpečnostní informační službě, která je povinna zabezpečit ochranu údajů (to se nedotýká jen ochrany osobních údajů ale i ostatních údajů, zvláště pak utajovaných informací) obsažených v evidencích před vyzrazením, zneužitím, poškozením, ztrátou a odcizením.
  • Zákon č. 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky, který upravuje vedení evidence osob ve výkonu zabezpečovací detence, ve výkonu vazby a trestu odnětí svobody. Ke zpracování osobních údajů v této evidenci není třeba souhlasu osoby, jíž se údaje týkají a vězeňská služba nemá povinnost informovat osobu o obsahu své evidence. Zmíněné údaje z evidence osob poskytuje Vězeňská služba pouze orgánům činným v trestním řízení a zpravodajským službám ČR, soudům a státním zastupitelstvím při výkonu jejich další působnosti, správním orgánům a Rejstříku trestů, pokud je potřebují pro svou činnost, a jiným osobám, pokud na poskytnutí informace osvědčí právní zájem a jejímu sdělení nebrání zvláštní zákon.
  • Zákon č. 218/2003 Sb., o soudnictví ve věcech mládeže, který stanovuje, že dokud není trestní stíhání pravomocně skončeno, mohou orgány činné podle tohoto zákona zveřejňovat jen takové informace o řízení vedeném proti mladistvému, kterými nebude ohroženo dosažení účelu trestního řízení a které neodporují požadavku ochrany osobnosti mladistvého a osobních údajů, a to i jiných osob zúčastněných na řízení.

Zákon o ochraně osobních údajů

Základním právním předpisem upravujícím ochranu osobních údajů v České republice je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále také jen „zákon“ nebo „zákon o ochraně osobních údajů“). Účelem zákona je zajistit ochranu osobních údajů a stanovit, způsob jejich zpracování v České republice a předávání osobních údajů do zahraničí, a upravit vztahy, které v souvislosti s nimi vznikají.

Zákon č. 101/2000 Sb. Vymezuje základní pojmy a působnost při zpracování osobních údajů, práva a povinnosti při zpracování osobních údajů, povinnosti osob, likvidaci osobních údajů, ochranu práv subjektů údajů, předávání osobních údajů do jiných států. Zákonem dochází ke zřízení nezávislého Úřadu pro ochranu osobních údajů (dále jen „Úřad“), k úpravě jeho postavení, působnosti, organizace, kontrolní činnosti či sankcionování. Úřad pro ochranu osobních údajů má kompetence správního úřadu. Vlivem mnoha technologických či vývojových změn byl zákon několikrát novelizován.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Působnost zákona o ochraně osobních údajů

Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci a fyzické a právnické osoby. Zákon se vztahuje na veškeré zpracování osobních údajů, tzn. na zpracovávání údajů automatizovaně či jinými prostředky.

Zákon se nevztahuje na zpracování osobních údajů, které provádějí fyzické osoby výlučně pro osobní potřebu. Jedná se o záležitosti týkající se zejména soukromého a rodinného života a nejsou určeny ke zveřejnění ani k podnikání (příkladem může být seznam různých výročí členů rodiny i širšího okruhu příbuzných).

Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů za podmínky, že tyto nejsou dále zpracovány. Nahodilé je opakem systematického. O nahodilé zpracování jde v případě, kdy údaje nejsou tříděny, pokud k jejich shromažďování nedává podnět správce, ale přichází zvenčí (např. nahodilý dotaz klienta u advokáta).

Zvláštní zákony upravují zpracování osobních údajů pro účely statistické a archivnictví. Zde se nejedná o úplné vynětí z působnosti zákona o ochraně osobních údajů, ale jen o řešení otázky obecného a zvláštního zákona. Tedy pokud zákon č. 89/1995 Sb., o státní statistické službě nebo zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů obsahují zvláštní úpravu, má tato přednost před úpravou obecnou.

Jestliže však takový speciální režim nebude, vztahuje se i na tyto případy zákon o ochraně osobních údajů. Podmínky zpracování osobních údajů pro účely statistické a archivnictví jsou tedy stanoveny příslušnými zákony, nestačí prohlášení správce, že si např. provádí statistické zjišťování nebo si vede archiv.

Definice osobních údajů a dalších pojmů

Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Nelze zaměňovat pojem „osobní údaj“ a pojem „projev osobní povahy“, který je upraven v § 81 a dalších Občanského zákoníku. Jedná se o dva samostatné právní instituty, přičemž projev osobní povahy může za určité situace obsahovat osobní údaj (např. podobizna, písemnost osobní povahy nebo zvukový projev) a v takovém případě dochází k jejich překrývání.

Pokud fyzická osoba může být přímo ze shromážděných údajů nebo na jejich základě jiným způsobem identifikována, jedná se o osobní údaje, přičemž jejich znakem je, že vypovídají o subjektu údajů, který nelze zaměnit s jiným subjektem údajů.

Základním kritériem pro posouzení, zda se jedná o osobní údaj či nikoliv, je okolnost zjištění identity subjektu údajů (určenost nebo určitelnost). Vychází se ze skutečnosti, zda správce může vytvořit přímou vazbu mezi údajem a fyzickou osobou.

Při posuzování možnosti identifikovat fyzickou osobu se nelze dívat omezeným pohledem (např. na obsah zpracovávaných dat v konkrétním zpracování). Je nutno vycházet ze všech možností správce odlišit od sebe jednotlivé fyzické osoby. Pokud jde např. o správce, který má zjevně v držení soubor identifikující subjekty údajů, nemůže být žádný jiný soubor, umožňující propojení na soubor s identifikátory subjektů údajů, považován za anonymní, a to ani v případech, když by zpracovávaný soubor přímou identifikaci subjektu údajů neobsahoval.

Výše uvedené pravidlo platí i o možnosti správce získat identifikátor ze souborů, které nejsou v jeho držení – např. z veřejných registrů, od zpracovatele, s nímž má uzavřenu smlouvu apod. V těchto případech se jedná o nepřímou možnost zjistit identifikaci subjektu údajů (nepřímá identifikace) a není rozhodující, zda této možnosti správce má v úmyslu využít či nikoliv. Rozhodující není ani to, že správce nesmí sdružovat osobní údaje shromážděné pro rozdílné účely. Rozhodující je v tomto případě skutečnost, že správce identifikaci osob „vlastní“ nebo ji může bez vynaložení neúměrného úsilí získat.

Dále zákon definuje další důležité pojmy:

  • anonymní údaje, jimiž jsou ty, které v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému či určitelnému subjektu údajů (např. osobní údaje zařazené do velkých statistických souborů, které jsou zbaveny jména, příjmení a rodného čísla).
  • zveřejněný osobní údaj, jímž se rozumí ten, který je zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením (např. na schůzi, v odborné literatuře, plakátu) nebo je součástí veřejného seznamu (může jít jak o úřední seznam, tak o seznam vydávaný soukromým subjektem pro komerční účely). Zveřejnění se ovšem může stát i jiným způsobem.
  • správce, jímž je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Nezbytným znakem správce však není zpracování osobních údajů, vzhledem k tomu, že touto činností může být zvláštním zákonem zmocněn nebo správcem na základě smlouvy pověřen zpracovatel (např. každý advokát je tedy správcem osobních údajů, který současně osobní údaje zpracovává, protože s ohledem na jeho činnost zřejmě nepřichází v úvahu, aby zpracováním někoho pověřil; naproti tomu nelze vyloučit, že Advokátní komora pověří např. zpracováním seznamu advokátů jiný subjekt).

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Citlivé údaje

Citlivé údaje jsou v právních předpisech výslovně vyčleňovány proto, že jim je poskytována zvýšená ochrana a platí pro ně přísnější režim než pro ostatní osobní údaje. Jejich počet je konečný a jsou v zákoně taxativně určeny. Přísnější režim spočívá zejména v tom, že jejich zpracování je možno provádět pouze za určitých podmínek, a to na základě výslovného písemném souhlasu k jejich zpracování, k němuž je alternativou výslovné stanovení takového užití zákonem.

Za „citlivý“ je označen údaj, který vypovídá o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.

Důmyslná argumentace, proč některý osobní údaj na první pohled vykazující charakteristiky citlivého osobního údaje, není považován za citlivý osobní údaj, je vždy motivována snahou vyhnout se splnění přísnějších podmínek stanovených zákonem o ochraně osobních údajů. Zpochybňováno totiž může být to, zda určitý údaj opravdu vypovídá o tom, co může být jako citlivý údaj zneužitelné.

Tak např. rozpaky panují kolem toho, zda citlivým údajem je to, co je vepsáno do rubriky zdravotní stav v osobním dotazníku uchazeče o zaměstnání a posléze i zaměstnance. Argumentace, že stejně každý tam uvede „dobrý“ a to o zdravotním stavu nevypovídá, má samozřejmě racionální jádro, v kontextu ochrany osobních údajů však nemůže obstát, nehledě na to, že zjišťována bývá také „změněná pracovní schopnost“.

Jak údaj „dobrý zdravotní stav“, tak „údaj nezměněná pracovní schopnost“ vypovídají o zdravotním stavu stejně jako hodnoty opačné. Naopak je možné akceptovat, že údaj o „trestní bezúhonnosti“ není údajem o trestné činnosti.

Definice a interpretace pojmů řazených mezi citlivé údaje nemusejí být vždy shodné a mohou být ovlivněny odlišnými vědeckými názory na jejich obsah, anebo i lingvisticky při překladu do různých jazyků. To se týká prvního termínu „národnostní“. Český jazyk jednoznačně rozlišuje termín „národnost“ jako příslušnost k národu jako určitému etniku a termín „státní příslušnost“ jako příslušnost občana k určitému státu. Naproti tomu anglický termín „nationality“ je primárně používán pro označení státní příslušnosti.

V českém jazyce, a tedy i v českém zákonodárství je však termín „národnostní“ chápán jednoznačně jako příslušnost k etniku, charakterizovanému zejména společným jazykem a dalšími atributy. Ve společnosti tvořené většinou příslušníky jednoho etnika (v případě České republiky český národ) žijí také menší etnické skupiny, které se od majoritní společnosti odlišují některými znaky, např. původem, jazykem nebo jinak vymezovanou kulturou. V České republice jsou to např. Romové a dále příslušníci národnostních menšin – Němci, Poláci, Slováci a další.

Pokud jde o termín „rasa“, je u člověka (homo sapiens) rozlišováno devět geografických ras (evropská, asijská, indická, africká, američtí Indiáni, australští domorodci, Melanésané, Mikronésané a Polynésané), které se liší určitými tělesnými znaky (barva kůže, vlasů atd.). V rámci geografických ras existují tzv. lokální rasy (např. jednotlivé kmeny amerických Indiánů) a někteří antropologové rozlišují u lokálních ras dokonce ještě tzv. mikrorasy. Zejména s ohledem na promísení obyvatelstva v určité geografické oblasti jsou mikrorasy nebo i lokální rasy ne vždy jasně odlišeny. Smyslem zákonného postulování údajů, které vypovídají o národnostním, etnickém nebo rasovém původu jako údajů citlivých, je zabránit zpracování těchto údajů, jehož následkem by mohla být jakákoli diskriminace osoby, k níž se vztahují, pro její původ.

Citlivým je údaj vypovídající o politických postojích. Za zpracování citlivých údajů je třeba považovat shromažďování a další zpracování politických názorů vyjadřovaných jak ústně, tak písemně a také postojů vyjádřených např. hlasováním ve volbách. Může jím být i zpracování fotografií dokumentujících politické postoje vyjádřené při politických akcích, zejména demonstracích a stávkách, nebo fotografií a jiných záznamů dokumentujících setkání subjektu údajů s osobnostmi určitého politického zaměření. O politických postojích může vypovídat i uvedení identifikačních údajů u petice a obdobných dokumentů. Politické postoje jsou zjišťovány také v průzkumech, ať již pomocí dotazníku vyplňovaného subjektem údajů, nebo tazatelem v rámci řízeného rozhovoru.

Politický postoj vyjadřuje i „hlasování“ v divácké nebo posluchačské části publicistických pořadů v hromadných sdělovacích prostředcích – vyjadřované např. telefonáty nebo krátkými zprávami zasílanými na určená telefonní čísla. Takové „hlasování“ je samo o sobě údajem vypovídajícím o politických postojích. Zdrojem údaje, který – není-li prokázáno něco jiného – vypovídá o politických postojích, může být i záznam o výpůjčce ve veřejné knihovně (např. četné výpůjčky literatury určité politické orientace a žádné výpůjčky literatury jiné politické orientace), záznam o zapojení do diskusní skupiny na libovolné komunikační bázi (včetně internetu) a sdělení v této skupině prezentovaná.

Za zpracování údajů vypovídajících o náboženství je třeba považovat především shromažďování a další zpracování údaje o příslušnosti k určité církvi nebo náboženské společnosti, na jehož základě může docházet k diskriminaci občana pro jeho přesvědčení. Zdrojem těchto údajů a údajů vypovídajících o filozofickém přesvědčení jsou nejen dokumenty o institucích spojovaných s určitým přesvědčením, ale také záznamy projevů osobní povahy a nejrůznější zveřejněné dokumenty.

Údajem vypovídajícím o členství v odborových organizacích je údaj o poukazování členského příspěvku nebo srážky ze mzdy vykazující znaky členského příspěvku v odborové organizaci, údaj o úkonech činěných jménem odborové organizace, údaj o vystoupeních na odborových akcích apod.

Za údaje vypovídající o trestné činnosti je třeba považovat v prvé řadě údaje o osobách pravomocně odsouzených soudy České republiky, zaznamenané v evidenci Rejstříku trestů. V této evidenci jsou podle § 3 odst. 3 zákona č. 269/1994 Sb., o Rejstříku trestů, založeny záznamy z trestních listů, které obsahují údaje o

  1. osobě odsouzeného, aby nebyl zaměnitelný s jinou osobou,
  2. soudu a spisové značce trestní věci,
  3. rozhodnutí o vině, trestu a o ochranném opatření a o jejich výkonu,
  4. rozhodnutí soudu při podmíněném odsouzení nebo podmíněném propuštění z výkonu trestu nebo upuštění od výkonu jeho zbytku,
  5. udělení milosti,
  6. účasti odsouzeného na amnestii,
  7. zahlazení odsouzení.

Podle ustanovení § 3 a 4 téhož zákona se do evidence Rejstříku trestů se zaznamenávají též údaje o odsouzení cizozemským soudem, jestliže o uznání rozsudku takového soudu rozhodl Nejvyšší soud.

Údaji vypovídajícími o trestné činnosti jsou pak také údaje uváděné v opisech a výpisech z Rejstříku trestů. V § 10 odst. 5 zákona o Rejstříku trestů je stanoveno, že v opise se uvádějí všechny údaje o každém odsouzení osoby, které se opis týká, a všechny údaje o průběhu výkonu trestů a ochranných opatření i o zahlazení odsouzení; v § 11 až 13 se upravuje vydávání výpisu na písemnou žádost osoby. Ve výpisu se uvedou všechna odsouzení včetně údajů o průběhu výkonu uložených trestů a ochranných opatření, pokud se podle zákona na pachatele nehledí, jako by nebyl odsouzen. To lze považovat za dostatečně úplné vymezení údajů vypovídajících o trestné činnosti.

Údaje vypovídající o zdravotním stavu – „základní interpretační problém je spojen s vědeckým a technickým pokrokem v západním lékařství. Údajem o zdravotním stavu tak nejsou jen schopnost či neschopnost pro určitou činnost, diagnóza nemoci či zranění, a to v textové i digitální formě, způsob vyšetření a čas, v němž k němu došlo, předepsaná, prováděná nebo doporučená terapie, předepsané, užívané nebo doporučené léky, údaj o sklonu k užívání návykových látek a doklady z vyšetření a terapie dokumentující zdravotní stav. O zdravotním stavu může vypovídat i biometrická charakteristika. Údajem vypovídajícím o zdravotním stavu pacienta může být za určitých okolností i samo jméno a specializace lékaře nebo zdravotnického zařízení.

Za údaje vypovídající o sexuálním životě subjektu údajů se považují zejména výslovné označení sexuální orientace subjektu údajů, provozovaných sexuálních praktik nebo chování a jakékoli údaje o sexuálním partnerovi nebo partnerech (i identifikační) [Hejlík, L., Matoušová, M. Osobní údaje a jejich ochrana. Knížka pro praxi. Praha, ASPI, 2003.].

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Zpracování osobních údajů

Zpracování osobních údajů je jakákoli operace nebo soustava operací, které správce, tzn. subjekt, který určuje účel a prostředky zpracování osobních údajů nebo zpracovatel, tj. subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje, systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky.

Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Správce provádí zpracování a odpovídá za něj a může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat pouze v konkrétně stanovených případech (např. zpracování osobních údajů výlučně pro účely archivnictví). Souhlasem subjektu údajů se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.

Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele.

Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Toto ustanovení má sloužit všem těm, kteří si vedou seznam zákazníků, jimž chtějí dále nabízet zboží či služby. Nicméně v zájmu ochrany soukromí subjektu údajů platí, že pokud by subjekt údajů vyslovil písemný nesouhlas, nemohly by být takto dále údaje zpracovány.

Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených zákonem..

Ustanovení vymezující práva a povinnosti správců, zpracovatelů a dalších subjektů při zpracování osobních údajů tvoří nejdůležitější části zákona. Povinností správce je stanovit účel, k němuž mají být osobní údaje zpracovány. Je-li tato povinnost stanovena zákonem, nepřichází logicky v úvahu stanovení jiného účelu, resp. tento účel není třeba vůbec stanovit (např. advokát nebude muset zvláště stanovit účel dokumentace, kterou je povinen vést podle § 25 odst. 1 zákona o advokacii, vzhledem k tomu, že jejím účelem je evidovat poskytování právních služeb).

Shromažďovat osobní údaje lze pouze ke stanovenému účelu (např. poskytování právní pomoci) a v rozsahu nezbytném k jeho naplnění. Dále musí být stanoveny prostředky a způsob zpracování údajů.

Zpracovávat lze toliko přesné osobní údaje získané v souladu se zákonem. Zjistí-li správce, že jím zpracovávané osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům.

Zpracovávat lze osobní údaje toliko v souladu s účelem, k němuž byly shromážděny, a k jinému účelu jen, když dal k tomu subjekt údajů souhlas. Shromažďovat je možno osobní údaje pouze otevřeně a je vyloučeno činit tak pod záminkou jiného účelu nebo činnosti. Zakázáno je také sdružovat osobní údaje získané k rozdílným účelům. Ze všech posléze uvedených povinností může stanovit výjimku zvláštní zákon.

Speciální úprava platí pro zpracování údajů za účelem nabízení obchodu a služeb. Správce a zpracovatel mohou použít jméno, příjmení a adresu subjektu údajů, jestliže byly získány buď z veřejného seznamu (úředního i komerčního) nebo v souvislosti s činností správce či zpracovatele (např. ze smluv, soutěží, zákaznických karet). Pokud s tím však subjekt údajů vysloví nesouhlas (stát se tak musí písemnou formou), nesmí být jeho údaje dále zpracovány. Souhlas subjektu je dále třeba k tomu, aby k těmto údajům mohly být přiřazovány další osobní údaje.

Nechce-li správce údaje zpracovávat sám, může uzavřít smlouvu s dalším subjektem – zpracovatelem o zpracování osobních údajů (§ 6 zákona). To ovšem nepřichází v úvahu, pokud je zákonem výslovně stanoveno, že zpracování bude provádět subjekt odlišný od správce nebo pokud zákon vylučuje, aby byla taková smlouva uzavřena. Je třeba, aby smlouva měla písemnou formu a obsahovala zejména informace o tom, v jakém rozsahu, za jakým účelem a na jakou dobu je uzavírána, dále v ní musí zpracovatel poskytnout dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů.

V zájmu zajištění práv subjektu údajů platí, že zpracovatel je povinen, zjistí-li porušování povinností správcem, jej na to upozornit a ukončit zpracování údajů. Jestliže tak neučiní, nese s ním solidární odpovědnost za případnou škodu.

Subjekt údajů musí být předně včas a řádně informován o tom, že jsou o něm vůbec údaje shromažďovány, v jakém rozsahu a pro jaký účel atd. Subjekt musí tedy informaci dostat natolik včas a v takové podobě, aby mohl účinně hájit svá práva. Dále musí být poučen o tom, je-li podle zákona povinen údaje poskytovat a v případě, kdy je poskytnutí osobních údajů povinné, je správce povinen poučit o následcích odmítnutí poskytnutí osobních údajů. Správce je dále povinen informovat subjekt údajů o právu na přístup k osobním údajům a možnosti chránit svoje práva, poruší-li správce či zpracovatel povinnosti stanovené zákonem.

Výše uvedené informace a poučení nemusí správce poskytovat např., jestliže zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady, nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem.

Další skupina povinností se vztahuje k zajištění bezpečnosti osobních údajů. Všichni správci a zpracovatelé musí přijmout opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení, ztrátě, neoprávněným přenosům nebo jinému neoprávněnému zpracování či jinému zneužití. Tato povinnost stíhá všechny správce a trvá i po skončení zpracování.

Zaměstnanci správce a zpracovatele, jakož i jiné osoby zpracovávající osobní údaje na základě smlouvy se správcem nebo zpracovatelem, tak mohou činit jen v rozsahu a za podmínek, které jsou správcem (zpracovatelem) stanoveny.

Tyto osoby, jakož i další subjekty, které přicházejí do styku s osobními údaji v rámci plnění zákonem stanovených oprávnění a povinností musí zachovávat mlčenlivost jednak o osobních údajích, jednak o bezpečnostních opatřeních, pokud by jejich zveřejnění ohrozilo zabezpečení osobních údajů. Kromě toho je ovšem stíhá i povinnost podle zvláštních zákonů (např. § 21 zákona o advokacii). Uvedená povinnost však neplatí tam, kde je uložena informační povinnost, např. podle trestního zákoníku.

Oznamovací povinnost

Ten, kdo hodlá jako správce zpracovávat osobní údaje, je povinen tuto skutečnost oznámit písemně Úřadu pro ochranu osobních údajů před zpracováváním osobních údajů.

Oznámení dle zákona musí obsahovat tyto informace:

  1. identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo osoby, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci,
  2. účel nebo účely zpracování,
  3. kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,
  4. zdroje osobních údajů,
  5. popis způsobu zpracování osobních údajů,
  6. místo nebo místa zpracování osobních údajů,
  7. příjemce nebo kategorie příjemců,
  8. předpokládaná předání osobních údajů do jiných států,
  9. popis opatření k zajištění ochrany osobních údajů.

Úřad je povinen do 30 dnů od doručení oznámení Úřadu provést zápis oznamovatele do registru zpracování osobních údajů, vydat rozhodnutí o tom, že zpracování osobních údajů nepovolí nebo zahájit řízení, vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení zákona. Jestliže Úřad ve 30 denní lhůtě nevydá rozhodnutí o tom, že zpracování osobních údajů nepovolí, nebo pokud nezahájí řízení má se za to, že oznámení zaregistroval, a oznamovatel může zahájit zpracování osobních údajů.

Oznámení Úřadu je třeba učinit i při změně zpracování údajů. Oznámení se podává prostřednictvím elektronického registračního formuláře dostupného na webových stránkách úřadu. Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

Při zpracování veškerých osobních údajů platí, že správce a zpracovatel musí dbát, aby subjekt údajů neutrpěl újmu na svých právech, zejména aby byla zachována jeho lidská důstojnost a aby nedocházelo k neoprávněnému zasahování do soukromého a osobního života subjektu údajů (§ 10 zákona). Citované ustanovení představuje obecnou interpretační klauzuli, kterou bude třeba použít vždy, vznikne-li nejasnost v otázce zpracování osobních údajů. Ochrana lidské důstojnosti a právo na zachování soukromí a osobního života mají přednost před případnými zájmy správce na zpracování osobních údajů.

Správce, resp. k jeho pokynu zpracovatel, musí provést likvidaci údajů, jakmile pomine účel, pro který byly zpracovány a dále také na žádost subjektu údajů v rámci opatření k ochraně jeho práv. Výjimky pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním a správním řízení stanoví zákon.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Ochrana práv subjektu údajů

Pokud subjekt údajů zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem (zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování) může požádat správce nebo zpracovatele o vysvětlení a/nebo požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav.

Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů. Správce je povinen bez zbytečného odkladu informovat každého, komu jsou osobní údaje zpřístupněny, o žádosti subjektu údajů a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.

Je-li žádost subjektu údajů podle předešlého odstavce shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.

Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.

Úřad pro ochranu osobních údajů (ÚOOÚ)

Úřad pro ochranu osobních údajů sídlí v Praze. Postavení a působnost Úřadu jsou stanoveny v hlavě IV zákona o ochraně osobních údajů, organizace Úřadu v Hlavě V zákona a jeho činnost v hlavě VI zákona. Úřad je nezávislým orgánem, nepodléhá žádnému ministerstvu ani jinému státnímu orgánu. Jsou mu svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném zákonem o ochraně osobních údajů. Je velmi důležitý pro zajištění nezávislosti při dozoru nad zpracováním osobních údajů. Do činnosti Úřadu lze zasahovat pouze na základě zákona. Jeho činnost je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

V čele Úřadu je předseda a sedm inspektorů. Ti jsou jmenováni a odvoláváni prezidentem republiky na návrh Senátu Parlamentu České republiky. Toto ustanovení spolu s vymezením kvalifikačních předpokladů, např. stanovením neslučitelnosti funkce předsedy či inspektora s určitými činnostmi, stanovením přesných podmínek, za nichž mohou být předseda a inspektoři odvoláni apod., slouží k zajištění nezávislosti nejen předsedy, ale celého Úřadu. Obdobně to platí také o inspektorech, jimž náleží vykonávat kontrolu nad dodržováním povinnosti v oblasti ochrany osobních údajů.

Předseda Úřadu je jmenován na dobu pěti let a může být jmenován nejvýše na dvě po sobě jdoucí období. Inspektor je jmenován na období deseti let a může být jmenován opakovaně. Inspektor vykonává a řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům (svéprávný ve smyslu NOZ), bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem (zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky) a má ukončené odborné vysokoškolské vzdělání.

S funkcí inspektora jsou neslučitelné funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor dále nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

Předseda Úřadu řídí Úřad, zastupuje Českou republiku v Poradním výboru Rady Evropy k tzv. Úmluvě č. 108 (Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat). Dále předkládá výroční zprávu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky, rozhoduje o námitce podjatosti kontrolujícího a zbavuje kontrolujícího mlčenlivosti.

Úkoly Úřadu jsou např. provádění dozoru nad dodržováním povinností stanovených zákonem při zpracování osobních údajů, vedení registru zpracování osobních údajů, přijímání podnětů a stížností občanů na porušení zákona, zpracovávání a zpřístupnění veřejnosti výroční zprávy o činnosti Úřadu, projednávání přestupků a jiných správních deliktů a udělování pokut podle zákona o ochraně osobních údajů, zajišťování plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, poskytování konzultací v oblasti ochrany osobních údajů a spolupráce s obdobnými úřady jiných států.

Ovšem prvořadým úkolem Úřadu je dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů. Dozorovou činnost a působnost spoluvytvářejí registrace zpracování osobních údajů, přijímání podnětů a stížností občanů na porušení zákona o ochraně osobních údajů, kontrolní činnost a do jisté míry také poskytování konzultací.

Anonymně má každý možnost přistupovat na webové stránky Úřadu. Identifikace návštěvníků těchto webových stránek tedy není možná. To se však netýká informací, které jsou sdělovány dobrovolně, například prostřednictvím e-mailu nebo při použití webového formuláře „Stížnost“, kde je zřejmý souhlas s jejich použitím pro příslušný účel. Žádná informace, která je poskytnuta prostřednictvím webových stránek Úřadu, není bez jeho souhlasu zpřístupněna třetí straně a Úřad ji použije pouze pro účely, pro které byly poskytnuty.

Při zpracování osobních údajů Úřad dbá na dodržování nejpřísnějších norem zabezpečení a důvěrnosti zaručující soulad se zákonem o ochraně osobních údajů. Úřad plně respektuje právo na soukromí a neshromažďuje žádné osobní údaje, pokud k tomu nebyl dán prokazatelný souhlas.

Kontrolní činnost

Kontrolní činnost provádějí inspektoři a další pověření zaměstnanci Úřadu a je do ní zapojen i předseda Úřadu. Kontrolovanými mohou být ústřední orgány státní správy, jiné veřejnoprávní subjekty, banky, dopravní podniky provozující hromadnou městskou dopravu, veřejné knihovny, obce, podnikatelské subjekty s různým oborovým zaměřením i společenské organizace. Kontrolující jsou ze zákona vybavení řadou standardních oprávnění. Některá jsou shodná s oprávněním dozorových orgánů podle jiných zákonů, některá jsou specifická pro ochranu osobních údajů.

Při provádění kontroly jsou kontrolující oprávněni vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, pokud to souvisí s předmětem kontroly. Do obydlí mohou vstupovat pouze v případě, že slouží také k provozování podnikatelské činnosti.

Kontrolující mohou dále požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat, pokud to souvisí s předmětem kontroly. Mohou také provádět vlastní dokumentaci, seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním právním předpisem, a dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti.

Dále mohou požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech, zajišťovat v odůvodněných případech doklady, jejich převzetí ovšem musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů, pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného, požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků, používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

K jejich povinnostem naproti tomu patří: prokázat se kontrolovanému průkazem kontrolora, oznámit kontrolovanému zahájení kontroly, šetřit práva a právem chráněné zájmy kontrolovaných, předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí, řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití, pořizovat o výsledcích kontroly kontrolní protokol, zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností.

Povinností kontrolních pracovníků je zjistit při kontrole skutečný stav věci. Kontrolní zjištění jsou kontrolní pracovníci povinni prokázat doklady. Inspektoři i další kontrolující mají samozřejmě také oznamovací povinnost podle zvláštních zákonů. Pokud by kontrolující nesplnil oznamovací povinnost, dopustí se trestného činu neoznámení trestného činu podle § 368 nebo nepřekažení trestného činu podle § 367 trestního zákoníku.

Kontrolující disponuje také oprávněním podat podnět podle § 25 zákona o státní kontrole. Pokud v souvislosti s výkonem kontroly zjistí potřebu změnit, popřípadě zrušit platné právní předpisy, učiní k tomu podnět u příslušných státních orgánů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Z účasti na kontrole vylučuje kontrolujícího podjatost.

Průkaz kontrolora vystavuje Úřad pro ochranu osobních údajů a vzor průkazu je upřesněn nařízením vlády č. 277/2011 ze dne 31. srpna 2011. V současné době je průkaz opatřen fotografií a jménem a funkcí kontrolujícího, státním znakem a názvem Úřadu. Obsahuje také číslo průkazu a datum jeho vydání. Předložení průkazu je postačující formalitou k tomu, aby zahájil inspektor kontrolu a vyžadoval součinnost tak, jak ji zakotvuje zákon o ochraně osobních údajů a zákon o státní kontrole. U ostatních kontrolujících Úřad vyžaduje ještě písemné pověření k dané kontrole. Zahájení kontroly oznamuje kontrolující buď na místě, tj. při vstupu do objektu kontrolovaného, nebo předem dopisem.

Formální charakter má povinnost pořizovat o výsledcích kontroly kontrolní protokol, který obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označením ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě, a stanovením lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá.

Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo seznámení potvrdit, vyznačí se to v kontrolním protokolu.

Zjistí-li kontrolující, že došlo k porušení povinností uložených zákonem, uloží podle ustanovení § 40 odst. 1 zákona o ochraně osobních údajů inspektor (nikoli tedy jiný zaměstnanec), jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění. Jejich konkrétní podoba musí odpovídat druhu porušené povinnosti. Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních. Opatření k nápravě jsou nástrojem k dosahování účelu kontrolní činnosti, stejně jako sankce.

V této souvislosti je nutno zdůraznit, že okruh opatření k nápravě není omezen na ta opatření, která dává zákon subjektu údajů vůči správcům a zpracovatelům, jejich zaměstnancům a jiným subjektům. Také jejich podstata je jiná: jedná se totiž o veřejnoprávní mocenský akt, zatímco zmíněná opatření subjektů údajů náleží do oblasti soukromoprávní. Inspektor tedy může uložit správci a zpracovateli, jako nápravné opatření, aby zlikvidoval osobní údaje, provedl opravu údajů, ale také, aby zajistil bezpečnost osobních údajů, aby údaje anonymizoval, přesně vymezil účel zpracování, přestal je předávat do zahraničí atd.

Stejným zákonem je definována likvidace, a to jako fyzické zničení nosiče osobních údajů, fyzické vymazání osobních údajů nebo jejich trvalého vyloučení z dalších zpracování. Při uložení likvidace jsou osobní údaje do jejího provedení blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy v této věci lze podat žalobu podle předpisů o správním soudnictví.

Do doby, než bude soudem rozhodnuto, jsou údaje opět blokovány. Naproti tomu nepřichází v úvahu možnost uložení omluvy či jiného zadostiučinění nebo zaplacení peněžité úhrady za poškození cti a dobrého jména, takové nároky by musel subjekt údajů vymáhat soudní cestou. Pochopitelně i v tomto případě musí být údaje blokovány.

Dodržování povinností při zpracování osobních údajů je zajišťováno též stanovením správních sankcí. Tím je i naplněn požadavek, aby byla zajištěna rychlá a efektivní ochrana osobních údajů.

Zákon ukládá každému, aby poskytl kontrolujícím potřebnou součinnost. Tato povinnost se tedy týká nejen správců či zpracovatelů a jejich zaměstnanců, ale i všech ostatních osob. Tím se má zabránit tomu, aby např. správce neodeslal osobní údaje, které zpracovává, v průběhu kontroly třetí osobě, a tím ji zmařil. Tomuto tématu náleží následující kapitola.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Zneužití osobních údajů

Jako generální interpretační klauzule platí, že každý správce a zpracovatel musí při zpracování osobních údajů dbát, aby subjekt údajů neutrpěl újmu na svých právech. Jedná se především o právo na zachování lidské důstojnosti a na ochranu před neoprávněným zasahováním do soukromého a osobního života. Podle tohoto ustanovení je třeba se řídit při každém zpracování osobních údajů a v tomto duchu je nutno vykládat veškerá ustanovení zákona. Porušení stanovených povinností může mít za následek uložení pokuty Úřadem pro ochranu osobních údajů.

Odpovědnost správců a zpracovatelů je postavena na tzv. objektivním principu s možností liberace. To znamená, že se u nich nezkoumá, zda k porušení povinností došlo jejich zaviněním, postačuje fakt, že v důsledku jejich činnosti (resp. činnosti jejich zaměstnanců) byl porušen zákon.

V § 180 trestního zákoníku je vymezena skutková podstata trestného činu neoprávněného nakládání s osobními údaji. Trestného činu se dopustí ten, kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.

Stejného trestného činu se dopustí i ten, kdo byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Objektem tohoto trestného činu je zájem státu resp. společnosti na dodržování zákonem stanovené povinnosti mlčenlivosti. Objektivní stránku naplňuje jednání spočívající v současném splnění několika výše uvedených podmínek.

Porušení, nedodržení nebo případné zneužití osobních údajů s sebou nese patřičné sankce a tím je dle zákona pokuta. Sankce jsou vymezené přiměřeně vzhledem k neoprávněnosti úkonu a výše pokut správcům či zpracovatelům, je ukládána Úřadem. Úřad také projednává porušení povinností. Vybrané pokuty jsou příjmem státního rozpočtu. Přestupky projednává Úřad podle zákona č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.

V Hlavě VII. zákona o ochraně osobních údajů jsou upraveny sankce. Zákon rozlišuje sankce za přestupky a jiné správní delikty.

Za přestupek se např. ve smyslu § 44 odst. 1 zákona považuje porušení povinnosti mlčenlivosti u osoby, která je ke správci nebo zpracovateli osobních údajů v pracovním či obdobném poměru, nebo která přichází do styku s osobními údaji správce či zpracovatele. Výše pokuty v tomto případě může činit až 100 000,- Kč.

Další přestupky jsou specifikovány v § 44 odst. 2 a 3 zákona. Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů např. nestanoví účel, prostředky nebo způsob zpracování nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, zpracovává nepřesné osobní údaje, shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu, uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování, zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem, odmítne subjektu údajů poskytnout požadované informace, nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů, nesplní oznamovací povinnost podle zákona.

Přestupkem je podle § 44a rovněž zveřejnění osobních údajů i přes zákaz stanovený zvláštním právním předpisem. Zákon zde má na mysli zejména ustanovení zákona č. 141/1961 Sb., trestního řádu ve znění novely – tzv. „náhubkového zákona“. Trestní řád zakazuje zveřejnění zejména:

  • informace umožňující zjištění totožnosti poškozeného, který je buď mladší 18 let, nebo vůči němuž byl spáchán některý z vyjmenovaných trestných činů (trestné činy proti životu a zdraví, svobodě a lidské důstojnosti, proti rodině a mládeži, trestný čin kuplířství a šíření pornografie),
  • jakéhokoliv záznamu či obrazových snímků z průběhu hlavního líčení nebo veřejného zasedání soudu, pokud by umožnily zjištění totožnosti poškozeného dle předchozího odstavce,
  • pravomocného rozsudku s údaji umožňujícími identifikaci (tedy takové údaje je třeba při případném zveřejnění začernit),
  • informací o nařízení či provedení odposlechu a záznamu telekomunikačního provozu stejně jako informací z odposlechu získaných.

Za přestupek podle § 44a zákona lze udělit pokutu až do 1 000 000 Kč. Pokud byl takový přestupek spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, lze uložit pokutu až do 5 000 000 Kč.

Správního deliktu se právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů jako správce nebo zpracovatel dopustí tím, že při zpracování osobních údajů nestanoví účel, prostředky nebo způsob zpracování, nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, zpracovává nepřesné osobní údaje, shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování, zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem, odmítne subjektu údajů poskytnout požadované informace, nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů, nesplní oznamovací povinnost podle zákona.

Správním deliktem je podle § 45a zákona rovněž zveřejnění osobních údajů i přes zákaz stanovený zvláštním právním předpisem. Zákon zde má na mysli zejména ustanovení zákona č. 141/1961 Sb., trestního řádu ve znění novely – tzv. „náhubkového zákona“. Trestní řád zakazuje zveřejnění zejména:

  • informace umožňující zjištění totožnosti poškozeného, který je buď mladší 18 let, nebo vůči němuž byl spláchán některý z vyjmenovaných trestných činů (trestné činy proti životu a zdraví, svobodě a lidské důstojnosti, proti rodině a mládeži, trestný čin kuplířství a šíření pornografie),
  • jakéhokoliv záznamu či obrazových snímků z průběhu hlavního líčení nebo veřejného zasedání soudu, pokud by umožnily zjištění totožnosti poškozeného dle předchozího odstavce,
  • pravomocného rozsudku s údaji umožňujícími identifikaci (tedy takové údaje je třeba při případném zveřejnění začernit),
  • informací o nařízení či provedení odposlechu a záznamu telekomunikačního provozu stejně jako informací z odposlechu získaných.

Za správní delikt podle § 45a zákona lze udělit pokutu až do 1 000 000 Kč. Pokud byl takový správní delikt spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, lze uložit pokutu až do 5 000 000 Kč.

Úřad přihlíží při rozhodování o výši pokuty zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.

Předávání osobních údajů do jiných států

Zvláštní ustanovení je věnováno předávání osobních údajů do jiných států (§ 27 zákona). Do jiných států lze tyto údaje předávat za podmínky, že jejich právní úprava odpovídá požadavkům stanoveným v tomto zákoně.

Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.

Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů nevyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.

Pokud nejsou osobní údaje předávány do členského státu Evropské unie nebo z mezinárodní smlouvy nevyplývá zákaz omezování volného pohybu osobních údajů, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že:

  1. předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů,
  2. v třetí zemi, kde mají být osobní údaje zpracovány, jsou vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu,
  3. jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem,
  4. předání je nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,
  5. předání je nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů,
  6. předání je nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo
  7. předání je nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotních služeb.

Před předáním osobních údajů do třetích zemí podle předchozích bodů je správce povinen požádat Úřad o povolení k předání.

Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.

Doporučení zpracovatelům osobních údajů

  • Hlavní úprava ochrany osobních údajů je obsažena zejména v zákoně č. 101/2000 Sb. o ochraně osobních údajů v platném znění.
  • Úřad pro ochranu osobních údajů je nezbytné před započetím zpracování osobních údajů o této skutečnosti informovat.
  • Doporučujeme získat písemný souhlas od subjektu údajů v případě zpracování osobních údajů.

Pro základní informace k problematice zacházení s osobními údaji a jejich ochraně se obracejte na adresu:

Úřad pro ochranu osobních údajů
Pplk. Sochora 27
170 00 Praha 7
internet: http://www.uoou.cz/


Literatura: Hejlík, L., Matoušková, M. Osobní údaje a jejich ochrana. Knížka pro praxi. Praha, ASPI, 2003.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Tento článek reflektuje právní stav ke dni 1. ledna 2014, tedy stav po nabytí účinnosti zákona č. 89/2012 Sb. občanský zákoník, v platném znění (dále také jen „občanský zákoník“) a doprovodné legislativy vztahující se k rekodifikaci soukromého práva.

Přehled všech témat Právního průvodce

Tisknout Vaše hodnocení:

Diskuse k článku

+ Nový příspěvek