Pokračování dokumentu "Ochrana osobních údajů", který přináší základní informace k problematice ochrany osobních dat při jejich zpracování.
Zpracování osobních údajů
Zpracování osobních údajů je jakákoli operace nebo soustava operací, které správce, tzn. subjekt, který určuje účel a prostředky zpracování osobních údajů nebo zpracovatel, tj. subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje, systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Správce provádí zpracování a odpovídá za něj a může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat pouze v konkrétně stanovených případech (např. statistické a vědecké účely). Souhlasem subjektu údajů se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Ze souhlasu musí být zřejmé, jaké osobní údaje smějí být zpracovány, musí z něj být patrno, kterému správci je dáván souhlas ke zpracování a vymezen jeho konkrétní účel. Souhlas musí také zahrnovat určení období, na které je dáván.
Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Toto ustanovení má sloužit všem těm, kteří si vedou seznam zákazníků, jimž chtějí dále nabízet zboží či služby. Nicméně v zájmu ochrany soukromí subjektu údajů platí, že pokud by subjekt údajů vyslovil písemný nesouhlas, nemohly by být takto dále údaje zpracovány.
Správce je povinen včas a řádně subjekt údajů informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny. Součástí této informace musí být též údaj o jeho sídle, případně o sídle zpracovatele. Další povinnosti správce a zpracovatele jsou uvedeny v § 11 zákona.
Ustanovení vymezující práva a povinnosti správců, zpracovatelů a dalších subjektů při zpracování osobních údajů tvoří nejdůležitější části zákona. Povinností správce je stanovit účel, k němuž mají být osobní údaje zpracovány. Je-li tato povinnost stanovena zákonem, nepřichází logicky v úvahu stanovení jiného účelu, resp. tento účel není třeba vůbec stanovit (např. advokát nebude muset zvláště stanovit účel dokumentace, kterou je povinen vést podle § 25 odst. 1 zákona o advokacii, vzhledem k tomu, že jejím účelem je evidovat poskytování právních služeb). Shromažďovat osobní údaje lze pouze ke stanovenému účelu (např. poskytování právní pomoci) a v rozsahu nezbytném k jeho naplnění. Dále musí být stanoveny prostředky a způsob zpracování údajů.
Zpracovávat lze toliko pravdivé a přesné osobní údaje získané v souladu s tímto zákonem a správce je povinen ověřovat jejich pravdivost a přesnost. Zjistí-li, že údaje nejsou s ohledem na stanovený účel pravdivé a přesné, zejména pokud tak namítne subjekt údajů, musí je blokovat a bezodkladně opravit a nemůže-li tak učinit, musí je zlikvidovat. Nepravdivé, nepřesné a neověřené údaje je možno zpracovávat jen stanoví-li tak zvláštní zákon, vždy pak musí být jako takové náležitě označeny a vedeny odděleně od ostatních (např. advokát nemůže vyloučit, že údaje, které zpracovává, budou pravdivé nebo přesné a je dokonce zřejmé, že mnohdy bude teprve postupně schopen zajistit tuto jejich kvalitu; ověřovat si je musí tak, aby mohl poskytovat právní služby na úrovni požadované zákonem o advokacii, který v tomto směru vymezuje účel, k němuž jsou osobní údaje zpracovány).
Zpracovávat lze osobní údaje toliko v souladu s účelem, k němuž byly shromážděny a k jinému účelu jen když dal k tomu subjekt údajů souhlas. Shromažďovat je možno údaje pouze otevřeně a je vyloučeno činit tak pod záminkou jiného účelu nebo činnosti. Zakázáno je konečně sdružovat osobní údaje k rozdílným účelům. Ze všech posléze uvedených povinností může stanovit výjimku zvláštní zákon.
Osobní údaje lze bez souhlasu subjektu zpracovávat pro účely statistické a vědecké. V tomto případě je třeba dbát, aby byla zajištěna jejich ochrana před neoprávněným zpracováním a byly anonymizovány, jakmile to bude možné s ohledem na účel, k němuž jsou zpracovány.
Speciální úprava platí pro zpracování údajů za účelem nabízení obchodu a služeb. Správce a zpracovatel mohou použít jméno, příjmení a adresu subjektu údajů, jestliže byly získány buď z veřejného seznamu (úředního i komerčního) nebo v souvislosti s činností správce či zpracovatele (např. ze smluv, soutěží, zákaznických karet). Pokud s tím však subjekt údajů vysloví nesouhlas (stát se tak musí písemnou formou), nesmí být jeho údaje dále zpracovány. Souhlas subjektu je dále třeba k tomu, aby k těmto údajům mohly být přiřazovány další osobní údaje.
Nechce-li správce údaje zpracovávat sám, může uzavřít smlouvu s dalším subjektem – zpracovatelem o zpracování osobních údajů (§ 6 zákona). To ovšem nepřichází v úvahu, pokud je zákonem výslovně stanoveno, že zpracování bude provádět subjekt odlišný od správce nebo pokud zákon vylučuje, aby byla taková smlouva uzavřena. Je třeba, aby smlouva měla písemnou formu a obsahovala zejména informace o tom, v jakém rozsahu, za jakým účelem a na jakou dobu je uzavírána, dále v ní musí zpracovatel poskytnout dostatečné záruky o technickém a organizačním zabezpečení osobních údajů; nebude-li výše uvedené skutečnosti smlouva obsahovat, je neplatná.
V zájmu zajištění práv subjektu údajů platí, že zpracovatel je povinen, zjistí-li porušování povinností správcem, jej na to upozornit a ukončit zpracování údajů. Jestliže tak neučiní, nese s ním solidární odpovědnost za případnou škodu a mimo to může být postižen za správní delikt podle § 46 zákona o přestupcích.
Subjekt údajů musí být předně včas a řádně informován o tom, že jsou o něm vůbec údaje shromažďovány, v jakém rozsahu a pro jaký účel atd. Subjekt musí tedy informaci dostat natolik včas a v takové podobě, aby mohl účinně hájit svá práva. Dále musí být poučen o tom, je-li podle zákona povinen údaje poskytovat a jaké důsledky nastanou, jestliže tak neučiní, za jakých podmínek může informaci odmítnout nebo zda poskytuje údaje dobrovolně a také o právu na přístup k osobním údajům a možnosti chránit svoje práva, poruší-li správce či zpracovatel povinnosti stanovené tímto zákonem. Nezískal-li správce údaj od subjektu, je třeba, aby jej, před dalším zpracováním, informoval o tom, kdo mu je poskytl, o druhu a obsahu údajů. Informace je třeba podat bez zbytečného prodlení, písemně a musí být srozumitelné.
Údaje nemusí správce poskytovat např., jestliže zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady, nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem.
Zásadně je vyloučeno, aby rozhodnutí orgánu či jiný úkon (např. evidenční nebo registrační) byl učiněn, resp. vydán na základě výlučně automatizovaného zpracování, tj. bez verifikace, ledaže se tak činí ve prospěch subjektu údajů.
Další skupina povinností se vztahuje k zajištění bezpečnosti osobních údajů. Všichni správci a zpracovatelé musí přijmout opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení, ztrátě, neoprávněným přenosům nebo jinému neoprávněnému zpracování či jinému zneužití. Tato povinnost stíhá všechny správce a trvá i po skončení zpracování.
Zaměstnanci správce a zpracovatele, jakož i jiné osoby zpracovávající osobní údaje na základě smlouvy, tak mohou činit jen v rozsahu a za podmínek, které jsou správcem (zpracovatelem) stanoveny.
Tyto osoby, jakož i další subjekty, které přicházejí do styku s osobními údaji v rámci plnění zákonem stanovených oprávnění a povinností musí zachovávat mlčenlivost jednak o osobních údajích, jednak o bezpečnostních opatřeních, pokud by jejich zveřejnění ohrozilo zabezpečení osobních údajů. Kromě toho je ovšem stíhá i povinnost podle zvláštních zákonů (např. § 21 zákona o advokacii). Uvedená povinnost však neplatí tam, kde je uložena informační povinnost, např. podle trestního zákona.
Oznamovací povinnost
Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit písemně Úřadu pro ochranu osobních údajů před započetím zpracovávání osobních údajů.
Oznámení musí dle § 16 odst. 2 obsahovat tyto informace:
- identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci,
- účel nebo účely zpracování,
- kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,
- zdroje osobních údajů,
- popis způsobu zpracování osobních údajů,
- místo nebo místa zpracování osobních údajů,
- příjemce nebo kategorie příjemců,
- předpokládaná předání osobních údajů do jiných států,
- popis opatření k zajištění ochrany osobních údajů podle § 13.
Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí o tom, že zpracování osobních údajů nepovolí. Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů. Jestliže Úřad ve 30 denní lhůtě oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval, a oznamovatel tedy může zahájit zpracování osobních údajů.
Oznámení Úřadu je třeba učinit i při změně nebo ukončení zpracování údajů. Úřad pro ochranu osobních údajů doporučuje, aby oznámení byla prováděna na formulářích vydaných Úřadem pro ochranu osobních údajů.
Při zpracování veškerých osobních údajů platí, že správce a zpracovatel musí dbát, aby subjekt údajů neutrpěl újmu na svých právech, zejména aby byla zachována jeho lidská důstojnost a aby nedocházelo k neoprávněnému zasahování do soukromého a osobního života subjektu údajů (§ 10 zákona). Citované ustanovení představuje obecnou interpretační klauzuli, kterou bude třeba použít vždy, vznikne-li nejasnost v otázce zpracování osobních údajů. Ochrana lidské důstojnosti a právo na zachování soukromí a osobního života mají přednost před případnými zájmy správce na zpracování osobních údajů.
Správce, resp. k jeho pokynu zpracovatel, musí provést likvidaci údajů, jakmile pomine účel, pro který byly zpracovány a dále také na žádost subjektu údajů v rámci opatření k ochraně jeho práv. Výjimky pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním a správním řízení stanoví zákon.
Ochrana práv subjektu údajů
Pokud subjekt údajů zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem (zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování) může požádat správce nebo zpracovatele o vysvětlení a/nebo požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů. Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.
Je-li žádost subjektu údajů podle předešlého odstavce shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav. Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů, má subjekt údajů právo obrátit se na Úřad. Předešlý postup nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo.
Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.
Úřad pro ochranu osobních údajů (ÚOOÚ)
Úřad pro ochranu osobních údajů sídlí v Praze. Postavení a působnost Úřadu jsou stanoveny v hlavě IV zákona o ochraně osobních údajů, organizace Úřadu v Hlavě V a jeho činnost v hlavě VI. Úřad je nezávislým orgánem, nepodléhá žádnému ministerstvu ani jinému státnímu orgánu. Jsou mu svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném zákonem o ochraně osobních údajů. Je velmi důležitý pro zajištění nezávislosti při dozoru nad zpracováním osobních údajů. Do činnosti Úřadu lze zasahovat pouze na základě zákona. Jeho činnost je hrazena ze samostatné kapitoly státního rozpočtu České republiky.
V čele Úřadu je předseda a sedm inspektorů. Ti jsou jmenováni a odvoláváni prezidentem republiky na návrh Senátu Parlamentu České republiky. Toto ustanovení spolu s vymezením kvalifikačních předpokladů, např. stanovením neslučitelnosti funkce předsedy či inspektora s určitými činnostmi, stanovením přesných podmínek, za nichž mohou být předseda a inspektoři odvoláni apod., slouží k zajištění nezávislosti nejen předsedy, ale celého Úřadu. Obdobně to platí také o inspektorech, jímž náleží vykonávat kontrolu nad dodržováním povinnosti v oblasti ochrany osobních údajů.
Předseda Úřadu je jmenován na dobu pěti let a může být jmenován nejvýše na dvě po sobě jdoucí období. Inspektor je jmenován na období deseti let a může být jmenován opakovaně. Inspektor vykonává a řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.
Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem a má ukončené odborné vysokoškolské vzdělání. S funkcí inspektora jsou neslučitelné funkce ve veřejném životě a členství v politických stranách a hnutích. Dále nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.
Předseda Úřadu řídí Úřad, zastupuje Českou republiku v Poradním výboru Rady Evropy k tzv. Úmluvě č. 108 (Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat). Dále předkládá výroční zprávu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky, rozhoduje o námitce podjatosti kontrolujícího a zbavuje kontrolujícího mlčenlivosti.
Úkoly Úřadu jsou např. provádění dozoru nad dodržováním povinností stanovených tímto zákonem při zpracování osobních údajů, vedení evidence oznámení učiněných podle § 16 a registru povolených zpracování osobních údajů, přijímání podnětů stížností občanů na porušení tohoto zákona, zpracovávání a zpřístupnění veřejnosti výroční zprávy o své činnosti, vydávání prováděcích právních předpisů podle zvláštního zákona, vykonávání další působnosti stanovené mu zákonem, projednávání přestupků a jiných správních deliktů a udělování pokut podle zákona o ochraně osobních údajů, zajišťování plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, poskytování konzultací v oblasti ochrany osobních údajů a spolupráce s obdobnými úřady jiných států. Ovšem prvořadým úkolem Úřadu je dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů. Dozorovou činnost a působnost spoluvytvářejí registrace zpracování osobních údajů, přijímání podnětů a stížností občanů na porušení zákona o ochraně osobních údajů, kontrolní činnost a do jisté míry také poskytování konzultací.
Anonymně má každý možnost přistupovat na webové stránky Úřadu. Identifikace návštěvníků těchto webových stránek tedy není možná. To se však netýká informací, které jsou sdělovány dobrovolně, například prostřednictvím e-mailu nebo při použití webového formuláře „Stížnost“, kde je zřejmý souhlas s jejich použitím pro příslušný účel. Žádná informace, která je poskytnuta prostřednictvím webových stránek Úřadu, není bez jeho souhlasu zpřístupněna třetí straně a Úřad ji použije pouze pro účely, pro které byly poskytnuty.
Při zpracování osobních údajů Úřad dbá na dodržování nejpřísnějších norem zabezpečení a důvěrnosti zaručující soulad se zákonem č. 101/2000 Sb., o ochraně osobních údajů. Úřad plně respektuje právo na soukromí a neshromažďuje žádné osobní údaje, pokud k tomu nebyl dán prokazatelný souhlas.
Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.
