Ochrana osobních údajů

Působnost zákona o ochraně osobních údajů

Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci a fyzické a právnické osoby. Zákon se vztahuje na veškeré zpracování osobních údajů, tzn. na zpracovávání údajů automatizovaně či jinými prostředky.

Zákon se nevztahuje na zpracování osobních údajů, které provádějí fyzické osoby výlučně pro osobní potřebu. Jedná se o záležitosti týkající se zejména soukromého a rodinného života a nejsou určeny ke zveřejnění ani k podnikání (příkladem může být seznam různých výročí členů rodiny i širšího okruhu příbuzných).

Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů za podmínky, že tyto nejsou dále zpracovány. Nahodilé je opakem systematického. O nahodilé zpracování jde v případě, kdy údaje nejsou tříděny, pokud k jejich shromažďování nedává podnět správce, ale přichází zvenčí (např. nahodilý dotaz klienta u advokáta).

Zvláštní zákony upravují zpracování osobních údajů pro účely statistické a archivnictví. Zde se nejedná o úplné vynětí z působnosti zákona o ochraně osobních údajů, ale jen o řešení otázky obecného a zvláštního zákona. Tedy pokud zákon č. 89/1995 Sb., o státní statistické službě nebo zákon č. 499/2004 Sb., o archivnictví a spisové službě obsahují zvláštní úpravu, má tato přednost před úpravou obecnou.

Jestliže však takový speciální režim nebude, vztahuje se i na tyto případy zákon o ochraně osobních údajů. Podmínky zpracování osobních údajů pro účely statistické a archivnictví jsou tedy stanoveny příslušnými zákony, nestačí prohlášení správce, že si např. provádí statistické zjišťování nebo si vede archiv.

Definice osobních údajů a dalších pojmů

Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Nelze zaměňovat pojem „osobní údaj“ a pojem „projev osobní povahy“, který je upraven v § 81 a dalších Občanského zákoníku. Jedná se o dva samostatné právní instituty, přičemž projev osobní povahy může za určité situace obsahovat osobní údaj (např. podobizna, písemnost osobní povahy nebo zvukový projev) a v takovém případě dochází k jejich překrývání.

Pokud fyzická osoba může být přímo ze shromážděných údajů nebo na jejich základě jiným způsobem identifikována, jedná se o osobní údaje, přičemž jejich znakem je, že vypovídají o subjektu údajů, který nelze zaměnit s jiným subjektem údajů.

Základním kritériem pro posouzení, zda se jedná o osobní údaj či nikoliv, je okolnost zjištění identity subjektu údajů (určenost nebo určitelnost). Vychází se ze skutečnosti, zda správce může vytvořit přímou vazbu mezi údajem a fyzickou osobou.

Při posuzování možnosti identifikovat fyzickou osobu se nelze dívat omezeným pohledem (např. na obsah zpracovávaných dat v konkrétním zpracování). Je nutno vycházet ze všech možností správce odlišit od sebe jednotlivé fyzické osoby. Pokud jde např. o správce, který má zjevně v držení soubor identifikující subjekty údajů, nemůže být žádný jiný soubor, umožňující propojení na soubor s identifikátory subjektů údajů, považován za anonymní, a to ani v případech, když by zpracovávaný soubor přímou identifikaci subjektu údajů neobsahoval.

Výše uvedené pravidlo platí i o možnosti správce získat identifikátor ze souborů, které nejsou v jeho držení – např. z veřejných registrů, od zpracovatele, s nímž má uzavřenu smlouvu apod. V těchto případech se jedná o nepřímou možnost zjistit identifikaci subjektu údajů (nepřímá identifikace) a není rozhodující, zda této možnosti správce má v úmyslu využít či nikoliv. Rozhodující není ani to, že správce nesmí sdružovat osobní údaje shromážděné pro rozdílné účely. Rozhodující je v tomto případě skutečnost, že správce identifikaci osob „vlastní“ nebo ji může bez vynaložení neúměrného úsilí získat.

Dále zákon definuje další důležité pojmy:

  • anonymní údaje, jimiž jsou ty, které v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému či určitelnému subjektu údajů (např. osobní údaje zařazené do velkých statistických souborů, které jsou zbaveny jména, příjmení a rodného čísla).
  • zveřejněný osobní údaj, jímž se rozumí ten, který je zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením (např. na schůzi, v odborné literatuře, plakátu) nebo je součástí veřejného seznamu (může jít jak o úřední seznam, tak o seznam vydávaný soukromým subjektem pro komerční účely). Zveřejnění se ovšem může stát i jiným způsobem.
  • správce, jímž je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Nezbytným znakem správce však není zpracování osobních údajů, vzhledem k tomu, že touto činností může být zvláštním zákonem zmocněn nebo správcem na základě smlouvy pověřen zpracovatel (např. každý advokát je tedy správcem osobních údajů, který současně osobní údaje zpracovává, protože s ohledem na jeho činnost zřejmě nepřichází v úvahu, aby zpracováním někoho pověřil; naproti tomu nelze vyloučit, že Advokátní komora pověří např. zpracováním seznamu advokátů jiný subjekt).

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.




• Oblasti podnikání: Právo, právní služby | Služby