Ochrana osobních údajů

Zpracování osobních údajů

Zpracování osobních údajů je jakákoli operace nebo soustava operací, které správce, tzn. subjekt, který určuje účel a prostředky zpracování osobních údajů nebo zpracovatel, tj. subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje, systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky.

Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Správce provádí zpracování a odpovídá za něj a může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat pouze v konkrétně stanovených případech (např. zpracování osobních údajů výlučně pro účely archivnictví). Souhlasem subjektu údajů se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.

Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele.

Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Toto ustanovení má sloužit všem těm, kteří si vedou seznam zákazníků, jimž chtějí dále nabízet zboží či služby. Nicméně v zájmu ochrany soukromí subjektu údajů platí, že pokud by subjekt údajů vyslovil písemný nesouhlas, nemohly by být takto dále údaje zpracovány.

Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených zákonem.

Ustanovení vymezující práva a povinnosti správců, zpracovatelů a dalších subjektů při zpracování osobních údajů tvoří nejdůležitější části zákona. Povinností správce je stanovit účel, k němuž mají být osobní údaje zpracovány. Je-li tato povinnost stanovena zákonem, nepřichází logicky v úvahu stanovení jiného účelu, resp. tento účel není třeba vůbec stanovit (např. advokát nebude muset zvláště stanovit účel dokumentace, kterou je povinen vést podle § 25 odst. 1 zákona o advokacii, vzhledem k tomu, že jejím účelem je evidovat poskytování právních služeb).

Shromažďovat osobní údaje lze pouze ke stanovenému účelu (např. poskytování právní pomoci) a v rozsahu nezbytném k jeho naplnění. Dále musí být stanoveny prostředky a způsob zpracování údajů.

Zpracovávat lze toliko přesné osobní údaje získané v souladu se zákonem. Zjistí-li správce, že jím zpracovávané osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům.

Zpracovávat lze osobní údaje toliko v souladu s účelem, k němuž byly shromážděny, a k jinému účelu jen, když dal k tomu subjekt údajů souhlas. Shromažďovat je možno osobní údaje pouze otevřeně a je vyloučeno činit tak pod záminkou jiného účelu nebo činnosti. Zakázáno je také sdružovat osobní údaje získané k rozdílným účelům. Ze všech posléze uvedených povinností může stanovit výjimku zvláštní zákon.

Speciální úprava platí pro zpracování údajů za účelem nabízení obchodu a služeb. Správce a zpracovatel mohou použít jméno, příjmení a adresu subjektu údajů, jestliže byly získány buď z veřejného seznamu (úředního i komerčního), nebo v souvislosti s činností správce či zpracovatele (např. ze smluv, soutěží, zákaznických karet). Pokud s tím však subjekt údajů vysloví nesouhlas (stát se tak musí písemnou formou), nesmí být jeho údaje dále zpracovány. Souhlas subjektu je dále třeba k tomu, aby k těmto údajům mohly být přiřazovány další osobní údaje.

Nechce-li správce údaje zpracovávat sám, může uzavřít smlouvu s dalším subjektem – zpracovatelem o zpracování osobních údajů (§ 6 zákona). To ovšem nepřichází v úvahu, pokud je zákonem výslovně stanoveno, že zpracování bude provádět subjekt odlišný od správce nebo pokud zákon vylučuje, aby byla taková smlouva uzavřena. Je třeba, aby smlouva měla písemnou formu a obsahovala zejména informace o tom, v jakém rozsahu, za jakým účelem a na jakou dobu je uzavírána, dále v ní musí zpracovatel poskytnout dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů.

V zájmu zajištění práv subjektu údajů platí, že zpracovatel je povinen, zjistí-li porušování povinností správcem, jej na to upozornit a ukončit zpracování údajů. Jestliže tak neučiní, nese s ním solidární odpovědnost za případnou škodu.

Subjekt údajů musí být předně včas a řádně informován o tom, že jsou o něm vůbec údaje shromažďovány, v jakém rozsahu a pro jaký účel atd. Subjekt musí tedy informaci dostat natolik včas a v takové podobě, aby mohl účinně hájit svá práva. Dále musí být poučen o tom, je-li podle zákona povinen údaje poskytovat a v případě, kdy je poskytnutí osobních údajů povinné, je správce povinen poučit o následcích odmítnutí poskytnutí osobních údajů. Správce je dále povinen informovat subjekt údajů o právu na přístup k osobním údajům a možnosti chránit svoje práva, poruší-li správce či zpracovatel povinnosti stanovené zákonem.

Výše uvedené informace a poučení nemusí správce poskytovat např., jestliže zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady, nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem.

Další skupina povinností se vztahuje k zajištění bezpečnosti osobních údajů. Všichni správci a zpracovatelé musí přijmout opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení, ztrátě, neoprávněným přenosům nebo jinému neoprávněnému zpracování či jinému zneužití. Tato povinnost stíhá všechny správce a trvá i po skončení zpracování.

Zaměstnanci správce a zpracovatele, jakož i jiné osoby zpracovávající osobní údaje na základě smlouvy se správcem nebo zpracovatelem, tak mohou činit jen v rozsahu a za podmínek, které jsou správcem (zpracovatelem) stanoveny.

Tyto osoby, jakož i další subjekty, které přicházejí do styku s osobními údaji v rámci plnění zákonem stanovených oprávnění a povinností musí zachovávat mlčenlivost jednak o osobních údajích, jednak o bezpečnostních opatřeních, pokud by jejich zveřejnění ohrozilo zabezpečení osobních údajů. Kromě toho je ovšem stíhá i povinnost podle zvláštních zákonů (např. § 21 zákona o advokacii). Uvedená povinnost však neplatí tam, kde je uložena informační povinnost, např. podle trestního zákoníku.

Oznamovací povinnost

Ten, kdo hodlá jako správce zpracovávat osobní údaje, je povinen tuto skutečnost oznámit písemně Úřadu pro ochranu osobních údajů před zpracováváním osobních údajů.

Oznámení dle zákona musí obsahovat tyto informace:

  1. identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo osoby, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci,
  2. účel nebo účely zpracování,
  3. kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,
  4. zdroje osobních údajů,
  5. popis způsobu zpracování osobních údajů,
  6. místo nebo místa zpracování osobních údajů,
  7. příjemce nebo kategorie příjemců,
  8. předpokládaná předání osobních údajů do jiných států,
  9. popis opatření k zajištění ochrany osobních údajů.

Úřad je povinen do 30 dnů od doručení oznámení Úřadu provést zápis oznamovatele do registru zpracování osobních údajů, vydat rozhodnutí o tom, že zpracování osobních údajů nepovolí nebo zahájit řízení, vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení zákona. Jestliže Úřad ve 30 denní lhůtě nevydá rozhodnutí o tom, že zpracování osobních údajů nepovolí, nebo pokud nezahájí řízení má se za to, že oznámení zaregistroval, a oznamovatel může zahájit zpracování osobních údajů.

Oznámení Úřadu je třeba učinit i při změně zpracování údajů. Oznámení se podává prostřednictvím elektronického registračního formuláře dostupného na webových stránkách úřadu. Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

Při zpracování veškerých osobních údajů platí, že správce a zpracovatel musí dbát, aby subjekt údajů neutrpěl újmu na svých právech, zejména aby byla zachována jeho lidská důstojnost a aby nedocházelo k neoprávněnému zasahování do soukromého a osobního života subjektu údajů (§ 10 zákona). Citované ustanovení představuje obecnou interpretační klauzuli, kterou bude třeba použít vždy, vznikne-li nejasnost v otázce zpracování osobních údajů. Ochrana lidské důstojnosti a právo na zachování soukromí a osobního života mají přednost před případnými zájmy správce na zpracování osobních údajů.

Správce, resp. k jeho pokynu zpracovatel, musí provést likvidaci údajů, jakmile pomine účel, pro který byly zpracovány a dále také na žádost subjektu údajů v rámci opatření k ochraně jeho práv. Výjimky pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním a správním řízení stanoví zákon.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.




• Oblasti podnikání: Právo, právní služby | Služby