Ochrana osobních údajů

Zneužití osobních údajů

Jako generální interpretační klauzule platí, že každý správce a zpracovatel musí při zpracování osobních údajů dbát, aby subjekt údajů neutrpěl újmu na svých právech. Jedná se především o právo na zachování lidské důstojnosti a na ochranu před neoprávněným zasahováním do soukromého a osobního života. Podle tohoto ustanovení je třeba se řídit při každém zpracování osobních údajů a v tomto duchu je nutno vykládat veškerá ustanovení zákona. Porušení stanovených povinností může mít za následek uložení pokuty Úřadem pro ochranu osobních údajů.

Odpovědnost správců a zpracovatelů je postavena na tzv. objektivním principu s možností liberace. To znamená, že se u nich nezkoumá, zda k porušení povinností došlo jejich zaviněním, postačuje fakt, že v důsledku jejich činnosti (resp. činnosti jejich zaměstnanců) byl porušen zákon.

V § 180 trestního zákoníku je vymezena skutková podstata trestného činu neoprávněného nakládání s osobními údaji. Trestného činu se dopustí ten, kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.

Stejného trestného činu se dopustí i ten, kdo byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Objektem tohoto trestného činu je zájem státu resp. společnosti na dodržování zákonem stanovené povinnosti mlčenlivosti. Objektivní stránku naplňuje jednání spočívající v současném splnění několika výše uvedených podmínek.

Porušení, nedodržení nebo případné zneužití osobních údajů s sebou nese patřičné sankce a tím je dle zákona pokuta. Sankce jsou vymezené přiměřeně vzhledem k neoprávněnosti úkonu a výše pokut správcům či zpracovatelům, je ukládána Úřadem. Úřad také projednává porušení povinností. Vybrané pokuty jsou příjmem státního rozpočtu. Přestupky projednává Úřad podle zákona č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.

V Hlavě VII. zákona o ochraně osobních údajů jsou upraveny sankce. Zákon rozlišuje sankce za přestupky a jiné správní delikty.

Za přestupek se např. ve smyslu § 44 odst. 1 zákona o ochraně osobních údajů považuje porušení povinnosti mlčenlivosti u osoby, která je ke správci nebo zpracovateli osobních údajů v pracovním či obdobném poměru, nebo která přichází do styku s osobními údaji správce či zpracovatele. Výše pokuty v tomto případě může činit až 100 000 Kč.

Další přestupky jsou specifikovány v § 44 odst. 2 a 3 zákona o ochraně osobních údajů. Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů např. nestanoví účel, prostředky nebo způsob zpracování nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, zpracovává nepřesné osobní údaje, shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu, uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování, zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem, odmítne subjektu údajů poskytnout požadované informace, nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů, nesplní oznamovací povinnost podle zákona.

Přestupkem je podle § 44a rovněž zveřejnění osobních údajů i přes zákaz stanovený zvláštním právním předpisem. Zákon zde má na mysli zejména ustanovení zákona č. 141/1961 Sb., trestního řádu ve znění novely – tzv. „náhubkového zákona“. Trestní řád zakazuje zveřejnění zejména:

  • informace umožňující zjištění totožnosti poškozeného, který je buď mladší 18 let, nebo vůči němuž byl spáchán některý z vyjmenovaných trestných činů (trestné činy proti životu a zdraví, svobodě a lidské důstojnosti, proti rodině a mládeži, trestný čin kuplířství a šíření pornografie),
  • jakéhokoliv záznamu či obrazových snímků z průběhu hlavního líčení nebo veřejného zasedání soudu, pokud by umožnily zjištění totožnosti poškozeného dle předchozího odstavce,
  • pravomocného rozsudku s údaji umožňujícími identifikaci (tedy takové údaje je třeba při případném zveřejnění začernit),
  • informací o nařízení či provedení odposlechu a záznamu telekomunikačního provozu stejně jako informací z odposlechu získaných.

Za přestupek podle § 44a zákona o ochraně osobních údajů lze udělit pokutu až do 1 000 000 Kč. Pokud byl takový přestupek spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, lze uložit pokutu až do 5 000 000 Kč.

Správního deliktu se právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů jako správce nebo zpracovatel dopustí tím, že při zpracování osobních údajů nestanoví účel, prostředky nebo způsob zpracování, nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, zpracovává nepřesné osobní údaje, shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování, zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem, odmítne subjektu údajů poskytnout požadované informace, nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů, nesplní oznamovací povinnost podle zákona.

Správním deliktem je podle § 45a zákona o ochraně osobních údajů rovněž zveřejnění osobních údajů i přes zákaz stanovený zvláštním právním předpisem. Zákon zde má opět na mysli zejména ustanovení zákona č. 141/1961 Sb., trestního řádu ve znění novely – tzv. „náhubkového zákona“. Trestní řád zakazuje zveřejnění zejména:

  • informace umožňující zjištění totožnosti poškozeného, který je buď mladší 18 let, nebo vůči němuž byl spáchán některý z vyjmenovaných trestných činů (trestné činy proti životu a zdraví, svobodě a lidské důstojnosti, proti rodině a mládeži, trestný čin kuplířství a šíření pornografie),
  • jakéhokoliv záznamu či obrazových snímků z průběhu hlavního líčení nebo veřejného zasedání soudu, pokud by umožnily zjištění totožnosti poškozeného dle předchozího odstavce,
  • pravomocného rozsudku s údaji umožňujícími identifikaci (tedy takové údaje je třeba při případném zveřejnění začernit),
  • informací o nařízení či provedení odposlechu a záznamu telekomunikačního provozu stejně jako informací z odposlechu získaných.

Za správní delikt podle § 45a zákona o ochraně osobních údajů lze udělit pokutu až do 1 000 000 Kč. Pokud byl takový správní delikt spáchán tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, lze uložit pokutu až do 5 000 000 Kč.

Úřad přihlíží při rozhodování o výši pokuty zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.

Předávání osobních údajů do jiných států

Zvláštní ustanovení je věnováno předávání osobních údajů do jiných států (§ 27 zákona o ochraně osobních údajů). Do jiných států lze tyto údaje předávat za podmínky, že jejich právní úprava odpovídá požadavkům stanoveným v tomto zákoně.

Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.

Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů nevyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.

Pokud nejsou osobní údaje předávány do členského státu Evropské unie nebo z mezinárodní smlouvy nevyplývá zákaz omezování volného pohybu osobních údajů, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že:

  • předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů,
  • v třetí zemi, kde mají být osobní údaje zpracovány, jsou vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu,
  • jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem,
  • předání je nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,
  • předání je nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů,
  • předání je nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo
  • předání je nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotních služeb.

Před předáním osobních údajů do třetích zemí podle předchozích bodů je správce povinen požádat Úřad o povolení k předání.

Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.

Doporučení zpracovatelům osobních údajů

  • Za správce nebo zpracovatele osobních údajů lze typicky považovat provozovatele e-shopu, pojišťovny, banky, ale třeba i seznamky pro nezadané nebo registrované internetové diskuze. To, zda je určitý subjekt považován za správce nebo zpracovatele osobních údajů, Vám dle charakteru zpracování osobních údajů, nejlépe zodpoví Váš právní zástupce.  
  • O skutečnosti, že hodláte zpracovávat osobní údaje, musíte informovat Úřad pro ochranu osobních údajů vždy před započetím zpracování osobních údajů. Registrační formulář naleznete na stránkách Úřadu pro ochranu osobních údajů. Podání je nutné Úřadu pro ochranu osobních údajů zaslat elektronicky se zabezpečeným podpisem nebo datovou schránkou. Za toto oznámení nehradíte žádné správní poplatky.

Zároveň doporučujeme získat písemný souhlas se zpracování osobních údajů od subjektu údajů – poskytovatele.

Pro základní informace k problematice zacházení s osobními údaji a jejich ochraně se obracejte na adresu:

Úřad pro ochranu osobních údajů
Pplk. Sochora 27
170 00 Praha 7
internet: www.uoou.cz

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner advokátní kanceláře Doleček Kahounová Sedláčková.

Přehled všech témat Právního průvodce




• Oblasti podnikání: Právo, právní služby | Služby