Ochrání nový zákon naše osobní údaje?

Vladimír Šmíd

 
 


Informace o občanech jsou více či méně a lépe či hůře sbírány tak dlouho, kam snad lidská paměť sahá. Jejich zvláštnost nespočívá jen v zásadní odlišnosti tohoto „zboží“ od zboží ostatních (právě proto, že jsou to informace), ale zejména i v tom, že se jedná o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci a společenské postavení. Pokud takové informace (byť jen o jednotlivci) získá někdo jiný, může takový profil osoby vytvořit určitou reputaci či pověst, která je nejen výrazem důstojnosti člověka, ale může mít na něj zcela přirozené pozitivní i negativní důsledky např. při získání pracovního místa, poskytnutí úvěru apod. Do doby relativně nedávno minulé bylo však soukromí chráněno především časem a prostorem, zejména vyprcháním vzpomínek a vzdáleností mezi potenciálními komunikujícími jednotlivci.

Skutečně vážné úvahy o tom, že tuto sféru zájmů člověka je třeba chránit, se datují až do doby, kdy se reálně objevují počítače. Logicky to váže na skutečnost, že není až tak třeba se bránit existenci obrovských „smetišť“ obsahujících „hromady“ údajů, kde najít požadovanou informaci v požadovaném čase se rovná malému zázraku, jako právě následkům oné možnosti tyto informace rychle třídit, vybírat a analyzovat. Další dimenze tohoto problému spočívá i v tom, že pokud dříve měl finanční a technické možnosti nakládat s takovými údaji zpravidla pouze stát, s rozvojem počítačové techniky tyto možnosti se stávají dostupné v podstatě komukoliv, kdo vlastní běžný počítač vybavený běžným softwarem. Z toho pak vychází nutnost právně omezovat okruh subjektů oprávněných informace daného typu shromažďovat.

Nové informační a komunikační technologie, které překonávají zmiňované bariéry prostoru a času, umožňují efektivní uchovávání a opětovné vyhledávání údajů. Zároveň však tento vývoj přinášejí dříve neznámá potenciální nebezpečí, resp. nárůst těch nebezpečí již známých. Proto musí společnost stanovit pravidla, která by zabránila tomu, aby nesporné výhody, které přinášejí nové technologie, nebyly provázeny oslabením pozice osob, o kterých údaje vypovídají. Znamená to vymezit nové hranice soukromí, které nahradí čas a prostor a které ochrání člověka před diskriminujícím mechanizujícím a počítačovým použitím údajů, které se k němu vztahují. Takové vymezení bude předpokladem pro to, aby moderní informační a komunikační technologie, které jsou objektivně pro lidstvo přínosem, nepůsobily v jeho neprospěch.

Historicky první zákon, který kdy upravoval tuto oblast, byl přijat v roce 1973 ve Švédsku. Relativně brzo měl další následovníky (např. v SRN, Dánsku Francii a Rakousku), ale (a to je z hlediska přirozeného internacionálního charakteru informací ještě podstatnější) již v roce 1981 přijala Rada Evropy „Úmluvu č. 108 na ochranu osob ve vztahu k automatizovanému zpracování dat“.

Z této Úmluvy pak především vycházel stávající zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, který v ČR platil až do současnosti. Jaký byl? Na to se v odborné i laické veřejnosti za uplynulých 8 let nashromáždilo široké spektrum názorů. Pro jedny bude první, převratný, řešící alespoň nějakým způsobem zde dosud existující „džungli“. Druzí mu budou vytýkat nepřesné definice, úzkou působnost a neoperativnost při domáhání se práv dotčených osob. Všeobecně přijímané problémy však byly nepochybně dva a ty ještě spolu do jisté míry souvisely:

Navíc v mezidobí (v roce 1995) přijaly Evropský parlament a Rada Směrnici č.95/46/EC o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat, která především zavazuje členské státy Evropské unie, aby odpovídajícím způsobem uvedly do souladu své národní zákonodárství s pravidly této směrnice. Přestože tento závazek se ČR netýká přímo, patří Směrnice mezi ty screeningové normy, které s ní budou projednávány v souvislosti s harmonizací právních předpisů před vstupem do EU.

Po několikaletém úsilí zpracovatelů a v závěru po více než půlročním schvalovacím procesu v Parlamentu ČR byl 4. dubna 2000 schválen zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Čím se především liší od dosavadní právní úpravy?
 

  1. Výrazně se zde zjednodušila základní definice pojmu osobní údaj. Osobním údajem je jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů (osoba) se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. Naopak se o osobní údaj nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků.
  2. Zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Pod tímto termínem se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Zatímco předchozí zákon se týkal jen automatizovaného zpracování osobních dat v informačních systémech, nová norma se vztahuje na jakékoliv osobní údaje kýmkoliv zpracovávané, a to jak automatizovaně, tak i manuálně. Výjimkami z této absolutní obecnosti jsou zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní (myšleno jako soukromou zájmovou) potřebu, nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány (např. jednorázové zaznamenání adresy zákazníka v opravně obuvi), zpracování osobních údajů pro účely statistické a archivnictví přesně stanovené zákony (např. sčítání lidu, domů a bytů v roce 2001). Výjimky pouze v rozsahu několika paragrafů platí i pro zpravodajské služby, Policií České republiky při odhalování trestné činnosti, Ministerstvo financí v rámci finančně-analytické činnosti tzv. praní špinavých peněz, Národní bezpečnostní úřad při provádění bezpečnostních prověrek a Ministerstvo vnitra při vydávání tzv. lustračních osvědčení.
  3. Nový zákon dále rozlišuje dvě kategorie či úrovně subjektů, které zpracovávají osobní údaje – správce a zpracovatele. Správce je ten, kdo určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracovatelem je pak ten, kdo pouze zpracovává osobní údaje buď na základě zvláštního zákona nebo na základě pověření správcem. Ovšem nedá se absolutně říci, že správce z tohoto titulu za vše (a tedy i za činnost zpracovatele) sám odpovídá. Naopak, jestliže zpracovatel zjistí, že správce porušuje své povinnosti, musí jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídal by škodu, která by subjektu údajů vznikla, společně a nerozdílně se správcem údajů.
  4. Nebylo by nic překvapivého na tom, že správce musí zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Pro správce však nastává povinnost ověřovat, zda jsou osobní údaje pravdivé a přesné (a pokud tak nemůže zjistit, musí je blokovat). A pokud přitom zjistí, že údaje nejsou pravdivé a přesné, opět je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat.
  5. Obecně platí, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat jen ve stanovených případech výjimek (např. odkaz na jiné zákony, smlouva se správcem, zveřejněné údaje). V zákoně se ovšem objevilo i ustanovení v podstatě na ochranu před nevyžádanou reklamou apod. Podle něj, provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů písemně vyslovil nesouhlas. Zvláště pak bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.
  6. Zákon výrazně upřesnil pojem i zacházení s citlivými (senzitivními) údaji. Z jejich dosavadní definice byly vypuštěny termíny jako „údaje vypovídající o osobnosti“ i „majetkové poměry“ a citlivým údajem se tak stal osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Až na určité výjimky většinou plnoucí z jiných zákonů, lze citlivé údaje zpracovávat jen, pokud dal subjekt údajů ke zpracování výslovný souhlas. To znamená písemný, podepsaný subjektem údajů, kdykoliv odvolatelný, uschovaný po celou dobu zpracování a z něhož je zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Současně je správce povinen předem subjekt údajů o jeho právech poučit. Osobně se domnívám, že tím z praktického hlediska mimo jiné nastal soumrak relativně dost zbytečných položek „národnost“ téměř v každé databázi osob.
  7. Už tak dost rozsáhlé povinnosti správce se však v zájmu subjektu údajů ještě dále rozšiřují. Až na výjimky je správce je povinen včas a řádně subjekt údajů informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny. Součástí této informace musí být též údaj o jeho sídle, případně o sídle zpracovatele. Rovněž musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné. Jestliže správce nezískal osobní údaje od subjektu údajů, poskytne mu také informace o tom, kdo mu údaje poskytl, informace o druhu osobních údajů a také obsah těchto údajů.
  8. Určitě zajímavou novinkou je ustanovení o tom, že rozhodnutí orgánu veřejné moci nelze bez dalšího ověření tímto orgánem vydat na základě výlučně automatizovaného zpracování osobních údajů (ledaže by byl učiněno ve prospěch subjektu údajů).
  9. Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou nyní povinny zachovávat mlčenlivost nejen o osobních údajích, ale i o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Tato povinnost mlčenlivosti pochopitelně trvá i po skončení zaměstnání nebo příslušných prací a je vlastně doživotní, protože její trvání není nijak omezeno.
  10. V souvislosti se vznikem orgánu „datového dozoru“ vzniká oznamovací povinnost vůči Úřadu pro ochranu osobních údajů. Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost v poměrně podrobném písemném oznámení sdělit Úřadu před započetím zpracovávání osobních údajů. Úřad má 30-tidenní lhůtu na sdělení oznamovateli, že jeho oznámení registruje (stejný účinek má i marné uplynutí této lhůty). Teprve dnem registrace (nebo uplynutím lhůty) je však možné zahájit zpracování dat. Nastane-li situace, že Úřad zjistí, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, oznámení neobsahuje všechny požadované informace nebo vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení zákona, a oznamovatel oznámení na výzvu nedoplnil či případné místní šetření dopadlo negativně, Úřad v takovém případě zpracování osobních údajů nepovolí. Výjimkou z této povinnosti jsou zpracování osobních údajů, která jsou součástí veřejně přístupných evidencí, nebo taková, která jsou jejich správcům uložena přímo zákonem. Úřad tak povede a bude zveřejňovat pravděpodobně dost rozsáhlý registr oznámených zpracování dat z celé ČR. Stojí zato připomenout, že na rozdíl od stávajícího zákona (v této části nerealizovaného) se oznamovací povinnost týká jakýchkoliv osobních dat (zákon č. 256/1992 Sb. předpokládal registraci pouze informačních systémů nakládajících s citlivými údaji).
  11. V novém zákoně byla rozšířena a upřesněna práva subjektů údajů v situaci, kdy při zpracování dat došlo k porušení povinností. Pokud tak učinil správce nebo zpracovatel, má subjekt údajů právo požadovat:                                                                                                                                                          a) aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,                  b) aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,                                                                       c) aby osobní údaje byly zablokovány nebo zlikvidovány,                                                                                                                                                        d) zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.      Správce i zpracovatel se zde nacházejí v režimu tzv. objektivní odpovědnosti, což znamená, že oni jsou povinni prokazovat, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od nich požadovat. Za případně způsobenou škodu odpovídají společně a nerozdílně. Zákon zde speciálně pamatuje i na další osoby, které vykonávají pro správce či zpracovatele činnosti na základě smlouvy, a i v jejich případě pamatuje na obdobné nároky subjektu údajů při porušení povinností až po zaplacení peněžité náhrady újmy s tím, že tyto osoby se obdobně zprostí odpovědnosti jedině, když prokáží, že porušení předpisů nezavinily. Pro snazší pozici subjektu údajů je zde také stanoveno, že neposkytne-li tato osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit správce nebo zpracovatel.
  12. Pokud povinnosti uvedené v předchozím odstavci se vztahovaly k těm, kteří data zpracovávali v podstatě legálně (ale špatně), v podstatě ve stejném režimu se nacházejí i osoby, které shromáždily osobní údaje neoprávněně, bez ohledu na to, zda tak učinily úmyslně nebo z nedbalosti.
  13. Do jiných států mohou být osobní údaje předány (až na určité výjimky) za podmínky, že právní úprava státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v tomto zákoně. Za tímto účelem je správce povinen požádat Úřad pro ochranu osobních údajů o povolení k předání nebo předávání osobních údajů do jiných států.
  14. Po neblahých zkušenostech v případě předchozího zákona byla přímo do této normy zařazena ustanovení související se založením, určením práv a povinností, organizací a podmínkami výkonu funkcí pracovníků Úřadu pro ochranu osobních dat. Úřad se tak dostává v hierarchii výkonu státní moci de facto na roveň např. Nejvyššího kontrolního úřadu. Jeho předsedu jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky na dobu 5 let, a to maximálně na 2 po sobě jdoucí období. Současně jsou na předsedu a inspektory kladeny další striktní podmínky z hlediska neslučitelnosti funkcí a činností. Jsou zde podrobně stanovena oprávnění a povinnosti kontrolujících pracovníků Úřadu a rovněž možnost ukládat kontrolovaným opatření k nápravě zjištěného stavu.
  15. Jedním z významných oprávnění Úřadu pro ochranu osobních dat bude možnost ukládat pokuty, a to jednak dost citelné, jednak těm, pro něž to může být ve srovnání se současným stavem velice nepříjemným překvapením. Tedy např. porušení mlčenlivosti podle tohoto zákona osobou, která je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru je přestupkem, s nímž může být spojena pokuta do výše 50 tisíc Kč. Jakékoliv osobě, která neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše „jen“ 25 tisíc Kč. Zato však správce nebo zpracovatel, který maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 milión Kč. Ovšem, pokud tentýž správce nebo zpracovatel poruší povinnost uloženou mu podle tohoto zákona, bude potrestán pokutou do výše 10 miliónů Kč. A pokud si to do jednoho roku ještě jednou zopakuje, může mu být uložena pokuta ještě v dvojnásobné výši.


25. dubna 2000 tato norma vyšla ve Sbírce zákonů ČR a nyní je již součástí právního řádu ČR. Z výše uvedeného je jasné, že znamená výraznou změnu oproti současnému stavu, a to pro všechny zúčastněné. Ti se jeho podmínkám musí přizpůsobit poměrně dost rychle, protože účinnosti nabývá  ve dvou vlnách:

  1. obecně 1. června 2000
  2. § 16, 17 a 35 jsou účinnými až od 1. prosince 2000 (jedná se zde u ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů, kde je nutné ponechat určitý čas pro konstituování a zahájení práce Úřadu pro ochranu osobních údajů).
Jediným ustanovením zmírňujícím toto rychlé tempo je možnost, aby ti, kdo zpracovávali osobní údaje již před účinností tohoto zákona, uvedli svou činnost do úplného souladu s tímto zákonem až k datu 1. června 2001.

 Máme-li velice jednoduše v jedné větě říct, co je pro praktický smysl tohoto zákona zvláště charakteristické, tak to bude nejspíš skutečnost, že:

Zatímco u té první skupiny je aplikace uvedeného zákona snad jen otázkou znalosti několika jeho vybraných ustanovení a vynaložení trochy energie při domáhání se svých práv (a osobně doufám, že se to subjekty dat dříve či později naučí), u druhé skupiny to bude naopak problém detailní znalosti této normy a vynaložení nejen velké energie, ale často i rozhodně nemalých finančních prostředků (a ty se to budou muset naučit, protože se to nyní de facto stalo jejich existenční nutností).

Proto následujících několik doporučení, které si nijak nečiní nárok být úplným „algoritmem k harmonizaci“ s uvedeným zákonem, by mohlo posloužit správcům a zpracovatelům k hrubému nastínění jejich postupu v nejbližších dnech, týdnech a měsících:

  1. Nejprve si snad rozmyslet, zda zpracování osobních dat, které provozují, je vůbec nutné, účelné a legální, resp. zda jim stojí za určitá rizika s tím spojená.
  2. V případě kladné odpovědi na první otázku by snad měla následovat podrobná analýza datových struktur se zvláštním zřetelem na položky, které jsou zbytečné, špatně využitelné, obtížně verifikovatelné a především pak na ty, které obsahují citlivá data, s maximální snahou eliminovat vše nadbytečné s ohledem na účel zpracování dat.
  3. V dalším kroku nezbývá, než se podrobně seznámit s legislativou, která případně speciálně upravuje zpracování dat v oblasti, kde jako správce či zpracovatel působíme, a která by mohla hrát roli jistých výjimek či specifik, na která se i tento zákon odkazuje. Zde podotýkám, že pokud zpravováváme data podle nějaké jiné speciální zákonné úpravy, ale datovou strukturu jsme si třeba z praktických důvodů rozšířili nad její definovaný rámec, nezbývá nám nic jiného, než se právě v těchto „nadstavbových“ úrovních řídit obecným zákonem se všemi důsledky.
  4. Následuje etapa, kterou určitě nemilují ti, co si zvykli své databáze měnit každý den podle okamžité potřeby, a to podrobně popsat celé zpracování dat od iniciálního smyslu a účelu zpracování, přes způsoby získávání, verifikace a zpřístupňování výsledků až po systém jejich zabezpečení. Útěchou jim budiž, že uvedený text v různých variantách dobře využijí pro několik následujících účelů.
  5. Současně nezbývá nic jiného než si podrobně prostudovat veškeré dokumenty, které jsme jako správci či zpracovatelé podepsali a vydali. Zejména je třeba věnovat pozornost všem souvisejícím smlouvám, a to jak třeba zprostředkovatelským, tak i pracovním, systému pověřování pracovníků k práci s daty a stanovení odpovědnosti.
  6. Velice zlomovým datem bude 1.prosinec 2000, kdy kdokoliv, kdo hodlá zpracovávat data, má povinnost tuto skutečnost oznámit Úřadu pro ochranu osobních údajů. Struktura tohoto oznámení (podotýkám, že dost podrobná) je popsána přímo v zákoně a navíc sám Úřad má zákonné zmocnění ji ještě upřesnit. Jisté pochybnosti sice vzbuzuje technická možnost toto opatření realizovat jinak než formálně (při zapojení plánovaných 80 pracovníků Úřadu v extrémním případě dodání těchto oznámení na poslední chvíli v rámci 30-tidenní lhůty na případnou negativní reakci), ale opravdu nikomu neradím, aby se na to spoléhal.
  7. Pokud konkrétní zpracování dat projde i touto etapou, ještě zdaleka nekončí nutné práce. Dalšího maximálně půl roku má správce na to, aby si vyžádal patřičná písemná svolení ke zpracovávání citlivých dat, resp. aby informoval subjekty dat v ostatních kategoriích, že o nich data zpracovává a vytvořil si a zejména pak prakticky realizoval systém průběžného ověřovaní správnosti zpracovávaných údajů, což v určitých konkrétních situacích nemusí být nijak snadná záležitost.                                                                                                                                                                                                                 A abychom nezapomněli ani na dost nezanedbatelnou technickou stránku celé věci, tak i tady nastává několik důležitých momentů, které musí být realizovány opět do roka od nabytí účinnosti zákona:
  8. Především je to nutnost efektivním způsobem vyřešit problém uchovávání citlivých dat, když tam, kde dnes např. u národnosti stačila dvoubytová položka s odkazem na číselník, musí z praktického hlediska přibýt minimálně datum udělení souhlasu a datum, dokdy tento souhlas subjektem údajů udělený trvá.
  9.  Daleko zajímavějším však bude rozhodně vyřešení možnosti likvidovat a zejména pak blokovat u kterékoliv položky kterékoliv věty její obsah, zpravidla do okamžiku verifikace tohoto obsahu nebo do okamžiku (zpravidla vnějšího) rozhodnutí.


Cílem tohoto textu určitě nebylo vyděsit správce a zpracovatele osobních dat tak, aby změnili profesi a už nikdy se do této oblasti nevrátili. Hlavně šlo o to, aby se maximálně uchránili před problémy, které často vznikají z neznalosti.
 
 

RNDr. Mgr. Vladimír Šmíd, CSc., 1960, matematik, informatik a právník;
matematik-analytik Ústavu výpočetní techniky MU (1984-1995), vedoucí Útvaru systémového řízení a organizace MU (od 1995), odborný asistent Katedry informačních technologií Fakulty informatiky MU (od 1995);
Masarykova univerzita v Brně, rektorát, Žerotínovo nám. 9, 601 77 Brno, Česká republika
smid@rect.muni.cz