Nový zákon o ochraně osobních údajů a outsourcing

 
Vladimír Šmíd

 
 

 Informace o občanech jsou více či méně a lépe či hůře sbírány tak dlouho, kam snad lidská paměť sahá. Jejich zvláštnost nespočívá jen v zásadní odlišnosti tohoto “zboží” od zboží ostatního (právě proto, že jsou to informace), ale zejména i v tom, že se jedná o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci a společenské postavení. Pokud tyto informace (byť jen o jednotlivci) získá někdo jiný, může takový profil osoby vytvořit určitou reputaci či pověst, která je nejen výrazem důstojnosti člověka, ale může mít pro něj zcela přirozené pozitivní i negativní důsledky např. při získání pracovního místa, poskytnutí úvěru apod.

 Do konce května 2000 v ČR platil zákon č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech. Jaký byl? Na to se v odborné i laické veřejnosti za uplynulých 8 let nashromáždilo široké spektrum názorů. Pro jedny bude první, převratný, řešící alespoň nějakým způsobem zde dosud existující “džungli”. Druzí mu budou vytýkat nepřesné definice, úzkou působnost a neoperativnost při domáhání se práv dotčených osob. Všeobecně přijímané problémy však byly nepochybně dva a ty ještě spolu do jisté míry souvisely:

Navíc v mezidobí (v roce 1995) přijaly Evropský parlament a Rada Směrnici č.95/46/EC o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat, která především zavazuje členské státy Evropské unie, aby odpovídajícím způsobem uvedly do souladu své národní zákonodárství s pravidly této směrnice. Přestože tento závazek se ČR netýká přímo, patří Směrnice mezi ty screeningové normy, které s ní budou projednávány v souvislosti s harmonizací právních předpisů před vstupem do EU.

Po několikaletém úsilí zpracovatelů a v závěru po více než půlročním schvalovacím procesu v Parlamentu ČR byl 4. dubna 2000 schválen zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.  Přestože se dá říci, že jako jedna z mála norem měl podporu napříč celým politickým spektrem, nebyl (a zřejmě do budoucna ještě nebude) jeho osud zrovna jednoduchý. O tom svědčí jeho cesta po schválení Poslaneckou sněmovnou do Senátu, návrat zpět s připomínkami, kterým však nebyla nic platná podpora vlády i zpravodajského výboru sněmovny, když Poslanecká sněmovna je nakonec odmítla a Senát “přehlasovala”. Je tedy pravděpodobné, že právě v tomto smyslu lze očekávat relativně brzy návrhy na jisté dílčí novelizace. Nicméně na světě je zákon, který odstraňuje mnohé neduhy svého předchůdce, je kompatibilní se zákonodárstvím Evropské unie a v této souvislosti přináší řadu dosud neznámých novinek do zpracování osobních údajů v ČR.

Máme-li velice jednoduše v jedné větě říct, co je pro praktický smysl tohoto zákona zvláště charakteristické, tak to bude nejspíš skutečnost, že:

Zatímco u první skupiny je aplikace uvedeného zákona snad jen otázkou znalosti několika jeho vybraných ustanovení a vynaložení trochy energie při domáhání se svých práv (a osobně doufám, že se to subjekty dat dříve či později naučí), u druhé skupiny to bude naopak problém detailní znalosti této normy a vynaložení nejen velké energie, ale často i rozhodně nemalých finančních prostředků (a uvedení se to budou muset naučit, protože se to nyní de facto stalo jejich existenční nutností).

Zcela prvotním problémem zřejmě bude určit, v jaké roli podle zákona ti, kdo zpracovávají osobní údaje, vystupují. Ještě před tím snad jen stručně poznamenejme, že se zde výrazně zjednodušila základní definice pojmu osobní údaj (jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů, tj. osoba, jejíž identitu lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit, aniž bychom na to museli vynaložit nepřiměřené množství času, úsilí či materiálních prostředků), a rovněž zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky (předchozí právní úprava se týkala vlastně jen automatizovaného zpracování osobních dat v informačních systémech). Tyto role jsou rozlišeny dvěmi kategoriemi či úrovněmi subjektů, které zpracovávají osobní údaje:

Tyto kategorie se tedy v podstatě liší tím, že správce navíc určuje účel a prostředky zpracování dat.

Ne vždy však musí být smlouva o outsourcingu postavena tak, že jeho poskytovatel v ní určitě plní “pouze” úlohu zpracovatele, a tak je určitě vhodné si ji v konkrétním případě podrobně prostudovat. Zákon na takovou “klasickou” smlouvu sám v § 6 pamatuje a určuje, že:

Zatímco první dvě podmínky jsou evidentní, ve třetím případě zákon (v jistém smyslu snad i naštěstí) neříká, jaké záruky jsou dostatečné, a tato otázka může být do budoucna potenciálním předmětem nejrůznějších sporů.
Ovšem ani tak nelze absolutně říci, že správce ze své role za vše (a tedy i za činnost zpracovatele) sám odpovídá. Naopak, jestliže zpracovatel zjistí, že správce porušuje své povinnosti, musí jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídal by za škodu, která by subjektu údajů vznikla, společně a nerozdílně se správcem údajů.

Nebylo by nic překvapivého na tom, že správce či zpracovatel musí zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Nastává však nová povinnost ověřovat, zda jsou osobní údaje pravdivé a přesné (a pokud tak nemůže zjistit, musí je blokovat). A pokud přitom zjistí, že údaje nejsou pravdivé a přesné, opět je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat.

Obecně platí, že správce či zpracovatel mohou zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat jen ve stanovených případech výjimek (např. odkaz na jiné zákony, smlouva se správcem, zveřejněné údaje). V zákoně se ovšem objevilo i ustanovení v podstatě na ochranu před nevyžádanou reklamou, nechtěném členství v různých spotřebitelských klubech, opakovaných ujišťováních, že jste možná vyhráli automobil, zahraniční zájezd či ubrus apod. Podle něj, provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů. (To vše za předpokladu, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele.) Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů písemně vyslovil nesouhlas a zvláště pak bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.

Zákon výrazně upřesnil pojem i zacházení s citlivými (senzitivními) údaji. Z jejich dosavadní definice byly vypuštěny poněkud vágní termíny jako “údaje vypovídající o osobnosti” i “majetkové poměry” a citlivým údajem se tak stal osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Až na určité výjimky většinou plynoucí z jiných zákonů, lze citlivé údaje zpracovávat, jen pokud dal subjekt údajů ke zpracování výslovný souhlas. To znamená písemný, podepsaný subjektem údajů, kdykoliv odvolatelný, uschovaný po celou dobu zpracování a z něhož je zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Současně je správce povinen předem subjekt údajů o jeho právech poučit. Osobně se domnívám, že tím z praktického hlediska mimo jiné nastal soumrak relativně dost zbytečných položek “národnost” téměř v každé databázi osob.

Už tak dost rozsáhlé povinnosti správce se však v zájmu subjektu údajů ještě dále rozšiřují. Až na výjimky je správce povinen včas a řádně subjekt údajů informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny. Součástí této informace musí být též údaj o jeho sídle, případně o sídle zpracovatele. Rovněž musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné. Jestliže správce nezískal osobní údaje od subjektu údajů, poskytne mu také informace o tom, kdo mu údaje poskytl, informace o druhu osobních údajů a také obsah těchto údajů.

V souvislosti se vznikem orgánu “datového dozoru” vzniká oznamovací povinnost vůči Úřadu pro ochranu osobních údajů. Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost v poměrně podrobném písemném oznámení sdělit Úřadu před započetím zpracovávání osobních údajů (v případě dnes existujících zpracování dat je termínem splnění této povinnosti 1. prosinec 2000). Úřad má 30-tidenní lhůtu na sdělení oznamovateli, že jeho oznámení registruje (stejný účinek má i marné uplynutí této lhůty). Teprve dnem registrace (nebo uplynutím lhůty) je však možné zahájit zpracování dat. Nastane-li situace, že Úřad zjistí, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, Úřad v takovém případě zpracování osobních údajů nepovolí. To může nastat, když oznámení neobsahuje všechny požadované informace a oznamovatel oznámení na výzvu nedoplnil, resp. vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení zákona. Výjimkou z oznamovací povinnosti jsou zpracování osobních údajů, která jsou součástí veřejně přístupných evidencí, nebo taková, která jsou jejich správcům uložena přímo zákonem. Úřad tak povede a bude zveřejňovat pravděpodobně dost rozsáhlý registr oznámených zpracování dat z celé ČR. Stojí zato připomenout, že na rozdíl od stávajícího zákona (v této části nerealizovaného) se oznamovací povinnost týká jakýchkoliv osobních dat (zákon č. 256/1992 Sb. předpokládal registraci pouze informačních systémů nakládajících s citlivými údaji).

V novém zákoně byla rozšířena a upřesněna práva subjektů údajů v situaci, kdy při zpracování dat došlo k porušení povinností. Pokud tak učinil správce nebo zpracovatel, má subjekt údajů právo požadovat:
a) aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění;
b) aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné;
c) aby osobní údaje byly zablokovány nebo zlikvidovány;
d) zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.
Správce i zpracovatel se zde nacházejí v režimu tzv. objektivní odpovědnosti, což znamená, že oni jsou povinni prokazovat, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od nich požadovat. Za případně způsobenou škodu odpovídají společně a nerozdílně. V této souvislosti je Úřad pro ochranu osobních údajů oprávněn ukládat pokuty, a to dost citelné. Na příklad správce nebo zpracovatel, který maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 miliónu Kč. Ovšem, pokud tentýž správce nebo zpracovatel poruší povinnost uloženou mu podle tohoto zákona, bude potrestán pokutou do výše 10 miliónů Kč. A pokud si to do jednoho roku ještě jednou zopakuje, může mu být uložena pokuta ještě v dvojnásobné výši.

A aby to tak říkajíc nebylo líto komukoliv dalšímu, kdo legálně přichází do styku s osobními údaji u správce nebo zpracovatele (např. jeho zaměstnancům, externím spolupracovníkům nebo i třeba případnému auditorovi), i na tyto osoby zákon pamatuje. Jsou nyní povinny zachovávat mlčenlivost nejen o osobních údajích, ale zejména pak nově i o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Tato povinnost mlčenlivosti pochopitelně trvá i po skončení zaměstnání nebo příslušných prací a je vlastně doživotní, protože její trvání není nijak omezeno. Její porušení je dokonce přestupkem, s nímž může být spojena pokuta do výše 50 tisíc Kč. Navíc jsou odpovědny za porušení zákona podobně jako správce i zpracovatel a této odpovědnosti se zprostí jedině, prokáží-li, že porušení předpisů nezavinily. To však neznamená, že se vychytralý správce obecně může zbavit odpovědnosti prostřednictvím nastrčeného zaměstnance. Naopak, neposkytne-li taková osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit právě příslušný správce nebo zpracovatel.

A kdy toto vše vypukne? V podstatě se tak již stalo, protože zákon nabyl účinnosti 1.června 2000 a jeho ustanoveními se od toho dne musí řídit bez výjimek všechna nová zpracování dat. De facto z technických příčin jsou jeho ustanovení jakkoliv související s Úřadem pro ochranu osobních údajů účinná až od 1. prosince 2000 (nutnost ponechat určitý čas pro konstituování a zahájení práce Úřadu). A poslední zásadní výjimkou zmírňujícím toto rychlé tempo je možnost, aby ti, kdo zpracovávali osobní údaje již před účinností tohoto zákona, uvedli svou činnost do úplného souladu s tímto zákonem až k datu 1. června 2001. Ale to je vše.

Cílem tohoto textu určitě nebylo vyděsit správce a zpracovatele osobních dat tak, aby změnili profesi a už nikdy se do této oblasti nevrátili. Hlavně šlo o to, aby se maximálně uchránili před problémy, které často vznikají z neznalosti.


Summary

Na jaře 2000 byl v ČR přijat nový zákon o ochraně osobních údajů. Měl by přispět k podstatnému zvýšení ochrany práv občanů v této oblasti a současně je dalším z mnoha postupných kroků, které směřují k dosažení nutné kompatibility českého práva s legislativou Evropské unie.
Bude-li zákon důsledně aplikován, vytvoří na tomto poli dosud nezvyklou situaci, kdy pro subjekty údajů by už nemuselo být příliš složité domáhat se svých práv, zatímco správcům a zpracovatelům těchto údajů přibyly mnohé dosud neznámé a nečekané povinnosti. Jedná se řadu úkolů, které je nezbytné splnit před, v průběhu i po ukončení zpracovávání osobních údajů, a to jak vůči subjektům těchto údajů, tak vůči nově ustanovenému Úřadu pro ochranu osobních údajů. V jisté své pasáži zákon přímo stanoví práva a povinnosti související s problematikou outsourcingu.



 
 

RNDr. Mgr. Vladimír Šmíd, CSc., 1960, matematik, informatik a právník;
matematik-analytik Ústavu výpočetní techniky MU (1984-1995), vedoucí Útvaru systémového řízení a organizace MU (od 1995), odborný asistent Katedry informačních technologií Fakulty informatiky MU (od 1995);
Masarykova univerzita v Brně, rektorát, Žerotínovo nám. 9, 601 77 Brno, Česká republika
Zabývá se informačními systémy, informačním právem a otázkami informační politiky
smid@rect.muni.cz