Ochrana osobních údajů – srovnání legislativy a aplikace v ČR a SR

 

Vladimír Šmíd

 

 

Abstrakt

 

Na jaře 2000 nabyl v ČR účinnosti zákon č. 101/2000 Sb., o ochraně osobních údajů, který zásadně ovlivnil práva a povinnosti těch, jimž osobní údaje patří, i těch, kteří s nimi pracují. V září 2002 se do obdobné situace dostala SR – nabyl zde účinnosti zákon č. 428/2002 Z. z.., o ochrane osobných údajov.

 

Příspěvek se zabývá vybranými otázkami vlastní aplikace české normy z pohledu výkladových problémů některých ustanovení zákona, a to takových, které jsou zajímavé i z pohledu aktuální slovenské právní normy upravující uvedenou problematiku.

 

 

1.  ZÁKON č. 256/1992 Sb., O OCHRANĚ OSOBNÍCH ÚDAjů v informačních systémech

 

Právní úprava v obou státech měla originálně stejnou podobu, protože první relevantní speciální právní normou byl zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech [1], který schválilo Federální shromáždění ČSFR dne 30. 4. 1992. Základním ideovým zdrojem pro tento zákon byla Úmluva č. 108 Rady Evropy na ochranu osob ve vztahu k automatizovanému zpracování dat (dále “Úmluva”) z roku 1981.

 

Uvedený zákon upravil ochranu osobních údajů, zejména povinnosti související s ochranou informací, pouze při provozování informačních systémů nakládajících s osobními údaji. V případě manuálního nakládání s osobními údaji bylo nutné zákon přiměřeně aplikovat. Dále stanovil odpovědnost provozovatelů takových informačních systémů a dalších fyzických a právnických osob účastnících se provádění činností souvisejících s provozováním informačních systémů. Neupravil či upravil pouze částečně řadu dalších oblastí, např. dostatečnou ochranu osobních údajů vypovídajících o osobnosti a soukromí, povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech, oznamovací povinnost nakládání s osobními údaji u kontrolního orgánu subjektem, který hodlá nakládat s osobními údaji, možnost zásahu kontrolního orgánu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika, sankce za porušování zákona a předávání údajů do jiných zemí.

 

Jedním z jeho největších nedostatků ovšem byla skutečnost, že sice v § 24 předpokládal ustavení orgánu, jehož posláním by byla ochrana práv jednotlivců na soukromí, resp. jejich osobních údajů (tzv. datová inspekce), ovšem deklarovaný zvláštní předpis, kterým měl být takový orgán zřízen, schválen nikdy nebyl. Absence takového orgánu byla hlavním důvodem, proč stávající zákon také neodpovídal Úmluvě a jak ČSFR, tak oba nástupnické státy k ní dlouho nemohly přistoupit.

2.  situace po rozdělení federace po roce 1992

 

Po přijetí ústavního zákona č. 110/1992 Sb., o zániku České a Slovenské Federativní Republiky, se zákon č. 256/1992 Sb. [1] stal součástí právního řádu obou států a zejména pak jeho nedostatky řešily oba státy separátně.

 

Navíc se v relativně krátké době objevil i další motiv pro vážné úvahy o změnách uvedené normy. K tomu, aby bylo možné odstranit překážky bránící volnému pohybu informací a zároveň zajistit ochranu práva na soukromí, přijaly dne 24. 10. 1995 Evropský parlamentu a Rada Směrnice 95/46/EC o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat (dále “Směrnice”). Jejím cílem bylo harmonizovat národní předpisy v této oblasti tak, aby právo na soukromí občanů bylo odpovídajícím způsobem chráněno na území celé Evropské unie. V této souvislosti byly členské státy vyzvány, aby uvedly v soulad národní legislativu s uvedenou směrnicí do 24. října 1998. Stejný smysl pak měla Směrnice i pro kandidátské země, kdy byla připravena k projednávání při screeningu s EU v podstatě jako jeden z mnoha vzorů pro posouzení míry harmonizace právních systémů kandidátských zemí s právem EU.

 

Jako první z obou nových států zásadním krokem reagovala Slovenská republika, když v roce 1998 pro SR nahradila zrušila zákon č. 256/1992 Sb. [1] a nahradila jej novým zákonem č. 52/1998 Z. z., o ochrane osobných údajov v informačných systémoch [2]. Ten kromě řady jiných změn vyřešil právě ten nejzávažnější problém ohledně orgánu datové inspekce a v tomto smyslu:

·        byla vytvořena funkce splnomocnenca na ochranu osobných údajov v informačných systémoch,

·        byl vytvořen Útvar inšpekcie ochrany osobných údajov Úradu vlády Slovenskej republiky jako orgán státního dozoru nad ochranou osobních údajů v informačních systémech,

·        zatímco registrací informačních systémů obsahujících osobní údaje byl pověřen Štatistický úrad Slovenskej republiky.

 

Bezprostředním důsledkem nabytí účinnosti tohoto zákona pak bylo, že jménem Slovenské republiky mohla být ve Štrasburku podepsána již zmíněná Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat, kterou SR ratifikovala v srpnu 2000 s platností od 1. ledna 2001. V jistém smyslu tak zvítězila v pomyslném „závodě“ nad ČR, která uvedenou úmluvu ratifikovala až na jaře 2001 s platností pro SR od 1. listopadu 2001.

 

A konečně pak v červenci 2002 Národna rada SR schválila nový zákon č. 428/2002 Z. z., o ochrane osobných údajov [4], který vešel v účinnost 1. září 2002.

 

 

3.  zákon č. 101/2000 sb., O OCHRANĚ OSOBNÍCH ÚDAjů

 

V ČR po několikaletém úsilí zpracovatelů a v závěru po více než půlročním schvalovacím procesu v Parlamentu ČR byl 4. dubna 2000 schválen zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů [3]. Nový zákon [3] odstranil mnohé neduhy svého předchůdce, je kompatibilní se zákonodárstvím Evropské unie a současně v této souvislosti přinesl řadu dosud neznámých novinek do zpracování osobních údajů v ČR, jejichž praktická aplikace nebyla vůbec triviální.

 

V rámci právního řádu ČR působí jako obecná právní norma upravující práva a povinnosti vznikající v oblasti zajištění ochrany osobních údajů, způsobu jejich zpracovávání jak v České republice, tak pro přenos do zahraničí a regulace vztahů, které v souvislosti s nimi vznikají. Současně však vedle jí existují zvláštní zákony upravující některé speciální případy zacházení s osobními údaji, z čehož opět plyne, že v konkrétní situaci nemusí být vždy zcela průzračné, která z norem má přednost.

 

A v neposlední řadě lze s jistou dávkou zjednodušení říci, že prakticky je pro tento zákon [3] zvláště charakteristické, že:

·        na jednu stranu dává relativně velká práva těm, kteří se dosud nemohli dost účinně bránit různým nekalým praktikám v této oblasti, tj. subjektům údajů;

·        na druhou stranu stanovuje relativně velké povinnosti těm, kdo s daty pracují a využívají je, tj. především správcům a zpracovatelům dat.

 

Zatímco u první skupiny je aplikace uvedeného zákona [3] snad jen otázkou znalosti několika jeho vybraných ustanovení a vynaložení trochy energie při domáhání se svých práv, u druhé skupiny nastává naopak problém detailní znalosti této normy a vynaložení nejen velké energie, ale často i rozhodně nemalých finančních prostředků.

 

A zejména k těmto aplikačním problémům se budou vztahovat následující řádky.

 

 

4. Působnost ZÁKONa

 

Máme-li se rozhodnout, jaký způsob zacházení s daty v konkrétní situaci zvolit, nezbývá než začít u základní otázky – zda se skutečně jedná o zpracování osobních údajů dle tohoto zákona.

 

Jsou určitá hlediska, kde by v podstatě žádný opravdový problém vzniknout neměl.

 

Zákon [3] se vztahuje pouze na údaje o žijících fyzických osobách, přičemž vůbec není rozhodné občanství, věk, ani její způsobilost k právním úkonům. Tedy zejména ne na údaje o právnických osobách, které jsou chráněny podle příslušných ustanovení obchodního zákoníku (např. obchodní firma či obchodní tajemství), resp. občanského zákoníku (obecná právní úprava právnických osob). Zákon [4] naopak, jak vyplývá z kontextu, chápe pod pojmem fyzická osoba i osoby již nežijící.

 

Určující v tomto ohledu také není způsob zpracování, protože zákony [3] a [4] se vztahují jak na automatizované zpracování, tak na zpracování jinými prostředky a tedy i na manuální.

 

Rovněž tak není důležité, kdo toto zpracování provádí, protože oba zákony se v tomto smyslu vztahují na veškeré fyzické i právnické osoby, až na výjimky opět uvedené v těchto zákonech, případně jiných zvláštních zákonech (ovšem zde lze důvodně předpokládat, že právě tyto případné výjimky nás odkáží na specifický právní režim, jenž se v dané souvislosti bude aplikovat).

 

Přímo v zákonech [3] a [4] je uvedeno, že se nevztahují na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu, resp. „v rámci výlučne osobných alebo domácich činností“. Odtud lze přímo vyvodit, že se zde jedná o různé adresáře, soubory údajů, které tato osoba shromáždí v rámci své záliby apod. Limitem termínu „osobní potřeba“ je pak skutečnost, že údaje takto shromážděné nesmějí být předmětem obchodních aktivit a nesmějí být zveřejňovány.

 

Zákon [3] se navíc nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Zde se jedná o nahodilé, zpravidla individuální a jednoúčelové shromažďování dat, která pak zejména nejsou nijak dále zpracovávána. Novela zákona [viz 5] do této kategorie zahrnula i nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů, které stanoví povinnost mlčenlivosti (např. advokáti, auditoři či daňoví poradci).

 

Ovšem (na první pohled možná paradoxně) může vzniknout problém hned při konkrétním použití a výkladu samotných pojmů „zpracování“ a „osobní údaj“.

 

4.1 Osobní údaj

 

Osobním údajem je podle definice jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Zákon [3] tedy nerozděluje údaje vztahující se k jisté osobě na tzv. osobní a „neosobní“, ale všímá si naopak té skutečnosti, zda tyto údaje lze přiřadit ke zcela konkrétní osobě, resp. zda ke zjištění identity takové osoby je či není třeba vynaložit nepřiměřené množství času, úsilí či materiálních prostředků.

 

Obecně však celkem logicky neexistuje žádná definice, která by obecně autoritativně určila, co jsou to údaje dostatečně určující konkrétní subjekt údajů. Je zřejmé, že v běžné situaci by mělo stačit jméno, příjmení a adresa bydliště. Nicméně bydlí-li v jednom domě např. několik rodinných příslušníků více generací se stejnými jmény a příjmeními, budeme potřebovat další identifikátor (např. datum narození). Naopak však může docházet k situacím, kdy zcela jiný elementární údaj konkrétní subjekt údajů jednoznačně identifikuje (např. předseda vlády ČR ve funkci k datu 1.1.2002).

 

A to jsme ještě pořád nehovořili o rodném čísle, které je samozřejmě svého druhu jednoznačným identifikátorem, ovšem v konkrétní situaci může a také nemusí být pro některého správce či zpracovatele osobních údajů prostředkem pro skutečnou identifikaci konkrétní osoby. V této souvislosti záleží zpravidla na možnostech konkrétního správce či zpracovatele (např. má-li nějakým způsobem přístup k datům obsahujícím vazbu rodného čísla k jiným identifikátorům), resp. také na charakteru osob, jejichž osobní údaje jsou takto zpracovávány (např. rodná čísla různými formami podnikajících osob lze relativně snadno zjišťovat z veřejných rejstříků a naopak). Slovenský zákon [4] jde v tomto smyslu ještě dále, když zejména stanoví omezující podmínky pro využití rodného čísla a zakazuje jeho zveřejňování.

 

Úřad pro ochranu osobních údajů (ÚOOÚ) řešil problém zveřejňování jmen a rodných čísel klientů bank, kteří vůči nim neplnili své závazky. Je pravda, že zákon [viz 7] umožňuje za vymezených podmínek zveřejnit „název klienta a označení porušené povinnosti“, ovšem v případě fyzické osoby tím lze rozumět pouze jeho jméno a příjmení, zatímco rodné číslo rozhodně součástí jména není a jeho zveřejňování tak není přípustné. V této souvislosti se jako problém rovněž ukázaly např. evidence hotelového ubytování či knihy návštěv při průchodech přes vrátnice institucí. Jejich zastánci se sice bránili argumenty, že musí mít v rámci dodatečné identifikace původců případných škod přehled o tom, kdo se v jejich zařízeních kdy pohyboval. Nicméně pro tyto evidence lze jako dostatečné chápat údaje v rozsahu jméno, příjmení a číslo občanského průkazu s tím, že samotný správce takové evidence tyto údaje nemůže jakkoliv zneužít, zatímco obrátí-li se z výše uvedeného důvodu o pomoc na orgány činné v trestním řízení, ty již možností určení konkrétní osoby z takových údajů disponují. Zde je nutné poznamenat, že slovenský zákon [4] uvedený rozsah údajů pro zmiňované účely přímo určuje.

 

4.2 Zpracování osobních údajů

 

Dle definice v zákoně [3] je zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se pak rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace, přičemž se nejedná o konečný výčet a definice tak vlastně ponechává volný prostor pro jakékoliv jiné dosud nepopsané či ještě neznámé způsoby manipulace s daty. Zcela podstatnou úlohu v uvedené definici hraje pojem „systematičnosti“. Ten se odráží v postupech, jejichž cílem je získání osobních údajů za účelem dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. Samotný pojem shromažďování v sobě sice zahrnuje fakt, že se musí týkat většího množství údajů, ale na druhé straně to neznamená, že by bylo možno o shromažďování hovořit až od okamžiku, kdy dotyčný (nejčastěji správce) získá nějaké kvantum údajů. O shromažďování jde totiž již od chvíle, kdy je získán první osobní údaj s cílem systematicky a cíleně získávat další. Nezbytné je, že takové údaje musí být pro správce trvale dosažitelné za účelem zpracování. V opačném případě by se ve smyslu zákona [3] spíš jednalo o alespoň blokované, ne-li již přímo likvidované údaje. Takže např. vstupní dotazník nebo kopie fotografie na průkaz zaměstnance či studenta posléze uložená do osobního spisu a nadále nepoužitá svým charakterem zjevně nesplňuje podmínky kladené na zpracování osobních údajů dle tohoto zákona [3]. Slovenský zákon [4] však v tomto smyslu pojem systematičnosti nepoužívá a tak je jeho působnost typově širší.

 

 

5.  základní povinnosti SPrávce osobních údajů

 

Zákony [3] a [4] stanovily značný rozsah povinností, které správce musí při zpracování osobních údajů dodržovat.

 

Hned první z nich – stanovit účel, k němuž mají být osobní údaje zpracovány – není zcela bezproblémová. Data lze totiž zpracovávat pouze k tomu účelu, k němuž byly shromážděny. Takže poněkud zjednodušeně lze říci, že při špatné, zejména příliš zúžené definici účelu konkrétního zpracování může správce ke svému překvapení zjistit, že nashromážděná data nemusí mít právo pro některé své potřeby vůbec použít. Toto určení, stejně jako stanovení prostředků a způsobu zpracování osobních údajů, musí správce provést zásadně předem. Podstatné změny v nich jsou obecně systematicky vázány např. na souhlas subjektu údajů a změny v registracích a prakticky s nimi může být spojena stejná práce jako se zcela novým zpracováním osobních údajů.

 

Mezi značně diskutované povinnosti správců patří – zpracovávat pouze pravdivé a přesné osobní údaje a současně ověřovat, zda tyto vlastnosti mají. Pokud jde o data vznikající na straně správce, tak tam by problémy vznikat nemusely a limitem splnění této povinnosti by mohla být jen rychlost organizačního procesu, který zápis či aktualizaci dat provede. Horší situace je, jedná-li se o data vznikající na straně subjektu údajů či kdekoliv jinde, kam přímo nedosahuje kompetence správce. Slovenský zákon [4] je v tomto smyslu přímočařejší, když za nepravdivost osobních údajů činí odpovědného toho, kdo je do informačního systému poskytl, (včetně dotčené osoby) a z pohledu prevázkovatela vytváří právní fikci, že takto poskytnuté údaje se považují za správné.

 

Snad nejčastěji diskutovanými jsou povinnosti shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu, resp. uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Není to většinou proto, že by správci neuměli odhadnout rozsah údajů ve vztahu ke svým potřebám. Ovšem projevuje se zda velké spektrum příčin počínaje historickými důvody, že „tyto údaje se vždy sbíraly“, a snahou disponovat co největším objemem dat v datových skladech („co kdybychom je někdy potřebovali“) konče. Slovenský zákon [4] navíc zmocňuje ÚOOÚ, aby v tomto smyslu vydával závazná stanoviska.

 

Dva příklady za všechny. ÚOOÚ řešil stížnosti na neoprávněné zpracování osobních údajů cestujících, kteří nezaplatili jízdné. Zákon o silniční dopravě [viz 8] i zákon o drahách [viz 9] umožňují vyžadovat prostřednictvím dopravcem pověřené osoby od cestujícího prokázání totožnosti, resp. poskytnutí osobních údajů. Ze zákona [3] je pak dopravce oprávněn použit tyto údaje pro ochranu svých práv, tj. pro vymáhání dlužného jízdného a přirážky. Ve zpracování těchto osobních údajů však není oprávněn pokračovat ve chvíli, kdy se svých práv již domohl a k dalšímu zpracování nedostal souhlas od subjektu údajů. Zákonným zpracováním osobních údajů potom tedy může být uchování účetní dokumentace o platbě dlužného jízdného a příslušné přirážky podle zákona o účetnictví [6], nikoli však vedení evidence „černých pasažérů“.

 

Naopak v poslední době aktuální poplatek za provoz systému shromažďování, sběru, přepravy, třídění, využívání a odstraňování komunálních odpadů opravňuje obce jako správce k vytvoření databáze poplatníků - fyzických osob, které mají v obci trvalý pobyt, resp. vlastníků staveb určených nebo sloužících k individuální rekreaci, a to na základě oznamovací povinnosti těchto osob podle zákona o místních poplatcích [viz 11]. Navíc pro účel správy těchto poplatků mají pak podle názoru ÚOOÚ právo přístupu a k čerpání údajů z informačního systému evidence obyvatel, katastru nemovitostí.

 

 

6.  oprávnění ke zpracování osobních údajů

 

Obecně platí, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Z dikce tohoto ustanovení plyne, že takový souhlas musí být dán subjektem údajů (např. jej za něj nemůže dát druhý manžel, byť by se třeba jednalo o informace související s jejich společným jměním), případně jeho zástupcem (je-li v tomto smyslu omezena jeho způsobilost k právním úkonům, případně je jí přímo zbaven) a nakonec v případě slovenského zákona [4] blízkými osobami v případě zemřelých osob. Nicméně kdyby uvedené ustanovení nebylo současně doprovázeno výjimkami, zřejmě by znamenalo někdy až extrémní neřešitelné komplikace v situacích, kdy je zpracovávání údajů legitimní. Proto bez tohoto souhlasu je může zpracovávat:

a) jestliže provádí zpracování upravené zvláštním zákonem,

b) pokud je to nezbytně třeba k ochraně důležitých zájmů subjektu údajů,

c) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem.

Český zákon [3] tuto kategorii ještě rozšiřuje o situace:

d) jestliže je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem,

e) pokud je to nezbytné pro ochranu práv správce.

Mezi uvedené výjimky doplnila novela [5] i další podmínku:

„f) pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností“, protože zde se hned v první fázi aplikace projevily značné potenciální komplikace života těchto organizací.

 

Bez souhlasu subjektu údajů lze osobní údaje zpracovávat i pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Nutno poznamenat, že tyto výjimky jsou zpravidla doplněny limitním ustanovením ve smyslu, že takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života. Slovenský zákon [4] zejména podmiňuje poskytování, zpřístupňování či zveřejňování osobních údajů písemným souhlasem dotčené osoby.

 

Právě v souvislosti s těmito výjimkami je vhodné upozornit na Stanovisko ÚOOÚ č.1/2001, které řeší problematiku zveřejňování jmen dlužníků. Vychází přitom přímo z ústavních práv občanů, kde je zakotveno právo každého subjektu údajů na ochranu před neoprávněným zveřejňováním údajů o své osobě. Přestože by se mohlo zdát, že jde o uplatnění výjimky ve smyslu ochrany důležitých zájmů subjektu údajů, je to pokládáno za nátlakové jednání zvýhodňující stranu správce osobních údajů proti subjektu údajů, a to navíc nepřípustným zasahováním do soukromí osob.

 

Původní znění zákona [3] požadovalo, aby souhlas se zpracováním osobních údajů byl dán v písemné formě, aby z něho bylo patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje, mohl být kdykoliv odvolán a správce byl povinen jej uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas. I tato ustanovení se při praktické aplikaci projevila jako někdy obtížně realizovatelná, a proto byla novelou [5] poněkud upravena a zeslabena. Obecně se nepožaduje písemná forma tohoto souhlasu, což např. umožňuje aplikovat některé elektronické varianty získání souhlasu prokazatelně provedeného např. v autentizovaném prostředí intranetu nebo cestou elektronického podpisu (a s tím pak souvisí i změna povinnosti souhlas „prokazovat“ namísto původního „uchovávat“). Ustanovení o kdykoliv odvolatelném souhlasu bylo zeslabeno dodatkem „pokud se subjekt údajů se správcem výslovně nedohodne jinak“ a ponecháno na vůli obou stran.

 

Zmíněná novela poněkud precizovala ustanovení o zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů a v jistém smyslu organizacím tyto služby poskytujícím vyšla vstříc. Původně měly možnost pro své účely použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Nesměly však uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil písemný nesouhlas, a rovněž bez souhlasu subjektu údajů nemohly k uvedeným údajům přiřazovat další osobní údaje. Nyní je mohou za stejných podmínek navíc předat i dalšímu správci (ten je však již díle předávat nesmí) a současně jim bylo umožněno vést elementární evidenci subjektů údajů, které se zpracováním údajů vyslovily nesouhlas (protože jinak by celkem logicky nevěděly, komu se „vyhýbat“).

 

Velice speciální režim panuje při zpracování citlivých údajů, tedy osobních údajů vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Ty údaje lze dle českého zákona [3] zpracovávat, jen pokud dal subjekt údajů ke zpracování výslovný souhlas, v tomto případě však nekompromisně písemný, podepsaný subjektem údajů, kdykoliv odvolatelný, uschovaný po celou dobu zpracování, z něhož je zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Navíc je správce povinen předem subjekt údajů o jeho právech poučit. Naproti tomu slovenský zákon [4] zpracovávání takových údajů obecně zakazuje.

 

Poněkud jednodušší situace je v českém zákoně [3] v režimu několika málo typů výjimek omezených vlastně pouze na problematiku zdravotní péče a zmocnění daná speciálními zákony. Pokud pak jde o nejrůznější evidence zaměstnanců, které obsahují informace o jejich zdravotním stavu, tam se výkladová situace ustálila zhruba na tom, že informace, zda člověk je či není schopen vykonávat příslušné povolání, nevypovídá dostatečně o jeho zdravotním stavu v smyslu definice citlivého údaje, zatímco přesná evidence konkrétní diagnózy již ano. V rámci konzistence s tím, že novela [5] zbavila politické strany a hnutí povinnosti získávat souhlasy členů s vedením členské evidence, byla v tomto smyslu upravena i samotná definice citlivého údaje. A konečně je třeba upozornit i na Stanovisko ÚOOÚ č. 2/2001, které se týká odvádění členských příspěvků členů odborových organizací. Zde totiž zpravidla nebude prvotním účelem zpracování osobního údaje – členství v odborové organizaci – ani tak tato skutečnost samotná, jako spíš realizace dohody o srážkách ze mzdy a tedy zejména ani nebude docházet k systematickému zpracování tohoto citlivého osobního údaje. Slovenský zákon [4] definuje obdobným způsobem výjimky z onoho obecného zákazu.

 

 

7. K některým dalším aspektům zpracování osobních údajů

 

7.1 Informování subjektu údajů

 

Český zákon [3] v § 11 a 12 poměrně složitě stanovil povinnosti správců při informování subjektů údajů. Tyto informace jsou vlastně dvojího druhu – jednak v jistém smyslu „metainformace“ (že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny, poučení o tom, zda je podle zákona [3] povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné, o jeho právu k přístupu k osobním údajům a, jestliže správce nezískal osobní údaje od subjektu údajů, také informace o tom, kdo mu údaje poskytl, informace o druhu osobních údajů, a také obsah těchto údajů), jednak samotný obsah těchto informací. Poskytování druhého druhu informací by snad nemělo činit větší problémy, protože je to jen otázka podání žádosti na straně subjektu údajů a technického zpracování vhodného tvaru výpisu na straně správce či zpracovatele. Horší situace však nastala u prvního druhu informací, protože mnohým správcům a zpracovatelům nebylo příliš jasné, o čem všem vlastně mají informovat (zpracovat některé z těchto informačních textů musela předcházet důkladná analýza datové základny, včetně patřičných oprávnění ji používat), resp. jim tyto informace připadaly zbytečné a formální, protože v daných podmínkách je třeba všichni zúčastnění detailně znali. Opět i zde bylo proto nutné zasáhnout novelou [5] a některá ustanovení precizovat. Tak byla povinnost předat základní informace omezena pouze na případy, pokud tyto již nejsou subjektu údajů známy. Rovněž informace o zdroji osobních údajů (není-li jím subjekt údajů sám) se nadále poskytne pouze na písemnou žádost subjektu údajů. Výjimky, kdy není subjekt údajů třeba informovat, dosud omezené na zpracování osobních údajů výlučně pro účely statistické, vědecké nebo archivnictví, kdy zpracování osobních údajů ukládá zákon, resp. zvláštní zákon stanoví, že správce není povinen osobní údaje poskytovat, byly celkem přirozeně rozšířeny na případy, kdy správce zpracovává výlučně zveřejněné osobní údaje, nebo, kdy zpracovává osobní údaje se souhlasem subjektu údajů.

 

V této souvislosti není bez zajímavosti spor, který o to, zda si lékař smí nechat pacientem zaplatit za výpis ze zdravotnické dokumentace, který vznikl mezi Českou lékařskou komorou a Všeobecnou zdravotní pojišťovnou na straně jedné a Svazem pacientů na straně druhé. ÚOOÚ tento problém rozřešil v podstatě tak, že výpis (na nějž má subjekt údajů právo jednou ročně zdarma) obsahuje informace „o rozsahu osobních údajů“ a „o osobních údajích o něm zpracovávaných“. Nicméně to ještě neznamená detailní opis celé zdravotnické dokumentaci či její části a tak se v tomto případě na § 12 odst. 2 zákona [3] odvolávat nelze.

 

7.2 Odpovědnost

 

V praxi nebyla vždy pochopena ustanovení o odpovědnosti za porušení povinností plynoucích z českého zákona [3]. To, že správce i zpracovatel se zde nacházejí v režimu tzv. objektivní odpovědnosti, což znamená, že oni jsou povinni prokazovat, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od nich požadovat, bylo možná paradoxně tou jednodušší částí. Možná to způsobilo potenciální nebezpečí pokut v řádech miliónů Kč. Méně jasné však byly vztahy mezi správci či zpracovateli na straně jedné a jejich zaměstnanci, případně dalšími osobami zpracovávajícími osobní údaje na straně druhé. Zde je třeba uvést, že je-li systém pověřování zaměstnanců a dalších osob k práci s osobními údaji správně nastaven, dostanou se tyto osoby bezprostředně do patřičného odpovědnostního režimu přímo dle zákona [3], jsou tak povinny zachovávat mlčenlivost nejen o osobních údajích, ale zejména pak i o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a tato povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací vlastně doživotně. Na druhou stranu je však nutné upozornit, že ona implikace ze zákona [3] se týká pouze zaměstnaneckých vztahů (tj. pracovní smlouvy a dohody mimo pracovní poměr) a případně jiných smluv mezi správcem či zpracovatelem a danou osobou. Zejména se žádná ze zákona [3] plynoucí povinnost nevztahuje např. na studenty vysoké školy, kteří v rámci svého studia přicházejí do kontaktu se zdravotnickou dokumentací pacientů, dotazníky při sociologických výzkumech či s daty klientů v zařízeních sociální péče. Zde nezbývá než uzavřít smlouvy mezi příslušným správcem či zpracovatelem osobních údajů a jednotlivými studenty smlouvy, které by měly obsahovat také rozsah zpracování osobních údajů a podmínky, za nichž bude ke zpracování docházet. Při absenci takových smluv může být zpracování údajů prováděné studenty považováno za neoprávněné.

 

Slovenský zákon [4] řeší tyto otázky z poněkud jiného úhlu, i když konečný důsledek by v podstatě měl vyznít identicky. Jednak stanoví omezení, že prevádzkovateľom a sprostredkovateľom může být jen ten, kdo má sídlo nebo trvalý pobyt na území SR. Dále speciálně upravuje povinnost mlčenlivosti pro prevázkovateľa i sprostredkovateľa. Zároveň však zavádí jako další kategorii osob, které mohou na základě pokynu prevázkovateľa nebo sprostredkovateľa zpracovávat osobní údaje v rámci pracovního poměru apod. „oprávnenou osobu“, resp. i jiné osoby, které v rámci své činnosti přijdou do styku s osobními údaji, a i těm stanoví doživotní povinnost mlčenlivosti. Dále zákon [4] ukládá v případech, kdy prevázkovateľ zaměstnává více než 5 osob, povinnost písemně určit zodpovědné osoby, které dohlížejí na dodržování zákona při zpracování osobních údajů. Současně zákon [4] stanoví prevázkovateľovi i sprostredkovateľovi odpovědnost za bezpečnost osobních údajů, k čemu je povinen zpracovat bezpečnostní projekt. Nakonec je povinen prokazatelně poučit všechny relevantní právnické i fyzické osoby o jejich právech a povinnostech stanovených zákonem a odpovědnosti za jejich porušení.

 

 

8. oznamovací povinnost

 

V souvislosti se vznikem orgánu „datového dozoru“ vznikla oznamovací povinnost vůči Úřadu pro ochranu osobních údajů. Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost v poměrně podrobném písemném oznámení sdělit ÚOOÚ před započetím zpracovávání osobních údajů. Pokud se jedná zpracování osobních údajů existující již před účinností českého zákona [3], byl termínem splnění této povinnosti 31. květen 2001 (novelou zákona [5] pak posunutý na 31. prosinec 2001). ÚOOÚ má 30-tidenní lhůtu na sdělení oznamovateli, že jeho oznámení registruje (stejný účinek má i marné uplynutí této lhůty). Teprve dnem registrace (nebo uplynutím lhůty) je však možné zahájit zpracování dat. Nastane-li situace, že Úřad zjistí, že oznamovatel nesplňuje podmínky stanovené tímto zákonem [3], oznámení neobsahuje všechny požadované informace nebo vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení zákona, a oznamovatel oznámení na výzvu nedoplnil či případné místní šetření dopadlo negativně, ÚOOÚ v takovém případě zpracování osobních údajů nepovolí. Výjimkou z této povinnosti jsou zpracování osobních údajů, která jsou součástí veřejně přístupných evidencí, nebo taková, která jsou jejich správcům uložena přímo zákonem.

 

Prvotní vytvoření celostátního registru zpracování osobních údajů spolu s realizací celého souvisejícího rozhodovacího procesu nebyl nijak jednoduchý úkol. Tím spíš, že předem nebylo podle čeho přesně odhadovat jeho rozsah. Zato však bylo jasné, že celá akce bude časově značně napjatá. ÚOOÚ za tímto účelem vytvořil patřičnou databázi, registrační dotazník distribuovaný prostřednictvím finančních úřadů a systém optického snímání údajů v dotaznících uvedených. Teprve na základě kontroly takto předaných dat reagoval udělením registrace, dodatečnými výzvami k doplnění či vysvětlení nejasností, případně místním šetřením. Takto bylo do konce roku 2001 přijato 17 082 oznámení od 13 736 správců. Z toho bylo 15 842 registrováno, u 1 030 bylo registrační řízení přerušeno, 30 registrací bylo ukončeno se strany správce, 65 správních řízení bylo ukončeno se strany správce a pouze 4 registrace byly zamítnuty se strany ÚOOÚ. Konečně možná není bez zajímavosti, že ze všech udělených registrací je 77 % zpracování osobních údajů zpracováváno manuálně a teprve zbylá část je řešena automatizovanými prostředky.

 

Situace v SR je poněkud odlišná, zřejmě i z toho důvodu, že registrace informačních systémů obsahující osobní údaje zde probíhá již od roku 1998 na základě předchozího zákona [2]. Zatímco v ČR podléhají oznámení všechna zpracování osobních údajů až na stanovené výjimky, registrace v SR se omezuje na tři kategorie informačních systémů:

a) v nichž se zpracovávají osobitné kategorie osobních údajů,

b) v nichž se zpracovávají osobní údaje, které jsou předmětem přeshraničního toku, nebo

c) kdy osobní údaje zpracovává sprostredkovateľ.

Teprve k těmto kategoriím jsou definovány výjimky, které jsou v obdobném rozsahu jako v případě českého zákona [3], až na případ osobních údajů, které slouží masovokomunikačným prostriedkom výlučně pro jejich informační činnost, které by ovšem v ČR bylo třeba ÚOOÚ oznámit. Slovenský zákon [4] však navíc používá pojem „evidencie informačních systémov“, kam náležejí všechny informační systémy, které nepodléhají registraci (s dvěma výjimkami), a které je povinen vést a zveřejňovat prevádzkovateľ.

 

 

9.  závěr

 

Jak snad vyplývá z předchozího textu, zkušenosti ČR ukazují, že za uplynulé dva roky byl realizován veliký kus práce směřující jak k důsledné ochraně jednoho z elementárních „vlastnictví“ společných každému člověku, tak k provedení jistého druhu „úklidu“ v místech, kterým pořádek zpravidla nebýval příliš vlastní. Lze konstatovat, že podstatná část zúčastněných si obtížnost tohoto procesu uvědomila a tomu odpovídají i výsledky. Nicméně i v té souvislosti je nezbytné si uvědomit, že nyní se ještě stále pohybujeme v určitém přechodném období, kdy vlastně samotný ÚOOÚ cítí svou důležitější úlohu v osvětě, než v kontrolách a udělování sankcí. To je vyjádřeno zejména tím, že po jistou dobu nemá právo použít ustanovení § 46 odst. 1 a 2 zákona [3] (tedy ony mediálně zajímavé pokuty pro správce a zpracovatele osobních údajů do výše 10 mil. Kč, resp. 20 mil. Kč.). Toto období však končí 31. prosince 2002.

 

SR je vlastně v obdobné situaci, kdy má za sebou řadu zkušeností z předchozího zákona [2], aktuálně přítomnu novou kvalitní právní normu [4] v mnoha oblastech podrobnější než český zákon [3] a před sebou 6 (resp. v případech nutnosti získávání potřebných souhlasů dotčených osob 16) měsíců na uvedení dosavadních informačních systémů zpracovávajících osobní údaje do souladu s právem.

 

 

LITERATURA

 

[1] Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.

[2] Zákon č. 52/2000 Z. z., o ochrane osobnych údajov v informačných systémoch.

[3] Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

[4] Zákon č. 428/2002 Z. z., o ochrane osobnych údajov.

[5] Zákon č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., a zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů.

[6] Zákon č. 563/1991 Sb., o účetnictví ve znění pozdějších předpisů.

[7] Zákon č. 21/1992 Sb., o bankách ve znění pozdějších předpisů.

[8] Zákon č. 111/1994 Sb., o silniční dopravě ve znění pozdějších předpisů.

[9] Zákon č. 266/1994 Sb., o drahách ve znění pozdějších předpisů.

[10] Zákon č. 565/1990 Sb., o místních poplatcích se znění pozdějších předpisů.

[11] Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2000. Praha: ÚOOÚ, 2001.

[12] Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2001. Praha: ÚOOÚ, 2002.