Zákon o ochraně osobních údajů na vysokých školách

Vladimír Šmíd





Abstrakt

Na jaře 2000 byl přijat zcela nový zákon č. 101/2000 Sb. o ochraně osobních údajů. Tento zákon odstranil mnohé nedostatky, které měla předchozí právní úprava, přičemž vycházel i z nutnosti harmonizovat právní normy v uvedené oblasti s právem Evropské unie. Příspěvek popisuje vybraná ustanovení zákona (zejména ta, která se odlišují od předchozího zákona) a všímá si specifik aplikace uvedeného zákona na vysokých školách z hlediska jeho působnosti, práv a povinností správců a zpracovatelů dat, odpovědnosti za jeho porušení a vztahů k orgánům “datového dozoru”.
 

1. Úvod

Informace o občanech jsou více či méně a lépe či hůře sbírány tak dlouho, kam snad lidská paměť sahá. Jejich zvláštnost nespočívá jen v zásadní odlišnosti tohoto “zboží” od zboží ostatních (právě proto, že jsou to informace), ale zejména i v tom, že se jedná o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci a společenské postavení. Pokud někdo získá možnost s takovými informacemi disponovat (ať už se jedná o osobní údaje jednotlivce či celých specifikovaných skupin osob), získává zpravidla nástroj, který se netýká jen obecné ochrany např. občanské cti a lidské důstojnosti těchto osob ve smyslu občanského zákoníku, ale může být využit pro zcela konkrétní pozitivní i negativní kroky v tom nejširším spektru lidské činnosti. Proto řada civilizovaných států světa upravuje podmínky zacházení s osobními údaji právními normami.

V ČR do konce května 2000 platil zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech [2]. Jaký byl? Na to se v odborné i laické veřejnosti za uplynulých 8 let nashromáždilo široké spektrum názorů. Pro jedny bude první, převratný, řešící alespoň nějakým způsobem zde dosud existující “džungli”. Druzí mu budou vytýkat nepřesné definice, úzkou působnost a neoperativnost při domáhání se práv dotčených osob. Všeobecně přijímané problémy však byly nepochybně dva a ty ještě spolu do jisté míry souvisely:

Navíc v mezidobí (v roce 1995) přijaly Evropský parlament a Rada Směrnici č.95/46/EC o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat, která především zavazuje členské státy Evropské unie, aby odpovídajícím způsobem uvedly do souladu své národní zákonodárství s pravidly této směrnice. Přestože tento závazek se ČR netýká přímo, patří Směrnice mezi ty screeningové normy, které s ní budou projednávány v souvislosti s harmonizací právních předpisů před vstupem do EU.

2. Nový zákon o ochraně osobních údajů

Po několikaletém úsilí zpracovatelů a v závěru po více než půlročním schvalovacím procesu v Parlamentu ČR byl 4. dubna 2000 schválen zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů [3]. Přestože se dá říci, že jako jedna z mála norem měl podporu napříč celým politickým spektrem, nebyl (a zřejmě do budoucna ještě nebude) jeho osud zrovna jednoduchý. O tom svědčí jeho cesta po schválení Poslaneckou sněmovnou do Senátu, návrat zpět s připomínkami, kterým však nebyla nic platná podpora vlády i zpravodajského výboru sněmovny, když Poslanecká sněmovna je nakonec odmítla a Senát “přehlasovala”. Je tedy pravděpodobné, že právě v tomto smyslu lze očekávat relativně brzy návrhy na jisté dílčí novelizace. Nicméně na světě je zákon, který odstraňuje mnohé neduhy svého předchůdce, je kompatibilní se zákonodárstvím Evropské unie a v této souvislosti přináší řadu dosud neznámých novinek do zpracování osobních údajů v ČR.

Zjednodušeně lze říci, že pro praktický smysl tohoto zákona je zvláště charakteristické, že:

Zatímco u první skupiny je aplikace uvedeného zákona snad jen otázkou znalosti několika jeho vybraných ustanovení a vynaložení trochy energie při domáhání se svých práv, u druhé skupiny to bude naopak problém detailní znalosti této normy a vynaložení nejen velké energie, ale často i rozhodně nemalých finančních prostředků.

3. Působnost zákona

Zákon výrazně rozšířil svou věcnou působnost, a to v podstatě už jen tím, že se zjednodušila základní definice pojmu osobní údaj. Osobním údajem je tedy jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů (osoba) se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. Naopak se o osobní údaj nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků.

Dalším důvodem je skutečnost, že zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji – tedy zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Zatímco předchozí zákon se týkal jen automatizovaného zpracování osobních dat v informačních systémech, nová norma se vztahuje na jakékoliv osobní údaje kýmkoliv zpracovávané, a to jak automatizovaně, tak i manuálně.

Na vysokých školách bývají s ohledem na povahu jejich činnosti vedeny nejrůznější evidence, od institucionálně pojatých personálních evidencí zaměstnanců a studentů, přes evidence blíže charakterizující realizaci jejich vztahu ke škole (např. evidence studijních výsledků, publikační činnosti či průběhu habilitačních řízení) až po evidence vedené pro účely výzkumu a vývoje. Typově však zpravidla žádnou z nich nelze podřadit pod režim několika výjimek, které zákon uvádí. Sem mohou patřit jen jisté soubory neaktuálních informací, které se tak staly archiváliemi. Ty se však tímto okamžitě dostávají do nijak liberálního režimu zákona o archívnictví.(Zákon č. 97/1994 Sb., o archívnictví.)

4. Práva a povinnosti správců a zpracovatelů dat

4.1. Souhlas subjektu údajů

Obecně platí, že správce či zpracovatel mohou zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat jen ve stanovených případech výjimek (např. odkaz na jiné zákony, smlouva se správcem, zveřejněné údaje). Opět až na výjimky je správce je povinen včas a řádně subjekt údajů (písemně) informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny. Rovněž musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné.

Právě z tohoto pohledu se na určitou část standardních evidencí na vysokých školách opravdu režim výjimek vztahuje.

Podmnožiny personalistiky jsou založeny skupinou zákonů upravujících povinnosti zaměstnavatelů. (Např. zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení; zákon č. 563/1991 Sb., o účetnictví; zákon č. 586/1992 Sb., o daních z příjmu.)

Studijní evidence vycházejí dokonce přímo z § 88 zákona o vysokých školách, který definuje “matriku studentů”, stanoví alespoň typově její datovou strukturu a dokonce některá základní pravidla zacházení s jejími daty. (Datová struktura matriky studentů je typově určena přímo v § 88 odst. 2 a 3 zákona [1]. Cestou aplikace § 21 odst. 1 písm. c), podle kterého je vysoká škola povinna poskytovat Akreditační komisi a MŠMT potřebné informace pro jejich činnost podle zákona [1], uplatněné v datové struktuře Sdružených informací matrik studentů (SIMS) v souvislosti se zmocněním MŠMT tuto strukturu stanovit, je rozšířena o některé další položky, které z původní definice nelze vyvodit přímo.)

Evidence publikační činnosti by zase bylo možné z povahy věci chápat jako zpracování údajů nakládající se zveřejněnými informacemi.

Horší ovšem bude situace, kdy základem pro dané zpracování skutečně např. jistý zákon je, ale správce si účelně či “pro jistotu” datovou strukturu třeba jen mírně rozšířil nad její definovaný rámec. Pak ovšem nezbývá nic jiného, než se právě v těchto “nadstavbových” úrovních řídit obecným zákonem se všemi důsledky.

4.2. Citlivé údaje

Ještě mnohem markantněji tento problém vystupuje v případě citlivých (senzitivních) údajů. Z jejich dosavadní definice sice byly vypuštěny termíny jako “údaje vypovídající o osobnosti” i “majetkové poměry” a citlivým údajem se tak stal osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Ovšem tyto údaje lze zpracovávat, jen pokud dal subjekt údajů ke zpracování výslovný souhlas. To znamená písemný, podepsaný subjektem údajů, kdykoliv odvolatelný, uschovaný po celou dobu zpracování a z něhož je zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Současně je správce povinen předem subjekt údajů o jeho právech poučit. A teď už si stačí pouze uvědomit, že obsahově dost zbytečná položka “národnost” se vyskytovala téměř v každé databázi osob, zatímco její budoucí legální setrvání v ní je spojeno přinejmenším s takovou pracností a náklady, že se stává prakticky nerealizovatelným. Poněkud jiná situace nastává v případě evidování různých zdravotních handicapů. Zatímco odůvodnění výskytu takových informací v personálních evidencích zaměstnanců lze vyvodit přinejmenším z zákonů, které ukládají předávat informace tohoto typu sociálním pojišťovnám, ve studijních evidencích nic takového nenajdeme. Potřebujeme-li však třeba kvůli rozhodování o ubytování v kolejích informaci, že student má změněnou pracovní schopnost, tento údaj v takovéto obecnosti ještě není třeba pokládat za citlivý. Jiná situace by byla, kdybychom požadovali informaci o konkrétní diagnóze. Pak by nám neuzbylo nic jiného, než jej požádat právě o výše zmíněný souhlas se zpracováváním uvedeného údaje.

4.3. Verifikace údajů

Nebylo by nic překvapivého na tom, že správce či zpracovatel musí zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Nastává však nová povinnost ověřovat, zda jsou osobní údaje pravdivé a přesné (a pokud tak nemůže zjistit, musí je blokovat). A pokud přitom zjistí, že údaje nejsou pravdivé a přesné, opět je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat.

Tyto skutečnosti mají nezanedbatelný vliv i na technickou stránku zpracovávání osobních údajů. Tam, kde dříve např. u národnosti stačila dvoubytová položka s odkazem na číselník, musí z praktického hlediska přibýt minimálně datum udělení souhlasu a datum, dokdy tento souhlas subjektem údajů udělený trvá. Ještě mnohem zajímavějším však bude rozhodně vyřešení možnosti likvidovat a zejména pak blokovat u kterékoliv položky kterékoliv věty její obsah, zpravidla do okamžiku verifikace tohoto obsahu nebo do okamžiku (zpravidla vnějšího) rozhodnutí.

4.4. Informování subjektu údajů

Naopak nikoliv novým ustanovením (ale ne v praxi zrovna příliš používaným) je povinnost správce jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných. Zákon zde stanoví písemnou žádost, zatímco nehovoří o formě předání této informace. Tady by se zřejmě nejlépe uplatnilo selektivní zpřístupnění veškerých informací o subjektu údajů autentikovaným způsobem třeba prostřednictvím webovského rozhraní 24 hodin denně, samozřejmě za dodržení maximálně úrovně bezpečnosti dat.

5. Odpovědnost za porušení zákona

V novém zákoně byla rozšířena a upřesněna práva subjektů údajů v situaci, kdy při zpracování dat došlo k porušení povinností. Pokud tak učinil správce nebo zpracovatel, má subjekt údajů právo požadovat:

a) aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění;

b) aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné;

c) aby osobní údaje byly zablokovány nebo zlikvidovány;

d) zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

Správce i zpracovatel se zde nacházejí v režimu tzv. objektivní odpovědnosti, což znamená, že oni jsou povinni prokazovat, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od nich požadovat. Za případně způsobenou škodu odpovídají společně a nerozdílně. V této souvislosti je Úřad pro ochranu osobních údajů oprávněn ukládat pokuty, a to dost citelné. Na příklad správce nebo zpracovatel už jen za to, že maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 miliónu Kč. Ovšem, pokud tentýž správce nebo zpracovatel poruší povinnost uloženou mu podle tohoto zákona, bude potrestán pokutou do výše 10 miliónů Kč. A pokud si to do jednoho roku ještě jednou zopakuje, může mu být uložena pokuta ještě v dvojnásobné výši.

V této souvislosti stojí zato upozornit na nutnost věnovat pozornost všem smlouvám jakkoliv souvisejícím se zpracováním dat uzavřeným danou školou, a to jak třeba smlouvám zprostředkovatelským s externisty, tak i pracovním s vlastními zaměstnanci, a zejména pak systému pověřování pracovníků k práci s daty a stanovení jejich odpovědnosti. Bude-li tento systém správně nastaven, dostanou se do režimu odpovědnosti dle zákona i tito zaměstnanci, kteří jsou povinni zachovávat mlčenlivost nejen o osobních údajích, ale zejména pak nově i o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Tato povinnost mlčenlivosti pochopitelně trvá i po skončení zaměstnání nebo příslušných prací a je vlastně doživotní, protože její trvání není nijak omezeno. Její porušení je dokonce přestupkem, s nímž může být spojena pokuta do výše 50 tisíc Kč. Navíc jsou odpovědny za porušení zákona podobně jako správce i zpracovatel a dle zákona se této odpovědnosti zprostí jedině, prokáží-li, že porušení předpisů nezavinily. Toto ustanovení však hned koliduje s dalším ustanovením, které odpovědnostní režim odkazuje na Zákoník práce, kde naopak musí zavinění prokazovat zaměstnavatel. (Ale řešení této kolize přesahuje rámec tohoto textu).

6. Orgán “datového dozoru”

V souvislosti se vznikem orgánu “datového dozoru” vzniká oznamovací povinnost vůči Úřadu pro ochranu osobních údajů. Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost v poměrně podrobném písemném oznámení sdělit Úřadu před započetím zpracovávání osobních údajů. Úřad má 30-tidenní lhůtu na sdělení oznamovateli, že jeho oznámení registruje (stejný účinek má i marné uplynutí této lhůty). Teprve dnem registrace (nebo uplynutím lhůty) je však možné zahájit zpracování dat. Nastane-li situace, že Úřad zjistí, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, oznámení neobsahuje všechny požadované informace nebo vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení zákona, a oznamovatel oznámení na výzvu nedoplnil či případné místní šetření dopadlo negativně, Úřad v takovém případě zpracování osobních údajů nepovolí. Výjimkou z této povinnosti jsou zpracování osobních údajů, která jsou součástí veřejně přístupných evidencí, nebo taková, která jsou jejich správcům uložena přímo zákonem. Úřad tak povede a zveřejňuje rozsáhlý registr oznámených zpracování dat z celé ČR.

Vzhledem k tomu, že hledat na vysokých školách databázi zcela striktně založenou určitým zákonem, zpravidla nebude jednoduché, ocitají se tato zpracování dat téměř bez výjimky nutně v onom režimu registrace. Určitě je vhodné si rozmyslet, zda dosavadní zpracování osobních dat, které provozujeme, jsou vůbec nutná, účelná a legální, resp. zda stojí za rizika s tím spojená. V případě kladné odpovědi na první otázku by měla následovat podrobná analýza datových struktur se zvláštním zřetelem na položky, které jsou zbytečné, špatně využitelné, obtížně verifikovatelné a především pak na ty, které obsahují citlivá data, s maximální snahou eliminovat vše nadbytečné s ohledem na účel zpracování dat.

Popis daného zpracování dat v dosti podrobné struktuře popsané přímo v zákoně je pak hlavní součástí oznámení, které je správce či zpracovatel povinen předat Úřadu pro ochranu osobních údajů.

7. Závěr

Zákon nabyl účinnosti 1.června 2000 a jeho ustanoveními se od toho dne musí řídit bez výjimek všechna nová zpracování dat. Ti, kdo zpracovávali osobní údaje již před účinností tohoto zákona, mají za povinnost “harmonizovat” svou činnost do úplného souladu s tímto zákonem k datu 31. prosince 2001.

Literatura

[1] Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (o vysokých školách)
[2] Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech
[3] Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů