Ochrana osobních údajů v pracovněprávních vztazích

 

 

 

Vladimír Šmíd

 

 

2003

 

 

 

ÚVOD

 

            Aktuální etapa vývoje lidské civilizace bývá často nazývána informačním věkem. Znamená to, že si člověk uvědomuje nezastupitelnost úlohy informací pro kvalitu svého života a snad i život vůbec. Čím je tak důležitý onen „libovolný druh poznání nebo zprávy, který lze použít pro umožnění nebo zlepšení rozhodnutí nebo činnosti“[1]? A proč právě na přelomu 2. a 3. tisíciletí?

            Jako nejpravděpodobnější se ukazuje skutečnost, že lidstvo si začíná skutečně vážně uvědomovat (byť často jen implicitně) vyčerpatelnost disponibilních zdrojů ve vztahu ke svým realizovaným či potenciálním potřebám. Civilizace jako celek tak celkem přirozeně zjišťuje, že jediným jejím opravdu nevyčerpatelným zdrojem jsou právě informace, a to s ohledem na jejich téměř nekonečnou zmnožitelnost a generovatelnost dalších informací ze sebe sama.

            Prohlásíme-li však informace obecně za to nejcennější, co tato planeta má, nezbude nám, než je začít chránit z hlediska jejich hodnoty i nebezpečí zneužití. Zjednodušeně by se snad dalo říci, že informace je určitým druhem majetku nebo snad dokonce zboží, zpravidla má svého vlastníka, a tak by se celý problém mohl zúžit čistě na ochranu takového vlastnického vztahu. Jenomže informace mají natolik unikátní charakter, že s tak jednoduchým přístupem nevystačíme. Nehledě na to, že vždy budou zřejmě existovat takové informace, které se budou šířit zcela nekontrolovaně a bez možnosti (a často i potřeby) ochrany, a pak informace, které za jistých podmínek a jistými způsoby chránit lze (a je nutno chránit).

            Zejména nové informační a komunikační technologie, které překonávají bariéry prostoru a času, umožňují efektivní uchovávání a opětovné vyhledávání údajů. Zároveň však tento vývoj přináší dříve neznámá potenciální nebezpečí, respektive nárůst těch nebezpečí již známých. A proto zase musí společnost stanovit pravidla, která by naopak zabránila tomu, aby nesporné výhody, které přinášejí nové technologie, nebyly provázeny oslabením pozice osob, o kterých údaje vypovídají. Znamená to vymezit nové hranice soukromí, které nahradí čas a prostor a které ochrání člověka před diskriminujícím mechanizujícím a počítačovým použitím údajů, které se k němu vztahují. Takové vymezení je pak předpokladem pro to, aby moderní informační a komunikační technologie, které jsou objektivně pro lidstvo přínosem, nepůsobily v jeho neprospěch.

Informace jsou více či méně a lépe či hůře sbírány tak dlouho, kam až lidská paměť sahá. V oněch dávných dobách nebylo třeba se příliš bránit existenci obrovských „smetišť“ obsahujících „hromady“ údajů, kde najít požadovanou informaci v požadovaném čase se rovnalo malému zázraku. Zcela jiná situace nastává v okamžiku, kdy s revoluční změnou informačních technologií lze tyto informace mnohořádově rychleji třídit, vybírat a analyzovat. Další dimenze tohoto problému spočívá i v tom, že pokud dříve měl finanční a technické možnosti s rozsáhlými údajovými základnami nakládat zpravidla pouze stát, s rozvojem počítačové techniky tyto možnosti se stávají dostupné v podstatě komukoliv, kdo vlastní běžný počítač vybavený běžným softwarem a navíc disponuje byť jen obecným právem na získávání informací v kontextu základních lidských práv. A tedy již odtud by přirozeně mohla vycházet nutnost právně omezovat okruh subjektů oprávněných informace daného typu shromažďovat.

Nicméně, ještě speciálnější charakter mají osobní údaje. Jedním z důvodů je to, že se jedná o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci a společenské postavení. Druhou zásadní odlišností je fakt, že pokud takové informace získá někdo jiný, může si vytvořit takový profil osoby, který souvisí nejen obecně s důstojností a pověstí člověka v jistém společenství lidí, ale může mít zcela přirozené pozitivní i negativní následky z hlediska nejrůznějších konkrétních aktivit.

Teoretické extrémní přístupy k řešení těchto otázek by mohly být v zásadě dva:

1.      umožnit shromažďovat veškeré informace o jedinci na jednom místě s cílem jakoukoliv stránku jeho osobnosti informačně podchytit tak, aby držitel oněch informací mohl mít přehled o tom, co ho zajímá, a to jak ve smyslu působit ve prospěch daného člověka (například zdravotnické informace), tak ve smyslu bránit se před jeho negativní činností (například informace o trestné činnosti);

2.      neshromažďovat vůbec žádné informace, protože všechno, co se týká jedince, je jeho výlučnou záležitostí a nikdo nemá právo jakkoliv do jeho soukromí zasahovat.

V každém případě je jasné, že volba jednoho či druhého extrému není udržitelná a že jádro souvisejících problémů spočívá v nalezení vhodného a přijatelného kompromisu mezi nimi.


1.                ÚSTAVNÍ  ZÁKLADY

 

            Moderní demokratická společnost musí být schopna dostát své základní povinnosti, kterou je ochrana práv občana včetně ochrany informací, zejména údajů vztahujících se k osobnosti a soukromí občana.

Vnitrostátní normou České republiky nejvyšší právní síly v této oblasti je Listina základních práv a svobod[2] vyhlášená pro Českou republiku 16. prosince 1992 jako součást ústavního pořádku České republiky. Ta již od svého prvního znění[3] účinného pro Českou a Slovenskou Federativní Republiku od 8. února 1991 v čl. 7 odst. 1 zaručuje nedotknutelnost osoby a jejího soukromí s tím, že toto právo může být omezeno jen v případech stanovených zákonem. Dále pak v souladu s čl. 10 má každý právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno (odst. 1), má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života (odst. 2) a konečně pak zejména má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě (odst. 3). Všechna dosud uvedená práva jsou zařazena v oddílu první hlavy druhé mezi základní lidská práva a svobody.

Svým způsobem z opačného směru pohlíží na uvedené otázky ve druhém oddílu mezi politická práva zařazený čl. 17, dle nějž je zaručena svoboda projevu a právo na informace (odst. 1) a kde se současně uvádí, že svobodu projevu a právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti. Zároveň v souladu s čl. 36 je každému dána možnost domáhat se stanoveným postupem svého práva u nezávislého a nestranného soudu a ve stanovených případech u jiného orgánu (odst. 1), respektive, každý, kdo tvrdí, že byl na svých právech zkrácen rozhodnutím orgánu veřejné správy, se může obrátit na soud, aby přezkoumal zákonnost takového rozhodnutí, nestanoví-li zákon jinak (odst. 2).

            Poznamenejme že z věcného hlediska tato práva nejsou omezena co do formy zacházení s osobními údaji. Proto se nepochybně vztahují zejména na jakékoliv neoprávněné zásahy vůči osobním údajům, jejich utajením počínaje a libovolnými způsoby manipulace s nimi konče. Rovněž není v této souvislosti zásadní historie toků takových dat, a proto je ochrana obecně poskytována jak údajům, které nejsou veřejně známy, tak i těm, které již byly zveřejněny (jsou součástí veřejných seznamů či byly zveřejněny ve sdělovacích prostředcích libovolného druhu). Obecnou zásadou pak je, že buď o disponování s vlastními údaji je osoba oprávněna rozhodovat sama nebo její souhlas musí být nahrazen zmocněním na základě zákona.

            Uvedená úprava je v souladu se základními dokumenty mezinárodního práva upravujícími tuto problematiku. Na prvním místě je třeba zmínit Všeobecnou deklaraci lidských práv přijatou dne 10. prosince 1948 Organizací spojených národů, kde se v čl. 12 praví: „Nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence, ani útokům na svou čest a pověst. Každý má právo na zákonnou ochranu proti takovým zásahům nebo útokům.“ O poznání silněji a podrobněji je totéž upraveno v konvenci iniciované Radou Evropy, Úmluvě o ochraně lidských práv a základních svobod[4] sjednané v Římě dne 4. listopadu 1950, podepsané jménem ČSFR 21. února 1991 a po ratifikaci účinné pro ČSFR od 18. března 1992. Zde se v čl. 8 uvádí obdobná obecná formulace, že „každý má právo na respektování svého soukromého a rodinného života, obydlí a korespondence“ (odst. 1) a současně je (v odst. 2) upřesněna možnost stanovení výjimek, kdy „státní orgán nemůže do výkonu tohoto práva zasahovat kromě případů, kdy je to v souladu se zákonem a nezbytné v demokratické společnosti v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných“. Prakticky se v takovém případě jedná o to, že zmiňovaná práva mohou vůbec být smluvními stranami omezena. Taková omezení však musí vyhovovat těmto podmínkám:

·        omezení musí být stanoveno zákonem, jímž se rozumí jakýkoli pramen práva, včetně soudního precedentu, pokud jde o zákon dostupný, přesný a předvídatelný;

·        omezení musí sledovat některý z cílů, které jsou taxativně uvedeny v restriktivních klauzulích, například bezpečnost, ochranu zdraví nebo morálky, předcházení trestné činnosti apod.;

·        rovněž pak smluvní strany mohou derivovat práva a svobody zaručené touto Úmluvou v případě války nebo jakéhokoli jiného veřejného ohrožení státní existence (viz čl. 15 odst. 1 Úmluvy).

Úmluva o ochraně lidských práv a základních svobod je dle čl. 10 Ústavy České republiky[5] jako vyhlášená mezinárodní smlouva, k jejíž ratifikaci dal Parlament souhlas a jíž je Česká republika vázána, součástí právního řádu a má přednost před vnitrostátním právem.

            Na právní úpravu obsaženou v Listině základních práv a svobod navazují a konkretizují ji ustanovení Občanského zákoníku[6] upravující ochranu osobnosti. V ustanovení § 11 je mimo jiné uvedeno právo každé fyzické osoby na ochranu své osobnosti, zejména života a zdraví, občanské cti a lidské důstojnosti, jakož i soukromí, svého jména a projevů osobní povahy. Prostředky právní ochrany jsou obsaženy v § 13, kdy fyzická osoba má právo se domáhat, aby bylo upuštěno od neoprávněných zásahů do práva na ochranu její osobnosti, aby byly odstraněny následky těchto zásahů a aby jí bylo dáno přiměřené zadostiučinění. Pokud by se nejevilo postačujícím zadostiučinění zejména proto, že byla ve značné míře snížena důstojnost fyzické osoby nebo její vážnost ve společnosti, má fyzická osoba též právo na náhradu nemajetkové újmy v penězích. Ustanovení § 16 upravuje odpovědnost za škodu způsobenou zásahem do práva na ochranu osobnosti, pro níž se užije ustanovení uvedeného zákona o odpovědnosti za škodu.

            Klíčová role v oblasti ochrany osobních údajů je v českém právu v posledních deseti letech svěřena zvláštním zákonům, které opět vycházejí z Listiny základních práv a svobod a jako ucelené právní předpisy komplexně upravují zacházení s osobními údaji. Prvním z nich byl zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech (účinným byl od 1. června 1992 do 1. června 2000), který byl následován zákonem č. 101/2000 Sb., o ochraně osobních údajů. Tyto zákony působí jako svého druhu lex generalis pro ochranu osobních údajů v České republice. Vedle nich však existuje řada speciálních norem upravujících zpravidla oblast života společnosti či dokonce konkrétní informační systém a stanoví zvláštní pravidla pro související zpracování osobních údajů. V. Smejkal, T. Sokol a M. Vlček[7] uvádějí k datu 1. ledna 1994 celkem 43 takové předpisy o síle zákona (podzákonných předpisů je podle nich řádově více). P. Mates a K. Neuwirt[8] o pět let později vyjmenovávají 75 zákonů upravujících zpracování osobních údajů.

 


2.                MEZINÁRODNĚPRÁVNÍ  ÚPRAVY

 

             Přestože první mezinárodně závazné dokumenty vztahující se ochraně soukromí jednotlivce a jeho osobních údajů zvláště se objevují (jak bylo zmíněno v předchozí kapitole) již na konci 40. let, trvalo i vyspělým demokraciím nejméně dalších 20 let, než se pod vlivem rychlého a masivního technologického vývoje prostředků, schopných umožnit vznik velkých databází, nárůst sběru, zpracování a přenosu dat a tak současně zvýšit možnosti zpracovávání údajů o soukromí osob, začaly skutečně vážně zabývat konstruováním odpovídajícího právního prostředí. Současně je také třeba hned úvodem ocenit, že jednotlivé státy si při vytváření vnitrostátních norem dobře a včas uvědomovaly, že informace s ohledem na svůj vlastní charakter téměř neomezeného dosahu a průniku nelze účinně chránit na čistě teritoriálním principu. S tímto vědomím pak velmi brzy začaly vznikat konvence různých druhů, které nejen že byly schopny šetřit práci národním legislativcům s vymýšlením vymyšleného, ale především se tak přirozeně začalo vytvářet svým způsobem jednotné mezinárodní prostředí, kde se dodržují stejná pravidla bez ohledu na státní hranice. Dokonce zde došlo k méně obvyklé situaci, že mnohé vnitrostátní zákony obecně upravující ochranu osobních údajů byly přijímány později (zejména uveďme příslušné české zákony) a tedy již za existence těchto mezinárodních koordinačních norem. Na druhou stranu je třeba objektivně přiznat, že se jednalo o možnost, která ne vždy byla národními parlamenty správně a důsledně využita a výsledkem rozhodně nebyly uniformní zákony ve všech státech.

            Historicky prvními příklady v tomto smyslu jsou dvě usnesení, kterými se na popud Parlamentního shromáždění rozhodla Rada Evropy vytvořit zvláštní pravidla pro zabránění nečestnému zpracování osobních údajů ve veřejné i soukromé sféře. Jednalo se o Resolution (73) 22[9] a Resolution (74) 29[10], které stanovily principy týkající se ochrany soukromí osob při vytváření elektronických databank ve veřejném a soukromém sektoru. Jejich vlastním cílem tehdy bylo povzbudit vytvoření národních legislativních opatření pro vytváření elektronických datových souborů. Mezi prvními státy, které reagovaly na uvedené impulsy přijetím svých vnitrostátních zákonů na ochranu osobních dat bylo Švédsko (1973), Spolková republika Německo (1977), Rakousko (1978) a dále pak v krátkém čase Dánsko, Francie, Norsko a Lucembursko. Právě v této fázi se ukázalo, že národní opatření a mezinárodní spolupráce budou muset být nahrazeny mezinárodními standardy.

První pokus o stanovení opravdu komplexních standardizačních pravidel ve smyslu sjednocení národních pravidel na ochranu osobních dat a zejména pak odstranění bariér pro jejich předávání mezi jednotlivými státy však není spojen s Radou Evropy, ale s Organizací pro hospodářskou spolupráci a rozvoj (OECD). Ta vydala dne 1. října 1980 „Doporučení pro ochranu soukromí a toky osobních údajů přes hranice[11]. OECD v něm zejména doporučuje členským státům, aby:

1.    do svého vnitrostátního práva zahrnuly principy vztahující se k ochraně soukromí a svobody jednotlivce tak, jak jsou obsaženy v tomto materiálu; a

2.    odstranily překážky, které v zájmu ochrany osobnosti brání přeshraničnímu toku osobních dat.

Dokument z hlediska právní závaznosti a okruhu působnosti nelze počítat k dostatečně významným. Zajímavé na něm jsou však právě ony výše zmiňované principy, které jsou na nadnárodní úrovni použity poprvé. Jedná se o:

a)    princip omezení sběru osobních dat (správnost a legálnost);

b)   princip kvality osobních dat (adekvátnost účelu, přesnost, úplnost a aktuálnost);

c)    princip specifikace účelu sběru osobních dat (stanovení účelu musí předcházet začátku sběru dat);

d)   princip omezení užití osobních dat (mohou být zpřístupněna nebo užita jinak pouze se souhlasem subjektu dat nebo na základě zákona);

e)    princip záruk bezpečnosti osobních dat (musí být chráněna před ztrátou či neoprávněným přístupem, zničením, užitím, změnou nebo zveřejněním);

f)     princip otevřenosti (veřejnost informací o povaze a účelu zpracovávaných osobních dat a o jejich správci);

g)    princip účasti subjektu osobních dat (právo na informaci o datech o něm sbíraných, právo na zpřístupnění jeho dat, právo na výmaz, opravu a doplnění);

h)    princip odpovědnosti správce osobních dat (odpovídá za dodržování všech výše uvedených principů).

Přestože uvedené Doporučení OECD má pouze formu tezí vnášejících do praxe vyspělých zemí obecně ale nezávazně uplatňovaná kritéria ochrany osobních údajů, principy zde uvedené byly později v zásadě převzaty a precizovány v dalších dokumentech, které jim daly navíc skutečnou právní závaznost.

 

2.1.         Aktivity Rady Evropy

 

            Dne 28. ledna 1981 schválila Rady Evropy Úmluvu ETS č. 108 o ochraně osob s ohledem na automatizované zpracování osobních dat[12]. Tato Úmluva se stala prvním uceleným mezinárodním právním dokumentem v oblasti ochrany osobních údajů. Úmluvě ETS č. 108 byla dána vysoká důležitost i tím, že byla zahrnuta do sféry lidských práv a základních svobod člověka.          Jejím účelem je zabezpečit na území každého členského státu pro každého člověka bez ohledu na národnost a místo pobytu respektování jeho práv a základních svobod, zejména práva na soukromí se zvláštním důrazem na automatizované zpracování osobních dat vztahujících se k němu. Je otevřena k přistoupení členským státům Rady Evropy (případně dalším nečlenským státům, které budou k přistoupení vyzvány Výborem ministrů Rady Evropy), přičemž ze 44 členských států ji dosud 33 států podepsalo a z nich 29 ratifikovalo, čímž se pro ně stala závazná[13]. S ohledem na poměrně složitý legislativní vývoj v této oblasti v České republice trvalo téměř dalších 20 let, než mohla být Úmluva ETS č. 108 dne 8. září 2000 jménem České republiky podepsána. Konkrétně se tak stalo až poté, kdy nabyl účinnosti v pořadí druhý zákon upravující ochranu osobních údajů, tedy zákon č. 101/2000 Sb. Úmluvu ETS č. 108 schválila 28. února 2001 Poslanecká sněmovna Parlamentu České republiky, 28. března 2001 Senát Parlamentu České republiky a následně ji 29. května 2001 podepsal prezident republiky. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy ETS č. 108, dne 9. července 2001. Úmluva ETS č. 108 na základě svého článku 22 odst. 3 vstoupila pro Českou republiku v platnost dne 1. listopadu 2001[14]. (Poznamenejme pro zajímavost, že vzhledem k poněkud odlišnému legislativnímu vývoji trval tento proces ve Slovenské republice o poznání kratší dobu, takže Úmluva ETS č. 108 mohla být pro Slovenskou republiku ratifikována 24. srpna 2000 a vstoupila v platnost 1. ledna 2001.)

Úmluva ETS č. 108 stanovila nezbytné zásady, které by jednotlivé státy měly aplikovat ve svých právních řádech pro ochranu základních práv svých občanů při zpracování osobních údajů.             V čl. 2 jsou poprvé na této úrovni definovány pojmy „osobní údaje“, „subjekt osobních údajů“, „automatizovaný soubor dat“, „automatizované zpracování“ a „správce osobních údajů“. Podle čl. 3 se Úmluva ETS č. 108 aplikuje na automatizované soubory dat a automatizované zpracování osobních dat ve veřejném i soukromém sektoru. Členské státy jsou oprávněny ji rozšířit obecně vzato na skupiny osob bez ohledu na jejich právní status, stejně jako na soubory osobních dat, které nejsou zpracovávány automaticky. Poznamenejme, že právě ta posledně jmenovaná podmínka, respektive oprávnění, se v dalším vývoji stalo jedním z největších problémů. Především proto, že jednotliví účastníci Úmluvy ETS č. 108 zpravidla nevyužívaly nabízené výzvy k rozšíření jejich působnosti na veškerá zpracování osobních údajů a přijímali národní zákony pouze vztažené na automatizovaně zpracovávaná data, takže se nakonec tato skutečnost stala jedním z hlavních důvodů pro de facto vynucenou druhou vlnu modifikací národní legislativy v 90. letech minulého století.

Princip omezení sběru osobních dat a princip omezení užití osobních dat (ve smyslu Doporučení OECD) zde našel své vyjádření v čl. 5 odst. a), podle nějž osobní údaje, které jsou předmětem automatizovaného zpracování, musejí být „získány a zpracovány poctivě a v souladu se zákony“.

Principy kvality osobních dat a specifikace účelu sběru osobních dat byly rozpracovány v podstatě v celém čl. 5, který nese pojem „Kvalita údajů“ ve svém názvu a zahrnuje podmínky:

·        shromažďování osobních údajů za určeným a legitimním účelem, aniž by byla dále používána způsobem neodpovídajícím tomuto účelu,

·        adekvátnosti shromážděných dat účelu, pro nějž jsou sbírána,

·        přesnosti a, pokud je to potřebné, udržování v aktuálním stavu.

Poslední podmínka je vlastně konkretizací původního obecně pojatého požadavku na „přesnost, úplnost a aktuálnost“, kde je zřejmě i z praktického hlediska těžko realizovatelné udržovat v aktuální podobě data, která v daném okamžiku již nejsou pro naplnění svého účelu potřebná. Proto byla tato formulace zeslabena a naopak doplněna o další podmínku stanovující povinnost uchovávat osobní data ve formě umožňující identifikaci subjektu dat pouze po dobu odpovídající účelu, pro nějž byla data shromážděna.

            Zvláštní režim Úmluva ETS č. 108 přiznává speciálním typům osobních údajů, které se posléze začaly označovat termínem „citlivé“ údaje. Podle čl. 6 mohou být data prozrazující rasový původ, politické názory, náboženské nebo jiné přesvědčení, jakož i osobní údaje týkající se zdraví nebo sexuálního života automaticky zpracovávána jen tehdy, stanoví-li vnitrostátní právo odpovídající záruky. Totéž platí i pro osobní data, která se týkají trestních odsouzení. Poznamenejme, že se jedná o podmínky, které zde nejsou zcela explicitně definovány, ale implicitně se předpokládá, že budou do vztahu mezi subjektem dat a správcem souboru údajů vloženy zvenčí zákonem a mimo jiné se nároku na jejich splnění subjekt dat sám nemůže vzdát.

Princip záruk bezpečnosti osobních dat je konkretizován v čl. 7, který zavazuje k přijetí odpovídajících bezpečnostních opatření na ochranu osobních dat uložených v automatizovaných datových souborech před náhodným nebo neoprávněným zničením, náhodnou ztrátou, jakož i proti neoprávněnému přístupu, změnám či šíření.

Principu otevřenosti a principu účasti subjektu osobních dat odpovídá čl. 8, podle nějž má každá osoba právo:

a)    zjistit existenci automatizovaného souboru dat, jeho hlavní účel, jakož i totožnost a obvyklé bydliště nebo hlavní pracoviště správce souboru údajů;

b)   získávat v přiměřených intervalech a bez přílišných průtahů či nákladů potvrzení skutečnosti, že v automatizovaném souboru dat jsou uložena data o ní, jakož i sdělení těchto údajů ve srozumitelné formě;

c)    dosáhnout, podle povahy případu, opravy nebo vymazání takových dat, která byla zpracovávána v rozporu s vnitrostátními normami uplatňujícími základní zásady uvedené v této úmluvě;

d)   mít opravný prostředek v případě, že nebylo vyhověno žádosti o potvrzení nebo případně o sdělení, opravu či vymazání.

Současně v čl. 9 se stanoví možný rozsah výjimek z předchozích ustanovení za předpokladu, je-li taková odchylka stanovena zákonem a představuje opatření v demokratické společnosti nezbytné v zájmu:

a)    ochrany bezpečnosti státu, veřejné bezpečnosti, měnových zájmů státu nebo potírání trestné činnosti;

b)   ochrany subjektu dat nebo práv a svobod jiných osob.

Omezení výkonu některých práv mohou být stanovena zákonem pro automatizované soubory dat užívané pro statistické účely nebo vědecký výzkum, jestliže zřejmě neexistuje nebezpečí porušení soukromého života subjektů dat.

Princip odpovědnosti správce osobních dat byl pojat dokonce v obecnějším a širším měřítku v čl. 10 a 11,             dle nichž se strany Úmluvy ETS č. 108 zavazují ve vnitrostátním právu stanovit sankce a opravné prostředky při porušení základních principů ochrany osobních dat a rovněž mohou přijímat vlastní pravidla rozšiřující ochranu osobních dat na rámec Úmluvy ETS č. 108.

            Dále se podle čl. 12 předpokládá předávání automatizovaně zpracovávaných osobních dat bez dalších omezení na území jiných smluvních stran a konečně i určení jednoho nebo více úřadů v každé zemi (straně úmluvy), které budou působit v oblasti ochrany osobních údajů a při spolupráci mezi stranami Úmluvy ETS č. 108. V této souvislosti je třeba poznamenat, že zejména reálná existence takového úřadu byla jedním z hlavních problémů, který dlouho znemožňoval podpis a ratifikaci Úmluvy ETS č. 108 Českou republikou.

            Zásady stanovené Úmluvou ETS č. 108 byly dále rozpracovány v řadě Doporučení (Recommendation), která se zabývají ochranou osobních údajů ve specifických oblastech. Dosud bylo takto vydáno 13 takových Doporučení:

1)      R(81) 1 o opatřeních pro automatizované zdravotnické databanky[15] (23. ledna 1981).

2)      R(83) 10 o ochraně osobních údajů používaných pro vědecký výzkum a statistiku[16] (23. září 1983), které bylo nahrazeno doporučením R(97) 18

3)      R(85) 20 o ochraně osobních údajů používaných pro účely přímého marketingu[17] (25. října 1985)

4)      R(86) 1 o ochraně osobních údajů používaných pro účely sociálního zabezpečení[18] (23. ledna 1986)

5)      R(87) 15 usměrňující použití osobních údajů v policejním sektoru[19] (17. září 1987)

6)      R(89) 2 o ochraně osobních údajů používaných pro účely zaměstnanosti[20] (18. ledna 1989)

7)      R(90) 19 o ochraně osobních údajů používaných v platebním styku a souvisejících operacích[21] (13. září 1990)

8)      R(91) 10 o sdělování osobních údajů z veřejného sektoru třetím stranám[22] (9. září 1991)

9)      R(95) 4 o ochraně osobních údajů v oblasti telekomunikačních služeb, zejména pokud jde o telefonní službu[23] (7. února 1995)

10)  R(97) 5 o ochraně zdravotních dat[24] (13. února 1997)

11)  R(97) 18 týkající se ochrany osobních údajů shromažďovaných a zpracovávaných pro statistické účely[25] (30. září 1997)

12)  R(99) 5 na ochranu soukromí v internetu[26] (23. února 1999)

13)  R(2002) 9 o ochraně osobních údajů shromažďovaných a zpracovávaných pro účely pojišťovnictví[27] (18. září 2002).

            Dne 8. listopadu 2001 byl pak otevřen Dodatkový protokol k Úmluvě o ochraně osob s ohledem na automatizované zpracování osobních dat o dozorčích orgánech a toku údajů přes hranice (ETS 181)[28] a téměř paralelně byl zahájen proces jeho ratifikace pro Českou republiku.

Současně Rada Evropy průběžně monitoruje proces přistupování jednotlivých států k Úmluvě ETS č. 108 a úroveň jejich ochrany osobních údajů, a to zejména z hledisek:

·        zda byla Úmluva ETS č. 108 podepsána (ratifikována),

·        existence specifické národní legislativy v oblasti ochrany osobních údajů,

·        rozsah aplikační oblasti (manuální či automatizované zpracování), působnosti legislativy (právnické či fyzické osoby, veřejný a soukromý sektor),

·        provádění oznamovací povinnosti či registrace a v jakém rozsahu, uplatňování institutu žádostí o přenos dat do zahraničí a

·        existence orgánu pro ochranu osobních údajů.

Výsledky tohoto monitoringu pak mimo jiné využívá i český Úřad pro ochranu osobních údajů pro vyhodnocování přiměřenosti legislativy jednotlivých států při povolovacím řízení pro předávání osobních údajů do zahraničí podle § 27 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

2.2.         Legislativa Evropské unie

 

Celosvětově patrný trend zpracovávání osobních údajů v různých oblastech ekonomické a společenské aktivity občanů, pokrok v informačních technologiích a ve vytváření nových telekomunikačních sítí, který výrazně usnadňuje zpracování osobních údajů a jejich výměnu a přenos mezi jednotlivými státy, má pro Evropskou unii jakožto integrované spojení státních celků podstatně větší význam, než je tomu v rámci běžné mezinárodní spolupráce. Hospodářská a sociální integrace, která se rozvíjí v duchu Smlouvy o Evropské unii[29] (Maastrichtská smlouva ze 7. února 1992) a posilování hodnot občanské společnosti podle Amsterodamské smlouvy (1997) nutně vedou k dalšímu podstatnému nárůstu toku osobních údajů přes hranice jednotlivých evropských států, stejně jako roste objem předávaných údajů mezi podniky v různých členských státech Evropské unie, respektive jako se rozvíjí spolupráce mezi státy Evropské unie na poli výzkumu a vývoje. Naopak však integrační aktivity v Evropě nesmějí snížit úroveň ochrany základních práv a svobod občanů, což v rámci integračního uskupení představujícího v cílovém stavu společenství s více než 350 miliony obyvatel není zřejmě jednoduchá úloha.

Legislativním základem pro právo Evropské unie v této oblasti je již výše zmiňovaná Úmluva o ochraně lidských práv a základních svobod z roku 1950, na níž se přímo odvolává Zakládací smlouva Evropské unie. V obdobném duchu se k otázkám ochrany osobnosti a osobních údajů zvlášť vyjadřuje i Listina základních práv Evropské unie[30] ze 7. prosince 2000, což je opět velmi podstatný dokument, přestože mu na rozdíl od ostatních jmenovaných chybí bezprostřední právní závaznost. Ochrana osobních údajů zmiňována v závěrečné části všeobecné povahy, a to jak v souvislosti s tradičním právem na ochranu osobnosti, tak ve spojitosti s vývojem moderních informačních a komunikačních technologií.

Situace v Evropské unii až do roku 1995 však byla taková, že přestože by národní zákony o ochraně údajů měly být do značné míry podobné, existovala mezi nimi celá řada rozdílů. Míra ochrany, zajištěná občanům v členských státech, tak nebyla stejná a to v praxi vytvářelo potenciální překážky volnému toku informací, představovalo břemeno pro provozovatele i občany a v některých členských státech navíc zakládalo potřebu složité registrace, respektive získání oprávnění ke zpracování údajů u dozorčích orgánů, potřebu přizpůsobit se různým normám a konečně i ne zřídka absolutní omezení přenosu údajů do jiných členských států vůbec.

 

2.2.1.     Směrnice Evropského parlamentu a Rady č. 95/46/EC

 

Klíčovou úlohu obecného právního předpisu upravujícího ochranu osobních údajů v současnosti má Směrnice Evropského parlamentu a Rady č. 95/46/EC, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů[31]. Tato směrnice byla Evropským parlamentem a Radou schválena 24. října 1995 a jakožto acquis je součástí primárního práva Evropské unie podle Amsterodamské smlouvy. Význam Směrnice č. 95/46/EC pro Českou republiku je mimo jiné dán i tím, že je na seznamu povinných právních předpisů, které musí přijmout kandidátské státy před vstupem do Evropské unie. Pro účely rozhovorů o přistoupení České republiky do Evropské unie je harmonizace legislativy o ochraně osobních údajů se Směrnicí č. 95/46/EC projednávána v kapitole 24 - Volný pohyb služeb (tematické rozhovory s Evropskou unií jsou přitom rozděleny do 30 kapitol). Směrnice č. 95/46/EC svým článkem č. 29 zřídila Pracovní skupinu (Working Party 29) pro ochranu jednotlivců se zřetelem na zpracování osobních dat, v níž je zastoupen každý členský stát Evropské unie a která má za úkol koordinovat a posuzovat stav ochrany osobních údajů v Evropské unii. Tato Pracovní skupina zkoumá veškeré otázky týkající se aplikace národních opatření přijatých při realizaci Směrnice č. 95/46/EC a předkládá Evropské komisi stanoviska o stavu ochrany osobních údajů ve státech Evropské unie a ve třetích zemích (nečlenských státech Evropské unie). Poznamenejme, že podle výsledků přístupových rozhovorů lze usuzovat, že se s požadavky Směrnice č. 95/46/EC Česká republika vyrovnala přijetím zákona č.101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Tento zákon byl již předán Evropské komisi k posouzení z hlediska harmonizace, nicméně konečné rozhodnutí v tomto smyslu dosud učiněno nebylo. (Evropská komise dosud navrhla přiznat statut slučitelnosti se Směrnicí č. 95/46/EC pouze dvěma nečlenským státům Evropské unie – Maďarsku a Švýcarsku.) Za úspěch však lze považovat, že Pracovní skupina vydala Rozhodnutí I/2001 o účasti zástupců orgánů dozoru pro ochranu osobních údajů z kandidátských států na zasedáních pracovní skupiny pro ochranu osobních údajů přijaté dne 13. prosince 2001 (WP 52). To znamená, že český Úřad pro ochranu osobních údajů, stejně jako obdobné instituce z dalších dvanácti kandidátských států, budou nejen lépe informovány o současném a chystaném dění v oblasti ochrany osobních údajů v Evropské unii, ale budou se moci i podílet na procesu rozhodování tohoto významného poradního orgánu, byť pouze prezentací svých názorů z pozice pozorovatele.

Vlastní Směrnice č. 95/46/EC obsahuje 34 článků, které upravují práva a povinnosti při zpracování osobních údajů.

            Čl. 2 této směrnice definuje základní pojmy „osobní údaje“, „subjekt údajů“ a „správce osobních údajů“ obdobným způsobem jako Úmluva ETS č. 108. S ohledem na podstatné rozšíření věcné působnosti v této části podstatně mění definice „automatizovaného soubor dat“, respektive „automatizované zpracování“, na „kartotéku osobních údajů“, respektive „zpracování osobních údajů“, a doplňuje další nezbytné definice pojmů jako „zpracovatel osobních údajů“, „třetí osoba“, „adresát“ a „souhlas subjektu údajů“.      Rozšíření věcného rozsahu Směrnice č. 95/46/EC je specifikováno v čl. 3, přičemž tato směrnice je vztažena na nakládání s osobními údaji zcela či částečně automatickým způsobem, respektive jiným než automatickým způsobem za situace, že taková data jsou nebo mohou být uspořádána. Upřesněno je i negativní vymezení, kdy se tato směrnice nevztahuje na nakládání s osobními daty, je-li již upraveno jinými vyjmenovanými zvláštními typy zpracování nebo jedná-li se o čistě osobní a soukromé aktivity fyzických osob.

Principy kvality osobních dat a specifikace účelu sběru osobních dat byly ve Směrnici č. 95/46/EC pojaty nejméně na té úrovni, jaké požadavky na ně klade Úmluva ETS č. 108. V čl. 6 byla byl rozšířen požadavek na přesnost a aktuálnost osobních údajů o formulaci, že „nepřesné a neúplné údaje s ohledem na účely, pro něž jsou sbírány nebo zpracovávány, musí být vymazány nebo opraveny“.

Principy omezení sběru osobních dat a omezení užití osobních dat však byly velmi znatelně upřesněny v tom smyslu, že osobní údaje mohou být zpracovávány pouze:

a)    dal-li k tomu subjekt údajů nepochybně svůj souhlas; nebo

b)   je-li to nezbytné v souvislosti s uzavíráním a plněním smlouvy, kde je subjekt údajů smluvní stranou; nebo

c)    je-li to nezbytné pro splnění právní povinnosti dané správci osobních údajů; nebo

d)   je-li to nezbytné pro zachování životních zájmů subjektu údajů; nebo

e)    je-li to nezbytné pro výkon úkolu ve veřejném zájmu nebo z výkonu veřejné moci; nebo

f)     vyžadují-li to legitimní zájmy správce nebo třetí strany, jimž se osobní údaje zpřístupňují, pokud tyto zájmy nejsou v rozporu se zájmy vycházejícími z práv a svobod subjektu údajů stanovených zákonem.

            V čl. 8 je pak ještě více rozšířen okruh citlivých údajů se zvláštním režimem zacházení o osobní dat vypovídající o národnostním původu a členství v odborových svazech. V následujícím textu je pak stanoveno několik výjimek zpravidla podmíněných souhlasem subjektu dat (za předpokladu, že členský stát svým předpisem nestanoví, že takový souhlas nelze dát) nebo dalšími zákonnými zmocněními.

            Dle čl. 9 mohou členské státy stanovit za určitých předpokladů odchylky a výjimky od ustanovení Směrnice č. 95/46/EC, pokud se jedná o zpracování osobních údajů prováděné výlučně pro účely žurnalistiky, umělecké nebo literární, a to pouze je-li to nutné k tomu, aby uvedly v soulad právo na soukromí s předpisy platnými pro svobodu projevu názoru.

            Princip otevřenosti a princip účasti subjektu osobních údajů je ve Směrnici č. 95/46/EC pojímán rovněž minimálně v témže rozsahu jako v Úmluvě ETS č. 108. Je zde upřesněn rozsah informací, které mají subjekty údajů obdržet od správců, zpracovatelů, jejich reprezentantů, případně od třetích osob, kteří o nich shromažďují osobní data. Rovněž mají nárok obdržet od správců dat informace o příjemci nebo kategorii příjemců, disponibilní informace o původu dat a logické struktury automatizovaného zpracování dat, jež se jich týkají. Členské státy mohou přijmout v této souvislosti pravidla omezující nároky subjektů dat v případech, kdy se jedná o národní bezpečnost, obranu, veřejnou bezpečnost, prevenci, odhalování a stíhání trestných činů, ochranu důležitých ekonomických a finančních zájmů států i Evropské unie jako celku a ochranu subjektů dat či práv a svobod druhých.

Čl. 15 je ovšem výraznou novinkou. Stanoví, že členské státy jsou povinny poskytnout každé osobě právo, aby nebyla podřízena rozhodnutí, jež má pro ni právní následky nebo jež je pro ni značně nevýhodné, a které je vydáno výlučně na základě automatizovaného zpracování dat za účelem zhodnocení jednotlivých aspektů její osoby jako například pracovní výkon, poskytnutí úvěru, spolehlivosti, chování apod.

            Princip záruk bezpečnosti osobních dat a princip odpovědnosti správce je zde opět chápán v šířím pojetí. Většinou technická a organizační opatření požadovaná v Úmluvě ETS č. 108 jsou rozšířena o podmínky, kde dle čl. 16 nesmí nikdo, kdo má od správce či zpracovatele stanoven přístup k osobním datům, včetně zpracovatele samotného, s nimi nakládat v rozporu s pověřením správce, ledaže by k tomu měl zákonné zmocnění, respektive dle čl. 17 zpracování osobních údajů zpracovatelem musí být upraveno upraveno smlouvou nebo právním aktem, který zavazuje zpracovatele zpravidla vůči správci osobních údajů tak, že zpracovatel jedná výlučně podle pokynů správce a vztahují se na něj tytéž povinnosti jako na správce.

            Dalším významným ustanovením Směrnice č. 95/46/EC je čl. 18, kde členské státy počítají s hlášením správce dat kontrolním místům dříve než může být zahájeno úplně či částečné automatizované zpracování osobních dat, definují výčet možných výjimek z tohoto ustanovení a následně specifikují minimální rozsah informací předávaných v tomto hlášení. Výjimku tvoří zejména běžná osobní data a manuálně zpracovávané údaje, u kterých může být registrace stanovena jako dobrovolná. Seznam registrovaných organizací má být veden národními kontrolními orgány a má být veřejně přístupný. Podle čl. 20 jsou členské státy povinny určit ta zpracování osobních dat, která mohou obsahovat specifická rizika pro práva a svobody subjektů dat, a postarat se o to, aby tato zpracování byla zkontrolována před jejich zahájením. Registr obsahující informace o ohlášených zpracováních osobních dat musí být zveřejněn a přístupný každému.

            Podle čl. 22 musí být každému subjektu osobních údajů poskytnuto právo podat právní námitku v případě porušení jeho práv na ochranu dat, a to zejména před předáním věci soudního orgánu. Podle čl. 23 jsou členské státy povinny každé osobě, které v důsledku protiprávního zpracování nebo každého jiného jednání neslučitelného s právem na ochranu dat v jednotlivých státech vznikne škoda, poskytnout právo požadovat náhradu škody od správce dat. Ten se může úplně či částečně zbavit odpovědnosti za způsobenou škodu, dokáže-li, že ji nezavinil. Čl. 24 pak zavazuje členské státy stanovit sankce za porušení povinností podle souvisejících právních norem.

            Směrnice č. 95/46/EC dále podrobně upravuje podmínky předávání osobních dat do třetích zemí. Zejména povoluje tento transfer v případě, že třetí země zaručuje odpovídající úroveň ochrany osobním datům s tím, že adekvátnost ochrany se posuzuje podle všech okolností souvisejících s předáváním dat, zejména s ohledem na povahu dat, účel a dobu trvání nakládání s daty a právní normy platné v třetí zemi. Nestačí tedy pouze soulad v symbolických hodnotách proklamovaných v národních zákonech, ale je třeba se zaměřit především na jejich uplatnění v cílovém státě. Členské státy se vzájemně informují o případech, kdy pociťují ve třetích zemích rizika vůči odpovídající úrovni ochrany osobních dat. Čl. 26 pak stanoví rozsah povolených výjimek z těchto ustanovení:

·        občan dal jednoznačný souhlas s převodem svých osobních údajů;

·        převod je nezbytný k naplnění smlouvy mezi dotčeným občanem a organizací, která zpracovává jeho data, nebo mezi touto organizací a třetí stranou;

·        převod údajů je vyžádán důležitým veřejným zájmem nebo právními nároky třetích subjektů;

·        převod je nutný pro ochranu vitálních zájmů dotčené osoby;

·        převáděné údaje jsou již registrovány ve veřejném informačním systému.

            Podle čl. 28 jsou členské státy povinny pověřit jedno nebo několik veřejných míst tím, aby na jejich výsostném území sledovala aplikaci předpisů o ochraně dat vydaných členskými státy k realizaci Směrnice č. 95/46/EC. Tato místa musí být organizována tak, aby mohla zcela nezávisle plnit úkoly jim svěřené.

Přijetím Směrnice č. 95/46/EC bylo završeno pětileté úsilí o kodifikaci této závažné otázky. Pro tuto směrnicí hlasovaly všechny členské státy s výjimkou Velké Británie, která se hlasování zdržela. Členské státy Evropské unie dostaly tříletou lhůtu na harmonizaci svých národních norem s touto směrnicí. Další tříletý odklad mohl být uplatněn u těch osobních údajů, jejichž zpracování započalo před platností nové legislativy. Navíc platí až devítiletá legisvakance pro údaje uchované mimo automatizované systémy (zde se jedná o papírové databanky a kartotéky apod.).

Směrnici č. 95/46/EC lze hodnotit jako velmi obsáhlou, přísnou a nikoliv jednoduše aplikovatelnou pro legislativní systémy členských států Evropské unie (z nichž ještě některé z nich se s ní dodnes plně nevyrovnaly[32]) a o to více i pro kandidátské země, pro něž znamená ve většině případů nastavení nových podmínek podmiňujících vstup do Evropské unie.

 

 

 

 

 

2.2.2.     Směrnice Evropského parlamentu a Rady č. 97/66/EC

 

Směrnici č. 95/46/EC brzy následovala speciální norma – Směrnice 97/66/EC Evropského parlamentu a Rady z 15. prosince 1997, týkající se zpracování osobních údajů a ochrany soukromí v sektoru telekomunikací[33]. Vývoj v této oblasti se však ukázal tak rychlým, že ji v horizontu pěti let nahradila nová Směrnice 2002/58/EC Evropského parlamentu a rady ze dne 10. července 2002 o zpracování osobních údajů a ochraně soukromí v oblasti elektronické komunikace[34]. Její přijetí bylo motivováno především zaváděním nových pokrokových digitálních technologií do veřejných telekomunikačních sítí, nových telekomunikačních služeb jako video na přání či interaktivní televize a zejména pak digitální sítě integrovaných služeb (ISDN) a digitálních mobilních sítí.

Poskytovatelé veřejně dostupných telekomunikačních služeb jsou tak zavázáni k přijetí příslušných technických a organizačních opatření k zajištění bezpečnosti svých služeb, v případě nutnosti společně s poskytovatelem veřejné telekomunikační sítě, ve vztahu k bezpečnosti sítě. S ohledem na vyspělost a náklady jejich implementace, tato opatření musí zajistit úroveň bezpečnosti odpovídající existujícímu riziku.

Členské státy jsou povinny prostřednictvím národních předpisů zajistit důvěrnost komunikace prostřednictvím veřejné telekomunikační sítě a veřejně dostupných telekomunikačních služeb. Obzvláště pak vyloučit naslouchání, nahrávání, ukládání, nebo jiné druhy intercepce nebo sledování komunikace, někým jiným než uživateli, bez souhlasu příslušných uživatelů, kromě legálně povolených případů (když takovéto omezení představuje nezbytné opatření k ochraně národní bezpečnosti, obraně, veřejné bezpečnosti, prevenci, vyšetřování, zjišťování a stíhání trestných činů, nebo ochraně před neoprávněným použitím telekomunikačního systému).

Rovněž pak provozní data, týkající se předplatitelů a uživatelů, zpracovaná ke spojení hovorů a uložená poskytovatelem veřejné telekomunikační sítě a/nebo veřejně dostupné telekomunikační služby, musí být vymazána, nebo učiněna anonymními, při ukončení hovoru. Pro účely fakturace předplatiteli a spojovacích poplatků stanoví rozsah dat, která mohou být zpracována.

Při nabídnutí identifikace volající linky musí mít volající uživatel možnost pomocí jednoduchých prostředků a zdarma eliminovat prezentaci identifikace volající linky pro jednotlivé hovory. Současně jsou stanoveny výjimky z předchozího ustanovení tak, že členské státy musí zajistit, aby existovaly transparentní postupy, kterými se řídí způsob, jak poskytovatel telekomunikační sítě a/nebo veřejně dostupné telekomunikační služby může zrušit zabránění prezentaci identifikace volající linky:

a)    přechodně, na žádost předplatitele požadujícího vysledování zlovolných, nebo obtěžujících hovorů;

b)   k jednotlivým linkám, pro organizace zabývající se tísňovými hovory a uznanými jako takové členským státem, včetně agentur vynucujících dodržování zákona, ambulantních služeb a požárních sborů, pro umožnění reakce na takovéto hovory.

Každému předplatiteli musí být poskytnuta možnost zdarma a pomocí jednoduchých prostředků zastavit automatické přenášení hovorů třetí stranou na koncové zařízení předplatitele.

Rovněž osobní data předplatitelů obsažená v tištěných nebo elektronických seznamech, které jsou k dispozici veřejnosti nebo je možno je získat prostřednictvím dotazových služeb seznamů, by měla být omezena na to, co je nutné k identifikaci konkrétního předplatitele, pokud předplatitel neudělil svůj jednoznačný souhlas se zveřejněním dalších osobních dat. Předplatitel má nárok zdarma být vynechán z tištěného nebo elektronického seznamu na svou vlastní žádost, dále uvést, že jeho nebo její osobní data nesmí být použita pro účely přímého marketingu, mít zčásti vynechánu svou adresu a tu část dat, která indikuje, zda se jedná o muže, nebo ženu, kde je to možné z jazykového hlediska. Současně členské státy smí dovolit provozovatelům požadovat platbu od předplatitelů, kteří si přejí, aby jejich konkrétní údaje nebyly uvedeny v seznamu, za předpokladu, že příslušná suma nebude fungovat jako odrazení od uplatnění tohoto práva.

Použití automatických systémů volání, bez lidské účasti (automaticky volající zařízení), nebo faxových přístrojů (fax) pro účely přímého marketingu, může být dovoleno pouze ve vztahu k předplatitelům, kteří k tomu poskytli svůj předchozí souhlas.

 

2.2.3.     Nařízení Evropského parlamentu a Rady č. 45/2001

 

Další významnou vnitřní právní normou Evropské unie v úzkém slova smyslu je Nařízení Evropského Parlamentu a Rady č. 45/2001 z 18. prosince 2000 o ochraně jednotlivců s ohledem na zpracování osobních údajů institucemi a orgány Společenství a o volném pohybu takovýchto údajů[35]. Jedná se v něm především o konkretizaci pravidel ochrany osobních údajů zpracovávaných samotným aparátem Evropské unie. Současně se zde zavádí nový institut nezávislého evropského „dohlížitele“ (Supervisor) nad ochranou dat jmenovaného na pět let společně Evropským parlamentem a Radou a dále má každá instituce a orgán Evropské unie povinnost určit alespoň jednu osobu pověřenou ochranou dat (Data Protection Officer).

2.2.4.     „Bezpečný přístav“

 

Nejen jednotný trh Evropské unie, ale i unifikace prostředí pro další společenské fenomény si přirozeně vyžadují i volný pohyb osobních údajů a je pravdou, že jednotné standardy jej v současně době v rámci Evropské unie umožňují. Současně mezi jejich vedlejší efekty patří například i taková skutečnost, že státy, kde donedávna vládly autoritářské režimy (například Řecko či Španělsko) dnes v podstatě mají velmi dobré standardy na ochranu soukromí. Problémy, které se podařilo vyřešit v rámci Evropské unie, se však mohou znásobovat v komunikaci mimo ni, přičemž paradoxně nejvýznamnějším problémovým partnerem v tomto smyslu se staly Spojené státy americké. Na bázi obecného rozporu mezi tradiční svobodou slova a právem na soukromí, zejména pak z pohledů práva občanů na informace i z pohledu veřejného zájmu se tak mezi Evropskou unií a Spojenými státy americkými odehrával dlouhodobý spor mezi o pojetí ochrany osobních údajů s v podstatě mezinárodně obchodními důsledky.

Nutno poznamenat, že Američané vždy spíše spoléhali více na samoregulaci než na centralizované pravidla. A jistě i z tohoto důvodu v USA neexistuje jednotný zákon na ochranu privátních dat, ale pouze několik dílčích zákonů. Prakticky se pak jednalo především o neochotu Evropské unie uznat americkou legislativu, nezakládající žádné specifické institucionální zázemí, jako dostatečnou pro povolování převodů osobních dat ze svých členských států do USA. Evropská unie přitom vycházela z interpretace Směrnice č. 95/46/EC. Spojené státy proti tomu stavěly princip vyspělé seberegulace soukromé sféry, evropskému partneru vytýkaly přehnanou institucionalizaci a tím i byrokratizaci problému či zastávání pozic přílišného státního i nadstátního paternalismu.

Spor byl vyřešen v roce 2000 do jisté míry kompromisem, byť nedokonalým a z hlediska praktického uplatňování i poměrně komplikovaným. Stalo se jím Rozhodnutí Komise z 26. července 2000 č. 2000/520/EC[36] o adekvátnosti ochrany poskytované dle principů bezpečného přístavu, které přímo navazuje na Směrnici 95/46/EC. Zde definovaný pojem tzv. „bezpečného přístavu“ (Safe Harbor) znamená zahraniční subjekty označené za spolehlivé z hlediska ochrany osobních údajů. Zmiňované Rozhodnutí se ovšem vztahuje jen na omezený okruh jednotlivých amerických firem spadajících do kompetence Federální obchodní komise a Departmentu dopravy USA, a to ještě pouze, pokud se výslovně přihlásily k dodržování určitých zásad. Z kategorie „bezpečného přístavu“ jsou tedy dosud vyňaty i například pro obchod nezbytné instituce bankovního sektoru.


3.                VÝVOJ PRÁVNÍ ÚPRAVY V ČESKÉ  REPUBLICE

 

3.1.         Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech

 

Tento zákon byl první ucelenou obecnou normou České republiky (přesněji České a Slovenské Federativní Republiky), která upravovala práva a povinnosti provozovatelů (respektive dalších zúčastněných osob) při provozování informačních systémů, které nakládají s osobními údaji, směřující k ochraně těchto informací (tedy českým „informačním zákonem“). Ideovým východiskem pro jeho text byla Úmluva ETS č. 108 o ochraně osob s ohledem na automatizované zpracování osobních dat, která v dané době byla doplněna celkem osmi dodatečnými speciálními Doporučeními (viz 3.1.), a to je jednoznačně patrné na jeho struktuře i obsahu.

Zákon č. 256/1992 Sb. jednak v našem zákonodárství poprvé právně definuje některé zásadní pojmy z informatiky, jednak stanovuje pravidla nakládání s informacemi. Tato pravidla byla stanovena obecně jako minimální požadavky pro veškeré informační systémy takového typu bez ohledu na to, kdo je jejich provozovatelem a týkala se i těch informačních systémů, které vznikly již dříve na základě jiných zákonů.

V § 1 je stanoven věcný rozsah zákona ve smyslu ochrany osobních údajů, zejména povinnosti související s ochranou informací při provozování informačního systému, který nakládá s osobními údaji, a odpovědnosti provozovatele informačního systému a dalších fyzických a právnických osob, které se účastní provádění činností souvisejících s provozováním takového informačního systému.

Z aktuálního pohledu jsou snad nejcennější částí tohoto zákona definice jednotlivých pojmů vyplňující v podstatě celou jeho první polovinu. Jsou zde tak definovány nejen pojmy ekvivalentní Úmluvě ETS č. 108 „osobní údaje“, „dotčená osoba“ (tj. „subjekt údajů“) a „provozovatel“ (tj. správce osobních údajů“), ale i další pojmy jako „informační služba“, „zpracování informace“, „likvidace informace“, „účastník výměny informací“, „uživatel“, „zprostředkovatel“, „náležitý způsob sběru informací“ a „zveřejněná informace“.

Jisté komplikace ovšem v praxi způsobovaly dvě z těchto definic – „informační systém“ (měl být ekvivalentní pojmu „automatizovaný soubor dat“) a „provozování informačního systému“ (měl být ekvivalentní pojmu „automatizované zpracování“). Informační systém je zde chápán jako „funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací s tím, že každý informační systém zahrnuje informační základnu, technické a programové prostředky, technologie a procedury a pracovníky“. Provozováním informačního systému se rozumí „provádění činností směřujících ke shromažďování (sběru) informací, jejich vstupnímu zpracování, ukládání informací do údajové základny, zpracování informací pro vnitřní potřeby systému nebo pro poskytování informační služby, kdy provozování zahrnuje všechny nebo jen některé z uvedených činností“. Adjektiva „informační“ v těchto pojmech sice odpovídala jistému pojmovému posunu od původního „automatizovaného zpracování“, ovšem ani z těchto uvedených definic nebylo zcela jasné, zda se informačním systémem rozumí pouze počítačový informační systém či nikoli. Tato nejasnost dala vzniknout debatám v odborné veřejnosti. Někteří autoři se domnívali, že takto definovaný informační systém musí být počítačový, respektive automatizovaný, jiná část literatury zastávala opačné stanovisko. Faktem je, že v definicích v tomto zákoně se skutečně pojmy „počítačový“ či „elektronický“ výslovně nepoužívaly. Pojmy jako „informační základna“ nebo či „technické prostředky a procedury“ se mohou týkat i ručně spravovaných informačních systémů. Programové prostředky by sice zdánlivě mohly implikovat počítačový informační systém, avšak pojem program je širší než počítačový program a nemusí nutně být vázán jen na počítačové systémy. Jenže žádné upřesnění, výklad ani alespoň soudní rozhodnutí za dobu účinnosti tohoto zákona nebyly vydány, mimo jiné i proto, že tato norma vlastně nebyla důsledně v praxi aplikována.

§ 16 zákona č. 256/1992 Sb. šel v netriviální míře nad rámec Úmluvy ETS č. 108, když tento pojem v českém právu rozšířil o údaje, které vypovídají o osobnosti a soukromí dotčené osoby (což nijak neupřesnil, ale ponechal v této velmi nejasné obecné poloze) a její národnosti, ochranu informací o politických postojích blíže specifikoval rovněž ve smyslu členství v politických stranách a navíc doplnil i ochranu údajů o majetkových poměrech. Tyto údaje bylo možné zpracovávat pouze, stanoví-li tak zvláštní zákon, nebo se souhlasem žijící dotčené osoby, pokud je možné, aby tento projev vůle učinila. Jestliže nelze podmínku souhlasu splnit, bylo možno s informacemi nakládat jen za předpokladu, že bude zachována lidská důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno dotčené osoby.

Princip omezení sběru osobních dat, omezení užití osobních dat, kvality osobních dat a specifikace účelu sběru osobních dat byly do § 17 určujícího povinnosti provozovatele přejaty v odpovídajícím rozsahu a navíc byly rozšířeny či upřesněny o ustanovení ukládající provozovateli:

·        označit náležitým způsobem v informačním systému nepřesné nebo neověřené informace a

·        zamezit sdružování informací a informačních systémů sloužících k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

Z hlediska principu záruk bezpečnosti osobních dat je tentýž paragraf doplněn o podmínky:

·        stanovit práva a povinnosti fyzických a právnických osob, které mají přístup k informačnímu systému a

·        učinit opatření, aby po skončení pracovního nebo obdobného poměru mezi fyzickou osobou a provozovatelem nemohly být informace, s nimiž nakládá příslušný informační systém, touto osobou využity; obdobná opatření je povinen učinit i vůči osobám, které při plnění svých úkolů u provozovatele přicházejí nebo mohou přicházet do styku s informacemi, s nimiž nakládá příslušný informační systém.

Upřesněna jsou zde i opatření (§ 18), která je při ukončení provozu informačního systému provozovatel povinen provést, aby informace, s nimiž informační systém nakládal, nemohly být zneužity.

Poněkud nepochopitelně je zde však nadmíru stručně pojat princip otevřenosti a princip účasti subjektu osobních údajů. Z požadavků dle Úmluvy ETS č. 108 se zde objevil pouze požadavek na poskytnutí zprávy o informacích o subjektu údajů uchovávaných v informačním systému, a to jedenkrát do roka bezplatně, nebo za přiměřenou úplatu kdykoli, pokud zvláštní zákon nestanoví jinak. Ostatní požadavky jako zjištění existence takového systému vůbec, respektive související opravné prostředky zde zcela chybí nebo jsou obecně chápány nikoliv jako přirozený požadavek, ale pouze jako sekundární povinnost při porušení primární povinnosti z tohoto zákona.

S ohledem na princip bezpečnosti jsou zde stanoveny povinnosti odpovídající Úmluvě ETS č. 108 doplněné, respektive upřesněné o:

·        běžné odpovědnostní tituly korespondující s obdobnými kategoriemi chráněných informací v českém právu (například ochrana osobnosti nebo obchodní tajemství) a

·        zamezení přístupu k informacím v průběhu sporu, pokud orgán příslušný pro rozhodnutí sporu výjimečně nestanoví jinak (přičemž nárok se týká pouze sporem dotčených informací).

            Zákon č. 256/1992 Sb. stanovil podmínky a způsob registrace informačních systémů a dozor nad jejich provozováním. Podle § 24 k provedení registrace a provádění dozoru nad provozem informačních systémů byly příslušné orgány, zřízené zvláštními zákony. Tento orgán měl evidovat registrované informační systémy po dobu jejich provozu. Taková evidence měla být veřejně přístupná a úředně zveřejňována tímto orgánem vždy k 31. prosinci. Provozovatel byl povinen bez zbytečného odkladu informovat orgán uvedený v § 24 o ukončení provozu informačního systému s uvedením data, ke kterému se provoz informačního systému ukončuje. Toto se netýkalo informačních systémů, na něž se nevztahovala povinnost registrace. Rovněž povinnosti registrovat se podléhaly pouze informační systémy nakládající s informacemi uvedenými v § 16, pokud nesloužily výhradně pro vnitřní potřebu provozovatele s tím, že výjimky z povinnosti registrace měl stanovit zvláštní zákon. Registraci nepodléhaly také informační systémy nakládající výhradně se zveřejněnými informacemi.

Zásadním problémem bylo, že zmiňované předpokládané návazné právní normy se nikdy nerealizovaly a předpokládaný státní orgán pověřený dohledem nad provozováním informačních systémů, které nakládají s citlivými osobními údaji, tedy nikdy nevznikl. Současně práva případně postižených osob tak nebyla dostatečně chráněna v souladu s Úmluvou ETS č. 108 (potažmo přirozeně i se Směrnicí č. 95/46/EC) a z toho mimo jiné plynulo, že státy Evropské unie by ani nebyly oprávněny povolit přenos dat do České republiky.

 

3.2.         Srovnání zákona č 256/1992 Sb. s požadavky Směrnice 95/46/EC

 

            Jak bylo konstatováno v předchozím textu, zákon č. 256/1992 Sb. nedostál zcela stoprocentně požadavkům stanoveným v Úmluvě ETS č. 108, a to již z hlediska vlastního textu normy. K tomu se navíc přidružily aplikační problémy, kdy chyběly nejen případné prováděcí podzákonné normy, ale zejména předpokládaná blanketová norma o síle zákona, na jejíž existenci byly závislé některé aspekty jeho praktické realizace. Indikátorem nedostatečné pozornosti legislativy i společnosti uvedeném smyslu může být i skutečnost, že tento zákon za 8 let své účinnosti nebyl ani jednou novelizován a dočkal se pouze dvou rezortních prováděcích pokynů. Přitom těžko hledat důvody uvedeného stavu pouze v tom, že téměř okamžitě po nabytí účinnosti tohoto zákona se zákonodárné sbory obou republik soustředily na legislativu související se vznikem dvou samostatných států a vytvořením jejich ústavněprávních základů.

V roce 1995 však byla navíc přijata již zmiňovaná Směrnice Evropského parlamentu a Rady č. 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů, která ve srovnání s Úmluvou ETS č. 108 zpřísnila podmínky ochrany osobních údajů a se stala rozhodnou nejen pro právní řády členských států, ale i kompatibilitu právních řádů tzv. kandidátských zemí. A tento impuls zvenčí vyjádřený konstatováním expertů Evropské unie, že český právní řád není, pokud se týče ochrany osobních údajů, kompatibilní s právem komunitárním, předznamenal vážné zadání směřující ke zcela nové komplexní právní úpravě.[37] Posudek Komise Evropské unie k žádosti České republiky o přijetí do Evropské unie z 15. července 1997 v kapitole Kritéria členství v odstavci 3.1 mimo jiné konstatoval, že se Česká republika dosud nestala smluvní stranou Úmluvy ETS č. 108 a je nutno vytvořit nezávislý orgán, který by odpovídal za dohled nad prováděním zákona o ochraně osobních údajů a dalších relevantních právních předpisů a zavést sankce proti osobám nezákonně využívajícím tyto údaje. Dále ještě v kapitole Soudnictví a vnitřní bezpečnost státu se uvádí, že ústava zaručuje ochranu osobních údajů, ale bude nutno novelizovat zákony České republiky tak, aby byly plně v souladu s požadavky Evropské unie.

            Zákon č. 256/1992 Sb. byl postaven pouze na aplikaci ochrany osobních údajů při automatizovaném zpracování údajů, a to pouze v rámci systematické činnosti, jíž je provozování informačního systému, přičemž u manuálního zpracování bylo třeba zákon přiměřeně aplikovat. Mimo působnost zákona tak zůstalo nakládání s osobními údaji vně informačních systémů.

            Pojem „osobní údaj“ byl vymezen pouze jako informace vztahující se k určité osobě. Směrnice č. 95/46/EC se však vztahuje rovněž na data o „určitelných fyzických osobách“, tj. těch, které nejsou přímo a jednoznačně označeny, ale jejichž identitu lze na základě dodatečných údajů nebo dodatečných znalostí zjistit.

            Směrnice č. 95/46/EC omezuje přípustnost zpracování osobních údajů na určité přípustné účely a stanoví, že nesmějí být dále zpracovány způsobem, který se neslučuje se zamýšlenými cíli. Speciálně se tato ustanovení týkají citlivých osobních údajů. Současně jsou v zákoně č. 256/1992 Sb. uvedena vágní označení osobních údajů vypovídajících o osobnosti a soukromí, respektive majetkových poměrech subjektu údajů, které jsou svým způsobem na rámec Směrnice č. 95/46/EC.

Směrnice č. 95/46/EC připouští za určitých předpokladů odchylky a výjimky, jedná-li se o zpracování osobních dat samotných pro novinářské, umělecké nebo literární účely. Předpokladem pro to je, aby se odchylka ukázala jako nutná k tomu, aby uvedla v soulad právo na soukromí s předpisy platnými pro svobodu projevu názoru, protože v opačném případě by následkem bezvýhradného dodržování obecných pravidel mohla být negativně ovlivněna svoboda tisku.

V zákoně č. 256/1992 Sb. zcela chyběla povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech.

            Podle Směrnice č. 95/46/EC musí být subjektu údajů pro případ, že uložená data jsou nesprávná, poskytnut nárok na opravu. Dosavadní česká právní úprava však zaručovala pouze nárok na vymazání, což však nemusí být v zájmu dotčené osoby. Obdobně zde kolidovalo ustanovení o označování neověřených informací, které by z logiky věci měly být spíše nahrazeny informacemi správnými.

            Dosavadní právní úprava naprosto neobsahovala řešení požadavku Směrnice č. 95/46/EC, kdy jsou členské státy povinny poskytnout každé osobě právo, aby nebyla podřízena rozhodnutí, jež má pro ni právní následky nebo jež je pro ni značně nevýhodné, a které je vydáno výlučně na základě automatizovaného zpracování dat za účelem zhodnocení jednotlivých aspektů její osoby.

            V rámci Směrnice č. 95/46/EC členské státy Evropské unie počítají s hlášením osoby odpovědné za zpracování kontrolním místům[38] dříve, než může být zahájeno automatizované zpracování. Dosavadní česká právní úprava stanovila registrační povinnost pouze pro informační systémy, a to takové, které zpracovávají citlivé informace, neslouží výhradně pro vnitřní potřebu provozovatele (což je značně nejasná formulace) a připouštěla výjimky z registrační povinnosti zvláštním zákonem (který navíc neexistoval). Směrnice č. 95/46/EC navíc ještě podrobně předepisuje, které údaje musí obsahovat hlášení kontrolnímu místu, a dále povinnost stanovit zpracování, která mohou obsahovat specifická rizika pro práva a svobody osob, a postarat se o to, aby tato zpracování byla zkontrolována ještě před jejich zahájením.

            Podle Směrnice č. 95/46/EC musí být každému subjektu údajů poskytnuto právo podat u soudu právní námitku v případě porušení jeho práv na ochranu dat.   Stávající zákon však zejména neobsahoval možnost podávat zvláštní právní námitku na prosazení nároků dotčené osoby na informace, opravu, zablokování a vymazání dat.

            Podle Směrnice č. 95/46/EC jsou členské státy povinny každé osobě, které v důsledku protiprávního zpracování nebo každého jiného jednání neslučitelného s právem na ochranu dat v jednotlivých státech vznikne škoda, poskytnout právo požadovat náhradu škody od osoby odpovědné za zpracování. To znamená, že vnitrostátní právo musí počítat s ručením za ohrožení nezávislém na zavinění, respektive namísto ručení za ohrožení počítat s ručením za zavinění, při němž se až do exkulpace osobou odpovědnou za zpracování vychází z jejího zavinění (obrácení důkazního břemene). Zákon č. 256/1992 Sb. ovšem zahrnoval pouze případy, v nichž je negativně ovlivněno právo dotyčné osoby na zachování lidské důstojnosti, osobní cti, dobré pověsti a dobrého jména.

Sankce za porušování zákona č. 256/1992 Sb. se předpokládaly pouze v rovině občanskoprávní či trestněprávní, ale chyběla možnost operativnější správněprávní sankce.

Podle Směrnice č. 95/46/EC členské státy neomezují nebo nezakazují volný pohyb osobních dat mezi členskými státy z důvodů právní ochrany dat a povolují předávání dat členským státům Evropské unie za stejných podmínek, jež platí pro předávání dat tuzemským místům. Naopak stanoví poměrně tvrdé podmínky pro předávání dat do třetích zemí. V zákoně č. 256/1992 Sb. toto nebylo důsledně vyřešeno.

S vědomím skutečností výše uvedených Vláda České republiky na svém zasedání dne 1. července 1998 konstatovala, že nezbytnost ochrany občanů ve vztahu k nakládání s osobními daty jak v rámci veřejné, tak i soukromé sféry, je dána vnitřními potřebami České republiky i jejími mezinárodními závazky a směřováním. Současně schválila předložené Teze zavádění účinné ochrany osobních údajů, rozhodla o nutnosti připravit zcela novou právní normu o síle zákona, která bude především vycházet z výše uvedených mezinárodních dokumentů, a v rámci něj koncipovat úřad na ochranu osobních údajů jako nezávislý kontrolní orgán pro dodržování zásad ochrany osobních údajů při jejich shromažďování a dalším nakládání s nimi ve vztahu k ochraně práv a svobod občanů. Úřad pro státní informační systém byl pověřen gestorstvím připravované právní normy.[39]

 

3.3.         Zákon č. 101/2000 Sb., o ochraně osobních údajů

 

Text zákona byl zpracován a průběžně konzultován v průběhu následujícího roku. Obsah této normy byl především orientován na dosažení plné kompatibility s Úmluvou ETS č. 108 a Směrnicí č. 95/46/EC a je možné konstatovat, že zejména plně reflektoval odstranění odlišností dosavadního zákona uvedená v předchozí podkapitole.

Nová předloha tak zahrnula ochranu osobních údajů při jakémkoli nakládání s nimi prostřednictvím automatizovaných prostředků i manuálně. Nově upravila povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech. Upřesněno bylo právo občana na opravu nesprávných osobních údajů. Byl precizován rozsah citlivých údajů a zejména z jejich výčtu byly vypuštěny nedefinované (lépe řečeno téměř nedefinovatelné) pojmy jako například „osobnost a soukromí dotčené osoby“ a „majetkové poměry“. Bylo konkretizováno ustavení kontrolního orgánu, Úřadu pro ochranu osobních údajů, vybaveného kontrolními, vyšetřovacími, registračními a metodickými funkcemi, kterému byla mimo jiné dána možnost zásahu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika. Byla zde zdůrazněna mnohem větší role občana, který má mít k dispozici mechanismy na ochranu údajů, které o něm vypovídají, má právo, aby s nimi byl v okamžicích, kdy se v souladu s nimi má rozhodovat, opakovaně seznámen, ale současně musí (a to zejména udělením či neudělením souhlasu se zpracováním, prohlášením určitých údajů za veřejné, vyžádáním informace o údajích, které o něm byly shromážděny, požadavky na opravy či výmazy) s nimi reálně disponovat.

            Nový zákon o ochraně osobních údajů[40] Vláda České republiky schválila 22. září 1999 a Poslanecké sněmovně Parlamentu České republiky jej předložila 28. září 1999. Jeho význam byl mimo jiné zdůrazněn i tím, že byl zahrnut mezi právní normy, které explicitně směřují k harmonizaci práva České republiky s právem Evropské unie. Návrh zákona byl přikázán k projednání Petičnímu výboru, projednán s řadou připomínek ve třech čteních a 27. ledna 2000 byl návrh zákona schválen.

            Schválený zákon pak směřoval do Senátu Parlamentu České republiky. Zde bylo dáno celkem 24 pozměňovacích návrhů, a to různé váhy. Zejména se jednalo o:

·      v § 1 novou formulaci předmětu zákona s tím, že výslovně uvádí ochranu osobních údajů v procesech zpracování jako součást práva na soukromí;

·      v § 3, odst. 7 návrh na odsunutí policejní evidence, evidence Ministerstva financí ve věcech praní peněz, Národního bezpečnostního úřadu ve věcech bezpečnostních prověrek a Ministerstva vnitra ve věcech lustračního osvědčení z režimu osvobození do speciálního režimu, ve kterém se má zpracování osobních údajů řídit zvláštní úpravou mající přednost před úpravou zákonem o ochraně osobních údajů;

·      návrh, aby z této úpravy bylo vyňato předávání údajů do jiných států podle § 27 s tím, aby vláda předložila pozitivní speciální úpravu pravidel pro zpracování osobních údajů v této oblasti;

·      v § 18 osvobodit dobrovolná seskupení osob, strany, církve, sdružení od ohlašovací povinnosti v případech, kdy zpracovávají osobní údaje členstva a toto zpracování má pouze vnitřní užití;

·      definici citlivých údajů podle § 4 rozšířit o termín genetické vybavení.

V této upravené podobě byl pak návrh zákona 1. března 2000 vrácen předkladateli.

            Pak následovala zpáteční cesta do Poslanecké sněmovny. Ta měla v podstatě dvě možnosti:

·      přijmout text ve znění schváleném Senátem nebo

·      uvedené připomínky ignorovat a schválit zákon znovu kvalifikovanou většinou, tj. nadpoloviční většinou zvolených poslanců.

Při jednání o připomínkách se jak vláda, tak Petiční výbor vyslovily pro přijetí první varianty. Převážil však protiargument k výše zmíněné úpravě § 3 za situace, že normy upravující onen speciální režim v dané chvíli neexistují (zčásti jsou ve stádiu věcného návrhu) a uvedené orgány by se dostaly do absurdní situace, kdy by buď musely žádat vyšetřované o jejich souhlas se zpracováním osobních údajů nebo se vystavovaly nebezpečí pokuty až v částce 10 mil. Kč. Za této situace hlasováním v plénu 4. dubna 2000 Poslanecká sněmovna setrvala na původním návrhu zákona.

            17. dubna 2000 pak již následoval podpis prezidenta a 25. dubna 2000 byl zákon vyhlášen ve Sbírce zákonů České republiky v částce 32 pod číslem 101/2000 Sb. Na základě ustanovení v něm obsažených nabyl účinnosti ve dvou vlnách:

1.      obecně nabyl účinnosti 1. června 2000

2.      §§ 16, 17 a 35 jsou účinnými až od 1. června 2001 (jedná se zde u ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů, kde je nutné ponechat určitý čas pro konstituování a zahájení práce Úřadu pro ochranu osobních údajů). To platilo rovněž o ustanoveních § 47 odst. 2, podle nichž bylo nutno uvést zpracování osobních údajů prováděná před účinností tohoto zákona do souladu s tímto zákonem.

 

3.4.         Novely zákona č. 101/2000 Sb., o ochraně osobních údajů

 

3.4.1.     První novela

 

            Zákon byl novelizován v podstatě okamžitě po čtvrt roce své platnosti. Tato novela je však svým způsobem technickou, protože pouze rozšířila působnost Úřadu pro ochranu osobních údajů, původně stanovenou v § 29 zákona č. 101/2000 Sb., o další práva a povinnosti doplněné zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu). Poslanecká sněmovna Parlamentu České republiky ji schválila 24. května 2000, Senát Parlamentu České republiky 30. června 2000, 12. července 2000 ji podepsal prezident, 26. července 2000 byla vyhlášena ve Sbírce zákonů České republiky a účinnosti nabyla dnem 1. října 2000.

 

3.4.2.     Druhá novela

 

            Další novela zákona byla věcně i procesně mnohem komplikovanější než předchozí. S ní související proces byl zahájen návrhem skupiny poslanců z 12. prosince 2000, který v podstatě obsahoval jediný článek a jehož smyslem bylo částečně z působnosti zákona vyjmout zpracování osobních údajů prováděná politickými stranami, politickými hnutími, církvemi, náboženskými společnostmi a občanskými sdruženími za podmínky, že zpracování údajů se vztahuje pouze na jejich členy a osobní údaje slouží pro jejich vnitřní potřebu a činnost vyplývající z účelu, pro který byly založeny[41]. Současně byl podán návrh na projednání zákona tak, aby s ním sněmovna mohla vyslovit souhlas již v prvním čtení.

            Poznamenejme, že v podstatě paralelně proběhla také poněkud kontroverzní diskuse[42] na stránkách Bulletinu advokacie, která vyústila v oficiální stanovisko Představenstva České advokátní komory ze dne 10. října 2000, že „zákon č. 101/2000 Sb. se na výkon advokacie, tj. poskytování právních služeb advokáty, nevztahuje“. To ovšem na prvotní návrh této druhé novely ještě přímý vliv nemělo.

            Nicméně skutečný průběh tohoto procesu byl mnohem složitější. Nejprve s poslaneckým návrhem jako takovým vyslovila nesouhlas Vláda České republiky. Následně Poslanecká sněmovna v rámci prvního čtení 22. února 2001 odmítla zákon projednat ve zkrácené lhůtě a přikázala jej k projednání Petičnímu výboru a Ústavně právnímu výboru. Zatímco Petiční výbor se omezil na stručné doporučující usnesení, Ústavně právní výbor vlastně sám vytvořil poměrně netriviální novelu zákona, kterou předložil k dalšímu projednání. Připomínky pokračovaly i ve druhém čtení 10. dubna 2001 a po jejich projednání byl zákon ve třetím čtení Poslaneckou sněmovnou schválen 12. dubna 2001.

            Z podstatných změn zákona jmenujme:

1.      V § 2 byly přeformulovány kompetence Úřadu pro ochranu osobních údajů jako ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem.

2.      V § 3 byla doplněna zvláštní výhrada o tom, že zákon se nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů, které stanoví povinnost mlčenlivosti.

3.      V § 4 písm. b) bylo z definice citlivého údaje vypuštěno členství v politických stranách či hnutích.

4.      Do § 5 odst. 2 byla doplněna další varianta, kdy správce může zpracovávat osobní údaje bez souhlasu subjektu údajů – „pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.“.

5.      V zájmu praktického zjednodušení byl podstatně přeformulován § 5 odst. 5, kde byla konkretizována podoba souhlasu se zpracováním osobních údajů a zeslabeny některé obtížně realizovatelné povinnosti správce. Zejména správce není povinen souhlasu subjektů uschovat po dobu zpracování osobních údajů, ale pouze je povinen jej prokázat.

6.      Do § 5 byly doplněny odstavce 7 až 10, které podrobně upravují práva a povinnosti správců a zpracovatelů osobních údajů, kteří provádějí zpracování osobních údajů za účelem nabízení obchodu a služeb.

7.      Obdobně jako v případě § 5 odst. 5 byly rovněž § 11 a § 12 zmírněny některé povinnosti správců či zpracovatelů.

8.      Do § 11 odst. 5 byly doplněny další možnosti, kdy správce není povinen informovat subjekt údajů o zpracování výlučně zveřejněných osobních údajů a zpracování osobních údajů se souhlasem subjektu údajů.

9.      V § 18 písm. b) byly rozšířeny možnosti zpracovávat osobní údaje bez oznamovací povinnosti s odkazem na zpracování osobních údajů, kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů, respektive prováděná politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.

10.  Do § 29 odst. 1 bylo doplněno oprávnění Úřadu pro ochranu osobních údajů vydávat prováděcí právní předpisy v oblasti elektronického podpisu.

11.  V § 47 odst. 2 byla posunut termín na uvedení zpracování osobních údajů zahájených před účinností tohoto zákona do souladu s tímto zákonem na 31. prosince 2001.

12.  Do § 47 se doplnil odstavec 3, který zakazuje v případě, že kontrolující zjistí porušení povinností správce či zpracovatele, až do 31. prosince 2002 použít sankce podle tohoto zákona.

Další změna se pak týkala zákona č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, kde byl do § 73 odst. 2, upravujícího speciální povinnosti zaměstnanců orgánů státní správy a dalších vyjmenovaných subjektů, doplněn Úřad pro ochranu osobních údajů.

Poté již celkem hladce novelu 17. května 2001 schválil Senát Parlamentu České republiky, 25. května 2001 podepsal prezident, 31. května 2001 byla vyhlášena ve Sbírce zákonů České republiky pod číslem 177/2001 Sb. a účinnosti nabyla týmž dnem.

 

3.4.3.     Třetí novela

 

            Oč byla třetí novela zákona obsahově jednodušší, o to složitější byla procesní cesta k ní. V tomto smyslu vznikla do jisté míry kuriózně, když Rozpočtový výbor Poslanecké sněmovny Parlamentu České republiky, kterému byl přikázán v té době již téměř půl roku starý poslanecký návrh novel zákonů o rozpočtech obcí, krajů a hlavním městě Praze, na své schůzi 12. září 2001 mezi prvním a druhým čtení uvedeného návrhu právě do tohoto návrhu doplnil 3 body vztahující se k zákonu o ochraně osobních údajů. Při dalším projednávání ve sněmovně pak byly ještě rozšířeny o jeden bod a 21. září 2001 byl celý zákon schválen.

Jednalo se o následující změny:

1.      Vložil se nový § 17a, který Úřadu pro ochranu osobních údajů umožnil (do té doby to zákon vůbec nepředpokládal) rušit registrace zpracování osobních údajů za předpokladu, že správce či zpracovatel porušuje podmínky, za nichž k registraci došlo, zjistí se, že oznámení bylo zaregistrováno nesprávným postupem, nebo pomine-li účel, pro který bylo zpracování zaregistrováno.

2.      V § 30 byly upřesněny platové nároky předsedy, inspektorů a ostatních zaměstnanců Úřadu pro ochranu osobních údajů tak, aby odpovídaly obdobným státním úřadům.

Nevýhodou těchto nijak problematických ustanovení se ovšem brzy ukázal kontext, v jakém se v legislativním procesu ocitly. Senát Parlamentu České republiky totiž hned v dalším kroku normu jako celek odmítl a dne 30. října 2001 ji vrátil poslanecké sněmovně. Ta pak 27. listopadu 2001 senátní „veto“ přehlasovala, 7. prosince 2001 zákon podepsal prezident, 31. prosince 2001 byl vyhlášen ve Sbírce zákonů České republiky pod číslem 450/2001 Sb. a účinnosti nabyl téhož dne.

 

3.4.4.     Čtvrtá novela

 

            Situace související s touto novelou byla v jistém smyslu obdobou novely předchozí. Tentokrát Ústavně právní výbor Poslanecké sněmovny Parlamentu České republiky při projednávání senátního návrhu zákona o zpřístupnění svazků vzniklých z činnosti bývalé Státní bezpečnosti na své schůzi 17. ledna 2002 mezi prvním a druhým čtení uvedeného návrhu doplnil jeden v podstatě technický bod vztahující se k zákonu o ochraně osobních údajů. Zákon byl posléze 8. února 2002 Poslaneckou sněmovnou schválen.

            Uvedené ustanovení spočívalo v tom, že se do § 3 odst. 6 doplnilo písmeno f), kde se stanoví výjimka z působnosti tohoto zákona pro orgány příslušné ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona.

Senát Parlamentu České republiky tento zákon schválil 12. března  2002, 15. března 2002 jej podepsal prezident, 20. března 2002 byl vyhlášen ve Sbírce zákonů České republiky pod číslem 107/2002 Sb. a účinnosti nabyl téhož dne.

 

3.4.5.     Pátá novela

 

            Tato novela byla v podstatě drobnou součástí velké novely zákona č. 148/1998 Sb., o ochraně utajovaných skutečností. Byla provedena zákonem, kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, a zákon č. 42/1992 Sb., o úpravě majetkových vztahů a vypořádání majetkových nároků v družstvech, ve znění pozdějších předpisů. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu České republiky dne 27. března 2002.

            Uvedené ustanovení měnící zákon č. 101/2000 Sb. spočívalo pouze v tom, že v § 3 odst. 6 písm. d) se za slova „bezpečnostních prověrek“ vkládají slova „a ověřování bezpečnostní způsobilosti fyzických osob“.

Senát Parlamentu České republiky tento zákon Poslanecké sněmovně 6. května 2002 vrátil. Ta však v hlasování dne 13. června 2002 setrvala na původním stanovisku a 28. června 2002 jej podepsal prezident. 12. července 2002 byl zákon vyhlášen ve Sbírce zákonů České republiky pod číslem 310/2002 Sb. a účinnosti nabyl téhož dne.

 

3.4.6.     Šestá novela

 

            Tato novela souvisela s poměrně výraznou změnou v organizaci ústředních úřadů provedenou zákonem č. 517/2002 Sb., kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy. Podstatou této změny bylo vytvoření zcela nového ministerstva informatiky, na něž byly z Úřadu pro ochranu osobních údajů převedeny kompetence týkající se oblasti elektronického podpisu. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu České republiky dne 17. října 2002.

Jednalo se o změny, které byly vlastně přímou negací celé první a relevantní části druhé novely zákona č. 101/2000 Sb. a spočívaly v podstatě v tom, že ze zákona byly vypuštěny veškeré zmínky související s působností Úřadu ve vztahu k elektronickému podpisu.

Senát Parlamentu České republiky tento zákon schválil 15. listopadu 2002 vrátil a 29. listopadu 2002 jej podepsal prezident. 13. prosince 2002 byl zákon vyhlášen ve Sbírce zákonů České republiky pod číslem 517/2002 Sb. a účinnosti nabyl 1. ledna 2003.

 

 

 

3.4.7.     Sedmá novela

 

            Poslední v tomto přehledu je zákon o změně zákonů souvisejících s přijetím zákona o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech (služební zákon), tedy navazující na zákon č. 218/2002 Sb. Jednalo se vlastně o souhrn 55 drobných novel jednotlivých dílčích zákonů, které bylo nutné upravit, aby nekolidovaly s aplikací nově přijatého služebního zákona.

            Uvedené ustanovení měnící zákon č. 101/2000 Sb. spočívalo pouze v tom, že v § 30 se zrušily odstavce 6 a 7 včetně poznámek pod čarou č. 28) a 29). Reálně se tak jednalo o zrušení podstatné části třetí novely zákona. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu České republiky dne 27. března 2002.

Senát Parlamentu ČR tento zákon Poslanecké sněmovně 6. května 2002 vrátil. Ta však v hlasování dne 13. června 2002 setrvala na původním stanovisku a 28. června 2002 jej podepsal prezident. 12. července 2002 byl zákon vyhlášen ve Sbírce zákonů České republiky pod číslem 309/2002 Sb., ovšem účinnosti nabývá spolu s podstatnou částí zákona č. 218/2002 Sb. až 1. ledna 2004.


4.                OBECNÉ  POVINNOSTI  ZAMĚSTNAVATELŮ  PŘI  ZPRACOVÁNÍ  OSOBNÍCH  ÚDAJŮ

 

Zřejmě nebude pochyb o tom, že zaměstnavatelé nemohou svou úlohu v pracovněprávních vztazích plnit bez znalosti údajů o zaměstnancích, a to jak v průběhu doby trvání pracovněprávního vztahu, tak také před jeho vznikem i po jeho zániku. Spektrum těchto údajů může být podle druhu zaměstnavatele a odvětví, v němž působí, značně různorodé. Mezi nimi existují takové, které jsou společné všem a tvoří jistý obecný minimální základ, a na druhou stranu se zde vyskytují osobní údaje i natolik specifické, že se budou týkat pouze velice omezeného okruhu subjektů.

Úvodem zmiňovaná nutnost vést osobní údaje zaměstnanců nemá jen subjektivní charakter na straně zaměstnavatele. Nejméně stejný význam má i její objektivní stránka daná povinnostmi zaměstnavatele ve formě právních norem, které samozřejmě mohou být společností vynuceny pod hrozbou sankcí, včetně trestněprávních. V této souvislosti je však třeba uvést, že jak samotný zákon č. 101/2000 Sb., tak Zákoník práce neobsahuje speciální ustanovení, která by se explicitně komplexně zabývala zvláštnostmi ochrany osobních údajů v pracovněprávních vztazích.

Tyto zvláštnosti je pak třeba vyvozovat z jednotlivých ustanovení těchto i dalších speciálních norem a odpovídajícím způsobem je aplikovat. Konstatujme však, že to není pouze problém českého právního řádu. Již dříve bylo zmíněno zvláštní doporučení Rady Evropy R(89) 2 o ochraně osobních údajů používaných pro účely zaměstnanosti[43] (18. ledna 1989), které navazuje na Úmluvu ETS č. 108. Stejně aktuální je tato problematika rovněž v rámci Evropské unie, kde od srpna 2001 probíhají konzultace mezi Komisí a sociálními partnery (UNICE[44], UEAPME[45], BDI[46]) o ochraně osobních údajů zaměstnanců, přičemž dokument o výsledcích druhé etapy těchto konzultací byl zveřejněn teprve před několika týdny v prosinci 2002[47].

 

4.1.         Elementární povinnosti zaměstnavatele

 

Již z výše uvedeného celkem přirozeně vyplývá, že personální a související evidence provozované zaměstnavateli v běžné situaci spadají přinejmenším do obecného režimu zákona č. 101/2000 Sb. To proto, že:

·        zákon nerozlišuje, jakou právní formu má zaměstnavatel zpracovávající osobní údaje;

·        dle zákona není rozhodné, zda se údaje zpracovávají prostředky výpočetní techniky nebo jinými automatickými prostředky, případně manuálně;

·        bez pochyby se v tomto případě nemůže jednat o zpracování osobních údajů, které by zaměstnavatel shromažďoval pro svou výlučnou soukromou potřebu;

·        rovněž takové zpracování dat zaměstnanců alespoň zčásti nebude nahodilé, nýbrž bude vykazovat znaky systematičnosti; a

·        z povahy věci není myslitelné, aby takový systém v praxi obsahoval údaje o neidentifikovaných či neidentifikovatelných osobách.

V takovém případě se pak dále bude nutně jednat o zpracování osobních údajů (ve smyslu definice v § 4 písm. e)) a zaměstnavatel se stává jejich správcem (ve smyslu definice v § 4 písm. j)).

Jako správce je pak zaměstnavatel přímo ze zákona aplikací § 5 odst. 1 na danou situaci (zpravidla při odstranění dodatečných podmínek, které zde nepřipadají v úvahu) povinen:

a) stanovit účel, k němuž mají být osobní údaje zpracovány;

b) stanovit prostředky a způsob zpracování osobních údajů;

c) zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem;

d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu;

e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování;

f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak;

g) shromažďovat osobní údaje pouze otevřeně a nikoliv pod záminkou jiného účelu nebo jiné činnosti;

h) nesdružovat osobní údaje, které byly získány k rozdílným účelům.

Další bezvýhradnou povinností je pak (dle § 20 odst. 1) provedení likvidace osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovávány, nebo na základě žádosti zaměstnance, který se tím domáhá ochrany svých práv. Zvláštní zákon (ten však dosud neexistuje) má stanovit výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení. Problém uvedeného ustanovení není v pojmu jako takovém – „likvidace“ je přímo v zákoně definována a rozumí se jí fyzické zničení nosiče informace, fyzické vymazání nebo trvalé vyloučení z dalšího zpracování. Problematická však může být spíš konkrétní aplikace této podmínky. Asi nejjednodušší situace by mohla nastat, v případě elektronického zpracovávání dat, kde zaměstnavatel nechá jednoduše inkriminované položky z databáze vymazat. Obdobně by mohla být informace fyzicky zničena, vyskytovala-li se víceméně samostatně na papírovém dokumentu. Obtížnější interpretace nastane v případě, kdy pouze pro některé osobní údaje pominul účel zpracování a tyto se nacházejí na jedné listině s dalšími údaji, které jsou však naopak aktuální. Pokud navíc má taková listina podobu projeveného jednostranného úkonu se strany zaměstnance (například podepsaný dotazník), zaměstnavatel postrádá právo takovýto právní úkon jiného subjektu o své vůli měnit (například kdyby nechal některé části dokumentu začernit). V této situaci by bylo patrně nejvhodnější aktivní informace přenést na jiný dokument a původní listinu uložit například do takové části spisu, která nebude zaměstnavatelem nadále využívána a bude tak uchovávána pouze pro nahodile v budoucnu vzniklé potřeby tyto údaje použít. V takovém případě by pak nebyla splněna podmínka systematické práce s osobními údaji a vyloučilo by se použití zákona č. 101/2000 Sb. na ně.

Dále (opět přímou aplikací § 12 odst. 2) svědčí zaměstnavateli další povinnost, a to jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných. Poznamenejme, výši takové úhrady nestanoví nikdo jiný než správce, ovšem je při tom omezen de facto skutečnými náklady nezbytnými na vyhledání, sestavení či jiné zpracování informace a na její předání či odeslání zaměstnanci. Současně je třeba zdůraznit, že z dikce uvedeného ustanovení vyplývá, že se tato povinnost vztahuje na informace „o osobních údajích“, nikoliv přímo na výpis těch údajů samotných[48]. Na druhou stranu rozhodně nelze zaměstnavateli zakázat dobrovolně zaměstnanci poskytnout i kompletní přehled veškerých o něm zpracovávaných údajů. Současně se zde předpokládá písemná žádost zaměstnance, na niž zaměstnavatel musí reagovat obdobným způsobem. Až na výjimky zde ve většině případů (v souladu s § 40 odst. 4 zákona č. 40/1964 Sb., občanský zákoník, především ve znění zákona č. 509/1991 Sb.) bude moci být nahrazena klasická písemná forma telegrafickými, dálnopisnými a zejména pak elektronickými prostředky; samozřejmě za předpokladu dostatečné důvěryhodnosti z hlediska autenticity žadatele a při zachování bezpečnosti dopravovaných zpráv.

 

4.2.         Zabezpečení osobních údajů

 

Povinnost poněkud jiného druhu zaměstnavateli přímo stanoví § 13, přičemž se jedná o přijetí takových opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Přitom tato povinnost platí i po ukončení zpracování osobních údajů, tj. například i po ukončení podnikání daného zaměstnavatele. Takovými opatřeními zákon rozumí opatření zejména technická a organizačně-právní, směřující jak proti náhodným vlivům, tak proti úmyslnému jednání vlastních zaměstnancům i jakýchkoliv jiných osob. Taková opatření však zákon blíže nespecifikoval a ponechal tak prostor pouze pro metodická doporučení.[49] Při praktické realizaci této povinnosti z hlediska technického bude zřejmě nutno vycházet z požadavku rozumné míry ochrany údajů. V případě písemných dokumentů za minimální takovou ochranu lze považovat uzamykatelný prostor (v případě citlivých údajů lépe trezor), včetně nastavení odpovídajících oprávnění, kdo má přístup ke klíčům od nich, respektive kdo taková oprávnění může přidělovat. V případě počítačových databází se bude jednat alespoň o autentikovaný přístup prostřednictvím individuálně přidělených hesel, případně i kryptování počítačových dat. Nikoliv nepodstatná bude pro případnou kontrolu ze strany Úřadu pro ochranu osobních údajů dokumentace k užívanému software, garance dané dodavatelem programového vybavení, stejně jako doklady o závazku mlčenlivosti u zaměstnanců dodavatele, kteří při instalaci či údržbě systému přijdou do styku s osobními údaji zaměstnanců objednatele. Pozornosti zaměstnavatele pak nesmí ujít ani oblast zálohování a archivace pořízených dat.

Z pohledu organizačních a právních opatření je zaměstnavatel povinen stanovit kompetence jednotlivých zaměstnanců, kteří přicházejí při své práci do kontaktu s osobními údaji. V této souvislosti je třeba si uvědomit, že toto není jen problém personálních útvarů a pracovišť obdobného typu, ale že přinejmenším prakticky každý vedoucí zaměstnanec nakládá s osobními údaji svých podřízených a rovněž k těmto datům musí mít v nezbytném rozsahu přístup osoby na dalších funkcích. Zaměstnancům správce nebo zpracovatele a jiným osobám, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, pak zákon v § 14 přímo ukládá, že mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném. Přestože v omezených případech by mělo být možné vyvodit tyto kompetence zaměstnanců již přímo z druhu práce v pracovní smlouvě (lépe řečeno, druh práce by mohl být s touto motivací takto kvalitně definován), nejpřirozenější cestou zřejmě bude použití formy pracovního řádu vydaného v souladu s § 82 Zákoníku práce. Posláním pracovního řádu je blíže rozvádět v souladu s právními předpisy ustanovení Zákoníku práce s ohledem na zvláštních podmínky u zaměstnavatele. Proto zde mohou být stanoveny povinnosti zaměstnanců na příslušných funkcích při nakládání s osobními údaji, stejně jako bližší podmínky pro nakládání s osobními údaji a rovněž kompetence v rozhodování o tomto nakládání.

Pro ještě širší okruh osob, než jak je uvedeno v § 14 (tedy nejen zaměstnancům správce nebo zpracovatele, popř. jiným fyzickým osobám, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, ale i dalším osobám, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele), stanoví opět přímo zákon č. 101/2000 Sb. v § 15 povinnost mlčenlivosti. Tato povinnost se nevztahuje pouze na osobní údaje jako takové (jak bylo uvedeno v zákoně č. 256/1992 Sb.), ale je rozšířena i na bezpečnostní opatření, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Uvedená povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací, není časově omezena a tedy je doživotní.

Připomeňme, že k výše vyjmenovaným povinnostem není nutné pověřené zaměstnance ani další osoby (počínaje techniky a konče kontrolními orgány či orgány činnými v trestním řízení) žádným způsobem zavazovat, protože tyto povinnosti se na ně vztahují přímo ze zákona s ohledem na roli, ve které vůči zpracování osobních údajů vystupují. Důležitější v tomto smyslu jsou správně nastavené kompetence ve vnitřních předpisech organizace, které mohou být provázány i se zde stanovenými pracovněprávními sankcemi za porušení mlčenlivosti a souvisejících povinností.

Naopak ilustračním příkladem v negativní poloze by mohlo být řešení otázky, zda se mohou například studenti při své praxi seznamovat s osobními údaji pacientů nebo klientů[50]. Při různých typech praxí konaných v rámci studia na vybraných typech středních a vysokých škol ve zdravotnických zařízeních přicházejí studenti z povahy věci samé zcela běžným každodenním způsobem do styku s osobními údaji pacientů nebo klientů těchto zařízení či institucí. Z pohledu zákona č. 101/2000 Sb. se tak účastní zpracování osobních údajů a mělo by na ně být pamatováno v pravidlech stanovovaných správcem v § 13, respektive ideální by bylo, aby se mohli ocitnout v režimu i následujících §§ 14 a 15 citovaného zákona. Pokud se tato praxe studentů uskutečňuje na základě individuálních smluv (nemusí to být pracovní poměr ani dohoda o pracích mimo pracovní poměr) uzavřených mezi zdravotnickým zařízení či institucí na straně jedné a jednotlivými studenty na straně druhé, jedná se o fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem. V tom případě by se uvedená ustanovení v plném rozsahu vztahovala i na tyto studenty a zejména pak i ona zmíněná doživotní povinnost mlčenlivosti. Aby tyto smlouvy měly rozumný smysl, musí obsahovat také rozsah zpracování osobních údajů a podmínky, za nichž bude ke zpracování docházet. Naopak ovšem jistě nestačí, aby podobná smlouva byla uzavřena mezi zdravotnickým zařízením či institucí a školou, byť by onu školu třeba ustanovila zpracovatelem. Student není v pracovněprávním vztahu ke škole a na vyvození obdobných povinností jako v případě zaměstnance nelze použít ani analogie. V takovém případě by případné zpracování údajů o pacientech či klientech prováděné studenty bylo považováno za neoprávněné (odpovědný by byl student i správce), respektive student by měl nanejvýše mít legální možnost seznamovat se v průběhu své praxe pouze nahodile s některými osobními údaji.

 

4.3.         Účast zpracovatele na zpracování osobních údajů

 

Zatímco v předchozím textu byly vesměs zmiňovány povinnosti, které je nezbytné v rámci pracovněprávních vztahů z pohledu ochrany osobních údajů splnit vždy za všech okolností a bez dalších podmínek, povinnosti uvedené v této podkapitole jsou již o něco specifičtější.

Nikoliv řídce v praxi nastává situace, kdy zaměstnavatel alespoň zčásti nevede personální a ně navazující evidence vlastními silami, ale pro tyto účely využívá externích subjektů – fyzických i právnických osob. Není v této souvislosti podstatný důvod, proč tomu v konkrétní situaci dochází. Zpravidla to bude nahrazení nedostatku odbornosti zaměstnavatele či jeho zaměstnanců, respektive nedostatek vlastních kapacit pro konkrétní činnosti, přičemž nejčastějším příkladem v tomto smyslu bývá vedení a zpracování mzdové evidence pro malé organizace. Podstatné ovšem je, že v takovém případě vstupuje do dosavadního zpravidla dvoustranného vztahu třetí subjekt, na nějž je nutné vztáhnout patřičná práva i povinnosti. V souladu s definicí půjde o to, že zpracovatelem ve zmiňovaném případě bude každý subjekt, který na základě pověření správcem zpracovává osobní údaje podle tohoto zákona. V § 6 je navíc přímo stanovena forma tohoto pověření, a to smlouva, která musí být pod sankcí neplatnosti písemná. Dále v ní musí být zejména výslovně uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Nezbytným předpokladem této smlouvy (opět pod sankcí neplatnosti) je, aby v ní zpracovatel poskytl dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů. Ani v případě zpracovatele zákon blíže nespecifikoval onu dostatečnost poskytnutých záruk. Z povahy věci lze však usoudit, že se bude jednat o nastavení alespoň takových podmínek a pravidel, jaké by musel při daném zpracování osobních údajů splnit správce sám, kdyby nevyužil možnosti předat je zpracovateli.

            Protože zpracovatel přichází do styku s osobními údaji v podstatě ve stejném rozsahu jako správce, vztáhnou se něj také stejné povinnosti. Výjimku tvoří pouze ty z nich, které již vlastně pojmově předat nelze, tj. zpracovatel, na rozdíl od správce, neurčuje účel, prostředky a způsob zpracování osobních údajů, zato přitom postupuje podle pokynů správce. Poněkud problematickou by mohla být otázka rozšíření povinností ze správce na zpracovatele (dle § 7), což se ovšem obdobně nemůže vztahovat na předávání práv. Pak ovšem (v souladu § 5 odst. 2) správce sice může zpracovávat osobní údaje, k nimž s ohledem na stanovené zákonné výjimky nepotřebuje souhlas subjektu údajů, ale takovým zpracováním nesmí pověřit zpracovatele. Z toho však plyne, že snad nejčastější příklad zpracování osobních údajů zpracovatelem uvedený v úvodu této části, tj. outsourcing mzdových agend zaměstnavatele, by vlastně měl být pokládán za odporující zákonu č. 101/2000 Sb. (i když není zcela evidentní, zda to také byl záměr zákonodárce nebo jen omyl v textu zmiňovaného paragrafu)[51].

Pravděpodobně z důvodu, aby se přenášením práv a povinností mezi různé subjekty zpracovávající osobní údaje nerozmělnila jejich odpovědnost, do vztahu mezi správcem a zpracovatelem zákon vložil specifické ustanovení jejich vzájemné solidární odpovědnosti. Proto jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené zákonem č. 101/2000 Sb., je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. V takovém případě by mu odpovědnost nevznikla. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. A samozřejmě v takovém případě by byl postižitelný i za vlastní správní delikt podle tohoto zákona.

 


5.                ZVLÁŠTNÍ  POVINNOSTI  PŘI  ZPRACOVÁNÍ  OSOBNÍCH  ÚDAJŮ

 

V dalším textu se soustředíme na povinnosti správců a zpracovatelů osobních údajů, které nepatří mezi zcela obecné, v zásadě jsou závislé na charakteru konkrétních druhů zpracovávaných osobních údajů a případně také na konkrétních způsobech jejich zpracovávání. Odchylky od obecnosti působí v jednotlivých případech jak ve směru ke zostření obecné povinnosti či přidání dalších, tak i naopak k jejímu zeslabení či úplnému vyloučení. První případ nastává, když povaha jistého osobního údaje či jeho nositele si samy o sobě vyžadují zvýšenou ochranu. Druhý případ naopak nastává zpravidla v situacích, kdy by trvání na praktické realizaci obecných povinností buď nebylo v dané situaci možné vůbec nebo by natolik podstatně ztížilo dané zpracování osobních údajů, že by vlastně do značné míry popřelo jeho vlastní smysl. Takové odchylky však typicky nejsou otázkou absolutní libovůle jednajících stran, ale zásadní měrou musí být předpokládány zákonem, který také stanoví jejich obecný rozsah.

Již v úvodu předchozí kapitoly bylo zmíněno, že zpracování dat zaměstnanců jistě alespoň zčásti nebude nahodilé, nýbrž bude vykazovat znaky systematičnosti. Toto tvrzení ovšem nevylučuje, že mezi zpracovávanými osobními údaji se skutečně vyskytne informace, která se zde ocitla bez toho, aby byla záměrně sbírána, třeba i náhodně, případně byla sebrána jednoúčelově, je uložena tak, že není běžně bez vynaložení enormního úsilí přístupná a rozhodně tedy není dále zpracovávána. V takovém případě by se parciálně u tohoto konkrétního údaje nejednalo o zpracování osobních údajů se všemi důsledky z toho plynoucími (což ovšem nijak nezeslabuje ochranu a povinnosti zaměstnavatele vůči všem zpracovávaným osobním údajům ostatním).

 

5.1.         Souhlas se zpracováním osobních údajů

 

Obecně platí, že ke zpracování osobních údajů potřebuje správce zásadně souhlas subjektu údajů. Ze souhlasu musí být zřejmé, v jakém rozsahu se poskytuje, tedy jaké osobní údaje smějí být zpracovány. Dále je třeba, aby z něho bylo patrno, kterému správci je dáván souhlas ke zpracování a vymezen jeho konkrétní účel. Souhlas musí zahrnovat také určení období, na které je dáván. Konečně je nutno, aby byl identifikován ten, kdo souhlas poskytuje. Podotkněme, že takový souhlas může dát vždy jen subjekt údajů osobně, a to pouze sám za sebe. Pokud by subjekt údajů způsobilost k takovému právnímu úkonu neměl, je v tomto smyslu nahrazen určenou osobou (rodičem, opatrovníkem apod.). V žádném případě zde nelze použít analogie režimu společného jmění manželů dle § 145 odst. 2 nebo režimu společného nájmu bytu dle § 701 Občanského zákoníku, byť by šlo takzvaně o vyřizování záležitostí „obvyklé správy“, k níž by bylo třeba podobné souhlasy poskytnout a vlastně tak subjekt údajů zavázat trpět omezení svých práv.

Rozsah souhlasu subjektu údajů je omezen přímo zákonem tak, že jím nemohou být dotčeny povinnosti správce či zpracovatele zpracovávat pouze pravdivé a přesné osobní údaje, ověřovat, zda jsou osobní údaje pravdivé a přesné (pokud tak nemůže zjistit, blokovat je), zjistí-li, že údaje nejsou pravdivé a přesné, opět je blokovat a bez zbytečného odkladu opravit nebo doplnit, respektive shromažďovat osobní údaje pouze otevřeně. Tady se z pohledu subjektu údajů jedná o práva, jichž se nemůže vzdát. Tytéž podmínky pak platí i pro souhlas, aby správce mohl zpracovávat osobní údaje k jinému účelu, než k jakému byly shromážděny, respektive i k jinému zpracování osobních údajů, které oprávněně shromáždil bez jeho souhlasu.

Novelou č. 177/2001 Sb. byla ze zákona č. 101/2000 Sb. vypuštěna povinnost písemné formy souhlasu (ve stejném režimu by se ovšem nacházela i jeho elektronická forma), z čehož plyne, že by takový souhlas za určitých podmínek mohl být poskytnut i ústně. Zeslabeno bylo i ustanovení, podle nějž není zapotřebí takový souhlas uchovávat po celou dobu zpracování osobních údajů, ale stačí pouze jeho prokázání. Z praktických důvodů ovšem ve většině případů bude jistě z hlediska první jistoty nejčastější ona písemná, respektive elektronická podoba. Souhlas může být navíc kdokoliv odvolán, přičemž opět tatáž novela zeslabila toto právo v tom smyslu, že se subjekt údajů může se správcem výslovně dohodnout jinak, tedy zejména na tom, že se práva na odvolání souhlasu předem vzdává. Takové odvolání není vázáno ani na sdělování důvodů, ani na výpovědní lhůty. Přestože zákon neuvádí ani formu, jakou má být odvolání podáno, lze předpokládat, že by měla co do průkaznosti dodržena minimálně taková forma, kterou byl původní souhlas dán.

Nicméně právě povinnost zpracovávat data jen se souhlasem subjektu je v zájmu úměrnosti aplikačním potřebám v různých případech zeslabována, ovšem vždy se snahou o nalezení optimální úrovně takového zeslabení s maximální možnou ochranou osobních údajů.

Snad nejčastějším příkladem zde bude oprávnění zaměstnavatele zpracovávat osobní údaje bez souhlasu zaměstnance, jestliže provádí zpracování stanovené zvláštním zákonem nebo nutné pro plnění povinností stanovených zvláštním zákonem. Takových příkladů je v praxi celá řada a ještě budou v tomto textu podrobněji zmíněny. Přestože však se zde zákon č. 101/2000 Sb. odkazuje na blanketové normy, zvlášť zde jako nezbytnou základní podmínku uvádí, že i v takovém případě je správce povinen dbát práva na ochranu soukromého a osobního života subjektu údajů. Zde může být diskutována otázka, zda se uvedený režim vztahuje na právní normy, které mají právní sílu a formu zákona, nebo zda je možné takto posuzovat i obecně závazné předpisy nižší právní síly, které příslušné zákony předpokládají a na něž se odkazují (například nařízení vlády nebo vyhlášky ministerstev), tj. zda aplikovat interpretaci intenzivní nebo extenzivní. Budeme-li však vycházet z logiky věci, musíme připustit extenzivní výklad. Například na § 3 nařízení vlády č. 108/1994 Sb., kterým se provádí některá ustanovení zákoníku práce, ve znění pozdějších předpisů, se odkazuje § 60 odst. 2 Zákoníku práce. V uvedeném ustanovení jsou výčtem určeny druhy údajů, které musí obsahovat potvrzení o zaměstnání vydaném zaměstnavatelem zaměstnanci při skončení pracovního poměru. Při intenzivním výkladu bychom pak došli k rozporuplnému závěru, že sice zaměstnavateli by byl ze zákona povinen vydat zaměstnanci potvrzení o zaměstnání, ale ke splnění této povinnosti by potřeboval osobní údaje (výše průměrného výdělku, rozsah srážek ze mzdy atd.), k jejichž zpracování by potřeboval zaměstnancův souhlas.

Další výjimkou danou praktickými potřebami je možnost zpracovávat údaje bez souhlasu, je-li nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem. Tímto uvolněním se například zejména pokryjí informace, které osoba poskytne svému případnému budoucímu zaměstnavateli v rámci výběrového řízení či jiného jednání o uzavření pracovněprávního vztahu s tím, že tato možnost se přirozeně omezí jak okamžikem navázání tohoto vztahu (pak by se zřejmě celý problém přesunul do zcela jiného režimu zpracování osobních údajů stanovených zákonem), tak i neúspěšným závěrem tohoto jednání, kdy v takové situaci zaměstnavatel buď nemá důvod data neúspěšného uchazeče nadále zpracovávat nebo se naopak s ním dohodne, že si jeho data ponechá pro budoucí příležitost (ovšem pak nastává zcela obecný stav souhlasu subjektu údajů s dalším zpracováním).

Pokud je toho nezbytně třeba k ochraně důležitých zájmů subjektu údajů (takové zpracování má být zejména v jeho prospěch, ale zpravidla z hlediska jeho časové či prostorové nedostupnosti není prakticky možné souhlas získat v odpovídajícím okamžiku), lze zpracování provést opět bez souhlasu. To však znamená, že posléze je třeba bez zbytečného odkladu takový souhlas získat dodatečně a, pokud by nebyl dán, musí správce zpracování ukončit a údaje zlikvidovat. V praxi ovšem v oblasti pracovněprávní pravděpodobně také případy často nastávat nebudou, protože právní vztahy tohoto typu jsou primárně založeny na kontaktu zaměstnavatele a zaměstnance.

Ještě méně pravděpodobné je použití výjimky, kdy lze bez souhlasu zaměstnance zpracovávat jeho osobní údaje, které byly oprávněně zveřejněny v souladu se zvláštním právním předpisem. V zákoně č. 101/2000 Sb. je na tomto místě poznámka, která odkazuje zejména na zákon č. 81/1966 Sb., o periodickém tisku a ostatních hromadných informačních prostředcích, ve znění pozdějších předpisů, který byl však již dříve (před nabytím platnosti zákona č. 101/2000 Sb.) zrušen a nahrazen zákonem č. 46/2000 Sb., o právech a povinnostech při vydávání periodického tisku a o změně některých dalších zákonů (tiskový zákon). Obdobným způsobem však lze použít i data dostupná z veřejných informačních zdrojů. Problém by zde mohl vzniknout v případě, kdyby zaměstnavatel touto cestou hodlal naplňovat některá data ve svých databázích, což by mohlo být charakterizováno jako neoprávněné sdružování údajů získaných k různým účelům. Navíc i zde je explicitně zdůrazněno, že tímto postupem není dotčeno právo na ochranu soukromého a osobního života subjektu údajů.

Jiná výjimka platí pro osobní údaje, jejichž zpracování je nezbytné pro ochranu práv zaměstnavatele. Ta na rozdíl od předchozích může být poměrně častá a z logiky věci celkem průhledná. Zaměstnavatel nemůže být absolutně omezován například ve zpracování osobních údajů, které vypovídají o některých aspektech výkonu práce jeho zaměstnanců a mají tak třeba vliv na jeho prosperitu, jen proto, že s tím zaměstnanec nesouhlasí. Bude sem jistě patřit široké spektrum možností počínaje zveřejňováním služebních telefonických i jiných kontaktů zaměstnanců nezbytných pro výkon práce, přes sledování telefonních čísel volaných ze služebních telefonů určených pro výkon práce zaměstnance a konče poměrně významnou skutečností, kdy si zaměstnavatel o bývalém zaměstnanci v době po skončení pracovního vztahu ponechá po jistý nezbytný čas k dispozici některé údaje, má-li důvodnou obavu, že by například ještě mohl vzniknout soudní spor o některé nároky či jiná práva z tohoto bývalého vztahu. Podstatné ovšem je, že tuto možnosti má zaměstnavatel, chrání-li práva svá a nikoliv někoho jiného. Takto pak naopak rozhodně není oprávněn běžně sdělovat detailní informace o daném pracovněprávním vztahu veřejnosti, stejně jako třeba soukromou adresu zaměstnance osobě, která tvrdí, že je jeho věřitelem.

Specifická výjimka, která byla doplněna druhou novelou („pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností“) se běžného pracovněprávního vztahu pravděpodobně týkat nebude. Protože je formulována poměrně široce, bylo by možné ji teoreticky například vztáhnout na pracovněprávní vztahy zaměstnanců těchto subjektů. Ale i zde platí obdobné omezení jako výše z opačné strany, tj. že takové zpracování osobních údajů nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života.

            Poslední výjimka – bez souhlasu subjektu údajů osobní údaje zpracovávat pro účely statistické nebo vědecké – opět v běžném pracovněprávním vztahu zřejmě nenajde častého využití. Zásadním omezením zde ovšem je, že pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné, což představuje samozřejmý požadavek plynoucí z vlastní povahy takového druhu jejich zpracování.

 

 

5.2.         Specifický přístup ke zpracování citlivých údajů

 

Citlivé údaje patří svým způsobem do zcela nejintimnější sféry člověka a v podstatě objektivně (tedy jak z hlediska toho, kdo s nimi hodlá nakládat, tak z hlediska subjektu údajů samotného) je záměrně zkomplikována jejich dostupnost a chování k nim. Dle definice je citlivým údajem takový údaj, který vypovídá o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Již na první pohled bude zřejmé, že mnohé prvky tohoto seznamu jsou pro pracovněprávní vztahy z věcného hlediska nepodstatné, nepoužitelné a tedy téměř nelze zdůvodnit jejich případné zpracování. Na rozdíl od předchozích období, kdy bývala národnost součástí každého dotazníku či vysvědčení (aniž by však pro čtenáře představovala vůbec nějakou skutečnou zásadní informaci), se výrazně posunul význam tohoto pojmu, a přestože snad z naprosté většiny dotazníků zmizel, nebude v praxi nijak postrádán. Pro využití takových informací jako jsou rasový nebo etnický původ, politické postoje, náboženství, filozofické přesvědčení a otázky sexuálního života subjektu údajů se zřejmě také velmi obtížně bude hledat zdůvodnění, které by nevzbuzovalo podezření alespoň z latentní diskriminace zaměstnance, aktuální či budoucí. V případě zbývajících druhů osobních informací by snad bylo možné některá skutečně objektivní zdůvodnění nalézt, ale o tom až konkrétně v dalším textu.

Zvláštní charakter citlivých údajů se odráží rovněž ve zvláštním přístupu k nim. Především tyto údaje může zaměstnavatel jakkoliv zpracovávat, jestliže k tomu má výslovný souhlas subjektu údajů. Souhlas musí být dán bezvýhradně písemně a podepsán subjektem údajů[52]. Ze souhlasu musí být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Na rozdíl od souhlasu v případě obecného zpracování osobních údajů jej může subjekt údajů kdykoliv odvolat a nepřichází zde v úvahu, že by se se zaměstnavatelem dohodl jakkoliv jinak. Tento souhlas musí být současně tzv. kvalifikovaný, tedy zaměstnavatel je povinen předem subjekt údajů o jeho právech poučit, aby bylo možné usuzovat, že se rozhodl skutečně vážně s plným vědomím všech souvislostí. Takový souhlas musí zaměstnavatel uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán (zpravidla tedy nejméně po dobu trvání pracovněprávního vztahu). Totéž platí obdobně i v případech, kdy zaměstnavatel zpracovával například v nebezpečí z prodlení osobní údaje subjektu údajů v zájmu zachování jeho života a chce případně získat takový souhlas dodatečně.

Naopak ovšem, pokud zaměstnanec nedá souhlas ke zpracování těchto svých údajů, není přípustná výjimka. A to ani tehdy, kdy v analogické situaci by byly přípustné výjimky ze souhlasu při získávání osobních údajů obecně (například při jednání o budoucím zaměstnání).

Zatímco u běžných osobních údajů se předpokládá souhlas s jejich zpracováním jako základní přístup, k němuž existují výjimky, v případě citlivých údajů byla zvolena formálně poněkud odlišná cesta, kdy souhlas subjektu údajů je jednou z variant a ostatní jsou mu opticky na roveň postaveny. Nicméně ony jiné varianty jsou značně specifického typu, takže rozhodně nezeslabují možnost subjektu údajů se svými právy disponovat, ale spíš naopak.

První z nich je možnost zpracovávat citlivé osobní údaje, je-li to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat (zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů). Ve skutečnosti se může jednat o nakládání s daty subjektu údajů ve prospěch jej samotného i dalších osob (příbuzných, spolupracovníků atd.) s tím, že celá situace je v komplexu vykládána tak, že v případě zachování života a zdraví nemusí hrozit bezprostřední nebezpečí (stačí i ohrožení v budoucnu), v případě ohrožení majetku by hrozby mela být opravdu aktuální. Takové zpracování osobních údajů je pak chápáno jako řešení zcela mimořádné zvláštní situace na způsob krajní nouze a správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas.

Další variantou je zpracovávání citlivých osobních údajů, kdy se jedná o poskytování zdravotní péče dle zákona č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, jakož i jiné posuzování zdravotního stavu podle zvláštního zákona, zejména pro účely sociálního zabezpečení (zde tedy zejména pro posuzování zdravotního stavu a pracovní schopnosti podle zákona č.582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů). Jisté uvolnění obecných striktních podmínek je chápáno jako spíš praktické zjednodušení statisticky možná nejčastějšího typu zacházení s citlivými údaji, navíc prováděného osobami a institucemi, kterým a priori svědčí povinnost mlčenlivosti či obdobné instituty.

A konečně poslední výjimkou je odkaz na případné další zákony přímo upravující zpracování osobních údajů, přičemž přímo v zákoně jsou v tomto místě příkladmé odkazy na zákony č.48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů, zákon č.280/1992 Sb., o resortních, odborových, podnikatelských a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č.551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001.

 

 

5.3.         Informování subjektu údajů

 

Subjektu údajů se musí dostat náležité informace o tom, že jsou o něm údaje shromažďovány již v okamžiku, kdy k této skutečnosti dochází. Zejména proto, aby měl v obecném případě možnost se rozhodnout, jakým způsobem zareaguje ve smyslu ochrany svých práv. Proto je v našem případě zaměstnavatel povinen již před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom:

·        v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány,

·        kdo a jakým způsobem bude osobní údaje zpracovávat a

·        komu mohou být osobní údaje zpřístupněny či komu jsou určeny.

Opět je zde zmiňována písemná forma, která by v konkrétní situaci mohla být nahrazena některým z jiných způsobů komunikace umožňující trvalý záznam takové informace, než pouze v podobě papírového dokumentu. Novelou č. 177/2001 Sb. byla do tohoto ustanovení zákona přidána možnost, že správce nemusí uvedené informace předat v případě, že jsou subjektu údajů již známy. Poznamenejme, že takové ustanovení je sice logické, ovšem v konkrétním případě se bude jednat o důkazní břemeno na straně zaměstnavatele a v konkrétní situaci pro něj nemusí být zcela triviální dokazovat skutečnosti v souvislosti se stavem mysli a paměti subjektu údajů. Rovněž právě tuto informační povinnost správce nemusí splnit v případě, že tyto informace jsou součástí poučení podle právního předpisu, tj. speciálního zákona nebo prováděcího předpisu. Pravdou je, že v současné době žádná taková norma, která by přímo zmiňovala poučení v uvedeném smyslu, neexistuje. V širším slova smyslu zde však lze aplikovat například ustanovení § 28 Zákoníku práce, podle nějž je zaměstnavatel povinen před uzavřením pracovní smlouvy seznámit zaměstnance s právy a povinnostmi, které by pro něj z pracovní smlouvy vyplynuly.

Další důležitou povinností zaměstnavatele je poučit subjekt údajů o tom:

·        zda je podle zákona povinen pro zpracování osobní údaje poskytnout a jaké důsledky budou vyvozeny, pokud tak neučiní,

·        kdy je oprávněn odmítnout poskytnutí osobních údajů[53], nebo

·        zda poskytnutí osobních údajů je dobrovolné.

Nikoliv již povinně písemnou formou musí zaměstnavatel subjekt údajů informovat o jeho právu přístupu k osobním údajům (zejména tedy o způsobu, jímž se dozví, jaká konkrétní data o něm jsou zpracovávána, respektive obsah těchto údajů) a rovněž i o jeho dalších právech stanovených v § 21 tohoto zákona, tedy:

·        zjistí-li, že došlo k porušení povinností správcem nebo zpracovatelem, že má právo obrátit se na Úřad pro ochranu osobních údajů s žádostí o zajištění opatření k nápravě,

·        došlo-li k porušení povinností správcem nebo zpracovatelem, že má právo požadovat:

o       aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,

o       aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,

o       aby osobní údaje byly zablokovány nebo zlikvidovány,

o       zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

Ve zvláštním případě, kdy by zaměstnavatel nezískal osobní údaje přímo od subjektu údajů, je povinen mu bezodkladně poskytnout informace o tom, z jakého zdroje tato data získal. Nicméně tato povinnost je vázána až na písemnou žádost subjektu údajů.

Opět však zpravidla z praktických důvodů byly výše uvedené informační povinnosti zeslabeny v přesně specifikovaných situacích. Zaměstnavatel tak není povinen takové informace poskytovat, pokud zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví, což však v naší situaci zřejmě nebude častý případ a zpravidla se bude týkat pouze archivovaných údajů o bývalých zaměstnancích. Totéž by platilo v případě, kdyby zaměstnavatel zpracovával výlučně (toto adjektivum je zde určující) zveřejněné údaje, případně zvláštní zákon (zde se uvádějí odkazy na zákon č. 153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č. 61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů.) přímo stanoví, že není povinen takové informace poskytovat. Ovšem i tyto případy lze chápat jako naprosto výjimečné.

Nepoměrně častějším případem bude možnost uplatnění téže výjimky v případech, kdy:

·        zpracování osobních údajů zaměstnavateli ukládá zákon nebo je takových údajů třeba k uplatnění jeho práv a povinností vyplývajících ze zvláštních zákonů, nebo

·        zpracovává osobní údaje se souhlasem subjektu údajů (a to jak běžné typy osobních údajů, tak údaje citlivé), respektive

·        jedná se o kombinaci obou těchto variant současně,

což bude pravděpodobně splňovat podstatná část veškerých personálních evidencí. Při uplatňování oněch výjimek však může dojít k některým nesystémovým důsledkům. Například vlastním obsahem práva na tyto informace je, zda „je podle zákona povinen pro zpracování osobní údaje poskytnout“. V případě kladné odpovědi na tuto otázku může nastoupit režim výjimky a tak má zaměstnavatel právo tuto informaci subjektu údajů nesdělit (to ovšem proti svému vlastnímu zájmu, protože pak by se ji také nemusel od zaměstnance dovědět). Rovněž situace, kdy informace nemusí být poskytovány při souhlasu subjektu údajů se zpracováním (a není jasné, proč by za takového předpokladu je neměl získat), bude v praxi zpravidla znamenat jejich nahrazení jiným nedefinovaným mechanismem, kdy tyto informace budou reálně tak jako tak poskytnuty výměnou právě za tento souhlas.

            Naopak tyto výjimky se nemohou uplatnit, pokud bude subjekt údajů požadovat informace podle zvláštních zákonů (v poznámce jsou zmiňovány jako příklady zákon č. 123/1998 Sb., o právu na informace o životním prostředí, zákon č. 367/1990 Sb., o obcích, ve znění pozdějších předpisů a zákon č. 106/1999 Sb., o svobodném přístupu k informacím). Zavádí se zde (lépe řečeno nezabraňuje se jí) určitá asymetrie do povinností zaměstnavatele podle toho, o jakého zaměstnavatele se jedná a jaké jiné informační povinnosti tento zaměstnavatel má s ohledem na charakter organizace a úlohu ve společenském systému.

Zákon č. 101/2000 Sb. dále uvádí, že pokud správce zpracovává osobní údaje nezbytné pro ochranu svých práv, je povinen bez zbytečného odkladu subjekt údajů informovat o tomto postupu. Protože tento případ nepatří mezi výše uvedené výjimky, lze takové ustanovení pokládat za v jistém smyslu nadbytečné. Zákonodárce tím chtěl patrně zdůraznit význam této povinnosti sdělením právě tohoto účelu zpracovávání dat (což není explicitně vyjmenováno v obsahu běžně podávané informace), případně chtěl zabránit neposkytnutí takové informace tehdy, kdyby hypoteticky došlo k souběhu s některou z výjimek.

 

 

 

 

 

5.4.         Oznamovací povinnost

 

Obecně platí, že osobní údaje lze zpracovávat pouze na základě svolení tzv. orgánu dozoru. Smyslem tohoto ustanovení bylo vytvořit podmínky jak pro efektivní kontrolu zpracování osobních údajů v jeho vlastním průběhu, tak v lepším případě i pro předcházení případných protiprávních zásahů do práv subjektů údajů. Za tímto účelem zákon stanovil povinnost tomu, kdo hodlá zpracovávat osobní údaje (ještě není správcem ve smyslu zákona), takovou skutečnost oznámit Úřadu pro ochranu osobních údajů, a to zásadně před zahájením zpracování. Totéž platí i v případě, kdy správce hodlá změnit již dosavadní (třeba i Úřadu oznámené) zpracování osobních údajů v jakémkoliv z podstatných rysů.

Takové oznámení zásadně podává správce jako subjekt odpovědný za zpracování a nikoliv zpracovatel, protože práva a povinnosti zpracovatele jsou teprve od správce odvozeny. Oznámení se zásadně podává písemně a musí obsahuje následující informace:

·        název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,

·        účel nebo účely zpracování,

·        kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

·        zdroje osobních údajů,

·        popis způsobu zpracování osobních údajů,

·        příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,

·        předpokládané přenosy osobních údajů do jiných států,

·        popis opatření k zajištění požadované ochrany osobních údajů dle toho zákona,

·        propojení na jiné správce.

Úřad byl současně zmocněn vyhláškou stanovit podrobnosti týkající se obsahu takového oznámení. Pro zjednodušení práce při realizaci tohoto úkolu je ohlašovací povinnost uskutečňována formou speciálních formulářů typu dotazníku, které jsou fyzicky k dispozici na finančních úřadech (elektronicky je zasílat nelze), posléze opticky snímány a převáděny do elektronické podoby.[54]

Úřad je pak povinen do 30 dnů od doručení oznámení  oznamovateli sdělit, že jeho oznámení registruje (zde se jedná pouze o sdělení této skutečnosti, nikoliv o konstitutivní rozhodnutí podle správního řádu), nebo vydat rozhodnutí, kterým zpracování osobních údajů nepovolí pro nesplnění podmínek. Pokud Úřad oznámení zaregistroval, může teprve dnem registrace oznamovatel zahájit zpracování osobních údajů. Zejména v první fázi registrací bylo pro značný nápor této práce velmi využíváno specifické ustanovení, podle nějž, jestliže Úřad ve třicetidenní lhůtě oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval.

K tomu, aby Úřad oznámení nezaregistroval, existuje několik zákonných důvodů. Zcela jednoznačným důvodem pro nepovolení zpracování osobních údajů je zjištění, že oznamovatel nesplňuje podmínky stanovené tímto zákonem. Toto konstatování je však značně obecného druhu a prakticky nemusí být vždy zcela objektivně ověřitelné na základě zaškrtáním možností na vyplněném formuláři. Častějším problémem bude, pokud oznámení neobsahuje všechny požadované informace. V takové situaci je však Úřad povinen oznamovatele vyzvat k jejich doplnění a stanovit mu k tomu lhůtu. A konečně vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, je opět Úřad povinen podle povahy takové obavy buď oznamovatele vyzvat, aby oznámení ve stanovené lhůtě doplnil, nebo může sám provést šetření na místě samém. Taková obava však musí být důvodná. Může být dána jak povahou osobních údajů (Úřad zpravidla zvláště vyžaduje vysvětlení ohledně zpracování citlivých údajů), tak způsobem jejich zpracovávání, technickou úrovní vybavení oznamovatele, nelegálním účelem a dalšími okolnostmi, a ponechává se Úřadu, aby posoudil míru rizika. Po uplynutí příslušné lhůty v závislosti na reakci žadatele či vlastních zjištěních Úřad buď oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.

Dokonce až třetí novelou v pořadí, zákonem č. 450/2001 Sb., byly do zákona o ochraně osobních údajů doplněny mechanismy působící v opačném směru, tj. možnosti zrušení registrace již zaregistrovaného zpracování osobních údajů v případě, že správce porušuje podmínky stanovené zákonem. Totéž platí i pro dodatečně doplněnou možnost zrušit registraci v případě zpracování osobních údajů, u nějž pominul účel, pro nějž bylo zaregistrováno. V takovém případě může být iniciátorem návrhu na zrušení registrace jak sám správce, tak může Úřad tento úkon provést z vlastního podnětu.

S ohledem na často problematický charakter a průběh ukončování činnosti správců osobních údajů jako takové (ať již se jedná o podnikatelskou činnost fyzických osob či existenci právnických osob vůbec), je v zákoně pamatováno i na řešení souvisejících problémů. Správce, který hodlá ukončit svou činnost a má u Úřadu registrovaná zpracování osobních údajů, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji zde zpracovávanými.

Stejně jako v předchozích případech je však obecná oznamovací povinnost ze zřetelehodných důvodů zeslabována. Obdobně jako v předchozí části se oznamovací povinnost nevztahuje na zpracování osobních údajů, které jsou součástí evidencí veřejně přístupných, respektive je prováděno politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu. Při značné dávce fantazie by snad bylo možné zkonstruovat situaci, na niž by bylo tyto výjimky možné aplikovat v pracovněprávní oblasti, ale rozhodně by to byl zcela extrémně výjimečný případ.

Realistickou výjimkou naopak jsou zpracování osobních údajů, která jsou správci uložena zákonem nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů. Jako příklady jsou zde sice uvedeny zákon č. 153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č. 61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů,ve znění pozdějších předpisů a zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů a zákon č. 158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001. Ovšem z dikce tohoto ustanovení vyplývá, že jedná o veškeré zákony, které mohou být motivem či rámcem pro konkrétní zpracování osobních údajů a tedy jejich kontrola Úřadem není oznámením ovlivněna.

Srovnejme, že v zákoně č. 256/1992 Sb. se předpokládaly registrace pouze těch informačních systémů (zpracování osobních údajů), které obsahovaly citlivé údaje. Svého druhu obdobný rozsah stanoví i aktuální slovenský zákon č. 428/2002 Z. z., podle nějž registraci podléhají informační systémy, v nichž se zpracovávají buď citlivé údaje nebo osobní údaje, které jsou předmětem přeshraničního toku, nebo když osobní údaje zpracovává „sprostredkovateľ“ (obdoba „zpracovatele“ dle českého práva). Již pouze ze srovnání uvedených definic vyplývá, že aktuální český zákon předpokládá poměrně širší okruh zpracování osobních údajů, které oznamovací povinnosti podléhají.

 

 

 

5.5.         Předávání osobních údajů do zahraničí

 

Zejména s otevíráním trhu práce roste význam předávání údajů do zahraničí, přičemž se v daném případě může jednat o datovou komunikaci nejrůznějšího typu mezi zaměstnavateli a zaměstnanci, sídly zaměstnavatelských organizací a jejich pobočkami, předávání dat o zaměstnancích veřejnoprávním orgánům jiných států i nejrůznější další způsoby. Zmiňovaný zahraniční prvek není dán pouze například státním občanstvím zaměstnance, respektive domicilem zaměstnavatele jakožto právnické osoby, ale je sem nutno zahrnout jak zcela fyzické teritoriální umístění materializovaných osobních údajů, tak i jejich dostupnost ze států, kde platí právní normy s příslušnou územní působností (tedy třeba i jejich dostupnost prostřednictvím internetu).

Obecně platí, že z České republiky do jiných států mohou být osobní údaje předány pouze tehdy, když právní úprava cílového státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v českém zákoně č. 101/2000 Sb. Prakticky ovšem nepůjde o individuální posuzování dílčích ustanovení jednotlivých zahraničních právních norem, ale v zásadě o kompatibilitu právního prostředí uvedených států s Úmluvou ETS č. 108 a Směrnicí č. 95/46/EC, kterou z úřední povinnosti na základě svých institucionálních kontaktů a vazeb posoudí Úřad pro ochranu osobních údajů a výsledek pro jednotlivé státy patřičným způsobem oznamuje. Toto pravidlo je stanoveno ve vztahu ke zcela obecnému adresátovi a tedy se týká jak správců či zpracovatelů osobních údajů, tak subjektů osobních údajů samotných. A zatímco subjekt údajů nelze za nezákonné zacházení se svými údaji účinně postihnout, svědčí uvedené pravidlo zejména správcům osobních údajů.

Tím však není a ani nemůže být řečeno, že se osobní data mohou vždy a všech okolností legálně pohybovat pouze v omezeném prostoru vymezeném příbuzným právem. Zákon proto stanoví výjimky, při jejichž nastoupení lze osobní údaje předávat i do těch států, které výše uvedené podmínky nesplňují. Jedná se o specifické situace, kdy:

·        předávání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, který je oprávněn jej učinit,

·        je to nezbytné k ochraně práv nebo uplatňování nároků subjektu údajů,

·        jde o osobní údaje, které jsou součástí evidencí veřejně přístupných nebo přístupných těm, kdo prokáží právní zájem, avšak jen pokud se týče individuálně určeného údaje nebo údajů,

·        předávání vyplývá z mezinárodní smlouvy, jíž je Česká republika vázána,

·        předávání je nutné pro uzavření smlouvy mezi subjektem údajů a správcem nebo smlouvy, která je uzavírána v zájmu subjektu údajů,

·        je to nezbytné pro záchranu života nebo pro poskytnutí zdravotní péče subjektu údajů, nebo

·        tak stanoví zvláštní zákon (v poznámce se v této souvislosti zmiňuje explicitně zákon č. 227/2000 Sb., o elektronickém podpisu).

Vztáhneme-li uvedené výjimky na případ personálních evidencí apod., vyplývá z tohoto přehledu, že například česká filiálka zahraniční společnosti se sídlem v „nebezpečném státě“ může do své centrály posílat osobní údaje zaměstnanců pouze s jejich souhlasem.

Kromě vyjmenovaných výjimek zaměřených na důvody přeshraničního transportu dat může být předávání osobních údajů uskutečňováno v podstatě z jakéhokoliv důvodu, ovšem provázených ještě tvrdšími předpoklady – musí se tak dít ve prospěch subjektu údajů a mezi správcem a přijímacím subjektem musí být uzavřena smlouva, z níž vyplývá, že přijímací strana zajistí požadovanou ochranu osobních údajů.

Před vlastním předáváním osobních údajů do zahraničí je zaměstnavatel povinen požádat Úřad pro ochranu osobních údajů o povolení k předání nebo předávání osobních údajů do jiných států. (Opět se zde nepředpokládá, že by o toto povolení žádal subjekt údajů sám.) O takové žádosti je Úřad povinen rozhodnout bezodkladně, a to nejpozději do sedmi kalendářních dnů. Navíc je zde obdobná podmínka jako v případě registrací – při marném uplynutí sedmidenní lhůty, pokud v této lhůtě není rozhodnutí vydáno, má se za to, že Úřad s předáním osobních údajů souhlasí, a to v rozsahu žádosti, zejména tedy na dobu, která je v žádosti uvedena. Pamatuje se zde i na speciální případ, kdy by například v souvislosti se záchranou života či poskytnutí zdravotní péče subjektu údajů hrozilo nebezpečí z prodlení. V tomto případě zákon neučinil výjimku z nutnosti získat povolení, jak by se možná dalo přirozeněji předpokládat, ale uložil Úřadu vydat rozhodnutí neprodleně. Rozhodnutí Úřadu o předávání osobních údajů musí stanovit rovněž dobu, po kterou může správce údaje do zahraničí předávat. Rovněž, pokud správce poruší povinnosti stanovené tímto zákonem, je Úřad povinen toto povolení odejmout. S ohledem na charakter práv chráněných těmito ustanoveními, kdy by v mezidobí od vydání zamítavého rozhodnutí do vyřešení odvolání žadatele mohlo dojít právě k tomu následku, který nebyl rozhodnutím povolen, nemají odvolání proti jakýmkoliv rozhodnutím v těchto věcech odkladný účinek. Navíc zákon z povinnosti získat uvedené povolení zná pouze dva druhy výjimek, a to pro případ, kdy tak přímo stanoví zvláštní zákon (uveden příkladmý odkaz na zákon č. 153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č. 61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů) nebo by předávání vyplývalo z mezinárodní smlouvy, kterou je Česká republika vázána.

 


6.                POVINNOSTI VZTAHUJÍCÍ SE K JEDNOTLIVÝM DRUHŮM OSOBnÍCH ÚDAJŮ

 

Z textu v předchozí kapitole zejména vyplynulo, že za určitých podmínek má zaměstnavatel právo si někdy i podstatně zjednodušit vlastní situaci při zpracovávání osobních údajů, a to když s ohledem na jejich vlastnosti, smysl, účel zpracování a obdobné okolnosti může využít některé s výjimek, které mu umožní de facto se vyhnout plnění některých (v klasickém případě nutných obecných) povinností.

Svým způsobem nejpohodlnější je taková situace, kdy zaměstnavatel koná zpracování osobních údajů, které je upraveno zvláštním zákonem nebo je-li to nutné pro plnění povinností stanovených takovým zákonem. Pak:

·        nemusí získat souhlas subjektu údajů,

·        nemusí subjekt údajů informovat ani

·        nemá registrační povinnost pro takové zpracování osobních údajů.

Obdobně by se mohl zaměstnavatel zachovat, kdyby hypoteticky zpracovával pouze oprávněně zveřejněné osobní údaje.

            V případě, že se by se jednalo o zpracování osobních údajů nezbytné pro oprávněnou činnost politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností, pak by zaměstnavatel:

·        nemusel získat souhlas subjektu údajů,

·        neměl registrační povinnost pro takové zpracování osobních údajů

·        a pouze musel subjekt údajů o zpracování údajů nějakou cestou informovat.

            Jednalo-li by se o zpracování osobních údajů určené pro statistické a vědecké účely, pak by správce:

·        nemusel získat souhlas subjektu údajů,

·        nemusel subjekt údajů informovat a

·        zbyla by mu pouze registrační povinnost pro takové zpracování osobních údajů.

Mezi takovými kombinacemi důvodů je důležitá i ta situace, kdy zaměstnavatel koná pro ochranu svých vlastních práv. V takovém případě by:

·        nemusel získat souhlas subjektu údajů,

·        musel subjekt údajů o takovém zpracování údajů informovat a

·        měl také registrační povinnost pro toto zpracování osobních údajů.

A konečně, pokud se zpracování osobních údajů se děje se souhlasem subjektu údajů (případně i výslovným a informovaným):

·        nemá zaměstnavatel povinnost subjekt údajů informovat,

·        ale tato skutečnost jej nezbavuje registrační povinnosti.

Výše uvedeného lze ovšem využít vždy pouze tehdy, platí-li takové podmínky na všechny zpracovávané údaje. Jakýkoliv sběr a zpracování údajů byť jen jediného údaje nad rámec rozsahu pokrytého výjimkami již znamená, že výše uvedené povinnosti zaměstnavatel musí splnit (byť by to bylo vůči tomuto jedinému údaji).

Motivy pro takové výjimky a současně pro hledání jejich aplikace v konkrétních situacích však není třeba hledat primárně v nechuti přiznat subjektům údajů jejich obecná nezadatelná práva. Celý systém právních vztahů chránících osobní údaje obsažený uvnitř mnohem širšího spektra nejrůznějších jiných právních vztahů musí být systémově provázaný a logicky kompaktní natolik, aby současně umožnil odpovídající ochranu všem chráněným vztahům a zájmům a zejména pak, aby v se něm nevytvářely neřešitelné kolize. Typickým příkladem by byl stav, kdy by zaměstnavatel byl povinen o zaměstnanci poskytovat státnímu orgánu informace, které by měl právo zpracovávat výhradně se souhlasem zaměstnance, přičemž by daný zaměstnanec předmětný souhlas odmítl dát. Z opačného pohledu lze za kolizní situaci považovat, kdy zaměstnavatel sbírá a zpracovává kvanta informací bez odpovídajícího důvodu s odvoláním na nadneseně široké výklady ustanovení libovolných právních norem, které mu pro daný účel podle jeho názoru patřičné zdůvodnění k reálně protiprávnímu jednání poskytují.

V následujícím textu se proto zaměříme na jednotlivé typické položky personálních evidencí právě s ohledem na nalezení příslušných typů oprávnění k jejich zpracovávání.

 

6.1.         Osobní údaje nezávislé na pracovněprávním vztahu

 

6.1.1.     Základní identifikační údaje

 

V tomto případě se přirozeně jedná o osobní údaje nezbytné k tomu, aby vůbec mohl vzniknout jakýkoliv typ pracovněprávního vztahu, tj. aby byla jednoznačně identifikována osoba, která na straně zaměstnance uzavřela patřičnou smlouvu či dohodu, byla zvolena či jmenována do funkce. Taková osoba musí být zcela jednoznačně určena jak z povahy pracovněprávního vztahu, který sám o sobě předpokládá osobní výkon práce, tak i z povahy vztahů smluvních. Pro takové jednoznačné určení lze samozřejmě použít obdobné identifikátory jako u pojmů identifikovanosti či identifikovatelnosti dle zákona č. 101/2000 Sb. Ve většině případů by obecně měla postačovala tzv. přímá identifikace, tedy určení zaměstnance jménem, příjmením a adresou. Je pravda, že v některých specifických případech tato minimální konfigurace nemusí postačovat ke zcela jasné identifikaci (například více generací jedné rodiny a téhož jména a příjmení bydlících na stejné adrese). V takovém případě lze jako další identifikátory přidat datum narození či případné akademické tituly. A konečně (i když zřejmě v naprostém minimu případů) teoreticky nemusí stačit ani tato identifikace a bude nutné dodat ještě další identifikátor.

Takovým, v českém právu poněkud specifickým, široce diskutovaným, z mnoha důvodů kontroverzním, ale nejčastěji používaným identifikátorem je rodné číslo. Je to osobní údaj výjimečným tím, že je záměrně jedinečným identifikátorem, které člověk během svého života nemění. Bylo zavedeno vyhláškou Federálního statistického úřadu č. 55/1976 Sb., o rodném čísle, jeho smyslem byla právě tato jednoznačná identifikace a mělo být používáno především pro komunikaci občana se státem. Postupně se díky této své ideální vlastnosti jeho praktické používání značně rozšířilo na velkou většinu evidencí, ať již elektronických, tak manuálně vedených. Toto rozšíření se však s postupující elektronizací a potenciálními možnostmi propojování dílčích evidencí stalo naopak nevýhodou, zejména z hlediska ochrany osobních údajů jednotlivce, protože právě užitím rodného čísla jako jednotného identifikátoru mohou být neoprávněným osobám o konkrétním jednotlivci zpřístupněny natolik komplexní informace, ke kterým by se za jiných okolností dostat neměly a nemohly. V současnosti problematiku rodných čísel uceleně upravuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných čísel a o změně některých zákonů (zákon o evidenci obyvatel). Rodné číslo je zde definováno jako desetimístné číslo, které je dělitelné jedenácti beze zbytku. První dvojčíslí vyjadřuje poslední dvě číslice roku narození, druhé dvojčíslí vyjadřuje měsíc narození, u žen zvýšené o 50, třetí dvojčíslí vyjadřuje den narození, přičemž čtyřmístná koncovka je rozlišujícím znakem obyvatel narozených v témže kalendářním dnu. Rodná čísla přidělená obyvatelům narozeným před 1. lednem 1954 jsou devítimístná s třímístnou koncovkou. Tento zákon však na rozdíl od předchozí právní úpravy předpokládá přidělování rodných čísel pouze občanům České republiky, cizincům žádajícím o povolení k pobytu na území České republiky a osobám, kterým byl udělen azyl na území České republiky, což však rozhodně nejsou všechny osoby, které mohou vstupovat do pracovněprávních vztahů na straně zaměstnance.

Z výše uvedeného tak můžeme vyvodit, že jen z důvodu jednoznačné identifikovatelnosti zaměstnance má zaměstnavatel nejen právo, ale v podstatě i povinnost, o něm evidovat bez ohledu na jeho souhlas

·        jméno,

·        příjmení,

·        akademické tituly,

·        identifikaci bydliště,

·        datum narození nebo rodné číslo.

Přímo ve svých explicitních ustanoveních Zákoník práce až do 31. prosince 2000 dokonce pojmy jméno, příjmení a rodné číslo vůbec nezmiňuje a objevují se zde až v souvislosti s novelou provedenou zákonem č. 155/2000 Sb., která doplnila § 134c, kde se v odst. 4 uvádí struktura informací, které je zaměstnavatel povinen vést o kontrolovaných pásmech a zaměstnancích, kteří vstupují do kontrolovaných pásem nebo zde konají práce s azbestem, chemickými karcinogeny a podobnými látkami. To je ovšem případ ne příliš častý.

Avšak zcela obecnou působnost vůči všem zaměstnavatelům má zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, který v § 37 odst. 1 ukládá, aby evidence, kterou organizace vede o občanech pro účely důchodového pojištění, mimo jiné obsahovala příjmení (včetně všech dřívějších příjmení), jméno a rodné číslo. Tentýž zákon upravuje v § 22 evidenci, kterou organizace vede o zaměstnancích pro účely nemocenského pojištění, a ta opět musí obsahovat mimo jiné jméno, příjmení a rodné číslo. Totéž pak vyplývá i z § 41 odst. 2 týkajícího se hlášení o zaměstnávání důchodců, které rovněž musí obsahovat příjmení, jméno a rodné číslo.

 Další norma, zákon č. 586/1992 Sb., o daních z příjmů, v § 38j ukládá plátcům daně z příjmů fyzických osob ze závislé činnosti a z funkčních požitků vést pro poplatníky, z jejichž mezd sráží zálohy, mzdové listy, který musí obsahovat mimo jiné poplatníkovo jméno a příjmení, též dřívější, a rodné číslo. A konečně zpracování jednoznačné identifikace zaměstnance jménem, příjmením a rodným číslem lze vyvodit i z § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů.

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas:

·        jméno, příjmení, rodné a všechna další předcházející příjmení[55] a

·        rodné číslo[56]

a to vše vlastně po celou dobu, kdy o zaměstnanci oprávněně eviduje alespoň jediný další údaj.

Svým způsobem problematické by však mohlo být zpracování údaje o akademickém titulu zaměstnance, přinejmenším proto, že žádná z předchozích norem se o něm přímo nezmiňuje (přitom jej předpokládá například aktuální formulář daňového přiznání). V českém platném právu pak akademické tituly upravuje pouze zákon o vysokých školách[57], který se vztahuje v podstatě pouze k aktuálně udělovaným vysokoškolským titulům, neupravuje však jejich užívání, případné substituce aj., stejně jako nezakazuje užívání některých titulů. V praxi v tomto případě nezbývá, než evidenci akademických titulů podřídit souhlasu zaměstnance, zpravidla s paralelní kontrolou oprávněnosti jeho užívání.

 

6.1.2.     Datum a místo narození

 

Jak bylo uvedeno v předchozí podkapitole, z rodného čísla lze lehce získat informaci o datu narození zaměstnance, takže v převládající situaci by se existence zvláštního údaje v personálních evidencích mohla zdát zbytečná. Nicméně nejméně v případě cizích státních příslušníků nemusí být rodné číslo vždy přiděleno a nezbývá, než takovou informaci evidovat zvlášť.

Obdobně jako v předchozím případě i zde všem zaměstnavatelům zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, dle § 22 v evidenci, kterou organizace vede o zaměstnancích pro účely nemocenského pojištění, i dle 37 odst. 1 v evidenci, kterou organizace vede o občanech pro účely důchodového pojištění, ukládá mimo jiné vést u všech zaměstnanců datum a místo narození zaměstnance.

Podpůrně povinnost evidovat datum narození plyne přímo z několika ustanovení Zákoníku práce[58], která používají věk jako kritérium nabývání některých práv či povinností na jedné nebo druhé straně pracovněprávních vztahů.

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas:

·        datum narození a místo narození[59],

a to s ohledem na § 31 zákona č. 563/1991 Sb., o účetnictví, na takovou dobu, aby i po uplynutí obvyklých uschovacích dob byly zajištěny požadavky vyplývající z jejich použití pro uvedené účely.

 

6.1.3.     Bydliště

 

Evidence bydliště jako jednoho z podstatných identifikátorů jednoznačnosti subjektu na straně zaměstnavatele již byla zmíněna v předchozím textu. Ovšem smysl této položky je ještě podstatně širší.

Povinnost evidovat bydliště vyplývá přímo ze Zákoníku práce. Podle § 46 odst. 2 zaměstnavatel může dát zaměstnanci výpověď, pokud nejde o výpověď pro porušení pracovní kázně nebo z důvodu, pro který lze okamžitě zrušit pracovní poměr, pouze tehdy, jestliže

a) nemá možnost ho dále zaměstnávat v místě, které bylo sjednáno jako místo výkonu práce, ani v místě jeho bydliště, a to ani po předchozí průpravě,

b) zaměstnanec není ochoten přejít na jinou pro něho vhodnou práci, kterou mu zaměstnavatel nabídl v místě, které bylo sjednáno jako místo výkonu práce, nebo v jeho bydlišti, nebo podrobit se předchozí průpravě pro tuto jinou práci.

Dále podle ustanovení § 154 odst. 1 mohou být těhotné ženy a ženy pečující o děti do věku osmi let smějí být vysílány na pracovní cestu mimo obvod obce svého pracoviště nebo bydliště jen se svým souhlasem. A konečně pak podle § 253 odst. 1 nárok je třeba uspokojit na místě určeném tímto zákoníkem nebo dohodou účastníků. Není-li místo plnění takto určeno, je jím bydliště nebo sídlo toho, jehož nárok má být uspokojen.

Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, dle § 22 v evidenci, kterou organizace vede o zaměstnancích pro účely nemocenského pojištění, dle § 37 odst. 1 v evidenci, kterou organizace vede o občanech pro účely důchodového pojištění, a konečně dle § 41 odst. 2 týkajícího se hlášení o zaměstnávání důchodců požaduje vést údaj o místu trvalého pobytu, respektive zasílat příslušná hlášení okresní správě sociálního zabezpečení dle místa trvalého pobytu zaměstnance.

Zákon č. 119/1992 Sb., o cestovních náhradách, využívá informaci o místu pobytu, na nějž může být dle § 2 odst. 3 za určitých okolností vázáno místo pravidelného pracoviště a v případě provádění úkonů v rámci dohody o provedení práce mimo místo pobytu, poskytovány cestovní náhrady. Navíc zde zákon ve vazbě na § 4 a § 11 předpokládá znalost místa pobytu rodiny, a to pro vyplácení náhrad při jejích návštěvách.

Podle § 6 odst. 9 písm. l) zákona č. 586/1992 Sb., o daních z příjmů, je od daně osvobozena hodnota přechodného ubytování, nejde-li o ubytování při pracovní cestě, poskytovaná jako nepeněžní plnění zaměstnavatelem zaměstnancům v souvislosti s výkonem práce, pokud obec přechodného ubytování není shodná s obcí, kde má zaměstnanec bydliště.

Ze všech předchozích případů lze vyvodit obecnou povinnost evidovat bydliště u všech zaměstnanců. Navíc platí speciální podmínka v případě cizinců, kdy podle § 2b odst. 1 zákona č. 1/1991 Sb., o zaměstnanosti, lze povolení k zaměstnání vydat cizinci, který bude zaměstnán v příhraniční oblasti České republiky a nejméně jednou za kalendářní týden se vrací do státu sousedícího s Českou republikou, kde má své bydliště a jehož je příslušníkem (přičemž příhraniční oblastí České republiky se rozumí území okresu přiléhajícího ke státním hranicím).

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas:

·        stát + kraj + okres + obec + část obce + ulice + číslo popisné + číslo orientační[60] + poštovní směrovací číslo[61],

a to s ohledem na § 31 zákona č. 563/1991 Sb., o účetnictví, na takovou dobu, aby i po uplynutí obvyklých uschovacích dob byly zajištěny požadavky vyplývající z jejich použití pro uvedené účely.

 

6.1.4.     Fotografie zaměstnance

 

Značně problematickou a diskutovanou kategorií osobních údajů může být fotografie zaměstnance. Zde není bez zajímavosti, že se jedná o jeden z mála typů osobních údajů, které jakožto druh sám o sobě mají stanovený obecný režim nakládání s nimi. A to dokonce režim o několik desítek let starší, než samotná právní úprava ochrany osobních údajů. Fotografii totiž zmiňuje přímo zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, v § 11 a následujících, v pasáži týkající se ochrany osobnosti. Přesněji je zmiňována v § 12 odst. 1 pod obecným pojmem „obrazový snímek týkající se fyzické osoby“, kde se současně stanoví, že smí být pořízena nebo použita jen se svolením této osoby. Výjimky z tohoto ustanovení uvedené pak v následujících odstavcích se vztahují na užití k účelům úředním na základě zákona, případně na pořízení a použití přiměřeným způsobem pro vědecké a umělecké účely a pro tiskové, filmové, rozhlasové a televizní zpravodajství.

Je evidentní, že pro aplikaci téměř všech z vyjmenovaných výjimek v personálních evidencích běžného zaměstnavatele budeme velmi obtížně hledat zdůvodnění. Tento názor lze podpořit i rozhodnutím Ústavního soudu III. ÚS 256/01 ze dne 21. března 2002  ve věci  ústavní stížnosti JUDr. L.  K. a I. M., za účasti vedlejšího  účastníka České republiky – Ministerstva vnitra  České  republiky,  proti  rozsudku  Vrchního soudu v Praze ze dne  6. února 2001,  sp. zn. 1 Co  291/2000 a  1 Co  293/2000, o ochranu  osobnosti, a  o vyslovení povinnosti  dle §  82 odst. 3 písm. b) zák. č. 182/1993 Sb.,  ve  znění  pozdějších předpisů, a ve věci návrhu na vydání předběžného opatření. Zde se mimo jiné uvádí, že zákonnou  licenci  ve  smyslu  § 12 odst. 2 Občanského zákoníku lze považovat za ústavně souladnou  toliko tehdy, nelze-li sledovaného úředního účelu dosáhnout použitím podobizen se souhlasem dotčených osob, tj. akceptace ustanovení § 12  odst. 2 Občanského zákoníku ve vztahu k § 12 odst. 1 Občanského zákoníku za podmínky subsidiarity. Za této situace pak již snad jen velmi volným a širokým výkladem bychom se teoreticky mohli pokusit najít vazbu mezi zákonem (tj. Zákoníkem práce), jeho § 35 odst. 1 písm. b), (tj. „zaměstnanec je povinen … konat osobně práce …“) a § 82, podle nějž je zaměstnavatel oprávněn vydávat pracovní řády, které blíže rozvádí v souladu s právními předpisy ustanovení Zákoníku práce podle zvláštních podmínek u zaměstnavatele a tím tak zkonstruovat povinnost, aby zaměstnavatel mohl například pro svého druhu úřední účel vydávat podnikové průkazky k průchodu vrátnicí opatřené fotografií zaměstnance.

Z pohledu ochrany osobních údajů jakákoliv materializovaná podoba subjektu údajů (a tedy fotografie zvlášť) rozhodně osobním údajem je, a to ještě s některými zvláštními vlastnostmi. Jednou z nich může být poměrně problematické udržování aktuálnosti, když radikální změna podoby může být otázkou ne příliš dlouhé návštěvy kadeřnického salónu. Tatáž vlastnost aktuálnosti se hypoteticky může stát i předmětem sporu – ať již dvacetiletý zaměstnanec doručí svou identickou fotografii použitou před 5 lety na občanském průkazu (kterým se bez problémů dosud prokazuje) nebo mnohonásobně opakované pokusy o vyfotografování nefotogenického zaměstnance, který nikdy nebude spokojen s podobou své fotografie. Současně se v literatuře se občas diskutuje problém, zda by fotografie třeba nemohla také plnit úlohu toho osobního údaje, který je schopen jednoznačně identifikovat subjekt údajů, aniž by k němu byla současně známa jiná identifikující data.

V krátké době se navíc ustálil výklad, že fotografie je dokonce citlivým údajem, protože z ní lze s jistou mírou pravděpodobnosti určit mimo jiné rasový nebo etnický původ osob. A za této situace v případě běžného zaměstnavatele již v podstatě nelze nalézt právní normu, která by mohla nahradit kvalifikovaný souhlas zaměstnance se zpracováváním tohoto údaje.

Ovšem znovu je třeba připomenout, že toto vše platí pro zpracování osobních údajů ve smyslu zákona č. 101/2000 Sb., tedy za předpokladu, že s fotografiemi zaměstnavatel provádí systematické operace. Fotografie v jakékoliv podobě získaná například současně s vyplněním vstupního dotazníku a posléze uložená do spisu dostupného minimálnímu okruhu personalistů není v tomto smyslu osobním údajem právě pro absenci systematického zpracování. A totéž vlastně platí i pro výše zmíněný příklad podnikového průkazu, který je navíc dokonce běžně v držení zaměstnance a nikoliv zaměstnavatele.

 

6.1.5.     Státní příslušnost

 

Povinnost evidovat státní občanství plyne opět přímo z § 42 odst. 3 Zákoníku práce, podle nějž pracovní poměr cizince nebo osoby bez státní příslušnosti, pokud k jeho skončení nedošlo již jiným způsobem, končí

a) dnem, kterým má skončit jejich pobyt na území České republiky podle vykonatelného rozhodnutí o odnětí povolení k pobytu,

b) dnem, kterým nabyl právní moci rozsudek ukládající těmto osobám trest vyhoštění z území České republiky.

Navíc z § 2 odst. 2 zákona č. 1/1991 Sb., o zaměstnanosti, vyplývá, že cizinci a osoby bez státní příslušnosti mohou být přijati a zaměstnání na území České republiky mohou vykonávat jen tehdy, jestliže jim bylo uděleno povolení k zaměstnání a povolení k pobytu, pokud zákon nestanoví jinak.

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        typ státního občanství[62], identifikace státu a datum změny státního občanství[63],

a to v průběhu obecné desetileté rozšířené promlčecí lhůty dle § 263 odst. 3 Zákoníku práce od okamžiku ukončení pracovněprávního vztahu.

 

6.1.6.     Rodinný stav a rodinní příslušníci

 

Povinnost evidovat informace týkající se rodinného stavu a dalších rodinných poměrů je vázána na velké množství dílčích ustanovení uvedených v různých právních normách.

Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, dle § 22 v evidenci, kterou organizace vede o zaměstnancích pro účely nemocenského pojištění, a dle § 37 odst. 1 v evidenci, kterou organizace vede o občanech pro účely důchodového pojištění, explicitně požaduje vést údaj o rodinném stavu jakéhokoliv zaměstnance. Nepřímo tato povinnost vyplývá z § 38j zákona 586/1992 Sb., o daních z příjmů, kdy plátci daně z příjmů fyzických osob ze závislé činnosti a z funkčních požitků jsou ve mzdovém listu povinni uvádět jména a rodná čísla osob, které poplatník uplatňuje pro snížení základu daně, výši jednotlivých nezdanitelných částek s uvedením důvodu jejich uznání, a dále v § 38l odst. 1 písm. a) navíc určuje, jakým způsobem zaměstnanec prokazuje zaměstnavateli rodinný stav obecně a tyto konkrétní osoby zvlášť. Nutno připomenout, že v tomto případě by se však jednalo pouze o povinnost v souvislosti s osobami, na něž zaměstnanec uplatňuje příslušné nároky.

Podle § 200 Zákoníku práce peněžité nároky zaměstnance (s výjimkou nároku na náhradu za bolest a za ztížení společenského uplatnění) přecházejí, respektive v případě, že zaměstnanec následkem pracovního úrazu či nemoci z povolání zemřel, jednorázové odškodnění přísluší manželu, dětem a případně rodičům, jestliže s ním žili v době smrti ve společné domácnosti. Informace o existenci těchto rodinných příslušníků, včetně alespoň jejich jednoznačného určení pro účely kontaktu (zpravidla nebude třeba rodné číslo), je zaměstnavatel oprávněn evidovat.

Nejméně kontaktní informace jednoznačně určující zákonného zástupce potřebuje dle § 164 Zákoníku práce k tomu, aby si mohl u mladistvého zaměstnance k uzavření pracovní smlouvy nebo rozvázání takového pracovního poměru dohodou vyjádření zákonného zástupce vyžádat. Obdobně pak výpověď daná mladistvému zaměstnanci i okamžité zrušení pracovního poměru s mladistvým zaměstnancem ze strany zaměstnavatele musí být dány na vědomí též jeho zákonnému zástupci.

Aplikací zákona č. 155/1995 Sb., o důchodovém pojištění, lze u žen vyvodit pro účely stanovení věku odchodu do důchodu, sepisování předstihového řízení i pro vlastní žádosti o důchod povinnost evidovat veškeré děti zaměstnance (jak žijící, tak zemřelé), a to se zcela jednoznačnou identifikací.

Ještě v širším rozsahu lze v této souvislosti použít § 25 zákona č. 54/1956 Sb., o nemocenském pojištění zaměstnanců, který definuje podmínky podpory při ošetřování člena rodiny ve vztahu k dětem mladším 10 let a jiným nemocným členům rodiny žijícím se zaměstnancem ve společné domácnosti. I v tomto případě se předpokládá jednoznačná identifikace.

            Podpůrně lze v této souvislosti použít mnohá ustanovení Zákoníku práce, která upravují speciální práva a povinnosti pro pracovněprávní vztahy žen na mateřské dovolené (§ 48 a 157), rodičů na rodičovské dovolené (§ 158 až 160), žen pečujících o děti mladší 9 měsíců (§ 37), žen pečujících o děti mladší 1 rok (§ 156 a 161), zaměstnanců trvale pečujících o děti mladší 3 let (§ 48 a 53), žen pečujících o děti ve věku do 8 let (§ 154), žen pečujících o děti mladší 15 let (§ 156), osamělých žen pečující o děti, dokud dítě nedosáhlo věku 15 let (§ 47 a 154) a osamělých zaměstnanců pečujících o děti, dokud dítě nedosáhlo věku 15 let (§ 47).

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        rodinný stav

·        jména a rodná čísla dětí

·        jméno a rodné číslo manžela

·        jména a rodná čísla dalších osob žijících ve společné domácnosti

·        jména a další kontaktní údaje rodičů (v případě mladistvých a osamělých)[64],

a to s ohledem na § 31 zákona č. 563/1991 Sb., o účetnictví, na takovou dobu, aby i po uplynutí obvyklých uschovacích dob byly zajištěny požadavky vyplývající z jejich použití pro uvedené účely.

Opět podotkněme, že se jedná obecně o právo bez speciálního souhlasu zpracovávat tyto údaje za předpokladu, že byly pro daný účel poskytnuty.

 

6.1.7.     Údaje o vzdělání a dalších schopnostech

 

Zpracovávání těchto údajů není v obecné působnosti explicitně zmiňováno žádnou právní normou. Nicméně lze tuto možnost celkem přirozeně vyvodit z některých základních pracovněprávních předpisů.

V první řadě se jedná o ustanovení § 4a zákona č. 1/1992 Sb., zákon o mzdě, odměně za pracovní pohotovost a o průměrném výdělku, kde se stanoví zásada poskytovat stejnou mzdu za stejnou práci, přičemž stejnou prací nebo prací stejné hodnoty se rozumí práce stejné nebo srovnatelné složitosti, odpovědnosti a namáhavosti, která se koná ve stejných nebo srovnatelných pracovních podmínkách, při stejných nebo srovnatelných pracovních schopnostech a pracovní způsobilosti zaměstnance a při stejné nebo srovnatelné pracovní výkonnosti a výsledcích práce, a to v pracovním poměru ke stejnému zaměstnavateli.

Současně pak se složitost, odpovědnost a namáhavost práce posuzuje mimo jiné podle stupně vzdělání, rozsahu dalšího vzdělání a praktických znalostí a dovedností požadovaných pro výkon této práce. Obdobný smysl má pro jinou skupinu zaměstnavatelů § 4 zákona č. 143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a v některých dalších organizacích a orgánech, který stanoví zařazování zaměstnanců do platových tříd na základě druhu práce a v jeho rámci rovněž podle plnění kvalifikačních předpokladů či požadavků, pokud byly stanoveny vnitřním platovým předpisem.

Ve speciálních případech lze použít i § 132b Zákoníku práce, který stanoví, že úkoly v prevenci rizik provádí odborně způsobilý zaměstnanec, což konkrétně znamená mimo jiné získání odborného vzdělání. Totéž pak obdobně platí i dle § 134b téhož zákona pro zaměstnance obsluhující technická zařízení, která představují zvýšenou míru ohrožení života a zdraví zaměstnanců, nebo činnosti, které představují zvýšenou míru ohrožení života a zdraví zaměstnanců.

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        stupeň vzdělání a kmenový obor vzdělání[65],

·        studijní program[66],

·        studijní obor[67] [68],

·        datum ukončení,

a to v průběhu obecné desetileté rozšířené promlčecí lhůty dle § 263 odst. 3 Zákoníku práce od okamžiku ukončení pracovněprávního vztahu.

 

6.1.8.     Údaje o praxi a předchozích zaměstnáních

 

V působnosti zaměstnavatelů, kteří se řídí zákonem č. 1/1992 Sb., zákon o mzdě, odměně za pracovní pohotovost a o průměrném výdělku, lze použít (a to pouze ve speciálních případech) opět výše zmíněné § 132b a § 134b Zákoníku práce, který stanoví podmínku splnění odborné praxe pro provádění úkolů v prevenci rizik, obsluhu technických zařízení, která představují zvýšenou míru ohrožení života a zdraví zaměstnanců, nebo činnosti, které představují zvýšenou míru ohrožení života a zdraví zaměstnanců. Dále lze použít § 30 odst. 2 téhož zákona, podle nějž pracovní poměr na dobu určitou nelze sjednat s absolventy středních a vysokých škol, odborných učilišť a učilišť vstupujícími do pracovního poměru na práci odpovídající jejich kvalifikaci, a současně i § 144, dle nějž jsou zaměstnavatelé povinni zabezpečit absolventům středních a vysokých škol v pracovním poměru přiměřenou odbornou praxi k získání praktických zkušeností a znalostí potřebných pro dobrý a spolehlivý výkon práce a pro další odborný růst. Absolventem se přitom rozumí zaměstnanec, jehož celková doba zaměstnání v pracovním nebo obdobném poměru nedosáhla po úspěšném ukončení studia (přípravy) dvou let, přičemž se do této doby nezapočítává doba vojenské základní (náhradní) služby a civilní služby nahrazující tuto službu, doba mateřské a další mateřské dovolené a doba, po kterou zaměstnavatel omluvil nepřítomnost muže v práci, protože mu příslušel rodičovský příspěvek. Oprávněnost zpracování takových informací pro ostatní zaměstnance je nutno řešit jinou cestou.

Relativně pohodlnější situaci mají zaměstnavatelé v působnosti zákona č. 143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a v některých dalších organizacích a orgánech. Ti opět v souladu s § 4 zařazují zaměstnance do platové třídy na základě druhu práce a plnění kvalifikačních předpokladů, popřípadě kvalifikačních požadavků, pokud zaměstnavatel stanovil kvalifikační požadavky vnitřním platovým předpisem. Ty pak jsou ještě upřesněny prováděcích předpisech jako jsou zejména nařízení vlády č. 251/1992 Sb., o platových poměrech zaměstnanců rozpočtových a některých dalších organizací, a nařízení vlády č. 253/1992 Sb., o platových poměrech zaměstnanců orgánů státní správy, některých dalších orgánů a obcí, kde je v obou případech v § 5 upraveno zařazování zaměstnance do platového stupně příslušné platové třídy v závislosti na zápočtu doby rozhodné pro toto zařazení, tj. tzv. započitatelné praxe.

Speciální druh zmocnění evidovat některé specifické informace o zaměstnancích zavedl do českého právního řádu zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů. Stanovil některé další předpoklady pro výkon v §§ 1 – 3 blíže určených funkcí obsazovaných volbou, jmenováním nebo ustanovováním v působnosti zde vyjmenovaných orgánů státní správy, územních správních celků a dalších organizací, vyjádřené povinností doložit některé skutečnosti buď osvědčením[69] vydaným Ministerstvem vnitra České republiky, respektive čestným prohlášením[70]. Dispozitivně mají možnost požádat o vydání osvědčení také vydavatelé periodického tisku a provozovatelé rozhlasového a televizního vysílání, agenturního zpravodajství a audiovizuálních pořadů na základě uděleného oprávnění (licence) ve vztahu k pracovníkům, které zaměstnávají a kteří se podílí na tvorbě myšlenkového obsahu uvedených sdělovacích prostředků.
Oba typy dokladů jsou formulovány v negativním smyslu a jako takové by mohly být pro daný účel chápány jako svým způsobem obdoba negativního výpisu z trestního rejstříku. Z pohledu zaměstnavatele bude ovšem důležitá i evidence skutečností, že dané doklady mu z jakéhokoliv důvodu dodány nebyly, protože to jej opravňuje k různým právním úkonům vůči pracovněprávnímu vztahu s dotyčným zaměstnancem až po úroveň výpovědi.

Pro dané účely lze pro stanovení doby, po níž je zaměstnavatel oprávněn evidovat výše uvedené údaje, použít obecnou desetiletou rozšířenou promlčecí lhůtu dle § 263 odst. 3 Zákoníku práce, a to od okamžiku ukončení pracovněprávního vztahu.

6.1.9.     Informace související se zdravotním stavem zaměstnance

 

Vzhledem k tomu, že osobní údaje o zdravotním stavu subjektu údajů obecně náleží podle definice do kategorie údajů citlivých, je jejich používání v pracovněprávních vztazích úměrně tomu komplikované. Nejprve se však soustřeďme na to, kde je zaměstnavatel ze zákona povinen s takovými údaji pracovat.

V souladu s § 28 Zákoníku práce je ještě před uzavřením pracovní smlouvy zaměstnavatel povinen v případech stanovených orgány státní zdravotní správy (viz § 35a zákona č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů) zajistit, aby se zaměstnanec podrobil vstupní lékařské prohlídce.

Podle § 37 téhož zákona zaměstnavatel je povinen převést zaměstnance na jinou práci,

·        pozbyl-li zaměstnanec vzhledem ke svému zdravotnímu stavu podle lékařského posudku nebo rozhodnutí orgánu státní zdravotní správy nebo sociálního zabezpečení dlouhodobě způsobilost konat dále dosavadní práci

·        nesmí ji konat pro onemocnění nemocí z povolání nebo pro ohrožení touto nemocí, anebo dosáhl-li na pracovišti určeném rozhodnutím příslušného orgánu ochrany veřejného zdraví nejvyšší přípustné expozice,

·        je-li to nutné podle lékařského posudku nebo rozhodnutí orgánu státní zdravotní správy v zájmu ochrany zdraví jiných osob před infekčními nemocemi,

·        koná-li těhotná žena práci, kterou nesmějí být tyto ženy zaměstnávány nebo která podle lékařského posudku ohrožuje její těhotenství nebo mateřské poslání,

·        požádá-li o to těhotná žena, která pracuje v noci.

V souladu s § 46 odst. 1 zaměstnavatel může dát zaměstnanci výpověď mimo jiné pouze z důvodu, pozbyl-li zaměstnanec vzhledem ke svému zdravotnímu stavu podle lékařského posudku nebo rozhodnutí orgánu státní zdravotní správy nebo sociálního zabezpečení dlouhodobě způsobilosti konat dále dosavadní práci nebo ji nesmí konat pro onemocnění nemocí z povolání nebo pro ohrožení touto nemocí, anebo dosáhl-li na pracovišti určeném rozhodnutím příslušného orgánu ochrany veřejného zdraví nejvyšší přípustné expozice. Dle § 47 při výpovědi dané zaměstnanci se změněnou pracovní schopností, který není zabezpečen důchodem, z důvodů uvedených v § 46 odst. 1 písm. c), při výpovědi dané zaměstnanci proto, že nesmí dále konat dosavadní práci pro ohrožení nemocí z povolání a při výpovědi dané pro dosažení nejvyšší přípustné expozice na pracovišti určeném rozhodnutím příslušného orgánu ochrany veřejného zdraví, je zaměstnavatel povinen zajistit těmto zaměstnancům nové vhodné zaměstnání, a to podle potřeby i s pomocí svého nadřízeného orgánu. V těchto případech výpovědní doba skončí teprve tehdy, až zaměstnavatel tuto povinnost splní, pokud se se zaměstnancem nedohodne jinak. Dle § 48 zaměstnavatel nesmí dát zaměstnanci výpověď době, kdy je zaměstnankyně těhotná. V souladu s § 53 zaměstnavatel nemůže okamžitě zrušit pracovní poměr s těhotnou zaměstnankyní. § 50 zaměstnavateli umožní dát pod sankcí neplatnosti výpověď zaměstnanci se změněnou pracovní schopností jen s předchozím souhlasem příslušného orgánu státní správy (s výjimkou zaměstnanců starších než 65 let nebo důvodů uvedených v § 46 odst. 1 písm. a), b) nebo f)).

Podle § 86 zaměstnavatel může se zaměstnancem sjednat v pracovní smlouvě kratší než stanovenou týdenní pracovní dobu ze zdravotních nebo jiných vážných důvodů na straně zaměstnance. Dle § 154 těhotné ženy smějí být vysílány na pracovní cestu mimo obvod obce svého pracoviště nebo bydliště jen se svým souhlasem; přeložit ji může zaměstnavatel jen na jejich žádost. Dle § 156 požádá-li těhotná žena o kratší pracovní dobu nebo o jinou vhodnou úpravu stanovené týdenní pracovní doby, je zaměstnavatel povinen vyhovět její žádosti, nebrání-li tomu vážné provozní důvody. Rovněž zaměstnavatel nesmí zaměstnávat těhotné ženy prací přesčas. Speciální pracovní podmínky pro zaměstnávání osob se změněnou pracovní schopností stanoví zaměstnavateli § 148.

Identifikace, zda konkrétní zaměstnanec je osobou se změněnou pracovní schopností, je podmínkou, aby zaměstnavatel mohl plnit řadu povinností, které mu ukládá § 24 zákona č. 1/1991 Sb., o zaměstnanosti, ve znění pozdějších předpisů.

Navíc pak v souladu s § 132 a následujícími má řadu dalších povinností, které se v zájmu zaměstnanců váží na jejich zdravotní stav v souvislosti s bezpečností a ochranou zdraví při práci.

Na tomto místě je vhodné zabývat se otázkou, zda se jedná vždy o citlivé údaje ve smyslu zákona. V mnohých případech, když například výsledek lékařské prohlídky se omezuje pouze na konstatování, zda je zaměstnanec schopen výkonu určité práce či nikoliv (stejně jako rozhodnutí orgánu státní správy o změněné pracovní schopnosti zaměstnance), je možné se přiklonit k výkladu, že se v takovém případě vůbec nejedná o citlivý údaj o zdravotním stavu. Nicméně v každém z uvedených případů se jedná o zpracování osobního údaje v souladu se zákonem a na základě zákona a zejména k tomu není třeba souhlasu zaměstnance.

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        informaci o případné změněné pracovní schopnosti[71],

·        informace o relaci vykonávané práce ke zdravotnímu stavu zaměstnance[72],

·        těhotenství

a to s ohledem na § 31 zákona č. 563/1991 Sb., o účetnictví, na takovou dobu, aby i po uplynutí obvyklých uschovacích dob byly zajištěny požadavky vyplývající z jejich použití pro uvedené účely.

Na druhou stranu, pokud by chtěl z jakýchkoliv důvodů zaměstnavatel zjišťovat zdravotní stav zaměstnance v průběhu pracovního poměru nad rámec výše uvedených oprávnění, případně mu i zaměstnanec sám předal (zpravidla ve svůj prospěch) libovolná potvrzení či jiné informace o svém zdravotním stavu, jedná se klasickou situaci citlivých údajů bez výhrad a tedy k tomu musí mít poučený souhlas zaměstnance.

 

6.1.10. Údaje o pobírání důchodu

 

Zaměstnavatel je povinen evidovat rovněž informaci o tom, zda je jeho zaměstnanec poživatelem některého druhu důchodu.

Primárně tato povinnost plyne z § 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, podle nějž v evidenci, kterou organizace vede o občanech pro účely důchodového pojištění, musí být záznamy o tom, zda občan pobírá starobní, plný invalidní nebo částečný invalidní důchod a kdo jej vyplácí, druh starobního důchodu a datum vzniku nároku na starobní důchod, popřípadě číslo rozhodnutí o přiznání důchodu, jde-li o poživatele důchodu vypláceného orgány ministerstev obrany, vnitra a spravedlnosti. Podle § 22 téhož zákona evidence, kterou organizace vede o zaměstnancích, musí pro účely nemocenského pojištění obsahovat také záznam, zda zaměstnanec pobírá starobní, plný invalidní nebo částečný invalidní důchod a od kdy jej pobírá.

Podpůrně tuto povinnost obsahuje i Zákoník práce, podle jehož § 47 při výpovědi dané se zaměstnanci změněnou pracovní schopností, který není zabezpečen důchodem, z důvodů uvedených v § 46 odst. 1 písm. c), je zaměstnavatel povinen zajistit těmto zaměstnancům nové vhodné zaměstnání, a to podle potřeby i s pomocí svého nadřízeného orgánu. V těchto případech výpovědní doba skončí teprve tehdy, až zaměstnavatel tuto povinnost splní, pokud se se zaměstnancem nedohodne jinak.

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        druh důchodu, poskytovatel důchodu, datum vzniku nároku, respektive odkdy důchod pobírá[73],

a to s ohledem na § 31 zákona č. 563/1991 Sb., o účetnictví, na takovou dobu, aby i po uplynutí obvyklých uschovacích dob byly zajištěny požadavky vyplývající z jejich použití pro uvedené účely.

 

6.1.11. Údaje o trestné činnosti zaměstnance

 

Takové údaje jsou opět v obecné situaci z definice chápány jako citlivé a z toho důvodu podléhají složitějšímu mechanismu zacházení. Nicméně přímo ze Zákoníku práce plynou některá oprávnění zaměstnavatele, která může realizovat pouze v tom případě, pokud jsou mu známy a tedy je schopen zpracovávat relevantní osobní údaje.

Prvním příkladem bude oprávnění zaměstnavatele uvedené v § 37 převést zaměstnance bez ohledu na jeho souhlas na jinou práci, bylo-li proti němu zahájeno trestní řízení pro podezření z úmyslné trestné činnosti spáchané při plnění pracovních úkolů nebo v přímé souvislosti s ním ke škodě na majetku zaměstnavatele, a to na dobu do pravomocného skončení trestního řízení.

Dále pak v souladu s § 53 zaměstnavatel může okamžitě zrušit pracovní poměr, byl-li zaměstnanec pravomocně odsouzen pro úmyslný trestný čin k nepodmíněnému trestu odnětí svobody na dobu delší než jeden rok, nebo byl-li pravomocně odsouzen pro úmyslný trestný čin spáchaný při plnění pracovních úkolů nebo v přímé souvislosti s ním k nepodmíněnému trestu odnětí svobody na dobu nejméně šesti měsíců.

Poněkud jiným problémem je, když si zaměstnavatel (zpravidla při uzavírání pracovní smlouvy s novým zaměstnancem, respektive při jeho převádění na jinou práci) nechá od zaměstnance předložit výpis z trestního rejstříku. Takový výpis by sám o sobě obsahoval citlivý údaj pouze v případě kladné odpovědi na otázku, zda byl zaměstnanec trestán. Navíc lze předpokládat, že v takovém případě bude pro zaměstnavatele důležitý i další související dokument – opis z rejstříku trestů (například když zaměstnavatel potřebuje zjistit, zda zaměstnanec nebyl odsouzen k zákazu činnosti, kterou by měl v příslušném pracovněprávním vztahu vykonávat). Zde se však jedná o osobní údaj, jehož zpracovávání není uloženo příslušnou právní normou a pak by nastávala povinnost získat k jeho zpracování kvalifikovaný souhlas zaměstnance.

 Negativní výpis z rejstříku trestů citlivým údajem o trestné činnosti rozhodně není a dokonce je s ohledem na jeho omezenou tříměsíční časovou platnost sporné, zda se nejedná pouze o jednorázovou informaci, kterou dokonce dále nemá smysl jako osobní údaj zpracovávat.

Souhrnně tak uvedené zákony zaměstnavateli umožňují o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        informaci o zahájeném trestním řízení pro podezření z úmyslné trestné činnosti spáchané při plnění pracovních úkolů nebo v přímé souvislosti s ním ke škodě na majetku zaměstnavatele[74],

·        výpis z rejstříku trestů[75].

Z povahy věci je pro stanovení doby, po níž je zaměstnavatel oprávněn evidovat výše uvedené údaje, úměrné použití obecné desetileté rozšířené promlčecí lhůty dle § 263 odst. 3 Zákoníku práce, a to od okamžiku ukončení pracovněprávního vztahu.

6.1.12. Vydané publikace

 

Evidence publikací zaměstnance může sloužit za velmi jednoduchý příklad evidence, kde je možné se odvolat na skutečnost, že zaměstnavatel zpracovává oprávněně zveřejněné údaje. Samozřejmě se zde jedná o širší spektrum popisných informací o takových publikacích, nikoliv o obsah těchto textů jako takový. Oprávněnost zveřejnění se bude posuzovat podle ustanovení zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) a rovněž touto normou se bude řídit režim osobnostních a majetkových autorských práv k jednotlivým publikacím.

Zaměstnavateli je tak umožněno o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        identifikační kód nejméně jednoho projektu nebo výzkumného záměru, jehož řešením výsledek vznikl, výčet jmen tvůrců, druh výsledku, popis výsledku, obor výzkumu a vývoje výsledku, stupeň důvěrnosti údajů[76],

a to s ohledem na veřejnost uvedeného údaje zpravidla po neomezenou dobu.

 

6.1.13. Životopis

 

Samotná tato kategorie je poněkud obtížněji popsatelná, protože se z povahy věci samé nejedná o osobní údaj jako takový, ale o více či méně sourodou skupinu osobních údajů, které mohou být různého typu a z toho důvodu mohou požívat i různé ochrany. Navíc i praktický smysl zpracovávání životopisu jako kompaktního textu bude v praxi zřejmě velmi obtížné nalézt.

Jako schůdnější se v tomto případě jeví z životopisu (zpravidla strukturovaného) do jednotlivých evidencí vedených zaměstnavatelem přenést relevantní osobní údaje, jeho vlastní text pokládat za zdroj těchto údajů (navíc podepsaný subjektem údajů), nicméně jako takový jej odložit nejlépe do archivu a dále již nezpracovávat.

 

6.2.         Osobní údaje závislé na pracovněprávním vztahu

 

6.2.1.     Údaje o pracovním poměru

 

Podle § 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, evidence, kterou organizace vede o občanech pro účely důchodového pojištění, obsahuje údaje o vzniku a skončení pracovního poměru nebo jiného vztahu k organizaci, který zakládá účast na důchodovém pojištění, stejně jako dobu výkonu vojenské služby v Armádě České republiky, pokud nejde o vojáky z povolání a vojáky v další službě, a výkonu civilní služby.

§ 22 téhož zákona předpokládá v evidenci, kterou organizace vede o zaměstnancích pro účely nemocenského pojištění, zahrnout:

·        vznik a skončení jeho pracovního vztahu a druh činnosti zakládající jeho účast na nemocenském pojištění,

·        dobu pracovní neschopnosti zaměstnance pro nemoc (úraz), dobu karantény, dobu ošetřování člena rodiny (péče o dítě ve věku do 10 let), dobu mateřské dovolené a rodičovské dovolené, dobu výkonu vojenské a civilní služby zaměstnance, dobu vazby a výkonu trestu odnětí svobody zaměstnance a další dny jeho omluvené nepřítomnosti v práci,

·        neomluvené pracovní dny (směny) zaměstnance, popřípadě jejich části.

Dle § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, je zaměstnavatel povinen nejpozději do osmi dnů provést u příslušné zdravotní pojišťovny oznámení o nástupu zaměstnance do zaměstnání a jeho ukončení a o skutečnostech rozhodných pro povinnost státu platit za zaměstnance pojistné, včetně povinnosti o těchto oznamovaných skutečnostech vést evidenci a dokumentaci[77].

Z § 3 nařízení vlády č. 108/1994 Sb., kterým se provádí některá ustanovení zákoníku práce, ve znění pozdějších předpisů, pak mimo jiné vyplývá povinnost evidovat údaje o dohodě o setrvání v pracovním poměru po určitou dobu po vykonání závěrečné zkoušky nebo maturitní zkoušky, popřípadě po uplynutí doby studia (přípravy), včetně údajů o tom, kdy tato doba skončí, byla-li tato dohoda před 1. červnem 1994 uzavřena.

Pro stanovení doby, po níž je zaměstnavatel oprávněn evidovat výše uvedené údaje, lze použít v nejzazším případě obecnou desetiletou rozšířenou promlčecí lhůtu dle § 263 odst. 3 Zákoníku práce, a to od okamžiku ukončení pracovněprávního vztahu.

 

6.2.2.     Údaje o pracovním zařazení, vykonávaných funkcích a vykonávané práci

 

Povinnost vést konkrétní související evidence byla do Zákoníku práce doplněna až s účinností od 1. ledna 2001. Od toho dne je v souladu s § 94 explicitně stanoveno, že zaměstnavatel je povinen vést evidenci pracovní doby, práce přesčas, pracovní pohotovosti a noční práce u jednotlivých zaměstnanců.

Další typy evidencí však vyplývají z ostatních ustanovení v podstatě nepřímo. Především se jedná o veškeré evidence v souvislosti s dovolenou na zotavenou a dalšími podle § 100 a následujících. Podle § 74 jsou vedoucí zaměstnanci mimo jiné povinni pravidelně hodnotit poměr zaměstnanců k práci a k pracovnímu kolektivu a jejich pracovní výsledky. Z § 3 nařízení vlády č. 108/1994 Sb., kterým se provádí některá ustanovení zákoníku práce, ve znění pozdějších předpisů, pak vyplývá povinnost při skončení pracovního poměru vydat zaměstnanci potvrzení o zaměstnání, kde je třeba mimo jiné uvádět:

·        údaje o zaměstnání,

·        druhu konaných prací,

·        dosažené kvalifikaci,

·        údaje o započitatelné době zaměstnání v I. a II. pracovní kategorii pro účely důchodového zabezpečení za dobu před 1. lednem 1993 a

·        odpracovanou dobu a další skutečnosti rozhodné pro dosažení nejvýše přípustné expoziční doby.

Obdobně jako v předchozí podkapitole lze pro stanovení doby, po níž je zaměstnavatel oprávněn evidovat výše uvedené údaje, použít nanejvýš obecnou desetiletou rozšířenou promlčecí lhůtu dle § 263 odst. 3 Zákoníku práce, a to od okamžiku ukončení pracovněprávního vztahu.

 

6.2.3.     Údaje o mzdě a náhradách mzdy

 

Povinnosti zaměstnavatelů v souvislosti s evidencí mzdy jsou úplně a podrobně popsány v několika právních normách, vždy z pohledu účelu takové normy.

Přímo v § 120 odst. 4 Zákoníku práce je zaměstnavatel zavázán při měsíčním vyúčtování mzdy vydat zaměstnanci písemný doklad obsahující údaje o jednotlivých složkách mzdy a o provedených srážkách a dále na žádost zaměstnance předložit doklady, na jejichž základě byla mzda vypočtena. Dle § 121 lze srážky ze mzdy provést jen na základě dohody o srážkách ze mzdy. Jinak může zaměstnavatel srazit ze mzdy jen

a) zálohu na daň z příjmů fyzických osob,

b) pojistné na sociální zabezpečení, příspěvek na státní politiku zaměstnanosti a pojistné veřejného zdravotního pojištění,

c) zálohu na mzdu, kterou je zaměstnanec povinen vrátit proto, že nebyly splněny podmínky pro přiznání této mzdy,

d) částky postižené výkonem rozhodnutí nařízeným soudem, správním úřadem nebo orgánem zmocněným k tomu zákonem,

e) nevyúčtovanou zálohu na cestovní náhrady,

f) náborové a jiné příspěvky, které byly zaměstnanci vyplaceny v náboru a které je zaměstnanec povinen podle právních předpisů vrátit,

g) náhradu mzdy za dovolenou na zotavenou, na niž zaměstnanec ztratil nárok, popřípadě na niž mu nárok nevznikl,

h) přeplatky na dávkách nemocenského pojištění, důchodového pojištění a státní sociální podpory a neprávem přijaté částky dávek sociálního zabezpečení, pokud je zaměstnanec povinen tyto přeplatky a neprávem přijaté částky vrátit na základě vykonatelného rozhodnutí podle zvláštních právních předpisů.

Dále podle § 3 nařízení vlády č. 108/1994 Sb., kterým se provádí některá ustanovení zákoníku práce, ve znění pozdějších předpisů, jsou součástí Potvrzení o zaměstnání mimo jiné:

·        skutečnosti rozhodné pro posouzení nároků na dávky nemocenského pojištění,

·        zda ze zaměstnancovy mzdy jsou prováděny srážky, v čí prospěch, jak vysoká je pohledávka, pro kterou mají být srážky dále prováděny, jaká je výše dosud provedených srážek a jaké je pořadí pohledávky,

·        údaje o výši průměrného výdělku a o dalších skutečnostech rozhodných pro posouzení nároku na mzdové vyrovnání nebo na hmotné zabezpečení uchazečů o zaměstnání.

§ 38j zákona 586/1992 Sb., o daních z příjmů, předepisuje plátcům daně z příjmů fyzických osob ze závislé činnosti a z funkčních požitků povinnosti vést pro poplatníky, z jejichž mezd sráží zálohy, mzdové listy, rekapitulaci o sražených zálohách a dani srážené podle zvláštní sazby daně za každý kalendářní měsíc i za celé zdaňovací období. Mzdový list musí pro tyto účely obsahovat za každý kalendářní měsíc:

1. úhrn zúčtovaných mezd bez ohledu, zda jsou vypláceny v penězích nebo v naturáliích,

2. částky osvobozené od daně z úhrnu zúčtovaných mezd uvedeného v bodě 1,

3. pojistné,

4. základ pro výpočet zálohy na daň nebo daně podle zvláštní sazby,

5. nezdanitelné částky základu daně,

6. zdanitelnou mzdu,

7. zálohu na daň nebo daň podle zvláštní sazby daně.

Dle § 22 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, musí evidence, kterou organizace vede o zaměstnancích, pro účely nemocenského pojištění obsahovat také příjem zaměstnance a odpracovanou dobu za jednotlivá mzdová (výplatní) období a jednotlivé složky započitatelného příjmu pro stanovení peněžitých dávek a vyplacené dávky a výši odvedeného pojistného na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti. § 37 téhož zákona ukládá v evidenci, kterou organizace vede o občanech pro účely důchodového pojištění, uvádět vyměřovací základ pro stanovení pojistného na sociální zabezpečení za příslušná rozhodná období podle zvláštního zákona a kalendářní dobu, po kterou občan pobíral dávky nemocenského pojištění nahrazující příjem z výdělečné činnosti. Dále je organizace povinna vést evidenci o náhradách za ztrátu na výdělku po skončení pracovní neschopnosti náležející za pracovní úraz (nemoc z povolání), které vyplácí, a vystavuje občanům potvrzení o době a důvodu poskytování těchto náhrad a o výši těchto náhrad vyplacených v jednotlivých kalendářních letech.

Doby, po níž je zaměstnavatel oprávněn a povinen uvedené údaje zpracovávat, se odvozují ze zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů. Až do novely č. 353/2001 Sb., kterým se mění zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, a některé další zákony, zde byla pro tyto účely v § 31 odst. 1 písm. b) stanovena desetiletá uschovací lhůta po roce, jehož se dané doklady týkají, s tím, že v případě údajů potřebných pro účely důchodového zabezpečení a nemocenského pojištění se prodlužuje na 20 let. S účinností od 1. ledna 2002 byla pro tyto účely stanovena obecná pětiletá lhůta, ovšem s výhradou, že použijí-li účetní jednotky účetní záznamy zejména pro účely trestního řízení, opatření proti legalizaci výnosů z trestné činnosti, správního řízení, občanského soudního řízení, daňového řízení, skartačního řízení nebo pro účely sociálního zabezpečení, veřejného zdravotního pojištění anebo pro účely ochrany autorských práv, postupují po uplynutí uschovacích dob dále tak, aby byly zajištěny požadavky vyplývající z jejich použití pro uvedené účely. Takové prodloužení lhůty de facto na nekonečno však neznamená oprávnění či povinnost zpracovávat ve smyslu zákona č. 101/2000 Sb. uvedené údaje trvale. Zaměstnavatel má právo v úměrné době tato data převést do archivu a v něm je podle (zpravidla vnější) potřeby vyhledat.

 

 

6.2.4.     Informace vztahující se k bezpečnosti a ochraně zdraví při práci

 

Zejména Zákoník práce a navazující prováděcí předpisy podrobně upravují evidence, které je zaměstnavatel povinen vést v oblasti bezpečnosti a ochrany zdraví při práci.

Zejména pak podle § 133 je zaměstnavatel povinen vést dokumentaci o školeních, podaných informacích a pokynech v této oblasti, především:

·        informace, do jaké kategorie byla jím vykonávaná práce zařazena,

·        sdělení zaměstnancům, které zdravotnické zařízení jim poskytuje závodní preventivní péči a jakým druhům očkování a jakým lékařským preventivním prohlídkám souvisejícím s výkonem práce jsou povinni se podrobit,

·        školení o právních a ostatních předpisech k zajištění bezpečnosti a ochrany zdraví při práci, které doplňují jejich kvalifikační předpoklady a požadavky pro výkon práce, které se týkají jejich práce a pracoviště,

·        informace a pokyny zaměstnancům o bezpečnosti a ochraně zdraví při práci, zejména formou seznámení s riziky, s výsledky vyhodnocení rizik a s opatřeními na ochranu před působením těchto rizik, která se týkají jejich práce a pracoviště,

·        seznámení těhotných a kojících žen a matek do konce devátého měsíce po porodu s riziky a jejich možnými účinky na těhotenství nebo kojení.

V souladu s § 133c je zaměstnavatel povinen vyhotovovat záznamy a vést dokumentaci o všech pracovních úrazech, jejichž následkem došlo ke zranění zaměstnance s pracovní neschopností delší než tři kalendářní dny, nebo k úmrtí zaměstnance. Dále je povinen vést v knize úrazů evidenci o všech pracovních úrazech, i když jimi nebyla způsobena pracovní neschopnost nebo byla způsobena pracovní neschopnost nepřesahující tři kalendářní dny. V neposlední řadě zaměstnavatel rovněž musí vést evidenci zaměstnanců, u nichž byla uznána nemoc z povolání, která vznikla na pracovištích zaměstnavatele.

            Ve všech těchto případech se v podstatě jedná o specifická použití, která v souladu s § 31 zákona č. 563/1991 Sb., o účetnictví, ukládají uchovat příslušná data i po uplynutí uschovacích dob dále tak, aby byly zajištěny požadavky vyplývající z jejich použití pro uvedené účely.

 

6.2.5.     Informace o další činnosti zaměstnance

 

Zaměstnavatel je za určitých předpokladů oprávněn evidovat přesně specifikované informace o činnosti zaměstnance v jiných pracovněprávních vztazích, případně i jeho vlastní ekonomické aktivity.

Takto přímo z § 75 Zákoníku práce vyplývá, že zaměstnanec může vedle svého zaměstnání vykonávaného v pracovněprávním vztahu vykonávat výdělečnou činnost, která je shodná s předmětem činnosti zaměstnavatele, u něhož je zaměstnán, jen s jeho předchozím písemným souhlasem (to se však netýká vědecké, pedagogické, publicistické, literární a umělecké činnosti). Takový souhlas pak může být kdykoliv písemně odvolán.

Další ustanovení uvedené v § 29 umožňuje v pracovní smlouvě dohodnout, že zaměstnanec nesmí po ustanovenou dobu (nejdéle však jeden rok po skončení pracovního poměru), vykonávat pro jiného zaměstnavatele nebo na vlastní účet činnost, která byla předmětem činnosti zaměstnavatele, nebo jinou činnost, která by měla soutěžní povahu vůči podnikání zaměstnavatele, a to za podmínek, za nichž to lze od zaměstnance spravedlivě požadovat, přičemž za porušení takového závazku může být sjednána přiměřená smluvní pokuta.

Pro výkon výše uvedených oprávnění může zaměstnavatel evidovat vydaná povolení, respektive uzavřené konkurenční doložky, a to nejméně po dobu trvání pracovněprávního vztahu (v prvním případě), respektive na niž byla tato doložka uzavřena (v druhém případě), plus obecnou rozšířenou promlčecí dobu 10 let dle § 263 odst. 3 Zákoníku práce.

 

6.2.6.     Kontaktní údaje zaměstnance

 

Na první pohled triviální problematika oprávněnosti evidovat kontaktní údaje zaměstnance na jeho pracoviště či ve vztahu k jeho pracovnímu poměru nemusí být tak průhledná při detailním rozboru. Zákoník práce ani navazující předpisy uvedené kategorie nikde nezmiňují a z tohoto pohledu by bylo možné se opřít snad jedině o velmi extenzivní výklad ustanovení, z nichž vyplývá nutnost evidence takových informací jako jsou druh práce či pracovní zařazení zaměstnance. Budeme-li se však na tuto otázku dívat z hlediska, že kontakt na konkrétní osobu je pro daný účel až sekundární, zatímco primární je zde do jisté míry odosobněná pracovní funkce (na níž je shodou okolností zařazena ona konkrétní osoba) a ta pracovní funkce musí být spolupracovníkům zevnitř organizace či partnerům a zákazníkům zvenčí organizace dostupná, budou tyto informace výlučně vztaženy na pracovní aktivity, zjevně nebudou vypovídat o soukromém životě zaměstnance a jsou tak vlastně v plné dispozici zaměstnavatele. (Ad absurdum dovedený protipříklad by mohl znamenat, že telefonista na telefonní ústředně odmítne souhlas ke zpracovávání telefonního čísla ústředny podniku a tím vlastně popře smysl pracovní funkce, kterou má vykovávat.)

Z této argumentace by bylo možné odvodit oprávnění o zaměstnanci evidovat bez ohledu na jeho souhlas nejméně:

·        adresu pracoviště,

·        telefonní čísla na pracoviště i služebních mobilních telefonů,

·        čísla faxů na pracoviště,

·        pracovní e-mailové adresy,

a je v tomto smyslu lhostejné, zda jsou tyto informace užity v interním seznamu, seznamu pro veřejnost, na služebních navštívenkách apod., a to zpravidla pouze po dobu trvání příslušného pracovněprávního vztahu.

Zcela jiná situace však platí hned například pro navštívenky zaměstnance, kde by zaměstnavatel hodlal uvádět jeho soukromou adresu, telefon a další údaje. V takovém případě by byl souhlas zaměstnance zcela nezbytný.

 

6.2.7.     Členství v odborech

 

Zde se jedná o osobní údaj, u nějž v průběhu aplikace zákona č. 101/2000 Sb. docházelo snad k největším nejasnostem a diskusím. Jejich hlavním tématem bylo, jak legálně strhávat ze mzdy či platu zaměstnance členské příspěvky pro odborovou organizaci. A to často za situace, kdy zaměstnavatel měl ve své evidenci právě pro tento účel vedenu položku informující o členství zaměstnance v odborech a v kolektivní smlouvě se ke strhávání příspěvků zavázal. Přitom řešení lze nalézt celkem jednoduchým způsobem. Ve skutečnosti se zde primárně nejedná o zpracování citlivého osobního údaje o členství zaměstnance v odborech, ale pouze o realizaci srážky ze mzdy. Zaměstnavatel musí zpracovat pouze údaj z předložené dle § 121 Zákoníku práce řádně uzavřené písemné dohody o srážkách ze mzdy, ze které vyplývá, že zaměstnanec se srážkami ze mzdy souhlasil, v jaké výši a na jaký účet mají být srážky ze mzdy poukázány, a tyto údaje uchovávat po dobu nutnou z pohledu účetních dokladů (zpravidla 5 let). Na informaci o členství v odborech zaměstnavatel sice může ve vysokém procentu případů současně usuzovat, nicméně jednak důvody pro srážky ze mzdy i z věcného hlediska mohou být jakékoliv jiné, jednak tuto informaci pro jiné účely nemusí využívat a tedy ji dále systematicky nezpracovává[78].

Jenomže výše popsaný případ je pouze tou jednodušší částí problému (i když těm ostatním nebyla paradoxně věnována téměř žádná pozornost). Přímo z § 22 odst. 2 Zákoníku práce například vyplývá právo příslušných odborových orgánů vykonávat u zaměstnavatelů kontrolu nad dodržováním pracovněprávních předpisů, vnitřních předpisů a závazků vyplývajících z kolektivních smluv, přičemž jsou oprávněny zejména vyžadovat od vedoucích zaměstnanců potřebné informace a podklady. Rovněž pak dle § 136 odst. 1 odborové orgány mají právo vykonávat kontrolu nad stavem bezpečnosti a ochrany zdraví při práci u jednotlivých zaměstnavatelů. Již pouze toto ustanovení znamená, že jednak zaměstnavatel musí znát jména členů odborového orgánu z řad svých zaměstnanců (aby věděl, komu informace poskytnout), jednak se zde jedná o zákonnou povinnost předávat některé osobní údaje odborové organizaci. Zde je nutno podotknout, že ani zákonné zmocnění dostávat jistá osobní data odborovou organizaci posléze nezbavuje povinnosti obdržené osobní údaje chránit v souladu se zákonem.

Podle § 59 odst. 1 téhož zákona je zaměstnavatel povinen výpověď nebo okamžité zrušení pracovního poměru předem projednat s příslušným odborovým orgánem a podle odst. 2, jde-li o člena příslušného odborového orgánu, který je oprávněn spolurozhodovat se zaměstnavatelem, v době jeho funkčního období a v době jednoho roku po jeho skončení, je zaměstnavatel povinen požádat příslušný odborový orgán dokonce o předchozí souhlas. Toto ustanovení by jej tedy zmocňovalo i zavazovalo znát nejen kontakty na některého z funkcionářů odborové organizace, ale dokonce i jejich celkový přehled s časovým rozsahem vykonávaných funkcí, a to po rozšířenou promlčecí dobu dle Zákoníku práce, tj. 10 let od ukončení výkonu příslušné funkce. (Varianta, že zaměstnavatel tyto informace zpracovávat nebude a ad hoc bude klást dotazy odborovým organizacím, případně riskovat soudní spory pro neplatnost výpovědí, uvedený problém neřeší.)

A konečně při možná poněkud extenzivním výkladu § 2 a § 3 zákona č. 120/1990 Sb., kterým se upravují některé vztahy mezi odborovými organizacemi a zaměstnavateli, ve vazbě na celou řadu ustanovení Zákoníku práce upravujících roli odborů při spolurozhodování se zaměstnavatelem, bychom navíc mohli vyvodit, že zaměstnavatel je oprávněn bez souhlasu zaměstnance evidovat jeho členství v odborech a dokonce i to, které odborové organizace je členem. V úzkém slova smyslu dle § 3 zmiňovaného zákona totiž plní patřičnou úlohu v konkrétním vztahu mezi zaměstnavatelem a zaměstnancem odborová organizace, jíž je zaměstnanec členem, respektive, není-li odborově organizován, odborová organizace s největším počtem členů v zaměstnavatelské organizaci (pokud zaměstnanec neurčí jinak). Obdobným způsobem jsou pak dle § 2 řešeny otázky projednávání s odborovou organizací, přičemž zaměstnavatel je povinen jednat se všemi takovými organizacemi působícími v organizaci a v případě, že se do 15 dnů nedohodnou, zda souhlas udělí či nikoliv, opět platí stanovisko té s největším počtem členů.

 

6.3.         Ostatní osobní údaje v pracovněprávním vztahu

 

Ve většině případů, které nebyly obsaženy v předchozí části této kapitoly (a současně i v některých případech, které zde obsaženy byly) zaměstnavateli nezbývá, než ve vztahu k daným druhům osobních údajů a jejich subjektům splnit všechny obecné podmínky proto, aby mohl zpracovávat potřebná data.

Souhlas se zpracováním osobních údajů § 5 odst. 5 zákona č. 101/2000 Sb., kde budou specifikovány konkrétní typy osobních údajů běžných, respektive informovaným souhlasem provázené citlivé osobní údaje, bude patrně nejvhodnější vložit do pracovní smlouvy či jejího dodatku, případně do dalších speciálních ujednání. Pro vyváženost souvisejících práv a povinností je výhodné současně zavázat zaměstnance, aby bez zbytečného odkladu hlásil zaměstnavateli změny v osobních údajích, s jejichž zpracováním souhlasil, ale které obecně není povinen předávat a které ani přirozeně nevznikají uvnitř pracovněprávního vztahu.

Obdobný způsob by měl být patrně zvolen i pro případné vyslovení souhlasu s předáváním osobních údajů do jiných států, jejichž právní úprava ochrany osobních údajů neodpovídá požadavkům obsaženým v zákoně č. 101/2000 Sb.

Informační povinnost zaměstnavatele ve smyslu § 11 a § 12 odst. 1 může být opět realizována cestou pracovní smlouvy. Tato varianta je výhodná pro zaměstnavatele z pohledu prokázání, že svou informační povinnost splnil, když součástí dvoustranného ujednání může být i prohlášení zaměstnance o tom, že seznámen s patřičnými informacemi byl. Ovšem prakticky vhodnější se v této souvislosti jeví spojit takové informace s poskytnutím dalších informací předpokládaných § 28 Zákoníku práce, případně volit i jiné přímější cesty v souladu s konkrétními podmínkami v organizaci. Přitom je třeba mít na paměti, že důkazní břemeno informační povinnosti je v tomto případě vždy na zaměstnavateli.


7.                DALŠÍ POVINNOSTI ZAMĚSTNAVATELE

 

7.1.         Poskytování osobních údajů o zaměstnancích

 

V předchozím textu již byla uvedena podstatná část situací, kdy je zaměstnavateli zákonem uloženo poskytovat o svých zaměstnancích určené údaje určeným typům uživatelů. Ve většině případů se jedná o normy upravující pravidla existence a chování těch uživatelů samotných s tím, že v jejich prospěch jsou zavázány jiné subjekty k poskytování informací potřebných účelově pro danou systematickou činnost (která je zpravidla opět zpracováním osobních údajů v plném smyslu tohoto pojmu a také s plnou odpovědností za případná porušení zákona č. 101/2000 Sb. obecné rovině nebo odpovídajících pravidel obdobného typu uvedených v těch normách speciálních). Nicméně v praxi existují zcela legální možnosti různých (zpravidla ad hoc) požadavků, o nichž je nutné se také zmínit.

Častým případem mohou být požadavky libovolného subjektu na informace vztahující se k zaměstnancům podávané na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Hned úvodem připomeňme, že taková informační povinnost se rozhodně ani obecně netýká všech zaměstnavatelů. S ohledem na působnost daného zákona jsou povinnými subjekty státní orgány a orgány územní samosprávy, veřejné instituce hospodařící s veřejnými prostředky a dále pak ty subjekty, kterým zákon svěřil rozhodování o právech, právem chráněných zájmech nebo povinnostech fyzických nebo právnických osob v oblasti veřejné správy. Navíc na tento zákon (historicky starší) měl přímý vliv zákon č. 101/2000 Sb., který jej jednak novelizoval v § 2 odst. 3, přičemž sem explicitně vložil ustanovení, že zákon se nevztahuje na poskytování osobních údajů a informací podle zvláštního právního předpisu (a tím předpisem rozuměl sám sebe), jednak z něj zcela vypustil původní § 8, který původně blíže upravoval (lépe řečeno omezoval) poskytování informací týkajících se osobnosti a soukromí. Tím se zákon č. 101/2000 Sb. stal v jistém smyslu identifikátorem omezení poskytování informací dle zákona č. 106/1999 Sb.

Konkrétní mírou v této souvislosti bude § 10 zákona č. 101/2000 Sb., z něhož vyplývá, že při zpracování osobních údajů dbá zaměstnavatel na ochranu před neoprávněným zasahováním do soukromého a rodinného života zaměstnance. Tedy takový zaměstnavatel má pro plnění svých informačních povinností právo používat a případně i jiným osobám sdělovat ty osobní údaje zaměstnance, které se týkají výlučně jeho pracovních aktivit a zjevně nevypovídají o jeho soukromém životě. Například by tak mohl sdělovat (pokud je to potřebné k plnění jeho úkolů a zvláštní zákon nestanoví jinak) i bez souhlasu zaměstnance jeho jméno a příjmení, akademický titul, funkční zařazení, kontaktní údaje zaměstnance na jeho pracoviště (číslo telefonu, faxu, adresu elektronické pošty)[79]. Diametrálně odlišná situace bude v případě informací o přesné výši platu, mzdy či odměny. Taková finanční částka je ryze osobním údajem, jehož zveřejnění je třeba plně podřídit režimu zákona o ochraně osobních údajů. A vzhledem k tomu, že se sice na zpracování tohoto údaje vztahují jisté zákonné výjimky, z nichž však nelze odvodit možnost zveřejnění takového údaje, mohlo by k tomu dojít opět jen se souhlasem zaměstnance. Jiný případ ovšem je, kdy zaměstnavatel i bez souhlasu jednotlivých zaměstnanců zveřejní například informaci o celkové výši odměn vyplacených v organizaci nebo jejím konkrétním pracovišti. Pokud by pak z této informace nebylo určitelné, jaké konkrétní částky byly vyplaceny jednotlivým pracovníkům, nejednalo by se samozřejmě o osobní údaj.

Poněkud jiná situace nastává v případě, kdy informaci o zaměstnanci požaduje konkrétní instituce vybavená za tímto účelem patřičnými pravomocemi, například Policie České republiky. Z hlediska zákona č. 101/2000 Sb. by se v tomto případě šlo o zpracování (zveřejnění) osobních údajů bez souhlasu subjektu údajů za situace, že se jedná o zpracování stanovené zvláštním zákonem nebo nutné pro plnění povinností stanovených zvláštním zákonem[80]. Tím zvláštním zákonem je zde zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, a to konkrétně ustanovení § 47 a § 47a. Na tomto základě jsou policejní útvary oprávněny při plnění svých úkolů požadovat od státních orgánů, orgánů obcí, právnických a fyzických osob pomoc při plnění svých úkolů, zejména potřebné podklady a informace. Tyto orgány a osoby jsou povinny požadovanou pomoc poskytnout, pokud jim v tom nebrání plnění nebo dodržování povinností podle jiných obecně závazných právních předpisů (přičemž tato výhrada v pracovněprávních evidencích nepřipadá běžně v úvahu). Policie je tak oprávněna žádat z evidence provozované na základě zvláštního právního předpisu (tím může být v obecné rovině i zákon č. 101/2000 Sb.) poskytnutí informací od příslušného správce evidence nebo zpracovatele, a to na jeho náklady. Správce evidence nebo zpracovatel je povinen bez zbytečného odkladu žádosti vyhovět, nestanoví-li zvláštní právní předpis pro výdej informací Policii jiný režim. Policii je do jisté míry předepsán i způsob žádosti, který musí umožňovat uchovávání identifikačních údajů o útvaru policie nebo o policistovi, který o výdej informací žádal, a o účelu, k němuž byl výdej informací žádán, nejméně po dobu 5 let. V citovaném ustanovení § 47a odst. 3 zákona č. 283/2000 Sb. takto stanovená povinnost vyhovět žádosti bez zbytečného odkladu a ve vyžádané formě však neznamená, že by se tak mohlo stát způsobem, který by byl neověřený a neumožňoval by uchování výše zmíněných identifikačních údajů o útvaru Policie nebo policistovi, který o předání údajů požádal. To minimálně předpokládá, že tyto informace lze předávat Policii pouze na základě písemné žádosti a rovněž také pouze v písemné formě (v případě osobního jednání tedy ve formě protokolu). Navíc je zaměstnavatel povinen o skutečnostech souvisejících s poskytnutím informace (kdo, proč a o co žádal) povinen zachovávat mlčenlivost.

Dalším příkladem obdobného druhu by mohlo být také poskytování informací podle zákona č. 117/1995 Sb., o státní sociální podpoře, ve znění pozdějších předpisů, přičemž z hlediska zákona č. 101/2000 Sb. se opět jedná o zpracování (zveřejnění) osobních údajů bez souhlasu subjektu údajů nutné pro plnění povinností stanovených zvláštním zákonem. Dle § 63 odst. 1 jsou zaměstnavatelé povinni (a to na výzvu příslušného obecního úřadu obce s rozšířenou působností, který o dávce rozhoduje nebo ji vyplácí, na výzvu krajského úřadu nebo na požádání žadatele o dávku a osoby společně posuzované) sdělit bezplatně údaje rozhodné podle tohoto zákona pro nárok na dávku, její výši nebo výplatu. Navíc dokonce platí, že kdyby zaměstnavatel mohl takové údaje sdělit pouze za podmínky zbavení mlčenlivosti, má se za to, že byl za tímto účelem mlčenlivosti zbaven.

Tentýž paragraf pak v odst. 3 zmiňuje informační systém o dávkách státní sociální podpory a jejich výši, o poživatelích těchto dávek a žadatelích o tyto dávky a osobách s nimi společně posuzovaných, vedený Ministerstvem práce a sociálních věcí  České republiky. Uvedené ministerstvo je zavázáno údaje z tohoto informačního systému sdělovat obecním úřadům obcí s rozšířenou působností a krajským úřadům v souvislosti s řízením o dávkách státní sociální podpory, a to v rozsahu nezbytném pro provádění státní sociální podpory. Naopak státní orgány a další právnické a fyzické osoby (a tedy zejména zaměstnavatelé) jsou povinny poskytovat Ministerstvu práce a sociálních věcí České republiky údaje ze svých informačních systémů, jedná-li se o údaje nezbytné pro vedení informačního systému o dávkách státní sociální podpory, a to způsobem a ve lhůtách určených tímto ministerstvem. Poznamenejme, že uvedené ustanovení znamená poměrně široké zmocnění pro správce jmenovaného informačního systému, který takto není explicitně ničím omezen, ať se jedná o rozsah zpracovávaných údajů nebo o mechanismus jejich získávání (až na velmi obecnou formulaci o „nezbytném rozsahu údajů“[81], o němž z věcného hlediska bude prakticky většinou rozhodovat on sám).

 

7.2.         Ochrana osobních údajů po skončení pracovního poměru

 

V souladu s § 60 odst. 2 Zákoníku práce je při skončení pracovního poměru zaměstnavatel povinen vydat zaměstnanci potvrzení o zaměstnání a uvést v něm skutečnosti stanovené prováděcím právním předpisem[82] a další písemnosti týkající se osobních údajů o zaměstnanci. Prakticky by tak zaměstnavatel měl zaměstnanci předat veškeré písemné dokumenty, které jeho osobní údaje obsahují. V této souvislosti Zákoník práce sice vůbec speciálně neřeší otázku dokumentů zpracovávaných například elektronicky, ale z logiky věci při jejich ekvivalentním významu by mělo dojít rovněž i k jejich předání, a to s ohledem na konkrétní realizační možnosti buď přímo v originální podobě nebo ve formě vytištěných kopií. Z uvedeného ustanovení přímo nevyplývá, že by měly být za všech okolností předávány originály takových písemností, a rovněž ani to, že by si tyto dokumenty zaměstnavatel nemohl v jisté verzi ponechat. S ohledem na možné budoucí situace, kdy bude muset skutečnosti osvědčené uvedenými písemnostmi prokazovat kontrolním orgánům, při potencionálních soudních sporech apod., má zaměstnavatel z důvodu ochrany svých práv i bez souhlasu zaměstnance možnost si ponechat originály potřebných listin. Samozřejmě, že takové kroky musí mít odpovídající zdůvodnění a s nimi musí korespondovat i doba, na kterou se dokumenty uchovávají. Za obecně důvodné by tak bylo možné považovat ponechání dokumentů v dispozici zaměstnavatele do naplnění obecné tříleté promlčecí lhůty, respektive, jde-li o škodu způsobenou úmyslně, lhůty desetileté od události, z níž škoda vznikla[83].

Současně je nutné zohlednit i skutečnosti související s konkrétní podobou nakládání s osobními údaji bývalého zaměstnance. Například ani ponechání údajů k běžnému přístupu uživatelům v databázích po dobu tří let nemusí být v konkrétní situaci dobře zdůvodnitelné ochranou zaměstnavatele před potenciálními problémy. Ovšem naopak bez větších problémů a v souladu se svým aktuálním účelem takové dokumenty mohou po nezbytnou dobu ležet v archivech, kde budou přístupné v nepoměrně omezenější míře a kde se s nimi nebude systematicky nakládat.

V praxi také může nastat případ, kdy bývalý zaměstnanec písemnosti nechce. V takovém případě je přípustné se s ním dohodnout, že tuto skutečnost potvrdí svým podpisem, dokumenty podstatné pro zaměstnavatele si s dodržením odpovídacích pravidel ponechat a ostatní zlikvidovat.

            Velmi speciálním případem výše uvedeného je otázka zpracování osobních údajů zemřelých zaměstnanců. Taková osoba v souladu se základními občanskoprávními ustanoveními přestává být účastníkem občanskoprávních vztahů a pouze přechod některých jejích specifikovaných práv a povinnosti na další osoby je řešen cestou dalších ustanovení zvláštních zákonů[84]. Samotný zákon č. 101/2000 Sb. však nestanoví přechod práv subjektu údajů po jeho úmrtí na jiné osoby, z čehož plyne, že úmrtím subjektu údajů pozbývají platnosti všechna jeho ustanovení, v nichž zaměstnanec vystupuje jako účastník příslušných vztahů oprávněný jednat svým jménem (zejména pak taková práva, respektive povinnosti, jako jsou souhlas se zpracováním osobních údajů a citlivých údajů zvlášť, informační povinnost správce a ochrana práv subjektu údajů a náprava nemajetkové újmy). Naproti tomu při zpracování osobních údajů zemřelých osob zůstávají v platnosti ta ustanovení, v nichž subjekt údajů jako účastník vztahů nevystupuje a jejichž působnost je relativně nezávislá na skutečnosti, zda subjektem údajů je žijící nebo již zemřelá osoba (zejména se jedná především o některé povinnosti správce osobních údajů ve vztahu ke konkrétnímu účelu daného zpracování, tj. zda úmrtním dané osoby byl účel zmařen či nikoliv, povinnosti osob při zabezpečení osobních údajů nebo plnění oznamovací povinnosti).

Pochopitelně v případě, že zpracování osobních údajů v uvedené situaci se ukáže nezákonným, připadá v úvahu libovolná forma ukončení jejich zpracování, likvidace a případně archivace.

Poznamenejme, že aktuální slovenská norma, zákon č. 428/2002 Z. z. řeší tento problém poněkud odlišně. Pokud subjekt údajů nežije, je možno jeho souhlas vyžadovaný některými ustanoveními zákona nahradit souhlasem, který poskytne jemu blízká osoba (ve smyslu definice Občanského zákoníku). Ovšem takový souhlas by nebyl platný, pokud by jen jediná jiná blízká osoba písemně vyslovila nesouhlas.

 


8.                ODPOVĚDNOST ZA PORUŠENÍ ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ

 

Úvodem podotkněme, že dále uvedená pravidla nijak neruší další možnosti subjektu údajů domáhat se svých práv, jako jsou nároky z titulu ochrany osobnosti dle § 11 až 16 Občanského zákoníku nebo občanskoprávní náhrada škody podle § 420 a následujících Občanského zákoníku. Stejně tak uvedené povinnosti by měli jak zaměstnavatel, tak zaměstnanci a další osoby, které pro zaměstnavatele vykonávají příslušné činnosti na základě smlouvy, bez ohledu na to, zda osobní údaje shromáždili v souladu se zákonem č. 101/2000 Sb. či v tomto smyslu neoprávněně.

Jako nejzávažnější následek, který může postihnout jak zaměstnance, tak zaměstnavatele, jakožto osobu, uveďme trestněprávní postih v souladu s § 178 odst. 2 a 3 zákona č. 140/1961 Sb., trestní zákon, ve znění zákonů č. 290/1993 Sb., č. 148/1998 Sb. a č. 101/2000 Sb. – Neoprávněné nakládání s osobními údaji, podle nějž odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem bude potrestán, kdo osobní údaje o jiném získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, byť i z nedbalosti, sdělí nebo zpřístupní, a tím poruší právním předpisem stanovenou povinnost mlčenlivosti. Kvalifikovaná skutková podstata tohoto trestného činu pak postihuje odnětím svobody na jeden rok až pět let nebo zákazem činnosti nebo peněžitým trestem jednání, kdy způsobil vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se údaj týká, spáchal jej tiskem, filmem, rozhlasem, televizí nebo jiným obdobně účinným způsobem, nebo porušením povinností vyplývajících z jeho povolání, zaměstnání nebo funkce.

 

8.1.         Odpovědnost zaměstnavatele

 

Pokud subjekt údajů zjistí, že došlo k porušení povinností správcem nebo zpracovatelem, má právo obrátit se na Úřad pro ochranu osobních údajů s žádostí o zajištění opatření k nápravě. Tento úřad je povinen jednat z úřední povinnosti v zájmu objektivizace vysloveného podezření a má současně prostředky k tomu, aby dosáhl nápravy.

V případě, že skutečně došlo k porušení povinností správcem nebo zpracovatelem, má v našem případě zaměstnanec právo požadovat:

a)      aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,

b)      aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,

c)      aby osobní údaje byly zablokovány nebo zlikvidovány,

d)      zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

Z těchto variant má subjekt údajů právo libovolného výběru a je pouze na něm, jaké konkrétní opatření se mu osobně bude jevit nejefektivnější. Omezen je pouze tím, že právo na zablokování či likvidaci osobních údajů nemůže efektivně uplatnit a tedy ani požadovat, jestliže je správce povinen osobní údaje zpracovávat na základě zákona nebo pokud by tím mohla být způsobena újma na právech třetích osob.

Platí zde obecná solidární odpovědnost správce i zpracovatele v případě porušení zákona č. 101/2000 Sb. Proto způsobil-li správce nebo zpracovatel subjektu údajů škodu, jsou odpovědni společně a nerozdílně a je z tohoto důvodu lhostejné, u kterého z nich se subjekt údajů domáhá svých práv. Ona odpovědnost je nastavena jako objektivní s možností liberace, tj. odpovědnosti se zprostí ten, kdo prokáže, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Ovšem i v takovém případě, kdy se správci či zpracovateli podaří zprostit se odpovědnosti, zbaví se tak pouze negativních následků vůči sobě samým; věcná stránka povinností (zdržení se takového jednání, odstranění vzniklého stavu, provedení opravy nebo doplnění osobních údajů, jejich zablokování nebo likvidace) vůči nim trvá. Navíc jsou povinni ve všech případech tyto skutečnosti oznámit všem subjektům, kterým v průběhu zpracování takové nesprávné informace poskytly, aby se subjekt údajů sám nemusel domáhat stejných opatření na všech místech, kde se jeho vadná osobní data vyskytují.

Spektrum občanskoprávní odpovědnosti doplňuje ještě jeden speciální typ. Pokud osoba, která vykonává pro správce či zpracovatele činnost na základě smlouvy, poruší uložené povinnosti a z jakéhokoliv důvodu neposkytne na své náklady omluvu nebo jiné zadostiučinění, případně nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit ten správce nebo zpracovatel, s nímž má zmiňovanou smlouvu uzavřenu. Opět se zde preferuje ochrana práv subjektu údajů s předpokladem, že správce či zpracovatel je obecně v těchto vztazích silnějším subjektem a tedy relativně snadněji je schopen následně se domoci svých práv než subjekt údajů.

Odpovědnost zaměstnavatele lze hledat rovněž v § 187 Zákoníku práce, podle nějž zaměstnavatel odpovídá zaměstnanci za škodu, která mu vznikla při plnění pracovních úkolů nebo v přímé souvislosti s ním porušením právních povinností nebo úmyslným jednáním proti pravidlům slušnosti a občanského soužití. Na rozdíl od předchozích možností je tedy pracovněprávní odpovědnost zaměstnavatele omezena pouze na náhradu škody se veškerými souvisejícími aplikačními problémy jako jsou její specifikace a vyčíslení. Ve specifických případech by bylo možné aplikovat i odst. 2 téhož paragrafu, přičemž by zaměstnavatel odpovídal též za škodu, která by byla v rámci plnění úkolů zaměstnavatele způsobena porušením právních povinností zaměstnanci jednajícími jeho jménem.

Tím ovšem odpovědnost zaměstnavatele vyčerpána není. Jednáním v rozporu se zákonem č. 101/2000 Sb. se zaměstnavatel může dopustit správního deliktu, za nějž může být sankcionován orgány Úřadu pro ochranu osobních údajů. Základním postihem může být pořádková pokuta do výše 25 000 Kč v každém jednotlivém případě, která může být uložena fyzické i právnické osobě, která neposkytne potřebnou součinnost při kontrole prováděné Úřadem pro ochranu osobních údajů. Zaměstnavatel jako správce či zpracovatel osobních údajů však může být postižen ještě mnohem citelněji za další druhy správních deliktů, které jsou postihovány bez ohledu na zavinění. Jedná se o:

·        pořádkovou pokutu do výše 1 mil. Kč, a to i opakovaně, maří-li kontrolu prováděnou Úřadem pro ochranu osobních údajů,

·        pokutu do výše 10 mil. Kč, pokud poruší povinnost stanovenou zákonem č. 101/2000 Sb. při zpracování osobních údajů,

·        pokutu až do výše 20 mil. Kč, pokud do jednoho roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, porušil povinnosti stanovené zákonem při zpracování osobních údajů opakovaně.

 

8.2.         Odpovědnost zaměstnance

 

Obdobně jako v případě správce či zpracovatele, jestliže rovněž osoba, která vykonává pro správce či zpracovatele činnosti na základě smlouvy, poruší uložené povinnosti, má v takovém případě subjekt údajů právo požadovat:

a)      aby se zdržela takového jednání, odstranila takto vzniklý stav či poskytla na svoje náklady omluvu nebo jiné zadostiučinění,

b)      aby zlikvidovala osobní údaje, které neoprávněně zpracovává,

c)      aby zaplatila peněžitou náhradu újmy, která vznikla porušením jeho práva na lidskou důstojnost, osobní čest, dobrou pověst či práva na ochranu jména.

Výčet těchto povinností se liší pouze tím, že se zde s ohledem na to, že se nejedná přímo o správce či zpracovatele, nepředpokládají povinnosti opravit, doplnit či blokovat údaje, ale hovoří se zde přímo o jejich likvidaci. Stejně jako v předchozím případě má subjekt údajů na výběr, jaké opatření bude požadovat.

Odpovědnost zde uvedených osob je na rozdíl od předchozího odpovědností za zavinění, přičemž ten, kdo porušil své povinnosti musí prokazovat nedostatek zavinění. I v případě, že v tom bude úspěšný, je povinen se obdobně zdržet výše uvedeného jednání, odstranit vzniklý stav, případně zlikvidovat zpracovávané údaje.

Poněkud problematickým by se mohlo ukazovat ustanovení § 23 odst. 3, kde se uvádí, že „poruší-li uložené povinnosti osoba, která je ke správci nebo zpracovateli v pracovním poměru, řídí se její odpovědnost zákoníkem práce“. Ani z důvodové zprávy (o judikatuře nemluvě) však neplyne, zda zákonodárce opravdu zamýšlel veškerou odpovědnost v tomto smyslu vůči subjektu údajů ponechat bezvýhradně na správci či zpracovateli, tím spíš, že zmiňovaná odpovědnost dle zákoníku práce není nic jiného než odpovědností zaměstnance vůči zaměstnavateli (a tedy nikoliv vůči postiženému subjektu údajů). V kladném případě by bylo možné chápat zákon č. 101/2000 Sb. jako svého druhu nepřímou novelu Zákoníku práce i v tom smyslu, že do výčtu odpovědnostních titulů, u nichž se zaměstnanec zprostí odpovědnosti zcela, popřípadě zčásti, jestliže prokáže, že škoda vznikla zcela nebo zčásti bez jeho zavinění[85], přidal další nový typ. Navíc poznamenejme, že uplatňování a prokazování odpovědnosti podle tohoto nového titulu bude systémově o něco složitější, protože opět na rozdíl od dosavadních příkladů se zde a priori nepředpokládá explicitní písemná dohoda či potvrzení o převzetí konkrétních předmětů apod. Dokonce by ustanovení § 23 odst. 3 v takovém případě při gramatickém výkladu vylučovalo i možnost použití ustanovení § 25, podle nějž se má v otázkách neupravených tímto zákonem použít obecná úprava odpovědnosti za škodu, a to právě proto, že by uvedenou odpovědnost upravoval § 23 odst. 3.

Obdobně jako v případě zaměstnavatele může být i jednání zaměstnance, které je v rozporu se zákonem č. 101/2000 Sb., kvalifikováno jako správní delikt, za nějž může být sankcionován orgány Úřadu pro ochranu osobních údajů. Stejně jako zaměstnavateli mu může být uložena pořádková pokuta do výše 25 000 Kč v každém jednotlivém případě, neposkytne-li potřebnou součinnost při kontrole prováděné Úřadem pro ochranu osobních údajů. Tentýž úřad jej podle zákona č. 200/1990 Sb., o přestupcích, může sankcionovat také pokutou:

·        do výše 50 000 Kč, poruší-li povinnost mlčenlivosti podle zákona č. 101/2000 Sb.,

·        do výše 25 000 Kč, poruší-li jinou povinnost podle tohoto zákona.


ZÁVĚR

 

Skutečná právní úprava ochrany osobních údajů má uvnitř českého práva historii, která se na rozdíl od jiných oblastí práva počítá v jednotkách let. Dokonce relativně donedávna nebyla absence reálné ochrany soukromí v tomto smyslu pociťována veřejností jako příliš problémová. Až nová obecná právní úprava, která dosud nemá ani 3 roky (navíc do značné míry vyprovokovaná nutností harmonizace českého práva s právem Evropské unie) přinesla do této sféry výrazný impuls.

Posláním aktuálního zákona o ochraně osobních údajů je regulovat veškeré zpracování osobních údajů. Zákonodárce si byl ovšem vědom, že jednak existují určité meze a možnosti právní regulace, jednak zákon přirozeně vstoupil do již existujícího právního prostředí a jednak má zpracování osobních údajů v určitých sférách svá systémová specifika, přičemž jeho regulace musí odpovídat požadavkům harmonického fungování celého právního řádu. V konkrétních aplikačních situacích pak vystupují jak obecná právní úprava, tak zvláštní zákony, které stanoví  nezbytná specifika a nutné odchylky od obecného režimu.

Smyslem předložené práce bylo aplikovat komplex obecných i zvláštních norem, souvisejících s ochranou osobních údajů, na pracovněprávní vztahy.


Resume

 

            The new information technologies make possible realization of new methods of processing data and that is why privacy of person must be protected quite better. One of the basic tasks of modern democratic society is to preserve the inviolability of the persons and their privacy. Especially according to the Charter of Fundamental Rights and Freedoms, everybody is entitled to protection against unauthorized gathering, publication or other misuse of his or her personal data.

As authoritative examples how to solve this problem in abroad, there are OECD recommendation concerning and guidelines governing the protection of privacy and transborder flows of personal data from 1980, Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS No.108), Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector and several other examples from the national law from abroad described and evaluated.

            In the further part the last two Czech acts of protection of personal data have been described, analysed and compared with the laws mentioned above. The contemporary Act No. 101 of 4 April 2000 on Protection of the Personal Data and on Amendments to Some Related Acts has been evaluated from the sights of the basic principles, quality of definitions, rights and obligations of data subjects, controllers and processors, position and structure of the new Office of personal data protection, unification with the law of European Union and influence on the Czech law. The seven amendment acts changing the original text are described too.

These thesis are primarily oriented on the protection of workers’ personal data or, strictly speaking, on the protection of personal data in the relations between employers and employees. The employers are undoubtebly the controllers in the sence of the Act on Protection of the Personal Data, when the relevant processing of personal data may be both in the interest of employers and their obligation estabilished by other laws. Such an controller has a lot of obligations in processing of personal data at all, in notifying the data subject of processing of his personal data, special obligations concerning on sensitive data, obligations to adopt measures preventing unauthorised or accidental access to personal data, their alteration, destruction or loss and other misuse of personal data, obligation to notify the Office of personal data protection of processing personal data and the obligations concerning the transfers of personal data to other countries.

Generally, the employer may process personal data only with the consent of the data subject. Without such consent, the controller may process the data if he is carrying out processing specified by a special Act or required to comply with the duties specified by a special Act, if it is essential that the data subject enter into negotiations on a contractual relationship, if it is essential for the protection of important interests of the data subject, in relation to personal data that were published with authorization pursuant and if it is essential for the protection of rights of the controller. The exeptions mentioned above were applied on the main types of personal data used in personal registers including the necessary periods of time to keeping this data.

In the last part the thesis deals on rights of data subject if the employer breached his obligations and on the other side on the responsibility of the persons, who process personal data and are employed by the controller.


POUŽITÁ LITERATURA

 

Council of Europe – Legal Affairs – Data Protection (http://www.coe.int/T/E/Legal_affairs/Legal_co-operation/

Data_protection/)

D’Ambrosová, H.: Ochrana osobních údajů při vedení personálních agend, Praha, Pragoeduca 2002

Europe – Data Protection – Legislative Documents (http://www.europa.eu.int/comm/internal_market/en/dataprot/law/

index.htm)

Federal Trade Commission – Safe Harbor Program (www.ftc.gov/privacy/safeharbor/)

Harvánek, J. a kol.: Teorie práva, Brno, Masarykova univerzita, 1998

Holub, M. – Fiala, J. – Bičovský, J.: Občanský zákoník, poznámkové vydání s judikaturou, Praha, Linde, 1998

Galvas, M.: Pracovní právo, Brno, Masarykova univerzita v Brně, 2001

Galvas, M.: Několik poznámek k ochraně osobnosti v pracovním právu, Časopis pro právní vědu a praxi 2/5, 1994, str. 21–29

Gregorová, Z. – Píchová, I.: Základy pracovního práva a sociálního zabezpečení v Evropských společenstvích, Brno, Masarykova univerzita v Brně, 2001

Jankanish, M. B.: Workers Privacy. Part I, Protection of Personal Data, Geneva, International Labour Office, 1992

Jehlička, O. – Švestka, J. a kol.: Občanský zákoník - komentář, Praha, C. H. Beck 1997

Johnson, D.R. – Post, D.G.: Law and Borders – The Rise of Law in Cyberspace, Stanford, Law Review May, 1996

Langefors, B.: Teoretická analýza informačných systémov, Bratislava, ALFA, 1981.

Látal, I|. A kol.: Ochrana informací, dat a počítačových systémů, Praha, Eurounion, 1996

Maštalka, J.: Ochrana osobních údajů, Právní rádce 7/1999, str. 23–24

Mates, P.: Ochrana osobních údajů, Praha, Karolinum, 2002

Mates, P.: Ochrana osobních údajů v českém právním řádu, Bulletin advokacie 9/2000, str. 32–42

Mates, P.: Ochrana osobních údajů ve zvláštních zákonech, Daňová a hospodářská kartotéka, 2001, roč. 9, č. 19, str. 217–222

Mates, P.: Soud nebo Úřad pro ochranu osobních údajů? Obchodní právo, 2001, roč. 10, č. 3, str. 21–22

Mates, P.: Výjimky ze zpracování osobních údajů, Právo a podnikání, 2000, roč. IX, č. 12, s. 20–22

Mates, P. – Matoušová, M.: Evidence, informace, systémy – právní úprava, Praha, Codex Bohemia 1997

Mates, P. – Neuwirt, K.: Právní úprava ochrany osobních údajů v ČR, Praha, IFEC, 2000

Mates, P. – Smejkal, V.: Dokumenty budoucnosti, Data security management, 1998, roč. II, č. 5, str. 34–37

Mates, P. – Smejkal, V.: Právní ochrana a monitorování písemností a telekomunikací, Právní rozhledy, 2001, roč. 9, č. 11, str. 534–540

OECD Legal Instruments and Related Documents (http://www.oecd.org/EN/documents)

Píchová, I.: K ochraně osobních údajů v pracovněprávních vztazích, Právo a zaměstnání 7/12, 2001, str. 2–7

Pilátová, J.: Ekonomická a účetní agenda podnikatele, Praha, Grada Publishing, 2001

Sbírka zákonů České republiky

Smejkal, V. – Sokol, T. – Vlček, M.: Počítačové právo, Praha, C.H.Beck, 1995

Smejkal, V.: Internet @ §§§, Praha, Grada publishing, 2001

Smejkal, V.: Má pravdu Mates nebo Sokol? K ochraně osobních údajů v advokacii potřetí, Bulletin advokacie 3/2001, str. 31–39

Smejkal, V.: Právní aspekty Internetu a jeho bezpečnosti, Brno, Smejkal & spol - soudní znalci, 1997

Smejkal, V. a kol.: Právo informačních a telekomunikačních systémů, Praha, C.H.Beck 2001

Sokol, T.: Zákon o ochraně osobních údajů se na advokáta nevztahuje, Bulletin advokacie 9/2000, str. 23-35

Stanoviska Úřadu pro ochranu osobních údajů České republiky

Stanovisko představenstva České advokátní komory k výkladu zákona č. 101/2000 Sb., Bulletin advokacie 10/2000, str. 36

Šmíd, V.: Nový zákon o ochraně osobních údajů a outsourcing, Data security management, 2000, roč. IV, č. 5, str. 18–21

Šmíd, V.: Nový zákon o ochraně osobních údajů na vysokých školách, In RUFIS'2000, sborník příspěvků, Brno, str. 116–121

Šmíd, V.: Ochrana osobních údajů - srovnání legislativy a aplikace v ČR a SR. In Seminár Informačná bezpečnosť na univerzitách, zborník príspevkov, Nitra, 2002, str. 1–11

Šmíd, V.: Ochrana osobních údajů a informační systémy - dva roky v nových podmínkách, In Tvorba softwaru 2002, sborník příspěvků. Ostrava, 2002, str. 170–179

Šmíd, V.: Zákon o ochraně osobních údajů na vysokých školách, In EUNIS'2001, sborník příspěvků. Nečtiny, str. 1–6

Švestka, A.: Občanský zákoník, komentář, Praha, C. H. Beck, 1997

Výroční zpráva Úřadu pro ochranu osobních údajů České republiky za rok 2000, Praha, ÚOOÚ, 2001

Výroční zpráva Úřadu pro ochranu osobních údajů České republiky za rok 2001, Praha, ÚOOÚ, 2002

Zbierka zákonov Slovenskej republiky

 


OBSAH

 

ÚVOD.. 1

1.      ÚSTAVNÍ  ZÁKLADY.. 3

2.      MEZINÁRODNĚPRÁVNÍ  ÚPRAVY.. 6

2.1.        Aktivity Rady Evropy.. 7

2.2.        Legislativa Evropské unie. 10

2.2.1.     Směrnice Evropského parlamentu a Rady č. 95/46/EC.. 11

2.2.2.     Směrnice Evropského parlamentu a Rady č. 97/66/EC.. 14

2.2.3.     Nařízení Evropského parlamentu a Rady č. 45/2001. 16

2.2.4.     „Bezpečný přístav“. 16

3.      VÝVOJ PRÁVNÍ ÚPRAVY V ČESKÉ  REPUBLICE. 18

3.1.        Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.. 18

3.2.        Srovnání zákona č 256/1992 Sb. s požadavky Směrnice 95/46/EC.. 20

3.3.        Zákon č. 101/2000 Sb., o ochraně osobních údajů.. 22

3.4.        Novely zákona č. 101/2000 Sb., o ochraně osobních údajů.. 24

3.4.1.     První novela. 24

3.4.2.     Druhá novela. 24

3.4.3.     Třetí novela. 25

3.4.4.     Čtvrtá novela. 26

3.4.5.     Pátá novela. 26

3.4.6.     Šestá novela. 27

3.4.7.     Sedmá novela. 27

4.      OBECNÉ  POVINNOSTI  ZAMĚSTNAVATELŮ  PŘI  ZPRACOVÁNÍ  OSOBNÍCH  ÚDAJŮ.. 28

4.1.        Elementární povinnosti zaměstnavatele. 28

4.2.        Zabezpečení osobních údajů.. 30

4.3.        Účast zpracovatele na zpracování osobních údajů.. 31

5.      ZVLÁŠTNÍ  POVINNOSTI  PŘI  ZPRACOVÁNÍ  OSOBNÍCH  ÚDAJŮ.. 33

5.1.        Souhlas se zpracováním osobních údajů.. 33

5.2.        Specifický přístup ke zpracování citlivých údajů.. 35

5.3.        Informování subjektu údajů.. 37

5.4.        Oznamovací povinnost.. 39

5.5.        Předávání osobních údajů do zahraničí 41

6.      POVINNOSTI VZTAHUJÍCÍ SE K JEDNOTLIVÝM DRUHŮM OSOBnÍCH ÚDAJŮ.. 43

6.1.        Osobní údaje nezávislé na pracovněprávním vztahu.. 44

6.1.1.     Základní identifikační údaje. 44

6.1.2.     Datum a místo narození 46

6.1.3.     Bydliště. 46

6.1.4.     Fotografie zaměstnance. 47

6.1.5.     Státní příslušnost 48

6.1.6.     Rodinný stav a rodinní příslušníci 49

6.1.7.     Údaje o vzdělání a dalších schopnostech. 50

6.1.8.     Údaje o praxi a předchozích zaměstnáních. 51

6.1.9.     Informace související se zdravotním stavem zaměstnance. 52

6.1.10.       Údaje o pobírání důchodu. 54

6.1.11.       Údaje o trestné činnosti zaměstnance. 54

6.1.12.       Vydané publikace. 55

6.1.13.       Životopis. 56

6.2.        Osobní údaje závislé na pracovněprávním vztahu.. 56

6.2.1.     Údaje o pracovním poměru. 56

6.2.2.     Údaje o pracovním zařazení, vykonávaných funkcích a vykonávané práci 57

6.2.3.     Údaje o mzdě a náhradách mzdy. 57

6.2.4.     Informace vztahující se k bezpečnosti a ochraně zdraví při práci 59

6.2.5.     Informace o další činnosti zaměstnance. 60

6.2.6.     Kontaktní údaje zaměstnance. 60

6.2.7.     Členství v odborech. 61

6.3.        Ostatní osobní údaje v pracovněprávním vztahu.. 62

7.      DALŠÍ POVINNOSTI ZAMĚSTNAVATELE. 63

7.1.        Poskytování osobních údajů o zaměstnancích.. 63

7.2.        Ochrana osobních údajů po skončení pracovního poměru.. 65

8.      ODPOVĚDNOST ZA PORUŠENÍ ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ.. 67

8.1.        Odpovědnost zaměstnavatele. 67

8.2.        Odpovědnost zaměstnance. 68

ZÁVĚR.. 70

Resume. 71

POUŽITÁ LITERATURA.. 72

OBSAH.. 74

 



[1]Langefors, B.: Teoretická analýza informačných systémov

[2] Ústavní zákon č.2/1993 Sb., usnesení předsednictva České národní rady o vyhlášení LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součástí ústavního pořádku České republiky

[3] Ústavní zákon č.23/1991 Sb., kterým se uvozuje LISTINA ZÁKLADNÍCH PRÁV A SVOBOD jako ústavní zákon České a Slovenské Federativní Republiky

[4] Sdělení federálního ministerstva zahraničních věcí České a Slovenské Federativní Republiky č.209/1992 Sb. o sjednání Úmluvy o ochraně lidských práv a základních svobod ve znění protokolů č. 3, 5 a 8 a dalších protokolů na tuto úmluvu navazujících

[5] Ústavní zákon č.1/1993 Sb., Ústava České reoubliky.

[6] Zákon č.40/1964 Sb., občanský zákoník

[7] Smejkal, V. – Sokol. T. – Vlček. M., Počítačové právo, C.H.Beck, Praha, 1995, str. 183.

[8] Mates, P. – Neuwirt, K., Právní úprava ochrany osobních údajů v ČR, IFEC, Praha, 2000, str. 113-116.

[9] Resolution (73) 22 on the protection of privacy of individual vis-à-vis electionic data banks in the private sector.

[10] Resolution (74) 29 on the protection of individual vis-à-vis electionic data banks in the public sector.

[11] Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

[12] Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS No.108).

[13] Viz http://www.coe.int/T/E/Legal_affairs/Legal_co-operation/Data_protection/Documents/National_laws/NATIONAlLAWS-EN.asp#TopOfPage v aktuálním znění.

[14] Sdělení o přijetí Úmluvy na ochranu osob s ohledem na automatizované zpracování osobních dat bylo vyhlášeno ve Sbírce mezinárodních smluv pod číslem 115/2001 Sb. m. s. dne 15. listopadu 2001.

[15] Recommendation No.R(81) 1 on regulations for automated medical data banks (23 January 1981).

[16] Recommendation No.R(83) 10 on the protection of personal data used for scientific research and statistics (23 September 1983).

[17] Recommendation No.R(85) 20 on the protection of personal data used for the purposes of direct marketing (25 October 1985).

[18] Recommendation No.R(86) 1 on the protection of personal data for social security purposes (23 January 1986).

[19] Recommendation No.R(87) 15 regulating the use of personal data in the police sector (17 September 1987).

[20] Recommendation No.R(89) 2 on the protection of personal data used for employment purposes (18 January 1989).

[21] Recommendation No.R(90) 19 on the protection of personal data used for payment and other operations (13 September 1990).

[22] Recommendation No.R(91) 10 on the communication to third parties of personal data held by public bodies (9 September 1991).

[23] Recommendation No.R(95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services (7 February 1995).

[24] Recommendation No.R(97) 5 on the protection of medical data (13 February 1997).

[25] Recommendation No.R(97) 18 on the protection of personal data collected and processed for statistical purposes (30 September 1997).

[26] Recommendation No.R(99) 5 for the protection of privacy on the Internet (23 February 1999).

[27] Recommendation No.R(2002) 9 on the protection of personal data collected and processed for insurance purposes (18 September 2002).

[28] Additional Protocol to Convention ETS No. 108 on Supervisory Authorities and Transborder Data Flows (ETS No. 181)

[29] Treaty on European Union signed at Maastricht on 7 February 1992.

[30] European Union Charter of Fundamental Rights.

[31] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

[32] Řecká republika s účinností od 10. dubna 1997

Švédské království s účinností od 24. října 1998

Portugalská republika s účinností od 27. října 1998

Finská republika s účinností od 1. června 1999

Rakouská republika s účinností od 1. ledna 2000

Španělské království s účinností od 14. ledna 2000

Spojené království Velké Británie a Severního Irska s účinností od 1. března 2000

Italská republika s účinností od 8. května 2000

Dánské království s účinností od 1. července 2000

Spolková republika Německo s účinností od 23. května 2001

Belgické království s účinností od 1. září 2001

Nizozemské království s účinností od 1. září 2001

Lucemburské velkovévodství s účinností od 1. prosince 2002

 

[33] Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector.

[34] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)

[35] Regulation (EC) 45/2001 of the European Parliament and of the Council of 18. December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

[36] 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441)

[37] Maštalka, J.: Ochrana osobních údajů. Právní rádce 7/1999, Praha, str. 23-24.

[38] Toto byl rovněž hlavní důvod, proč Česká republika nemohla přistoupit k Úmluvě ETS č. 108 a neúčast na ní zase byla důvodem nemožnosti zapojit se do spolupráce v rámci Schengenského informačního systému.

[39] Usnesení vlády České republiky č. 467 ze dne 1. července 1998.

[40] Kompletní text viz příloha.

[41] V podstatě se jednalo o obdobu ustanovení, které bylo navrženo k doplnění již při projednávání původního zákona v Senátu.

[42] Mates, P., Ochrana osobních údajů v českém právním řádu, Bulletin advokacie 9/2000, Praha, str. 32-42.

    Sokol, T., Zákon o ochraně osobních údajů se na advokáta nevztahuje, Bulletin advokacie 10/2000, Praha,

    str. 23-35.

 

[43] Recommendation No.R(89) 2 on the protection of personal data used for employment purposes (18 January 1989).

[44] Union of Industrial and Employers' Confederations of Europe

[45] European Association of Craft, Small and Medium-Sized Enterprises

[46] Bundesverband der Deutschen Industrie

[47] Second stage consultation of social partners on the protection on worker’s personal data (15232/02 – 29 October 2002)

[48] Viz též Stanovisko Úřadu pro ochranu osobních údajů k problémům praxe č.1/2002.

[49] Za zmínku v této souvislosti stojí postup Slovenské republiky, která do obdobného ustanovení zákona č. 428/2002 Z. z. zařadila zcela konkrétní povinnosti prokázat splnění takových opatření, za jistých podmínek vytvořit „bezpečnostný projekt“ (v zákoně je definovány jeho struktura i obsah), respektive povinnost nezávislého auditu odborným pracovištěm.

[50] Viz též Stanovisko Úřadu pro ochranu osobních údajů k problémům praxe č.5/2001.

[51] Poznamenejme, že v obdobném slovenském zákoně č. 428/2002 Z. z., byť v mnoha ohledech přísnějším, tento problém nevyvstává. „Prevádzkovateĺ“ a „sprostredkovateĺ“ jsou definitoricky označeni za subjekty s výhradním oprávněním zpracovávat osobní údaje a všechna další ustanovení se vztahují pouze k pojmu „zpracování osobních údajů“, aniž by rozlišovaly mezi konajícími subjekty.

 

[52] I zde by měla v situaci běžného zaměstnavatele postačovat například elektronická podoba, za předpokladu, že zaměstnavatel bude s ohledem na okolnosti pořízení takového elektronického souhlasu schopen prokázat autentičnost osoby, která jej dala.

[53] Toto přichází v úvahu především, pokud by si tím způsobil nebezpečí trestního stíhání.

[54] Poznamenejme, že jen v do konce prvního uceleného roku, kdy k oznamování zpracování osobních údajů docházelo (do 31.12.2001) bylo takto přijato více než 17 tisíc oznámení.

[55] Zákon č. 301/2000 Sb., o matrikách, jménu a příjmení a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.

[56] Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů.

[57] Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů  (zákon o vysokých školách), ve znění pozdějších předpisů.

[58] Například § 8a, § 11, § 132b, § 134b, § 167 a § 195.

[59] Zákon č. 301/2000 Sb., o matrikách, jménu a příjmení a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.

 

[60] Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů.

[61] Vyhláška Ministerstva dopravy a spojů č. 28/2001 Sb., kterou se stanoví poštovní podmínky základních služeb a základní požadavky kvality při jejich zajišťování držitelem poštovní licence (vyhláška o základních službách držitele poštovní licence), ve znění pozdějších předpisů.

[62] Tj. občan / uprchlík.

[63] Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů.

[64] Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů.

[65] Opatření Českého statistického úřadu č. 19/98 k zavedení Klasifikace kmenových oborů vzdělání ve znění pozdějších aktualizací (uveřejněno v částce 68/1998 Sbírky zákonů ČR).

[66] Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů  (zákon o vysokých školách), ve znění pozdějších předpisů.

[67] Zákon č. 29/1984 Sb., o soustavě základních a středních škol (školský zákon), ve znění pozdějších předpisů.

[68] Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů  (zákon o vysokých školách), ve znění pozdějších předpisů.

[69] Viz § 4, odst. 1 jmenovaného zákona.

[70] Viz § 4, odst. 3 jmenovaného zákona.

[71] Zákon č.1/1991 Sb., o zaměstnanosti, ve znění pozdějších předpisů.

[72] Zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů.

[73] Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.

[74] Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů.

[75] Zákon č. 269/1994 Sb., o rejstříku trestů.

[76] Nařízení vlády č. 267/2002 Sb., o informačním systému výzkumu a vývoje.

[77] Poznamenejme, že zmiňovaný § 10 přímo počítá s tím, že zaměstnanec případně nesdělí zaměstnavateli skutečnosti rozhodné pro povinnost státu platit za zaměstnance pojistné, respektive změnu zdravotní pojišťovny. V této situaci pak zavazuje právě zaměstnance, aby vyjmenované informace sdělil zdravotní pojišťovně sám. (Totéž platí i v případě, kdy zaměstnanec zjistí, že zaměstnavatel výše uvedené povinnosti nesplnil.)

Na rozdíl od informace změně zdravotní pojišťovny však tento paragraf neuvažuje možnost, že by zaměstnanec zaměstnavateli neoznačil svou zdravotní pojišťovnu aktuální při nástupu do zaměstnání, když například bezvýhradně ukládá zaměstnavateli do 8 dnů oznámení o nástupu zaměstnance do zaměstnání.

[78] Viz též Stanovisko Úřadu pro ochranu osobních údajů č. 2/2001.

[79] Viz též Stanovisko Úřadu pro ochranu osobních údajů k problémům praxe č.6/2002.

[80] Viz též Stanovisko Úřadu pro ochranu osobních údajů k problémům praxe č.3/2001.

[81] V kontrastu s tím v odst. 5 téhož paragrafu se poměrně přesně definuje 15 typů údajů, které poskytuje Ministerstvo vnitra České republiky z informačního systému evidence obyvatel pro účely státní sociální podpory.

[82] Tím se konkrétně rozumí údaje o zaměstnání, druhu konaných prací, dosažené kvalifikaci a další skutečnosti uvedené v § 3 nařízení vlády ČR č. 108/1994 Sb., kterým se provádí zákoník práce a některé další zákony.

[83] § 263 odst. 3 Zákoníku práce.

[84] Například § 15 Občanského zákoníku v souvislosti s ochranou osobnosti.

[85] § 176 Odpovědnost za schodek na svěřených hodnotách, které je zaměstnanec povinen vyúčtovat,

    § 178 Odpovědnost za ztrátu svěřených předmětů.