Shromažďovat osobní údaje lze jen se souhlasem fyzické osoby, které se týkají

V souvislosti s technickým pokrokem byla otevřena diskuse o nezbytnosti chránit osobní údaje, které jsou zpracovávány automaticky, zejména prostředky výpočetní techniky. Nashromážděná data je možno více méně libovolně rozšiřovat a kombinovat tak, že je stále více pronikáno do soukromí osoby, které se týkají. Aby nedocházelo k neoprávněnému nakládání s osobními údaji, je tato problematika upravena v zákoně o ochraně osobních údajů (zákon č. 101/2000 Sb.).

Za přibližně roční dobu své účinnost byl tento zákon dvakrát novelizován. Poprvé zákonem o elektronickém podpisu, který svěřil Úřadu pro ochranu osobních údajů pravomoc udělovat akreditace k působení jako akreditovaný poskytovatel akreditačních služeb a provádět dozor nad dodržováním povinností stanovených zákonem o elektronickém podpisu, a podruhé zákonem č. 177/2001 Sb., který zpřesnil některé povinnosti zpracovatelů a správců osobních údajů.

Zákon se vztahuje na osobní údaje zpracovávané nejen státními orgány, orgány územní samosprávy a jinými orgány veřejné moci, ale i na osobní údaje shromažďované a zpracovávané fyzickými a právnickými osobami. Je přitom nerozhodné, zda se tak děje automatizovaně, nebo jinak (např. formou kartotéky, pořadačů nebo v zápisníku). Zákon se nevztahuje na shromažďování a zpracovávání osobních údajů pro určité v zákoně vymezené účely a na osobní údaje shromažďované v zákoně vyjmenovanými orgány. Nevztahuje se ani na nahodilé a nesystematické shromažďování osobních údajů za podmínky, že takto shromážděné údaje nejsou dále zpracovávány. Za nahodilé se považuje takové shromažďování, kdy údaje nejsou nijak tříděny nebo jinak systematizovány, potřeba shromažďování se objeví neplánovaně, nepředvídatelně, shromažďované údaje nemají vždy stejnou strukturu a mohou být i nepřesné nebo neúplné. Zákonu tak nepodléhají např. evidence zákazníků provozoven poskytujících úpravu zboží či služby za podmínky, že tato evidence slouží pouze pro výdej zakázek nebo určení termínu, kdy má být služba poskytnuta. Pokud by ale dotyčný podnikatel tyto údaje dále uschovával nebo předával jinému podnikateli, musel by plnit všechny povinnosti, které mu ukládá zákon o ochraně osobních údajů. Dále se zákon netýká shromažďování osobních údajů, které provádí fyzická osoba výlučně pro svou osobní potřebu. Nevztahuje se ani na nahodilé shromažďování osobních údajů nezbytných pro výkon nezávislého povolání, které ale není živností ani jiným podnikáním podle zvláštních zákonů, které stanoví povinnost mlčenlivosti.

Zvýhodněný režim pro zpracovávání osobních údajů platí pro některé státní orgány. Jedná se např. o orgány zpravodajských služeb, policie, Ministerstvo vnitra, Národní bezpečnostní úřad. Neplatí pro ně např. povinnost oznámit Úřadu pro ochranu osobních údajů záměr shromažďovat údaje, povinnost mít souhlas subjektu údajů ke shromažďování. Ostatní povinnosti pro ně ovšem platí a tyto orgány podléhají také kontrole Úřadu.

Osobním údajem je jakýkoli údaj o fyzické osobě (na shromažďování údajů o právnických osobách se tento zákon nevztahuje), jestliže na základě jednoho nebo více osobních údajů lze přímo nebo nepřímo zjistit její identitu. Přitom nezáleží na množství, druhu nebo kvalitě údajů. Zásadně se subjekt považuje za určený, je-li současně k dispozici jeho jméno, příjmení a rodné číslo. O osobní údaj se nejedná, pokud je ke zjištění identity třeba nepřiměřené množství času, úsilí či materiálních prostředků. Subjektem údajů je pak pouze ta fyzická osoba, k níž se osobní údaje vztahují.

V průběhu příprav zákona se objevily i návrhy, aby se ochrana vztahovala i na údaje o právnických osobách. Tyto návrhy však byly odmítnuty s poukazem na fakt, že o osobních údajích lze hovořit pouze u fyzických osob, což odpovídá Listině základních práv a svobod i judikatuře Evropského soudu pro lidská práva.

Zpracováním osobních údajů se rozumí jakékoli operace s osobními údaji, které systematicky provádí zpracovatel nebo správce. Jedná se zejména o shromažďování, ukládání, zpřístupňování, pozměňování, předávání, zveřejňování, šíření, třídění, uchovávání a likvidaci osobních údajů. Musí však vždy jít o činnost soustavnou a systematickou, prováděnou podle určitého řádu, pravidel a za určitým cílem.

Za správce je považován každý subjekt, který určuje účel a prostředky zpracování, provádí zpracování a odpovídá za něj. Správcem je tak orgán veřejné moci, soukromý podnikatel, nikoli však i jejich zaměstnanci, a může jím být i nepodnikající fyzická osoba. Zpracovatelem je pak každý subjekt, který buďto na základě povinnosti stanovené zvláštním zákonem, nebo na základě pověření správcem osobní údaje zpracovává.

Účel zpracovávání osobních údajů musí být vždy stanoven dopředu a nelze jej libovolně měnit. Vymezení účelu je důležité i proto, že shromažďovat údaje lze právě jen ke předem stanovenému účelu a v rozsahu, který je nezbytný k naplnění tohoto účelu. Co se týče rozsahu shromažďovaných údajů, musí se jednat o co nejméně údajů, se kterými lze dosáhnout stanoveného účelu. Porušováním této povinnosti je např. požadavek, aby návštěvník určité instituce uvedl do návštěvní knihy kromě jména a příjmení také rodné číslo, což je vzhledem k danému účelu – kontrola pohybu cizích osob v budově – zcela určitě nadbytečné.

Shromažďovány mohou být pouze údaje pravdivé a přesné, získané v souladu se zákonem. Správce je povinen ověřovat, zda jsou údaje s ohledem na stanovený účel pravdivé a přesné, a jestliže to nemůže zjistit, má povinnost je blokovat (učinit osobní údaj nepřístupný a nijak jej nezpracovávat). Jestliže je např. účelem zpracování jednou za rok nabídnout subjektům údajů určité zboží nebo službu, postačí ověřit údaje právě k tomuto datu.

Uchovávat shromážděné údaje je možné pouze po dobu, která je nezbytně nutná pro účely jejich zpracování. Po jejím uplynutí lze údaje uchovávat výlučně pro účely vědecké, statistické a archivnictví. Kdy se jedná o uchovávání pro účely statistické a archivnictví vymezují zvláštní zákony a nepostačuje tedy pouhé prohlášení správce, že údaj je uchováván pro jeho vlastní statistické nebo archivní účely.

Osobní údaje smí správce shromažďovat pouze otevřeně. Musí tedy být nepochybné, že údaje shromažďuje, a je vyloučeno, aby tuto činnost maskoval jinou činností nebo tak činil skrytými formami. Nepovolené je např. shromažďovat údaje pod záminkou jiného účelu – pořádání soutěže pro spotřebitele, jejímž skutečným cílem však je opatření si osobních údajů o zákaznících.

Obecně platí, že shromažďovat osobní údaje lze jen se souhlasem fyzické osoby, které se týkají. Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Zákon uvádí některé výjimky, kdy souhlas není potřeba – jde např. o údaje shromažďované policií nebo zpravodajskými službami, ke splnění povinností na základě zvláštních zákonů nebo je-li to nezbytné k tomu, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem (např. uvedení osobních údajů na dokumentu, jímž je vymáháno plnění povinnosti ze smlouvy). Souhlasu také není třeba, je-li shromažďování nezbytné pro ochranu práv správce. Může se jednat např. o práva majetková nebo na zajištění bezpečnosti. Správce ale může osobní údaje zpracovávat výlučně pro ochranu svých práv a nikoli práv jiných osob. Např. subjekt, který poskytuje nebankovní úvěry, si může pořídit seznam osob, které jsou v prodlení s plněním svých povinností, nelze však vytvořit seznam dlužníků, jehož správcem by byl jiný subjekt. Ke zřízení takovéhoto seznamu by potřeboval souhlas subjektu údajů právě proto, že údaje se netýkají práv toho, kdo je seznam vede, ale věřitelů.

Jsou-li osobní údaje zpracovávány za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti s vlastní činností správce nebo zpracovatele. Údaje shromážděné k tomuto účelu lze předat i jinému správci, ale opět jen k využívání údajů za účelem nabízení obchodu a služeb a za podmínky, že subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy. Správce musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné. Jestliže správce nezískal osobní údaje od subjektu údajů, poskytne mu také informace o tom, od koho údaje získal, informace o druhu osobních údajů a o obsahu těchto údajů. Zákon stanoví z této informační povinnosti určité výjimky, jedná se např. o případy, kdy jsou údaje shromažďovány jen ke statistickým účelům, k archivnictví nebo o případy, kdy zpracování osobních údajů ukládá zákon.

Při zpracování veškerých osobních údajů musí správce i zpracovatel dbát na to, aby subjekt údajů neutrpěl újmu na svých právech, zejména na zachování lidské důstojnosti, a aby byla zajištěna ochrana před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

Správce i zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, jakož i k jinému zneužití. Součástí systému ochrany osobních údajů je povinnost zaměstnanců správce a zpracovatele, jakož i jiných subjektů, které zpracovávají osobní údaje na základě smlouvy, provádět zpracování pouze za podmínek a v rozsahu, které správce či zpracovatel určí.

Hodlá-li někdo shromažďovat osobní údaje nebo změnit dosavadní zpracování, musí tento záměr ohlásit Úřadu pro ochranu osobních údajů. Oznamovací povinnost se nevztahuje na zpracování osobních údajů, které jsou součástí veřejně přístupných evidencí, a pokud je jejich zpracovávání uloženo zákonem. Provádí-li správce zpracování mimo rámec své zákonné povinnosti, musí již splnit oznamovací povinnost. Podnikatelům tato povinnost vznikne zejména v případě, že si vedou databázi svých klientů – fyzických osob. Oznamovací povinnost má správce také pro případ, že hodlá ukončit svoji činnost. V tomto případě musí zároveň Úřadu oznámit, jak naložil s osobními údaji. Účelem je zajistit dozor nad zpracováváním osobních údajů ze strany Úřadu proti eventuálním rizikům jejich zneužití.

Všechny osoby, které zpracovávají osobní údaje, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Tato povinnost trvá i po skončení zaměstnání nebo příslušných prací.

Pokud subjekt údajů zjistí, že došlo k porušení povinností správcem nebo zpracovatelem, má právo se obrátit na Úřad s žádostí o zajištění opatření k nápravě. Má právo požadovat, aby se správce či zpracovatel zdržel takového jednání; odstranil takto vzniklý stav či poskytl omluvu nebo jiné zadostiučinění; aby opravil nebo doplnil osobní údaje tak, aby byly pravdivé a přesné; dále má právo požadovat, aby osobní údaje byly zablokovány nebo zlikvidovány a na zaplacení peněžité náhrady, jestliže bylo porušeno právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

Odpovědnost správce a zpracovatele je konstruována jako odpovědnost objektivní, tedy bez ohledu na zavinění. Ke vzniku odpovědnosti tak postačí, že nastanou zákonem předpokládané skutečnosti a není potřeba hledat, kdo konkrétně protiprávní stav svým jednáním zavinil. Pro zmírnění tohoto ustanovení je zákonem dán liberační důvod – odpovědnosti se správce či zpracovatel zprostí, prokáže-li že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Přesto však může subjekt údajů žádat, aby se správce nebo zpracovatel zdržel závadného jednání, odstranil závadný stav a provedl opravu, doplnění, blokování nebo likvidaci osobních údajů.

Dozor nad dodržováním povinností stanovených zákonem vykonává Úřad pro ochranu osobních údajů. Pokud správce nebo zpracovatel poruší některou ze zákonných povinností, uloží mu Úřad pokutu až do výše 10 000 000 Kč.

JUDr. Martin Maisner

ROWAN LEGAL