dnes je 5.10.2022

Input:

Ochrana osobních údajů

13.10.2016, , Zdroj: Verlag Dashöfer

10.3
Ochrana osobních údajů

Mgr. Milan Vaňkát

Žijeme ve věku informačních technologií a otázka soukromí nabyla jiného rozměru. Žijeme rovněž v době, která není pro podnikatele jednoduchá. Vedle samotného podnikání se musí podnikatel starat rovněž o plnění různých povinností, které mu ukládá právní řád České republiky a případně i právo Evropské unie. Problematika osobních údajů přináší podnikateli další starosti a především povinnosti, které by měl vést v patrnosti, jinak se vystavuje riziku případných sankcí. Výchozím právním předpisem je zákon č. 101/2000 Sb., o ochraně osobních údajů (dále jako "ZOOÚ"), byť problematikou osobních údajů a soukromí se zabývají i další české či evropské právní předpisy. Tato kapitola si klade za cíl uvést podnikatele do problematiky osobních údajů, aby se v ní mohl alespoň základním způsobem zorientovat.

Tento příspěvek musí začít vysvětlením některých základních pojmů, které jsou podstatné pro pochopení dalších souvislostí (především jde-li o pojem osobních údajů a jejich zpracování). Následně se budeme věnovat Úřadu na ochranu osobních údajů (dále jako "Úřad“) a možným deliktům, aby podnikatel mohl získat představu, co by se mohlo stát, kdyby platnou právní úpravu nerespektoval. Dále se budeme zabývat některými základními právy a povinnostmi, které plynou ze zákona o ochraně osobních údajů. Podnikatel má obvykle zaměstnance, a proto se podíváme i na určité souvislosti mezi zákonem o ochraně osobních údajů a zákoníkem práce.

Základní pojmy

Zákon zjednodušeně řečeno upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států. Uvedené zákon činí v souladu s právem Evropské unie a mezinárodními smlouvami závaznými pro ČR, aby mohlo být naplněno právo každého na ochranu před neoprávněným zasahováním do soukromí. Jedná se o natolik zásadní právo, že je výslovně upraveno mimo jiné i v Listině základních práv a svobod, a to konkrétně v čl. 10 odst. 2 a 3. Každý má tak právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě1. Problematika osobních údajů má vedle toho i souvislost s některými politickými právy uvedenými v čl. 17 Listiny základních práv a svobod:

1) Svoboda projevu a právo na informace jsou zaručeny.

2) Každý má právo vyjadřovat své názory slovem, písmem, tiskem, obrazem nebo jiným způsobem, jakož i svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice státu.

3) Cenzura je nepřípustná.

4) Svobodu projevu a právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti.

5) Státní orgány a orgány územní samosprávy jsou povinny přiměřeným způsobem poskytovat informace o své činnosti. Podmínky a provedení stanoví zákon.

Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, a vztahuje se na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně, nebo jinými prostředky. Zákon se naopak nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu, a na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány.

Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Mezi typickými příklady osobních údajů lze uvést jméno a příjmení, rodné číslo, adresu bydliště, rodinný stav apod. Subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují. Zveřejněným osobním údajem je osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu. Souhlasem subjektu údajů je svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

V uvedené souvislosti lze poukázat na rozsudek Nejvyššího správního soudu ze dne 12. 2. 2009, sp. zn. 9 As 34/2008, ze kterého mimo jiné plyne, že výklad pojmu "osobní údaj" se nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Prostřednictvím tohoto čísla je však možno daný subjekt v určitém časovém úseku přímo kontaktovat, a tento subjekt je tak dosažitelný a jistým způsobem určitelný, a to případně i bez znalosti jeho jména a dalších údajů, které již vazbu na jeho fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu mají.

Citlivým údajem se rozumí osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Anonymním údajem se rozumí takový údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů.

Rodné číslo je osobním údajem, ale nepovažuje se za citlivý osobní údaj, protože není uvedeno ve výslovném zákonném výčtu citlivých údajů. Rodnému číslu se speciálně věnuje mimo jiné zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech (zákon o evidenci obyvatel). Dle ust. § 13 odst. 9 je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno, nebo její zákonný zástupce. Jinak lze rodné číslo využívat jen v případech, jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, pokud to vyplývá z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí, stanoví-li tak zvláštní zákon nebo vyjádřil-li souhlas nositel rodného čísla či jeho zákonný zástupce. Bez zajímavosti není ani rozsudek Nejvyššího správního soudu ze dne 16. 7. 2008, sp. zn. 1 As 36/2008, dle kterého byl správní delikt dle § 45 odst. 1 písm. c) ZOOÚ naplněn též tím, že exekutor zveřejnil usnesení o ceně nemovitosti, v němž označil povinného rodným číslem.

Příjemcem je každý subjekt, kterému jsou osobní údaje zpřístupněny. Za příjemce se nepovažuje subjekt, který zpracovává osobní údaje pro výkon kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech veřejného pořádku a vnitřní bezpečnosti, předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů a významného hospodářského či finančního zájmu ČR a EU [blíže viz ust. § 4 písm. o) ZOOÚ a navazující ustanovení].

Zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Pod pojmem zpracování osobních údajů si lze například představit pořizování fotografií, audio či audiovizuálního záznamu, zaznamenávání určitých charakteristik, vytváření seznamu klientů, kterým by podnikatel chtěl dále nabízet své produkty apod.

Někteří obvinění či podezřelí ze spáchání trestného činu se musí podrobit tzv. identifikačním úkonům. Jedná se o úkony, které zásadním způsobem zasahují do osobnostních práv každého. Policejní orgán se při tom řídí pokynem policejního prezidenta č. 250/2013, o identifikačních úkonech, ze dne 3. 12. 2013. V praxi se pak především odebírají otisky prstů a biologický materiál (bukální stěr), pořizují se fotografie apod. Samotné vzorky DNA z odebraného biologického materiálu jsou uložené v Národní databázi DNA, kterou spravuje Kriminalistický ústav. Tato praxe stále vzbuzuje určitou kontroverzi, protože pro ni zatím chybí výslovný zákonný podklad. Navíc lze poukázat i na znění čl. 40 odst. 2 Listiny základních práv a svobod, dle kterého každý, proti němuž je vedeno trestní řízení, je považován za nevinného, pokud pravomocným odsuzujícím rozsudkem soudu nebyla jeho vina vyslovena. Každopádně se za zpracování osobních údajů považuje i zaznamenávání vzorků DNA.

Shromažďováním osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. Uchováváním osobních údajů je udržování údajů v takové podobě, která je umožňuje dále zpracovávat. Blokováním se rozumí operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů. Likvidací osobních údajů je fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování.

Správcem se rozumí každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak. Zpracovatelem je každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona. Evidencí nebo datovým souborem osobních údajů je jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií.

Úřad na ochranu osobních údajů

Zákonem byl mimo jiné zřízen Úřad pro ochranu osobních údajů, který disponuje řadou pravomocí a především může ukládat sankce za porušení ZOOÚ, dojde-li k naplnění skutkové podstaty některého ze stanovených přestupků či správních deliktů. Je proto vhodné, aby měl podnikatel základní přehled o pravomocích a činnostech úřadu a také o možných sankcích, nebude-li dodržovat ustanovení ZOOÚ a jeho jednání vyjde najevo (ať již z vlastní činnosti Úřadu či z podnětu jiné osoby).

Úřad je nezávislý orgán, ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy. Do činnosti Úřadu lze zasahovat jen na základě zákona. Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky. Úřad v rámci své pravomoci:

a) provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů,

b) vede registr zpracování osobních údajů,

c) přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení,

d) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

e) vykonává další působnosti stanovené mu zákonem,

f) projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,

g) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, a z přímo použitelných předpisů Evropské unie,

h) poskytuje konzultace v oblasti ochrany osobních údajů,

i) spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů. Úřad v souladu s právem Evropské unie plní oznamovací povinnost vůči orgánům Evropské unie.

Pokud jde o organizaci úřadu, zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci. Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen “kontrolující“). Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností. Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky. Stejným způsobem jsou jmenováni a odvoláváni také inspektoři. Inspektor řídí kontrolu a provádí další úkony, které jsou v působnosti Úřadu.

V rámci své činnosti Úřad vede registr zpracování osobních údajů, vydává výroční zprávu a lze poukázat i na některá práva kontrolujících při kontrole. Do registru zpracování osobních údajů se k osobám správců zapisují informace z oznámení podle § 16 odst. 2 ZOOÚ a datum provedení, případně zrušení registrace. Informace zapsané do registru jsou až na některé výjimky veřejně přístupné, zejména způsobem umožňujícím dálkový přístup. Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu. Kontrolující je při kontrole zpracování osobních údajů oprávněn seznamovat se se všemi informacemi v rozsahu nezbytném pro dosažení účelu kontroly, včetně citlivých údajů. Dojde-li k porušení povinnosti stanovené zákonem nebo uložené na jeho základě při zpracování osobních údajů, uloží inspektor opatření k odstranění zjištěných nedostatků a stanoví lhůtu pro jejich odstranění. Dojde-li k nápravě protiprávního stavu v souladu s uloženým opatřením nebo bezprostředně poté, kdy bylo zjištěno porušení povinnosti, může Úřad upustit od uložení pokuty. Kontrolující je povinen prokázat se kontrolovanému průkazem, jehož vzor stanoví nařízení vlády a který je současně pověřením ke kontrole.

Porušení ZOOÚ a sankce

Jak bylo uvedeno výše, osoba porušující ZOOÚ se vystavuje riziku uložení sankce ze strany Úřadu. Porušením zákona se podnikatel může dopustit přestupku anebo správního deliktu. Přestupku se může dopustit fyzická osoba v pracovním nebo jiném poměru ke správci nebo zpracovateli, případně fyzická osoba jako správce či zpracovatel anebo i jen jako fyzická osoba. Správního deliktu se může dopustit právnická nebo fyzická osoba podnikající jako správce nebo zpracovatel, případně samotná právnická osoba jako správce či zpracovatel anebo i jen jako právnická osoba nebo podnikající fyzická osoba.

Před konkrétními skutkovými podstatami lze k obecným principům trestání ze strany Úřadu uvést následující. Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do jednoho roku ode dne, kdy se o něm dozvěděl, nejpozději však do tří let ode dne, kdy byl spáchán. Správní delikty podle tohoto zákona projednává v prvním stupni Úřad. Pokuta je splatná do 30 dnů ode dne, kdy rozhodnutí o jejím uložení nabylo právní moci. Pokutu vybírá Úřad. Výnos z pokut je příjmem státního rozpočtu.

Fyzická osoba, která je ke správci či zpracovateli v pracovním nebo jiném obdobném poměru, vykonává pro správce nebo zpracovatele činnosti na základě dohody nebo v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji, se dopustí přestupku tím, že poruší povinnost mlčenlivosti. Za tento přestupek lze uložit pokutu do výše 100 000 Kč.

Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů:

a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b) ZOOÚ] nebo stanoveným účelem zpracování poruší povinnost či překročí oprávnění vyplývající ze zvláštního zákona,

b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c) ZOOÚ],

c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, které neodpovídají stanovenému účelu [§ 5 odst. 1 písm. d), f) až h) ZOOÚ],

d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e) ZOOÚ],

e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9 ZOOÚ),

f)

Nahrávám...
Nahrávám...