Závěrečné stanovisko

Transkript

1 Inzertní společnosti, které zveřejňují osobní údaje na svých internetových stránkách, mají postavení správců údajů ve smyslu čl. 2 písm. d) směrnice Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, a 4 písm. j) zákona o ochraně osobních údajů. V Brně dne 23. února 2012 Sp. zn.: 3054/2008/VOP/PPO Závěrečné stanovisko ve věci podnětu Ing. M. P. vydané podle 18 odst. 2 zákona o veřejném ochránci práv (poskytování údajů o telekomunikačním provozu za účelem prošetření přestupku inzertní společnosti jako správci osobních údajů) A - Závěry z průběžné zprávy o výsledku šetření Dne 31. srpna 2010 jsem vydala průběžnou zprávu o výsledku šetření ve věci podnětu Ing. M. P. (dále také stěžovatel ), který se na veřejného ochránce práv obrátil v souvislosti s incidentem, kdy neznámá osoba bez jeho vědomí a souhlasu podala na internetových stránkách inzerát, v němž nabídla jménem stěžovatele k prodeji jeho dům a osobní automobil. Stěžovatel zároveň žádal prověření, zda je v právním státě možné podávat a zveřejňovat inzeráty bez požadavků věrohodné identifikace. Tím chtěl stěžovatel upozornit na možnou nebezpečnost takového jednání, kdy potencionálně kterýkoli občan může být vystaven ataku neznámých pachatelů. Stěžovatel rovněž tvrdil, že byly zneužity jeho osobní údaje. V průběžné zprávě, která je nedílnou součástí mého stanoviska, jsem dospěla k těmto závěrům. 1. Shledala jsem pochybení v postupu Obvodního oddělení Policie ČR v Jihlavě (dále také OO PČR ) ve smyslu ustanovení 1 odst. 1 zákona č. 349/1999 Sb., o veřejném ochránci práv, ve znění pozdějších předpisů, jelikož OO PČR vyžadovalo od společnosti X, spol. s r. o., identifikaci subjektu užívajícího IP adresu XXX. Ke dni 30. září 2008 však OO PČR nebylo oprávněno takový údaj získat, neboť platné předpisy účinné do umožňovaly Policii ČR vyžádat si tyto informace pouze při vyšetřování konkrétního trestného činu (nikoliv přestupku), a to na základě písemného odůvodněného příkazu soudu.

2 Dále jsem v činnosti OO PČR spatřovala porušení principů dobré správy, poněvadž společnostem Y, a. s., Z, k. s., nesdělilo, na základě kterého konkrétního ustanovení zákona vyžadovalo sdělení IP adresy. Rovněž jsem konstatovala, že na prolamování principů důvěrnosti elektronických komunikací při vyšetřování přestupků, jako činů s nižší společenskou nebezpečností, musí platit srovnatelná či přísnější pravidla, než je tomu u trestných činů. Pokud by tomu tak nebylo, hrozilo by nebezpečí, že se výkon státní moci stane nástrojem libovůle proti jednotlivci. Bez adekvátních a dostatečných záruk skládajících se z odpovídajících právních předpisů a účinné kontroly jejich dodržování by mohly státní orgány získávat chráněné informace o soukromém životě občanů prakticky kdykoliv. 2. Pochybení ve smyslu ustanovení 1 odst. 1 zákona o veřejném ochránci práv se dle mého názoru dopustil rovněž Úřad pro ochranu osobních údajů (dále také Úřad ), neboť stěžovatele nesprávně informoval o tom, že inzertní společnosti nelze považovat za správce osobních údajů ve smyslu ustanovení 4 písm. j) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen zákon o ochraně osobních údajů ). Taková informace však nebyla v souladu s platným zákonem. Cílem mého šetření bylo přesvědčit zástupce Úřadu, že je v rozporu s právem, pokud Úřad vyřizuje skutkově obdobné stížnosti s odůvodněním, že působnost Úřadu není dána. Zpracování osobních údajů inzertními společnostmi totiž nelze z působnosti zákona vymezené v ustanovení 3 zákona o ochraně osobních údajů předem vylučovat. Inzertní společnosti provozující internetové servery zpracovávají osobní údaje za účelem zprostředkování nabídky a poptávky mezi fyzickými a právnickými osobami vztahující se k movitým a nemovitým věcem či službám, prostředkem zpracování údajů je z povahy věci internet. Pro podání inzerátu je povinné uvedení ové adresy, přičemž i tu lze považovat za osobní údaj, třebaže nemá formu jméno, příjmení a doména zaměstnavatele. Za rozhodující považuji, že má posloužit jako komunikační prostředek mezi zájemci, jejichž cílem je získat na sebe kontakt (osoba se tak musí stát pro účely zákona určitelnou ). V šetřeném případě byl navíc stěžovatel plně identifikován na základě jména, příjmení, bydliště, telefonního čísla a u. Je tedy mimo jakoukoli pochybnost, jestli byl určitý či určitelný. Ve zprávě jsem uvedla, že na inzertní společnosti, které jsou správci údajů, dopadají povinnosti ze zákona o ochraně osobních údajů. Jednou z hlavních povinností správce je zpracovávat údaje na základě informovaného souhlasu osoby, jíž se údaje týkají. Tím se dle mého názoru zvyšují požadavky na autentizaci subjektů při podávání inzerátů, čímž se zabraňuje zásahům do práv třetích osob. Případné porušení zákona přitom přísluší prověřit Úřadu. 3. Zákon o veřejném ochránci práv stanoví, že zjistí-li ochránce šetřením porušení právních předpisů či jiná pochybení, vyzve úřad, aby se k jeho zjištěním ve 2

3 lhůtě 30 dnů vyjádřil. Zprávu jsem proto zaslala k vyjádření OO PČR a Úřadu. O součinnost jsem požádala i Policejní prezidium ČR a zprávu jsem rovněž zaslala stěžovateli.. B.I. - Vyjádření OO PČR B Vyjádření dotčených správních orgánů V reakci na zprávu o šetření OO PČR v dopisu ze dne uvedlo (č.j. KRPJ /ČJ ), že souhlasí s mými závěry, nicméně konstatovalo, že ve zprávě uvedená pochybení neměla vliv na objasnění oznámení Ing. M. P. a policisté OO PČR Jihlava jednali tak, aby bylo toto oznámení řádné prověřeno a činili vše pro zjištění osoby možného pachatele. Závěry uvedené ve zprávě byly prezentovány na setkání - poradě policistů OO PČR Jihlava především k problematice osobních údajů, principů dobré správy a také především k předcházení možným pochybením obdobného charakteru ze strany policie. B.II. - Vyjádření Policejního prezidia PČR Policejní prezidium se prostřednictvím plk. Ing. Viktora Čecha, bývalého náměstka policejního prezidenta pro službu kriminální policie a vyšetřování, dopisem ze dne 4. října 2010 (č.j.: PPR /ČJ TN) vyjádřilo k několika otázkám, které jsem mu v rámci případu přednesla. K otázce, jak Policie ČR řeší situace, kdy je jedna IP adresa stejná pro více uživatelů veřejně dostupné služby elektronických komunikací a zda lze i v tomto případě, za současného použití policejních pravomocí, zjistit, z kterého počítače byl konkrétní delikt (přestupek či trestný čin) spáchán, Policejní prezidium odpovědělo následovně: Pakliže je veřejná IP adresa sítě internet totožná pro více využívaných koncových zařízení v daném segmentu sítě, vychází Policie ČR z funkcionality počítačové sítě realizované za využití protokolu TCP/IP. Tedy s využitím předpokladu jedinečnosti identifikace při komunikaci v daném protokolu je snahou Policie ČR zajistit zákonnou cestou důkazy z vnitřní sítě LAN, kde může být zapojeno více připojených koncových zařízení, byť navenek v síti internet jsou identifikovány např. jedinou veřejnou IP adresou, avšak které pro komunikaci musejí mít jedinečné identifikátory, aby byla zajištěna komunikace, která vyžaduje obousměrnost, a tedy v daném okamžiku znalost zdroje a cíle paketů, jak ji předpokládá zmíněný komunikační protokol. Pokud jde tedy o zpětnou průkaznost uskutečněné datové komunikace, vůči níž je žádoucí identifikace, pak za využití reverzního postupu dokazování v prostředí TCP/1P je Policie ČR odkázána na nutnost existence tzv. logových údajů o uskutečněné komunikaci. 3

4 V případě veřejné dostupné služby elektronických komunikací, kterou předjímá zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění účinném do 11. dubna 2011 (dále jen zákon elektronických komunikacích ), je pak postup policie a s ním spjatá vymahatelnost sdělení konkrétního uživatelského účtu, tedy nikoli přímo koncového zařízení, dána aplikací ustanovení 97 odst. 3 zákona o elektronických komunikacích, za využití technické specifikace dané prováděcí vyhláškou k zákonu o elektronických komunikacích č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání. Konkrétně je informace o uživatelském účtu vystavenému pro připojení do sítě internet v rámci veřejně dostupné služby elektronických komunikací dostupná v souladu s postupem stanoveným v ustanovení 88a zákona č. 141/1961 Sb., o trestním řízení soudním, ve znění pozdějších změn a doplňků (dále jen trestní řád ), a v technickém rozsahu u sítí elektronických komunikací s přepojováním paketů (tedy sítě internet) se uchovávají údaje o uskutečněné komunikaci u služeb přístupu k síti s uvedením typu připojení, identifikátoru uživatelského účtu, identifikátoru zařízení uživatele služby, data a času zahájení připojení, data a času ukončení připojení, zájmových identifikátorů (například IP adresa, číslo portu), statusu události (například úspěch, neúspěch, řádné nebo mimořádné ukončení připojení), množství přenesených dat (v příchozím směru/v odchozím směru). Policie ČR vychází v daných případech ze sdělení právnické nebo fyzické osoby zajišťující veřejnou komunikační sít' nebo poskytující veřejně dostupnou službu elektronických komunikací, která je ze zákona povinna uchovávat provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejich veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací. Bez této součinnosti není přímo schopna zpětně identifikovat uživatelský účet vystavený pro připojení do sítě internet v rámci veřejně dostupné služby elektronických komunikací. Pokud jde o individuální identifikaci konkrétního koncového zařízení, je toto možné pouze za využití technického zkoumání konkrétního zařízení, a to za předpokladu, že je k dispozici a stále obsahuje datové stopy, dokladující využití koncového zařízení při uskutečněné datové komunikaci. V případě neexistence takových stop, byť je předpokládané koncové zařízení zajištěno, lze pouze jen nepřímo předjímat a dovozovat jeho využití při komunikaci. Finálně pak prostá identifikace koncového zařízení bez dalšího dokazování neumožňuje přímé určení odpovědné osoby za uskutečněnou komunikaci. Policejní prezidium jsem dále požádala o sdělení, které útvary Policie ČR se zabývají delikty spáchanými prostřednictvím internetu a jak jsou v této věci metodicky vedeny. Zároveň jsem požádala o zaslání metodických pokynů či jiných předpisů, které se vztahují k předmětné problematice (zejména v oblasti přestupkové agendy). Policejní prezidium mi sdělilo, že pokud jde o určení příslušnosti v rámci řešených deliktů páchaných prostřednictvím sítě internet, pak stejně jako u ostatních deliktů je primárně určující věcná a místní příslušnost. Specifikum je pak v rámci služby kriminální policie a vyšetřování, kde jsou specializovaná pracoviště 4

5 (pracoviště informační kriminality a Útvar zvláštních činností služby kriminální policie a vyšetřování), která se účastní dílčích úkolů při odhalování trestné činnosti, avšak vždy pod vedením věcně a místně příslušné součásti Policie ČR. V této souvislosti je pak možné poukázat na závazný pokyn policejního prezidenta č. 83 ze dne 22. června 2006, kterým se upravuje postup orgánů Policie České republiky v souvislosti s řízením o přestupcích, závazný pokyn policejního prezidenta č. 30 ze dne 21. dubna 2009, o plnění úkolů v trestním řízení, závazný pokyn policejního prezidenta č. 150 ze dne 5. listopadu 2009, kterým se mění závazný pokyn policejního prezidenta č. 30/2009, o plnění úkolů v trestním řízení, a na závazný pokyn policejního prezidenta č. 225 ze dne 31. prosince 2008, kterým se upravuje postup při vyžadování odposlechu a záznamu telekomunikačního provozu a údajů o uskutečněném telekomunikačním provozu. Dále jsem se prezidia dotázala, zda v případě, že je přestupek (např. schválnost, vyhrožování újmou na zdraví, ublížení na cti) spáchán na internetu osobou neznámé totožnosti, přichází v úvahu aplikace ustanovení 66 odst. 3 a 68 odst. 2 zákona č. 273/2008 Sb., o Policii ČR, ve znění pozdějších předpisů, ve spojení s ustanovením 97 odst. 3 zákona o elektronických komunikacích. Prezidium mi odpovědělo, že v případech, kdy předmětná data spadají do rozsahu, kdy jsou předmětem telekomunikačního tajemství anebo na něž se vztahuje ochrana osobních a zprostředkovacích dat, není na místě akceptovat nižší úroveň garance základních práv a svobod dané Listinou základních práv a svobod než tu, která je těmto datům dána, resp. výší procesní adekvátnosti prolamována ve smyslu ustanovení 88a trestního řádu, a tudíž nelze dovozovat aplikaci tak, jak jsem ji nastínila v dotazu. V neposlední řadě jsem se prezidia dotázala, zda disponuje statistikami o počtu případů, kdy byly Policii ČR předány provozní a lokalizační údaje a zda tuto problematiku upravuje nějaký interní předpis Policie ČR. Prezidium konstatovalo, že Policie ČR, Útvar zvláštních činností Služby kriminální policie a vyšetřování vede počty realizovaných žádostí výpisů z telekomunikačního provozu dle ustanovení 88a trestního řádu, které slouží primárně k provozním účelům. Nemají tedy za cíl zpětně hodnotit opodstatněnost a adekvátnost opatření rozhodujícího soudce v dané věci, tak jak stanoví trestní řád. Nelze proto z těchto přehledů přesně zjistit, které druhy deliktů byly tímto způsobem odhaleny. Tato problematika je obecně upravena v citovaném ustanovení trestního řádu. B.III. - Vyjádření Úřadu pro ochranu osobních údajů Úřad se k předmětné kauze vyjádřil celkem dvakrát. Na následujících řádcích reprodukuji první odpověď RNDr. Igora Němce, předsedy Úřadu, ze dne 5. října 2010 (zn. KNDČ-1068/09-/NON). V první řadě Úřad nezpochybnil, že společnosti Y, a. s., a Z, k. s., mohou být správci osobních údajů zadavatelů inzerátů, kdy jimi (v mnoha případech dobrovolně) uvedené vlastní osobní údaje jsou zpracovávány na základě 5 odst. 2 písm. b) zákona o ochraně osobních údajů. Výše uvedení provozovatelé inzertních 5

6 serverů umožňují, ať už úplatně nebo bezplatně, zveřejnit na svých webových stránkách inzeráty, do jejichž obsahu však nezasahují a nijak je neupravují. Předseda upozornil, že jsem v průběžné zprávě uvedla, že provozovatelé zadavatelům inzerátů radí, aby přímo do textu inzerátu neuváděli kontaktní (osobní) údaje a záleží pouze na rozhodnutí zadavatele inzerátu, zda se rozhodne své údaje prostřednictvím daného inzerátu na internetu zveřejnit, či nikoli. Dle názoru Úřadu je tedy nutné odlišit případ, kdy zadavatel poskytne své osobní údaje provozovateli inzertního serveru za účelem zveřejnění inzerátu na jeho webových stránkách a provozovatel serveru je správcem těchto osobních údajů, a případ, kdy zadavatel umístí na webové stránky svůj inzerát obsahující osobní údaje, které provozovatel nejen že nevyžaduje a sám žádným způsobem nezpracovává, naopak inzerentům doporučuje, aby do inzerátů tyto údaje nezadávali. Úřad vedl svou úvahu následujícím způsobem: Pokud bychom považovali provozovatele inzertních serverů za správce osobních údajů případně obsažených v inzerátech, pak bychom museli považovat za správce osobních údajů ve smyslu zákona o ochraně osobních údajů například i všechny provozovatele diskusních fór či jiných internetových stránek, které běžným návštěvníkům umožňují vkládat na ně informace, jelikož i zde jsou v mnoha příspěvcích obsaženy osobní údaje třetích osob. Tento přístup, který je v rozporu se smyslem příslušné právní úpravy, tedy zejména Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů a zákona o ochraně osobních údajů, považuje Úřad za nepřípustně extenzivní. Takovýto rozšiřující výklad by byl rovněž v rozporu s obecným právním rámcem pro poskytování služeb elektronických komunikací tak, jak je upraven v dalších evropských právních předpisech, především ve Směrnici Evropského parlamentu a Rady 2002/122/ES ze dne 7. března 2002, o univerzální službě a právech uživatelů týkajících se sítí a služeb elektronických komunikací, Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a směrnice, obě ve znění pozdějších předpisů. K otázce ové adresy jako osobního údaje předseda RNDr. Němec stručně zopakoval předchozí stanovisko Úřadu, protože v mé průběžné zprávě neshledal relevantní důvody pro to, aby jej Úřad přehodnotil. Dále mě předseda Úřadu upozornil, že není pravdou, jak ve své zprávě uvádím, že Úřad za osobní údaj považuje pouze ovou adresu přidělenou zaměstnanci zaměstnavatelem. Dle názoru Úřadu, který je vyjádřen i v jeho dopisu zn. KNDČ-1068/09-4/NON, ze dne 2. března 2009, ová adresa, která neobsahuje jiné osobní údaje svého držitele, např. jeho jméno a příjmení, ve značné části případů (tedy ne nikdy, jak je uvedeno v mé průběžné zprávě) osobním údajem není. Úřad nezpochybňuje, že v některých případech může i takováto ová adresa sama o sobě bez znalosti dalších informací k přímé či nepřímé identifikaci konkrétního subjektu údajů ze strany některých osob postačovat, rozhodně se však nejedná o případy všechny. Naproti tomu ovou adresu, která obsahuje skutečné jméno a příjmení subjektu údajů a případně i jeho další osobní údaje, 6

7 například údaj o zaměstnavateli, lze ke konkrétní fyzické osobě vztáhnout v zásadě vždy. Podle názoru Úřadu je nutné jednotlivé informace, které se mohou k fyzickým osobám vztahovat, v každém případě odlišovat podle jejich povahy, možné identifikovatelnosti osoby a dalších aspektů. Úřad nesouhlasí s tím, že určité kategorie informací, například jakkoliv používaná ová adresa v jakémkoliv formátu, jsou vždy, bez výjimky a bez jakéhokoliv odlišení a zohlednění všech relevantních souvislostí, osobními údaji ve smyslu příslušné definice zákona o ochraně osobních údajů. Podle názoru Úřadu takovéto striktní a předem zaujaté stanovisko neodpovídá realitě lidského života, tím méně realitě dotčené a do jisté míry i nově utvářené současnými komunikačními prostředky včetně internetu. Úřad se snaží o výklad práva, který realitu okolního světa odráží a plně reflektuje, a o změně tohoto přístupu neuvažoval ani po obdržení mé průběžné zprávy. I Úřadu jsem se dotázala na výklad ustanovení 66 odst. 3 a 68 odst. 2 zákona o Policii ČR ve spojení s 97 odst. 3 zákona o elektronických komunikacích. Úřad mi sdělil, že provozní a lokalizační údaje pro účely odhalování trestného činu, který prostřednictvím internetu spáchala osoba neznámé totožnosti, jsou právnickými nebo fyzickými osobami zajišťujícími veřejnou komunikační sít' nebo poskytujícími veřejně dostupnou službu elektronických komunikací poskytovány Policii ČR v souladu s 5 odst. 2 písm. a) zákona o ochraně osobních údajů, jelikož poskytnutí (resp. zpracovávání) těchto údajů je nezbytné pro plnění jejich právních povinností. K úrovni ochrany důvěrnosti elektronických komunikací při řešení trestních a netrestních věcí předseda Úřadu uvedl, že ustanovení 88a trestního řádu, dále pak ustanovení 66 odst. 3 a 68 odst. 2 zákona o Policii ČR poskytují dostatečné záruky. Ačkoli trestní řád požaduje písemný a odůvodněný příkaz předsedy senátu, což může představovat větší záruku oprávněnosti a nutnosti získat určité informace, předseda Úřadu se domnívá, že v případě pátrání po osobách uvedených v 68 odst. 2 zákona o Policii ČR by takováto úprava mohla mít zásadní vliv zejména v případech, kdy je třeba informace získat co nejdříve. C Nálezy Ústavního soudu Pl. ÚS 24/10 ze dne 22. března a Pl. ÚS 24/11 ze dne 20. prosince Ještě předtím než jsem vyhodnotila tuto diskusi, Ústavní soud dne rozhodl, že ustanovení 97 odst. 3 a 4 zákona o elektronických komunikacích a výše citovaná prováděcí vyhláška (transponující data retention 3 směrnici do českého právního řádu) jsou v rozporu s ústavním pořádkem. V odůvodnění nálezu (bod 36) ÚS mimo jiné uvedl: Umožňuje-li trestní právo realizaci veřejného zájmu na stíhání trestné činnosti pomocí robustních nástrojů, jejichž užití má za následek vážné omezení osobní integrity a základních práv 1 Nález byl vyhlášen ve Sbírce dne 12. dubna 2011 pod č. 94/ Tento nález ke dni vydání závěrečného stanoviska nebyl vyhlášen ve Sbírce zákonů. 3 Směrnice Evropského parlamentu a Rady 2006/24/ES, ze dne 15. března 2006, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES. 7

8 a svobod jednotlivce, pak při jejich aplikaci musí být respektovány ústavněprávní limity. K omezení osobní integrity a soukromí osob (tj. k prolomení respektu k nim) tak ze strany veřejné moci může dojít jen zcela výjimečně, je-li to v demokratické společnosti nezbytné, nelze-li účelu sledovaného veřejným zájmem dosáhnout jinak, a je-li to akceptovatelné z pohledu zákonné existence a dodržení účinných a konkrétních záruk proti libovůli. ÚS připomněl podmínky zásahu do soukromí občanů ze strany státu (bod 37): Zásah do základního práva jednotlivce na soukromí v podobě práva na informační sebeurčení ve smyslu čl. 10 odst. 3 a čl. 13 Listiny z důvodu prevence a ochrany před trestnou činností je tak možný jen skrze imperativní zákonnou úpravu, která musí především odpovídat nárokům plynoucím z principu právního státu a která naplňuje požadavky vyplývající z testu proporcionality, kdy v případech střetů základních práv či svobod s veřejným zájmem, resp. s jinými základními právy či svobodami je třeba posuzovat účel (cíl) takového zásahu ve vztahu k použitým prostředkům, přičemž měřítkem pro toto posouzení je zásada proporcionality (v širším smyslu). Taková právní úprava musí být přesná a zřetelná ve svých formulacích a dostatečně předvídatelná, aby potenciálně dotčeným jednotlivcům poskytovala dostatečnou informaci o okolnostech a podmínkách, za kterých je veřejná moc oprávněna k zásahu do jejich soukromí a případně tak mohli upravit své chování tak, aby se nedostali do konfliktu s omezující normou. Rovněž musí být striktně definovány i pravomoci udělené příslušným orgánům, způsob a pravidla jejich provádění tak, aby jednotlivcům byla poskytnuta ochrana proti svévolnému zasahování. Posouzení přípustnosti daného zásahu z hlediska zásady proporcionality (v širším smyslu) pak zahrnuje tři kritéria. Prvním z nich je posouzení způsobilosti naplnění účelu (nebo také vhodnosti), přičemž je zjišťováno, zda je konkrétní opatření vůbec schopno dosáhnout zamýšleného cíle, jímž je ochrana jiného základního práva nebo veřejného statku. Dále se pak jedná o posouzení potřebnosti, v němž je zkoumáno, zda byl při výběru prostředků použit ten prostředek, který je k základnímu právu nejšetrnější. A konečně je zkoumána přiměřenost (v užším smyslu), tj. zda újma na základním právu není nepřiměřená ve vazbě na zamýšlený cíl, tzn. že opatření omezující základní lidská práva a svobody nesmějí, jde-li o kolizi základního práva či svobody s veřejným zájmem, svými negativními důsledky převyšovat pozitiva, která představuje veřejný zájem na těchto opatřeních. V kontextu předmětného případu je důležité, že ÚS je názoru (bod 38), že nezbytný požadavek soudní ochrany základních práv se ( ) projevuje zejména ve vydání soudního příkazu a v jeho dostatečném odůvodnění. 4 S ohledem na charakter uchovávaných dat a jejich vypovídající hodnotě o soukromí jedinců (srov. body nálezu) ÚS poměřoval právní úpravu obsaženou v zákoně a prováděcí vyhlášce přísnými ústavněprávními měřítky a dospěl k názoru, že jim zdaleka neodpovídá. ÚS se především ohradil proti neurčitému právnímu titulu a nejasnému vymezení orgánů, které jsou oprávněny si údaje vyžádat (bod 46). Dále také poukázal na skutečnost, že není jasné, za jakým účelem jsou provozní a lokalizační údaje oprávněným orgánům poskytovány, což znemožňuje posouzení napadené úpravy z hlediska její skutečné potřebnosti. 4 Srov. cit. nálezy Ústavního soudu sp. zn. II. ÚS 789/06 či sp. zn. I. ÚS 3038/07. 8

9 Zatímco data retention směrnice deklarovala za cíl zajistit dostupnost ( ) údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů, 5 tak česká právní úprava žádné obdobné omezení neobsahovala. Je tedy zřejmé, že pokud je samotné plošné a preventivní uchovávání údajů o chování osob o elektronické komunikaci protiústavní, není možné tyto údaje dále využívat jako legální důkazní prostředek ve správním (či jiném) řízení. Na sklonku roku 2011 Ústavní soud rozhodl o návrhu Obvodního soudu pro Prahu 6 na zrušení 88a zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a to tak, že jeho znění zrušil pro rozpor s ústavním pořádkem (konkrétně s čl. 10 odst. 3 a čl. 13 Listiny a čl. 8 Úmluvy). Ústavní soud zároveň odložil účinnost derogačního výroku do 30. září V odůvodnění nálezu navázal na své shora citované rozhodnutí. Za podstatné považuji citovat z bodu 30 a 31 nálezu: Lze shrnout, že ačkoliv 88a trestního řádu obsahuje úplnou právní úpravu přístupu orgánů činných v trestním řízení k údajům o uskutečněném telekomunikačním provozu, tento přístup výslovně podmiňuje pouze tím, že předmětné údaje umožňuje zjistit výlučně k objasnění skutečností důležitých pro trestní řízení. Posouzení splnění této podmínky sice svěřuje předsedovi senátu, resp. v přípravném řízení soudci, který rozhoduje o nařízení sdělení těchto údajů, její velmi obecné a neurčité vymezení při současné absenci bližší úpravy následné dispozice s těmito údaji, ale s ohledem na to, že sdělení předmětných údajů představuje ve vztahu k dotčeným uživatelům služeb elektronických komunikací zásah do jejich základního práva na soukromí v podobě práva na informační sebeurčení ve smyslu čl. 10 odst. 3 a čl. 13 Listiny a čl. 8 Úmluvy, nelze považovat za dostatečné. Zákonodárce do napadeného ustanovení především nijak nepromítl požadavek proporcionality zásahu do základního práva s ohledem na sledovaný účel, neboť přístup k předmětným údajům upravil v podstatě jako běžný prostředek zaopatřování důkazů pro účely trestního řízení, a to dokonce vedeného pro jakýkoliv trestný čin. Takovéto omezení přitom vzhledem k závažnosti předmětného zásahu do soukromé sféry jednotlivce obstojí toliko tehdy, bude-li respektovat podmínky vyplývající z principu proporcionality. To znamená, že přístup orgánů činných v trestním řízení k údajům o uskutečněném telekomunikačním provozu přichází v úvahu pouze za předpokladu, že účelu trestního řízení nelze dosáhnout jinak, že právní úprava obsahuje dostatečné garance, aby nedošlo k použití těchto údajů k jinému než zákonem předpokládanému účelu a že omezení práva jednotlivce na informační sebeurčení není nepřiměřeným zásahem s ohledem na význam konkrétních společenských vztahů, zájmů nebo hodnot, jež jsou objektem trestného činu, pro který je vedeno předmětné trestní řízení. Tato omezení napadené ustanovení nerespektuje, přičemž tento nedostatek nelze odstranit ani prostřednictvím jím stanovené soudní kontroly. Soudy při svém rozhodování o nařízení sdělení předmětných údajů sice mohou poskytnout ochranu základnímu právu na informační sebeurčení s ohledem na skutkové okolnosti konkrétní věci, svojí judikaturou však 5 Viz recitál Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES. Více informací také zde či zde 9

10 nemohou nahrazovat absenci dostatečně určité zákonné právní úpravy, jež je ve smyslu čl. 4 odst. 2 Listiny předpokladem omezení základních práv a svobod v obecné rovině. Na základě výše uvedené argumentace Ústavní soud konstatuje, že napadené ustanovení je v rozporu se základním právem na respektování soukromého života v podobě práva na informační sebeurčení podle čl. 10 odst. 3 a čl. 13 Listiny, jakož i čl. 8 odst. 2 Úmluvy, neboť umožňuje orgánům činným v trestním řízení zasahovat do něj za účelem prevence a stíhání trestných činů způsobem neodpovídajícím požadavku proporcionality jeho omezení, vyplývajícímu ze zásady právního státu vyjádřené v čl. 1 odst. 1 Ústavy. Pro úplnost zároveň dodává, že uvedený derogační důvod se sice obsahově nedotýká i 88a odst. 2 trestního řádu, Ústavní soud však přistoupil k jeho zrušení, neboť vyhověním návrhu toliko ve vztahu k odst. 1 napadeného ustanovení by se i tak stal obsoletním. S ohledem na oba nálezy Ústavního soudu a vyjádření Policejního prezidia jsem dospěla k názoru, že ani nový zákon o Policii ČR neumožňoval a neumožňuje využívání provozních a lokalizačních údajů za účelem prošetření přestupku spáchaného osobou neznámé totožnosti na internetu. K tomu blíže část E tohoto závěrečného stanoviska. D. Vyjádření evropských DPA (data protection authorities) k problematice postavení inzertních společností jako správců údajů Vzhledem ke skutečnosti, že agenda ochrany osobních údajů má svůj normativní základ především v unijním právu, rozhodla jsem se s ohledem na přetrvávající výkladový rozpor mezi ochráncem a Úřadem obrátit na některé dozorové orgány na ochranu osobních údajů v evropských zemích a dotázat se na jejich interpretaci pojmu správce údajů. V dopisech jsem je seznámila se skutkovými a právními okolnostmi případu a hodnocením ochránce. Zároveň jsem oslovila předsedu Pracovní skupiny WP29 zřízené podle čl. 29 směrnice 95/46/ES. 6 D.I - Vyjádření finské DPA (The Office the Data Protection Ombudsman) Finský ombudsman pro ochranu osobních údajů Reijo Aarnio by z pohledu finského právního systému považoval provozovatele inzertních portálů za správce údajů, tudíž za osoby odpovědné za zpracování osobních údajů, které jsou umístěny na jejich stránkách. Ustanovení 3 (4) finského zákona na ochranu osobních údajů (523/1999) definuje správce jako osobu, společnost, instituci či nadaci anebo spojení několika těchto osob, pro něž je soubor s osobními údaji vytvořen a které jsou oprávněny určit využívání tohoto souboru, anebo jsou to ti, kteří byli za správce označeni zákonem. Na základě této definice došel finský ombudsman k názoru, že právní rozbor veřejného ochránce práv je správný. Nicméně dodal, že pokud osoba, která umístila na internetové stránky inzerát, má faktickou možnost jej vymazat či změnit anebo ovlivnit, které informace budou v inzerátu uvedeny, posiluje to její postavení jako správce. 6 Více informací o činnosti nezávislého poradního orgánu Evropské komise je dostupných zde 10

11 Poněvadž má provozovatel inzertního portálu postavení správce údajů, vztahuje se na něj ustanovení 6 zákona na ochranu osobních údajů, což znamená, že musí být definován účel zpracování a musí být přiměřený a ospravedlnitelný s ohledem na činnost správce. V těchto případech je v legitimním zájmu, aby inzertní portály byly provozovány otevřeně a byly běžně dostupné pro nabízení nejrůznějších druhů obchodu a služeb. Takto popsané zpracování osobních údajů je dle finského ombudsmana oprávněné. Připomíná, že dle ustanovení 8 (1) (5) může správce údajů zpracovat údaje o osobách, pokud jsou (byli) správcovi klienti či zákazníci. V případech, kdy subjekt údajů, jehož údaje byly použity bez jeho souhlasu, nebyl klientem či zákazníkem, není správce údajů oprávněn zpracovávat jeho údaje. V takovém případě není naplněn požadavek přesnosti zpracovávaných údajů dle ustanovení 9 (2) zákona, poněvadž byla zveřejněna nesprávná informace (subjekt údajů ve skutečnosti nepojal záměr prodat dům a osobní vůz). Vzhledem k tomu, že zveřejnění nepřesných údajů došlo na stránkách správce údajů, který nedostál kritériím pro zákonné zpracování údajů (souhlas a přesnost), mohl by být dle finského zákona o ochraně osobních údajů veden k odpovědnosti. D.II - Vyjádření dánské DPA (Datatilsynet The Danish Data Protection Agency) Ředitelka dánské Agentury pro ochranu osobních údajů Janni Christoffersen uvedla, že směrnice 95/46/ES byla transponována do zákona č. 429 ze dne 31. května Ustanovení čl. 3 (4) dánského zákona definující postavení správce je identické jako v ustanovení čl. 2 (d) směrnice. Ředitelka mě informovala, že agentura dosud neřešila případ, který by souvisel s provozováním inzertních portálů. Následně konstatovala, že v případě sociálních sítí považuje agentura provozovatele těchto sítí obecně za správce ve smyslu zákona na ochranu osobních údajů pouze ve vztahu k údajům, které souvisí se správou uživatelského účtu. Pokud jde o informace publikované samotným uživatelem, provozovatel sociální sítě není ve vztahu k těmto údajům obvykle považován za správce. D.III - Vyjádření belgické DPA (Comission de la protection de la vie privée) Ačkoliv předseda belgické komise Wilem Debeuckelaere na úvod své odpovědi předznamenal, že Komise není oprávněna vydávat oficiální stanoviska k otázce definice správce údajů, jež je obsažena ve směrnici, zabývala se analýzou tohoto případu. Komise uvedla, že inzertní portály jsou odpovědné za zpracování osobních údajů podle Směrnice 95/46/ES. Odkázala přitom na stanovisko WP 29 č. 1/2010 vydané dne 16. února Dle jejího názoru lze citované stanovisko vztahující se k portálům ztracených předmětů per analogiam vztáhnout i na inzertní portály. Proto musí provozovatelé těchto portálů, dle názoru Komise, dostát všem povinnostem, které jim ukládá Směrnice 95/46/ES, včetně kontroly obsahu inzerátů umístěných na web jejich uživateli, a to za účelem snížení možnosti zneužití těchto údajů. 11

12 D.IV - Vyjádření slovinské DPA (Information Commissioner Informacijski Pooblaščenec) Slovinská informační komisařka Nataša Pirc Musar ve své odpovědi sdělila, že projednávala případy, které jsou podobné případu Ing. Milana Palána. Podotkla, že je vcelku běžné, že některé osoby užívají osobní údaje jiných osob a umísťují je na online fóra či portály ke sjednávání schůzek (tzv. seznamky ), případně vytváří na sociálních sítích falešné profily. V případech, kdy fyzická osoba zneužije osobní údaje jiných osob a tyto údaje nejsou součásti evidence či databáze, ale jsou obecně známé osobě, která je zneužila, případně jsou umístěné na veřejně přístupných místech, není slovinská komisařka dle platného práva (slovinského zákona na ochranu osobních údajů č. 94/2011) oprávněna ukládat pokuty pachateli deliktu. Ochrana se totiž vztahuje pouze na ty údaje, které jsou nebo mají být obsaženy v databázi. Úkon, jímž jsou zneužity osobní údaje jiného, není přestupek (správní delikt) dle zákona o ochraně osobních údajů, ale trestný čin uvedený ve slovinském trestním zákoníku. Ochrana práv poškozené osoby je zaručena, dle vyjádření slovinské komisařky, v právu žádat náhradu škody v řízení před soudem. Slovinský trestní zákoník definuje trestný čin neoprávněného nakládání s osobními údaji, přičemž tento čin mají prošetřovat policie a státní zastupitelství. Poškozený může samozřejmě zahájit i občanské soudní řízení podle občanského zákoníku. Slovinský trestní zákoník v ustanovení čl. 143 odst. 4 stanoví, že kdokoliv si přisvojí totožnost jiné osoby a zneužije jejích práv prostřednictvím falešného vystupování, získá neoprávněný majetkový prospěch anebo zasáhne do jeho lidské důstojnosti, bude odsouzen k trestu odnětí svobody od tří měsíců do tří let. V těchto případech informační komisařka poradila poškozeným, aby se obrátili se stížnosti na policii či státní zastupitelství, které jsou oprávněny incident vyřešit a získat důkazy. Sama komisařka rovněž podala několik trestních oznámení, pakliže dospěla k názoru, že byly naplněny znaky skutkové podstaty trestného činu. Slovinský zákon o ochraně osobních údajů je aplikovatelný v případech, kdy poškozený žádá poskytovatele služeb (service provider), aby vymazal údaje, které byly neoprávněně zveřejněny. V souladu s čl. 32 zákona o ochraně osobních údajů musí správce údajů na žádost subjektu údajů nahradit, opravit, blokovat nebo smazat údaje, které nejsou úplné, přesné, aktualizované, anebo ty, které byly shromážděny či zpracovány v rozporu se zákonem. Komisařka může uložit pokutu od EUR, pokud správce (poskytovatel služeb) jednal v rozporu s citovaným článkem zákona. Pokud jde o poskytovatele služeb (providery), podle slovinského právního řádu poskytovatel bude odpovědný jedině, když byl na nezákonný obsah upozorněn a nereagoval na upozornění, např. nevymazal či neblokoval obsah vložený uživatelem. V těchto situacích může komisařka ukládat pokuty poskytovateli služeb, neboť zpracovával údaje v rozporu s čl. 32 slovinského zákona na ochranu osobních údajů. Slovinský právní řád neobsahuje ustanovení, které se vyskytuje ve finském právním pořádku a které správci ukládá povinnost kontrolovat totožnost uživatele ještě před tím, než na internet vloží obsah poškozující pověst třetí osoby. 12

13 Poskytovatel služby (service provider) je podle slovinských předpisů správcem údajů, pokud je zpracovává v souborových systémech (údaje o registrovaných uživatelích, osobní údaje obsažené v příspěvcích uživatelů). Nicméně odpovědnost poskytovatelů za obsah vkládaný uživatelem je omezena. Podle slovinského zákona o elektronickém obchodu je poskytovatel služby odpovědný, pakliže věděl o skutečnosti, že obsah vložený uživatelem je nezákonný. Hostingová služba je upravena v čl. 11 zmíněného zákona a vztahuje se mimo jiné i na inzertní portály. Citovaný článek implementuje čl. 14 Směrnice 2000/31/ES o elektronickém obchodu, který říká, že: Shromažďování informací 1) Členské státy zajistí, aby v případě služby informační společnosti spočívající v ukládání informací poskytovaných příjemcem služby nebyl poskytovatel služby odpovědný za informace ukládané na žádost příjemce, pokud: a) poskytovatel nebyl účinně seznámen s protiprávní činností nebo informací a ani s ohledem na nárok na náhradu škody si není vědom skutečností nebo okolností, z nichž by byla zjevná protiprávní činnost nebo informace, nebo b) poskytovatel, jakmile se o tomto dozvěděl, jednal s cílem odstranit tyto informace nebo k nim znemožnit přístup. 2) Odstavec 1 se nepoužije, pokud je příjemce závislý na poskytovateli nebo podléhá jeho dohledu. 3) Tímto článkem není dotčena možnost soudního nebo správního orgánu požadovat od poskytovatele služby v souladu s právním řádem členských států, aby ukončil protiprávní jednání nebo mu předešel, ani možnost členských států zavést postupy, které umožní odstranění nebo znemožní přístup k informaci. Pokud jde o povinnost ověřit totožnost uživatele, komisařka uvedla, že zákon tuto možnost má, ale není poskytovatelům kladena jako povinnost. Poskytovatel by tak nebyl odpovědný, pokud by se zjistilo, že neuchoval údaje o uživatelích, kteří na internet vložili nezákonný obsah. Komisařka zároveň poznamenala, že slovinský zákon sice obsahuje povinnost zpracovávat pouze přesné a aktuální údaje, nicméně na následky porušení těchto povinností není v zákoně pamatováno. Ve Slovinsku není poskytovatelům služeb stanovena povinná doba pro uchovávání údajů (data retention period), které by posléze umožnily odhalit pachatele deliktu spáchaného prostřednictvím internetu. Většina providerů uchovává údaje po nezbytnou dobu a poskytují je na základě žádosti policejnímu orgánu. Data retention směrnice byla do slovinského právního řádu implementována tak, že povinnost uchovávat provozní a lokalizační údaje byla založena pouze u poskytovatelů služeb elektronických komunikací (operators of publicly accessible networks). Za účelem vyloučení případné občanskoprávní odpovědnosti někteří provozovatelé online inzertních portálů ve Slovinsku zavedli svůj vlastní verifikační systém. Jakmile uživatel publikuje inzerát s kontaktními údaji, je tento uživatel kontaktován zpět ze strany poskytovatele služby (providera), aby bylo potvrzeno, že se skutečně jedná o osobu, jejíž údaje mají být na inzertním portálu zveřejněny. 13

14 V případě, že jsou zveřejňovány údaje citlivějšího charakteru (sexuální život, pracovní inzeráty), stanovily některé společnosti povinnost, aby se osoba podávající inzerát osobně dostavila na pobočku společnosti a podala inzerát až po řádném ověření totožnosti. Komisařka uzavřela své stanovisko konstatováním, že vydávání se za jiného (krádež identity) a zneužití osobních údajů v online službách, které uživateli umožňují uveřejnit jím vytvořený obsah, jsou velkým tématem. Nicméně podle platné slovinské legislativy tito provideři nemohou být pokutováni za to, že zpracovávali nepřesné či neaktuální údaje, anebo neověřili totožnost uživatele ještě před zveřejněním jím vytvořeného obsahu. Poskytovatelé služeb jsou ale povinni jednat v případech, kdy se o nezákonném obsahu dozví. Komisařka se také vyjádřila k mému názoru, že by provozovatelé online inzertních portálů měli být odpovědní, pokud neprokáží, že učinili veškerá možná opatření (verifikovali totožnost, ukládali provozní a lokalizační údaje), jimiž by zabránili vzniku porušení povinnosti. 7 Komisařka v této souvislosti konstatovala, že tento postup by zřejmě nebyl v rozporu s unijní úpravou ochrany osobních údajů. Tento požadavek by však mohl být v rozporu se směrnicí o elektronickém obchodu, která (jak bylo řečeno výše) výrazně omezuje odpovědnost provozovatelů hostingových služeb. D.V - Vyjádření polské DPA (Generalny inspektor ochrony danych osobowych) Zástupce polského generálního inspektora ochrany osobních údajů uvedl, že pojem správce údajů je v polském zákoně na ochranu osobních údajů (č. 101/2002 Sb., ve znění pozdějších předpisů) definován v čl. 7 odst. 4 a rozumí se jím orgán, organizační jednotka, podnik nebo osoba (viz čl. 3 zákona), která rozhoduje o účelu a prostředcích zpracování osobních údajů. Čl. 3 zákona se vztahuje na státní orgány, orgány územních samosprávných celků, soukromé společnosti, nevládní tělesa, která vykonávají veřejné úkoly, a rovněž na fyzické a právnické osoby. Je potřebné, aby uvedené osoby měly sídlo nebo pobyt na území Polské republiky nebo v třetí zemi, pakliže jsou zvolené technické prostředky zpracování umístěny na území Polska. Zákonná definice vychází ze znění Směrnice 95/46/ES. Dále poukázal, že v Polsku je poskytování služeb elektronických komunikací předmětem speciální právní úpravy zakotvené v zákoně č. 144/2002 Sb., ve znění pozdějších předpisů. Podle čl. 2 odst. 6 citovaného zákona je poskytovatelem služeb (service provider) kterákoliv fyzická či právnická osoba nebo organizační jednotka bez právní subjektivity, která mezitím co provádí komerční a zájmovou činnost, provádí služby prostřednictvím elektronických prostředků. Na poskytovatele služeb se vztahuje několik povinností, např. informační povinnost ve vztahu k uživateli nebo povinnost upřesnit pravidla poskytování služeb. Nadto může poskytovatel zpracovávat pouze data uživatele, která jsou nezbytná pro realizaci smluvního vztahu dle čl. 18 shora uvedeného zákona, vyjma případů, kdy je povinnost zpracovávat údaje uživatele nezbytná vzhledem k povaze poskytované služby nebo způsobu její fakturace. Z uvedeného vyplývá, že poskytovatel služby dle zákona 7 Srov. znění ustanovení 46 odst. 1 zákona o ochraně osobních údajů: Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. 14

15 č. 114/2002 Sb. může být považován za správce údajů dle definice obsažené v polském zákoně o ochraně osobních údajů. V tomto kontextu zástupce generálního inspektora uvedl, že sám inspektor v minulosti dozoroval postavení a povinnosti internetových portálů. Jako příklad uvedl rozhodnutí ze dne 23. prosince 2010 (č.j.: DOLiS/DEC-1323/09), v němž analyzoval jednání správce webového portálu, kde uživatelé umísťovali své názory na praktické lékaře. V předmětném rozhodnutí generální inspektor uznal, že provozovatel portálu je správcem údajů, které jsou zpracovávány na jeho stránkách. Generální inspektor postupoval obdobně i v případě sociálních sítí. Zástupce generálního inspektora však připomněl, že rozsah odpovědnosti provozovatelů webových portálů (obdobně je tomu i v případě stránek internetových inzertních společností) je omezen v návaznosti na unijní právo, které bylo do polského právního řádu implementováno čl. 14 zákona č. 144/2002 Sb. Podle tohoto ustanovení poskytovatel služby informační společnosti není odpovědný za obsah jím přenášených informací, resp. informací vkládaných uživatelem. Pokud je upozorněn na nezákonnost zpracování těchto údajů a činností s nimi spojených, je povinen zamezit přístup k uvedeným údajům. Jestliže tak poskytoval služby (service provider) postupuje, nebude dle zákona odpovědný. D.VI. - Vyjádření Úřadu ze dne 24. října 2011 (zn. LZV-7334/11-4/ZAK) Pracovní skupina WP29 zřízená podle čl. 29 směrnice 95/46/ES postoupila Úřadu pro ochranu osobních údajů můj dotaz k postavení provozovatele internetových inzertních portálů jako správců a zpracovatelů osobních údajů. Předseda Úřadu v úvodu své druhé odpovědi sdělil, že nad právním posouzením nebyla v minulosti mezi Úřadem a ochráncem shoda. Předseda podotkl, že se jedná o případ z období před vydáním stanoviska WP29 č. 1/2010 k pojmům správce a zpracovatel (WP 169). Přípravu stanoviska Úřad sledoval a podílel se na jeho vypracování, přitom je zřejmé, že toto stanovisko přispělo ke sjednocení části praxe dozorových úřadů v rámci EU. Také Úřad se uvedenou problematikou následně zabýval a přehodnotil některé dosavadní přístupy. Stanovisko WP 29 uvádí k doplnění teoretického posouzení role správců a zpracovatelů několik příkladů subjektů činných na internetu, zejména správců osobních údajů, kteří určují účel a prostředky zpracování údajů, ať se již jedná o podnikatele provozující společnou internetovou platformu pro zákaznické rezervační systémy, o vydavatele, kteří na svých internetových stránkách velmi často pronajímají reklamní prostory, či o provozovatele reklamních sítí, kteří tyto prostory plní cílenou reklamou (pokud shromažďují údaje návštěvníků stránek). Obdobně jsou v dokumentu popsáni poskytovatelé služeb sociálních sítí zajišťující internetové komunikační platformy pro zveřejňování a výměnu informací s ostatními uživateli, jejichž role a odpovědnost je však do určité míry limitována možnostmi uživatelů takových sítí, kteří v jistých případech mohou být také považováni za správce osobních údajů. Stejně tak se stanovisko zabývá rolí zpracovatele, za něhož v prostředí internetu v zásadě považuje internetového poskytovatele poskytujícího svým zákazníkům pouze služby hostování a údržby internetových stránek. Mnou poptávaný případ inzertního portálu lze dle slov pana předsedy přirovnat 15

16 k dalšímu ve stanovisku uvedenému příkladu internetového portálu Ztrát a nálezů", jehož stránky byly vytvořeny za účelem dosažení zisku z toho, že umožní vyvěsit oznámení o ztracených předmětech. Podstatné u tohoto provozovatele portálu - správce - je to, že určuje podmínky zpřístupnění údajů. K tomu je výslovně uvedeno, že podstatným pojmovým znakem správce osobních údajů není kompetence určovat obsah vkládaných příspěvků (lze pouze dovodit odpovědnost za jejich vhodnost). Lze tak shrnout, že výše uvedené pohledy a závěry podstatně zpřesňují dnes již historickou úvahu uvedenou v bodu 47 recitálu směrnice 95/46/ES, který pro oblast telekomunikací a elektronické pošty předpokládá, že za správce ve vztahu k údajům obsaženým ve zprávě bude obvykle považována spíše osoba, která zprávu podává", a osoby, které nabízejí služby, jsou obvykle považovány za správce ve vztahu ke zpracování doplňujících osobních údajů nezbytných pro fungování služby". Tento názor v minulosti ovlivňoval i postoj úřadu ke komunikačním technologiím. Předseda Úřadu se domnívá, že ke zpřesnění pravidel ve službách webových portálů lze v současnosti dojít i s přihlédnutím ke zvláštním pravidlům upravujícím odpovědnost poskytovatelů služeb informační společnosti podle směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (směrnice o elektronickém obchodu), které je nutné aplikovat souběžně s pravidly pro odpovědnost správců a zpracovatelů osobních údajů. V rámci českého právního řádu je tedy namístě zohlednit jak pravidla zákona o ochraně osobních údajů, tak pravidla zákona o některých službách informační společnosti. 8 Za služby informační společnosti je třeba považovat, s ohledem na zákonnou definici i bod 18 recitálu směrnice o elektronickém obchodu, širokou škálu aktivit zahrnujících zpracování osobních údajů včetně bezúplatných služeb, jako např. služby poskytující informace online nebo obchodní sdělení nebo ty služby, které poskytují nástroje umožňující vyhledávání dat, přístup k datům či ke komunikační síti, získávání dat, předávání informací prostřednictvím komunikační sítě a v neposlední řadě shromažďování informací poskytovaných příjemci služeb. V případě provozovatelů serverů Y a Z, za popsaného skutkového a právního stavu, je třeba jejich aktivity hodnotit jako činnost správců osobních údajů - určují totiž účel i podstatné podmínky provozu webového portálu, do něhož mohou uživatelé, dokonce i bez detailních identifikačních (jmenných a adresních) údajů (registrace) a navíc bezúplatně, vkládat své (osobní) údaje či cizí osobní údaje, tj. také údaje o záležitostech jiných osob. Předseda dále uvedl, že Úřad v každém jednotlivém případě zkoumá roli (postavení) provozovatele serveru pro ukládání dat, provozovatele inzertního portálu a klientů a jejich oprávnění v rámci webové aplikace. Inzertní aplikace jsou provozovány za účelem zveřejnění údajů, které někdy přímo, většinou však nepřímo identifikují či umožňují identifikaci osob nabízejících či poptávajících nějaké zboží či službu. Účel a prostředky, tedy forma vkládaného obsahu, je dána formulářem vytvořeným poskytovatelem služby. Zákonem o ochraně osobních údajů je dána odpovědnost poskytovatele služby za zpracování osobních údajů, tj. shromažďování, uchovávání a další využívání údajů. Zadavatelé inzerátů mohou, mimo placené 8 Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů. 16

17 služby vyžadující identifikaci, využít rovněž bezplatné služby, u nichž se poskytnuté identifikační údaje neověřují, což dává klientům snazší možnost uvést je libovolně, tedy i nepravdivé. Jako správce osobních údajů je však provozovatel inzertního portálu povinen zpracovávat pouze přesné osobní údaje a zjistí-li, že jím zpracovávané údaje nejsou s ohledem na stanovený účel přesné, musí bez zbytečného odkladu provést přiměřená opatření - např. údaje blokovat, opravit, doplnit, zlikvidovat. 9 Vzhledem k pravidlům zákona č. 480/2004 Sb. vzniká však poskytovateli služby informační společnosti přímá povinnost opravit zpřístupněné nesprávné osobní údaje nebo bez právního důvodu zpřístupněné osobní údaje až na základě upozornění subjektu údajů, neboť není vždy a priori povinen bez dalšího zkoumat obsah informací ukládaných zákazníkem. V souladu s 5 odst. 1 zákona č.480/2004 Sb. by však měl samostatně odstranit ty údaje, které jsou zjevně protiprávní. V přehledné formě musí být na portálu uvedena informace o zpracování osobních údajů. Pokud subjekt údajů zjistí, že mu některý z inzerátů působí újmu, zasahuje do jeho osobnostních práv, uvádí osobní údaje bez jeho souhlasu či jiného právního titulu, může současně s upozorněním na protiprávnost obsahu na provozovateli portálu, v souladu s 21 zákona o ochraně osobních údajů, požadovat odstranění či opravení zpřístupněné informace. Správci osobních údajů v inzertních portálech mají povinnost informovat uživatele o této možnosti a zavést opatření umožňující se jednoduchým způsobem domoci příslušných úprav. Subjekt údajů, který se bude domáhat nápravy dle 21, ať již u správce nebo u úřadu, by však měl prokázat, že je skutečně tou fyzickou osobou, která je zveřejněnou informací dotčena. Závěrem předseda konstatoval, že uvedený pohled Úřadu je komplexní a nabízí lidem řadu zákonných možností, jak se domoci svých oprávnění nejen z pozice klientů, zákazníků a spotřebitelů, ale především jako jednotlivců dotčených zpracováním svých osobních údajů. Současně však předseda Úřadu zdůraznil, že nastavení odpovědnosti za zpracování údajů na internetu může také být do značné míry závislé na použité technologii a že nelze ani v současnosti vyloučit internetové aplikace, nabízející mj. služby obdobné inzertním, které jsou však rozdílné od popisovaných inzertních portálů a v nichž není vždy rozhodné jednání poskytovatelů služeb, ale uživatelů jako aktivních správců jimi vkládaných dat. E - Závěrečné stanovisko veřejného ochránce práv Ustanovení 18 odst. 2 zákona o veřejném ochránci práv stanoví, že pokud úřad na výzvu sdělí, že provedl nebo provádí opatření k nápravě, a ochránce tato opatření shledá dostatečnými, vyrozumí o tom stěžovatele i úřad. Pokud ale ochránce neshledá opatření úřadu dostatečným, tak po obdržení vyjádření nebo marném uplynutí lhůty sdělí písemně své závěrečné stanovisko úřadu a stěžovateli; součástí tohoto stanoviska je návrh opatření k nápravě. 9 Srov. ustanovení 5 odst. 1 písm. c) zákona o ochraně osobních údajů. 17

18 Jak je zřejmé, od spáchání incidentu v roce 2008, který stál na samém počátku šetření ombudsmana, se výrazným způsobem proměnilo vnímání problematiky zpracování dat prostřednictvím veřejné internetové sítě. Žádný ze šetřených orgánů dnes nepochybuje o tom, že zpracování osobních údajů na internetu nelze z právního rámce (ústavněprávního, unijního či vnitrostátního) vyjímat a je třeba stanovit jasná pravidla, principy, záruky, kontrolní mechanismy, definovat jednotlivá práva a povinnosti dotčených právních subjektů (orgánů veřejné moci, podnikatelů, subjektů údajů) za účelem vyvážení legitimních cílů a zájmů (ochrana soukromí, svoboda podnikání, zajištění bezpečnosti a ochrana společnosti před delikvencí). Především s ohledem na diskusi, která se vede jednak v Evropské unii stran novelizace data retention směrnice 10 a jednak na úrovni ústředních orgánů státní správy 11 v rámci příprav nové právní úpravy po výše zmíněných nálezech Ústavního soudu ČR, jsem se rozhodla posuzovat postup dotčených správních orgánů směrem k navržení efektivních opatření k nápravě. Je mým upřímným přáním přispět ke zkvalitnění výkonu státní správy i v této specifické (ale zároveň velice citlivé) agendě. E.I - K možnosti správního orgánu získat provozní a lokalizační údaje za účelem prošetření přestupku spáchaného prostřednictvím internetové sítě Zákon č. 283/1991 Sb. a zákon č. 273/2008 Sb. neumožnovaly a neumožňují Policii ČR získat provozní a lokalizační údaje za účelem prošetření přestupku spáchaného prostřednictvím veřejné internetové sítě. Na prolamování principů důvěrnosti elektronických komunikací (čl. 10 odst. 3 ve spojení s čl. 13 Listiny základních práv a svobod) při vyšetřování přestupků, jako činů s nižší společenskou nebezpečností, musí platit srovnatelná či přísnější pravidla, než je tomu u trestných činů. Pokud by tomu tak nebylo, hrozilo by nebezpečí, že se výkon státní moci stane nástrojem libovůle proti jednotlivci. Bez adekvátních a dostatečných záruk skládajících se z odpovídajících právních předpisů a účinné kontroly jejich dodržování by mohly státní orgány získávat chráněné informace o soukromém životě občanů prakticky kdykoliv. Vzhledem ke skutečnosti, že v minulosti Policie ČR nevyvinula vlastní účinné interní kontrolní mechanismy 12 a že stávající praxi zpracování provozních a lokalizačních údajů ostře kritizoval Ústavní soud hned ve dvou nálezech Odkazuji především na zprávu Evropské komise ze dne COM (2011) 225 final, která je dostupná a na tzv. shadow report organizace EDRI 11 Jde o resorty vnitra, spravedlnosti a průmyslu a obchodu. 12 A nepředložila ani důkazy o jejich provádění v praxi. 13 Srov. zejména bod 49 nálezu Pl. ÚS 24/10 ze dne 22. března 2011: Absence řádné, ve smyslu ústavně konformní, právní úpravy, jak ostatně vyplývá ze statistických údajů, má v praxi za následek, že nástroj v podobě vyžádání si a použití uchovávaných údajů (včetně údajů o neuskutečněných hovorech, na které trestní řád vůbec nepamatuje) je orgány činnými v trestním řízení využíván (nadužíván) pro účely vyšetřování i běžné, tj. méně závažné trestné činnosti. Tak např. dle zprávy o bezpečnostní situaci v ČR za období roku 2008 bylo na území České republiky zjištěno celkem trestných činů, z toho bylo objasněno trestných činů, přičemž ve stejném období počet žádostí o poskytnutí provozních a lokalizačních údajů ze strany oprávněných orgánů veřejné moci dosáhl čísla (srov. k tomu zprávu Komise EU The Evaluation of Directive 2006/24/EC and National Measures to Combat criminal Misuse and Anonymous Use of Electronic Data, která si oficiální údaje od české strany vyžádala, přičemž reakce zástupců České republiky na otázky v dotazníku ze dne jsou dostupné na Následně, a to jen za období od ledna 18

19 a nevládní sektor, 14 je nezbytné, aby v souvislosti s novou právní úpravou data retention byla přesně upravena (nejlépe na úrovni nového metodického pokynu policejního prezidenta) účinná a systémová kontrola zpracování provozních a lokalizačních údajů v trestních i netrestních věcech. Stávající kontrolu lze považovat za nedostatečnou. Interní kontrola v rámci policie (incidenční i pravidelná dle kontrolního plánu) by měla sledovat počet realizovaných žádostí o poskytnutí provozních a lokalizačních údajů a meritorní rozhodnutí příslušných státních orgánů. Především považuji za nutné kontrolovat, případně zkoumat: a) důvody neschválení žádosti ze strany vedoucího policisty, neučinění návrhu ze strany státního zástupce či odmítnutí vydání příkazu ze strany soudce a vyvozovat z nich bezprostředně závěry v oblasti rozhodovací a disciplinární; b) dodržování stávajícího čl. 7 ZPPP č. 255/2008, ze dne 31. prosince 2008, kterým se upravuje postup při vyžadování odposlechu a záznamu telekomunikačního provozu a údajů o uskutečněném telekomunikačním provozu; 15 c) počet a odůvodněnost žádostí dle 68 zákona o Policii ČR, který se vztahuje na pátrání po osobách a věcech, jejichž legálnost nepodléhá bezprostřední kontrole soudní moci. Dále je nutné, aby komunikace mezi poskytovateli služeb elektronických komunikací a Policií ČR stran předávání provozních a lokalizačních údajů probíhala výhradně elektronicky, nikoliv ve formě klasické písemné korespondence, což se dodnes děje. 16 Přehled o jednotlivých úkonech Policie ČR, jakož i záznamy o přístupech k osobním údajům, se v podobě papírové komunikace značně komplikuje. Za adekvátní bezpečnostní opatření ve smyslu 13 zákona o ochraně osobních údajů považuji používání elektronického podpisu na obou stranách komunikujících osob (poskytovatelů služeb elektronických komunikací a Policie ČR). Dnes takové opatření neexistuje. V případě výpisů o uskutečněné komunikaci obsahující provozní a lokalizační údaje, které byly policii poskytnuty elektronicky, 17 je nezbytné, aby přístup do října 2009 byla dle neoficiálních údajů žádost o poskytnutí lokalizačních a provozních údajů učiněna již ve případech (srov. k tomu Herczeg, J.: Ústavněprávní limity monitoringu telekomunikačního provozu: konflikt mezi bezpečností a svobodou, Bulletin advokacie č. 5/2010, s. 29). 14 Data retention se u nás věnuje zejména sdružení Iuridicum remedium. Blíže viz kampaň data retention na stránkách 15 Cituji: V případě, že projednanou žádost vedoucí policista neschválí, státní zástupce nenavrhne nebo soudce odmítne vydat příkaz nebo pokud ještě před zahájením pominou důvody úkonu, je oprávněný žadatel povinen o těchto skutečnostech neprodleně písemně informovat specializované pracoviště. Specializovaným pracovištěm je Útvar zvláštních činností služby kriminální policie a vyšetřování. 16 Dle neformálních sdělení operátorů se různá obvodní oddělení Policie ČR obracejí přímo na operátory, přestože je jejich povinností žádost podat přes Útvar zvláštních činností služby kriminální policie a vyšetřování. 17 A to nejen ve formě dálkového přístupu, který předvídala zrušená vyhláška 485/2005 Sb., ale rovněž pokud je komunikace písemná ( ová). K tomu viz studie Co dělají provideři a telefonní operátoři s našimi daty Studie praxe poskytovatelů internetových a komunikačních služeb (ISP) sdružení Iuridicum remedium, o. s., ze dne 20. dubna Dostupné zde 19

20 k evidovaným výpisům byl logován (zaznamenán). Uchování údajů o přístupu by mělo činit na straně Policie ČR nejméně 3 roky. 18 Zároveň je nutné, aby Policie ČR v součinnosti s Úřadem pro ochranu osobních údajů a Ministerstvem průmyslu a obchodu vyřešila na straně poskytovatelů služeb elektronických komunikací dobu uchování (archivaci) těch provozních a lokalizačních údajů, které poskytovatelé v budoucnu dle nové právní úpravy zpřístupní oprávněným orgánům. Ať již bude přijatá jakákoliv nová právní úprava data retention, považuji z dlouhodobého hlediska za prospěšné, aby Policie ČR evaluovala účinnost nasazení uvedených prostředků za účelem odhalování závažné trestné činnosti. 19 Právě její analýzy mohou vést ke změně nejen národní, ale i unijní právní úpravy a přispět k celoevropské debatě o skutečné hodnotě fenoménu data retention. 20 E.II - Inzertní společnosti jako správci osobních údajů Inzertní společnosti, které zveřejňují osobní údaje na svých internetových stránkách, mají postavení správců údajů ve smyslu čl. 2 písm. d) směrnice Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, a 4 písm. j) zákona o ochraně osobních údajů. Tyto osoby totiž určily účel a prostředky zpracování osobních údajů. Zpracování osobních údajů inzertními společnostmi nelze z působnosti zákona vymezené v ustanovení 3 zákona o ochraně osobních údajů předem vylučovat. Inzertní společnosti provozující internetové servery zpracovávají osobní údaje (nejčastěji ve formě zveřejnění) za účelem zprostředkování nabídky a poptávky mezi fyzickými a právnickými osobami vztahující se k movitým a nemovitým věcem či službám. Prostředkem (médiem) zpracování údajů je z povahy věci internet. To, že osobní údaje (obsah) vkládají na internetové stránky sami uživatelé, není rozhodující. Jak vyplývá ze stanoviska č. 1/2010 Pracovní skupiny zřízené podle čl. 29 Směrnice 95/46/ES, definice správce údajů nezahrnuje výslovně určení obsahu. Na inzertní společnosti tak dopadají povinnosti správce vyplývající ze zákona o ochraně osobních údajů. Jde zejména o povinnost zpracovávat údaje na základě oprávněného titulu ( 5 odst. 2 zákona), jímž bude nejčastěji souhlas osoby, jíž se údaje týkají. Zároveň jsou inzertní společnosti povinny dostát právům, která subjektům údajů přiznává zákon o ochraně osobních údajů (právo na informace o zpracování údajů, právo na přístup k údajům, právo na opravu či výmaz údajů). Inzertním společnostem (správcům údajů) však nevzniká správněprávní odpovědnost, pokud někdo umístí na jimi provozované internetové stránky osobní 18 Tato doba však může být prodloužena s ohledem na objektivní a subjektivní lhůty pro zániku odpovědnosti (je tudíž nutné analyzovat možnosti disciplinárního či trestněprávního postihu zaměstnance či správněprávního postihu správce). 19 Nemám na mysli zprávy podávané dle čl. 10 Směrnice 2004/ Viz např. 20