Vysoká škola ekonomická v Praze Fakulta managementu v Jindřichově Hradci Diplomová práce Jana Kliková 2012
Vysoká škola ekonomická v Praze Fakulta managementu Jindřichův Hradec Diplomová práce Jana Kliková 2012
Vysoká škola ekonomická v Praze Fakulta managementu v Jindřichově Hradci Katedra společenských věd Ochrana osobních údajů a právní vztahy Vypracovala: Jana Kliková Vedoucí diplomové práce: doc. JUDr. Dr. Jan Hejda Jindřichův Hradec, březen 2012
Prohlášení Prohlašuji, že diplomovou práci na téma»ochrana osobních údajů a právní vztahy«jsem vypracovala samostatně. Použitou literaturu a podkladové materiály uvádím v přiloženém seznamu literatury. Praha, březen 2012 podpis studenta
Anotace Ochrana osobních údajů a právní vztahy Diplomová práce se zabývá problematikou ochrany osobních údajů v návaznosti na pracovněprávní a personální vztahy na pracovišti. Cílem práce je vymezení pravidel zpracování a ochrany údajů. Praktický pohled na problematiku je podložen úvodním seznámením s terminologií, nástinem právní úpravy v širších souvislostech a seznámením s typickými dokumenty, se kterými se lze v praxi setkat. Struktura stěžejní třetí kapitoly práce je členěna dle zákonem stanovených práv a povinností při zpracování údajů a zároveň logicky spojena s postupem při přijímání nových pracovníků do zaměstnání. březen 2012
Poděkování Za cenné rady, náměty a inspiraci bych chtěla poděkovat doc. JUDr. Dr. Janu Hejdovi, z Vysoké školy ekonomické v Praze, Fakulty managementu v Jindřichově Hradci.
Obsah Úvod...1 1 Prameny právní úpravy ochrany osobních údajů...3 1.1 Ochrana osobních údajů v mezinárodním právu a právu Evropské unie 3 1.2 Legislativa České republiky 6 1.2.1 Pracovní právo 10 1.2.2 Úřad pro ochranu osobních údajů 12 2 Vymezení pojmů...15 2.1 Osobní, citlivé, anonymní, zveřejněné údaje 15 2.2 Subjekt údajů 19 2.3 Souhlas subjektu údajů 19 2.4 Zpracování osobních údajů 20 2.5 Správce, zpracovatel, příjemce osobních údajů 22 3 Práva a povinnosti v pracovněprávních vztazích...24 3.1 Povinnosti zaměstnavatele před zahájením zpracování osobních údajů 26 3.1.1 Osobní dotazník 35 3.2 Povinnosti zaměstnavatele během zpracování osobních údajů 37 3.2.1 Osobní spis 41 3.3 Povinnosti zaměstnavatele při ukončení zpracování osobních údajů 48 3.4 Povinnosti zpracovatele 50 3.5 Práva zaměstnanců jako subjektů údajů 52 3.6 Povinnosti zaměstnanců při zpracování osobních údajů 54 3.7 Pravomoci zaměstnavatele při kontrole zaměstnanců 55 3.7.1 Monitoring zaměstnanců 56 3.7.2 Předávání osobních údajů do zahraničí 63 3.7.3 Nakládání s rodnými čísly 64 4 Možnosti ochrany práv zaměstnance...66 4.1 Zvláštní prostředky ochrany dle zákona o ochraně osobních údajů 66 4.1.1 Zvláštní prostředky ochrany dle zákoníku práce 68 4.1.2 Prostředky ochrany dle antidiskriminačního zákona 69 4.2 Obecné prostředky ochrany osobnosti 69 4.2.1 Dohoda dle ust. 3 odst. 2 občanského zákoníku 70 4.2.2 Ochrana poskytovaná orgánem státní správy 70 4.2.3 Svépomoc (ust. 6 občanského zákoníku) 71 4.2.4 Soudní ochrana 71 4.2.5 Zvláštní případy soudní ochrany 72
4.3 Ochrana osobnosti dle tiskového zákona a zákona o rozhlasovém a televizním vysílání 75 4.4 Ochrana osobnosti dle trestního zákoníku 77 4.5 Ochrana osobnosti dle zákona o přestupcích 78 4.6 Ochrana osobnosti dle dalších právních předpisů 78 5 Srovnání české a zahraniční právní úpravy ochrany osobních údajů...82 6 Úvahy de lege ferenda...88 Závěr...92 Seznam použité literatury...94 Příloha č. 1 vzorové dokumenty...98 A. Žádost o odstranění protiprávního stavu ( 21 zákona o ochraně osobních údajů)..99 B. Stížnost na porušení zákona ( 21 zákona o ochraně osobních údajů)...100 C. Podnět úřadu práce...101 D. Oznámení o podezření ze spáchání přestupku...102 E. Návrh na smírčí řízení ( 67 občanského soudního řádu)...103 F. Vzorová znění žalobních návrhů...104 G. Osobní dotazník při přijetí zaměstnance do pracovního poměru...105 H. Osobní dotazník pro výběrové řízení...107 I. Zápočtový list...109 Příloha č. 2 vybrané statistické údaje...110
Úvod V rámci výkonu manažerské činnosti spolupůsobí mnoho faktorů a zájmů, jež ústí v definování úkolů plněných zpravidla prostřednictvím podřízených pracovníků. I vedoucí pracovníci v odlišných oborech činností jako je vývoj software či zdravotnictví mají jistou část náplně práce obdobnou, jednají s lidmi, pro účely této diplomové práce jsou podstatné zejména osoby zaměstnanců. Ačkoli manažer ve smyslu specialisty a nikoli vlastníka podniku je také pouhým zaměstnancem určitého subjektu, budeme se dále zabývat pouze vztahem nadřízené osoby (zaměstnavatele) a podřízené osoby (zaměstnance), a to s vědomím, že zaměstnavatel mnohdy jedná prostřednictvím svých pracovníků i v pracovněprávních vztazích. Vybavíme-li si některou z mnoha definic managementu (např. Management je proces plnění pracovních cílů prostřednictvím jiných pracovníků řádně, včas a v rámci rozpočtu. D. Gustafson) a zaměříme-li se na aspekt práce s lidmi, dostáváme styčný bod teorie managementu a právní praxe. Poznání v oblasti managementu se zaměřuje na aspekt vedení lidí, na předním místě vystupuje úloha manažera jako osoby komunikující a motivující, důležité jsou také povahové rysy manažera. 1 Efektivní fungování podnikatele je dále podmíněno řádným vedením personální agendy. Tato práce se více než řízením lidských zdrojů, pod které personalistiku řadíme, zabývá individuálním pracovním právem, tedy vztahy mezi jednotlivými zaměstnanci a zaměstnavateli, a to vzhledem k zákonné úpravě ochrany osobních údajů. Osobní údaje jsou zvláštním institutem, pro svou povahu zasahují do soukromého a zároveň veřejného práva. Určité informace totiž nemusí a priori připadat do sféry intimní či soukromé, ale přesto nakládání s nimi může za určité situace být pro jednotlivce významné. 2 Na mezinárodní úrovni podnítily společnost k zájmu o tuto oblast práva až zkušenosti s totalitními režimy. Na našem kontinentu sehrálo významnou roli v podobě sjednocování, ale i podnícení existence právní úpravy Evropské společenství. Konflikt práva na informace a práva na soukromí, rozvoj informačních technologií a rozpor mezi 1 2 Veber, J. Management. Praha: Management press, 2009, s. 38. Piller, J. Informace a základní občanská práva. Vyšehrad, 1992, s. 12. 1
zájmy zaměstnavatele a zaměstnance kumulují v současné společnosti právní regulací těchto oblastí i v právu vnitrostátním. Hrozba zásahu do soukromí provází většinu konání jedince v průběhu jeho života. Jedná se o hrozbu velmi aktuální, neboť některé technologie typu kamerový systém a videozáznam, osobní počítač a sociální síť, považujeme za nástroj zábavy a neuvědomujeme si možnost zneužití svých nestřežených či dokonce ochotně sdílených osobních informací cizími osobami, umožňujeme nejen zaměstnavateli monitorovat svůj soukromý život bez jakéhokoli legálního podkladu; povaha této práce však umožňuje soustředit se jen na malý výsek problematiky. Přes obecnou snahu podat informace z praktického pohledu je třeba se v úvodní (teoretické) části vlastní diplomové práce zastavit u terminologie ochrany osobních údajů a zejména výkladu pramenů práva, kdy těžiště účinné právní úpravy spadá do zákona o ochraně osobních údajů, avšak nevychází pouze z něj. Dále bude pojednáno o některých dokumentech, s kterými se při náboru zaměstnanců setkáváme, o jejich náležitostech a chybách, ke kterým dochází při personální činnosti. Stěžejní část práce obsahuje náhled na práva a povinnosti subjektů při zpracování údajů s ohledem na postup při přijímání zaměstnanců do pracovněprávních vztahů a evidenci údajů zaměstnavateli za dobu trvání tohoto vztahu. V závěrečné části práce je věnována kapitola srovnání české a zahraniční (rakouské) právní úpravy a také návrhům možných budoucích změn právní úpravy (de lege ferenda či korekce de lege lata), které plynou z v textu zmíněných příkladů. Jakýmsi výstupem z této práce by měla být představa o pravidlech a rozsahu vhodné evidence osobních údajů zaměstnavatelem, případně identifikace obvyklých omylů a slabých míst jednání účastníků procesu. Přestože nejen v době ekonomické krize, v pomyslném boji o dobré zaměstnání na straně jedné a vhodného kvalitního pracovníka na straně druhé, záleží na množství (pravdivých) informací, je dle mého názoru pro zaměstnavatele výhodnější evidovat pouze relevantní a nutné údaje. Mezi metody, z jejichž užití tato práce vychází, patří abstrakce, analýza, dedukce, deskripce a komparace. Ustanovení právních předpisů jsou vykládána za pomoci aplikace jazykové metody a systematické interpretace. Za prameny informací byly brány účinné právní předpisy a relevantní literatura včetně komentovaných znění zákonů a periodik. Podnětné informace lze nalézt také na webové prezentaci Úřadu pro ochranu osobních údajů. 2
1 Prameny právní úpravy ochrany osobních údajů Právní úprava ochrany osobních údajů se prolíná množstvím předpisů různé legislativní síly, v dotčené oblasti pracovněprávních vztahů tedy nelze omezovat svou pozornost pouze na zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů (dále také jen "zákon o ochraně osobních údajů"), a zákon č. 262/2006 Sb., jímž je zákoník práce jako základní právní předpis pracovněprávní oblasti. V souvislosti s rozvíjející se jednotnou evropskou společností je třeba brát ohled také na aplikační přednost aktů orgánů Evropského společenství a množství mezinárodních smluv, jež byly v minulosti v oblasti osobnostních práv i pracovních vztahů ústavní cestou přijaty za součást českého právního řádu. Úvodní ustanovení zákona o ochraně osobních údajů stanoví za účel úpravy záštitu před neoprávněnými zásahy do soukromí. Také pojem soukromí se vyskytuje v právních normách různých odvětví, nelze jej ani v návaznosti na osobní údaje zařadit výlučně do kategorie soukromého či veřejného, institut je upraven v normách hmotněprávních i procesněprávních. 3 1.1 Ochrana osobních údajů v mezinárodním právu a právu Evropské unie Základní prvky i úroveň ochrany osobních práv se ve světovém společenství různí, okolní státy tak mohou fungovat jako inspirační zdroj i pro změny v české právní úpravě. Tato problematika se do popředí zájmu dostala zejména v období po druhé světové válce, zabývaly se jí i instituce jako je Rada Evropy, Organizace spojených národů či Organizace pro hospodářskou spolupráci a rozvoj (OECD). V návaznosti na zmíněné nelze opomenout 3 Mates, P. Ochrana soukromí ve správním právu. Praha: Nakladatelství Linde Praha a.s., 2004, s. 26. 3
dnem 10. 12. 1948 datovanou Všeobecnou deklaraci lidských práv, jejíž dvanáctý článek 4 ukládá zákaz svévolných zásahů do soukromého života, či Evropskou úmluvu o ochraně lidských práv a základních svobod (3. 9. 1953), která dává vzniknout Evropskému soudu pro lidská práva a v článku osmém stanoví právo na respektování rodinného a soukromého života ("Každý má právo na respektování svého soukromého a rodinného života, obydlí a korespondence."). Mezinárodní pakt o občanských a politických právech a Mezinárodní pakt o hospodářských, kulturních a sociálních právech z roku 1966 navazují na Všeobecnou deklaraci lidských práv a jsou tak dalším počinem Organizace spojených národů. Organizace pro hospodářskou spolupráci a rozvoj vydává roku 1980 pravidla pro ochranu soukromí a předávání osobních údajů do zahraničí (tzv. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), ty se stávají určujícími pro další důležité zejména v evropském měřítku mezinárodní dokumenty, jakými jsou Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva Rady Evropy - ETS č. 108 z 18. 1. 1981, v České republice účinná od 1. 11. 2001) a Směrnice Evropského parlamentu a Rady z 24. 10. 1995, č. 95/46/ES, o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a volným pohybem těchto údajů. Úmluva č. 108 byla posléze doplněna dodatkovým protokolem. Její výjimečný přínos bývá spatřován ve snaze poprvé pojmout institut ochrany osobních údajů celistvě, a to včetně definic základních pojmů této problematiky. Český stát se prohlášením dle příslušného článku Úmluvy zavázal respektovat stanovené principy i v oblasti dat zpracovávaných nezautomatizovanou cestou. Mezi tyto principy patří závazek legitimity získávání a zpracování údajů, předem stanovený účel zpracování, omezení doby zpracování na nezbytně nutnou či zásada bezpečnosti. Každý by na základě této Úmluvy měl mít možnost získat přístup a uvést do souladu se skutečností (případně nechat odstranit) informace shromážděné jinými o své osobě, ať již se tomu stalo formou automatizovanou či mechanickou. Směrnici č. 95/46/ES nelze než považovat za základní stavební kámen právní úpravy ochrany osobních údajů zastřešující formalizované evropské společenství. Již v primárním právu se společenství hlásí k ochraně lidských práv a svobod. Směrnice, tj. 4 Nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence, ani útokům na svou čest a pověst. 4
sekundární akty, jsou ze své povahy závazné pro určené státy co do výsledků, kterých jimi má být dosaženo, k tomu je třeba přijetí prováděcích aktů, způsob dosažení cílů je však ponechán na volbě každého státu. Na příklad hodnotící zpráva Evropské komise, zveřejněná ve Věstníku Úřadu pro ochranu osobních údajů roku 2002, kladně hodnotila vysokou míru shody provedeného začlenění do právního řádu České republiky s akty Evropských společenství. Výše uvedenou Úmluvu č. 108 Směrnice časově předbíhá úpravou neautomatizovaného zpracování údajů, dále stanoví povinnost určení orgánu, který bude v každém členském státě dozírat na dodržování pravidel Směrnice a zásady předávání údajů do třetích zemí. Ochranu Směrnice poskytuje pouze fyzickým osobám a nevztahuje se na čistě soukromé zpracovávání údajů či naopak záležitosti bezpečnosti státu, trestního práva apod. Směrnice zřizuje také zvláštní pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů (skupina "WP29"), složenou z vrcholných představitelů orgánů pověřených kontrolou. Za podstatné považuji zmínit směrnicí vymezenou kategorii zvláštních údajů, kterými jsou osobní údaje vypovídající o etnickém původu člověka, politických názorech, náboženském přesvědčení, zdravotním stavu, sexuální orientaci a podobné. Shromažďování takových údajů má být zakázáno se stanovenými výjimkami z důvodu citlivosti těchto údajů pro jejich nositele a předcházení jakékoli diskriminace. Dalším ze sekundárních předpisů je směrnice Evropského parlamentu a Rady č. 2002/58/ES. Tato směrnice se dotýká práva na soukromí (zpracování osobních údajů) ve věcech elektronických komunikací, sjednocuje úpravu volného pohybu těchto údajů a služeb elektronických komunikací na území Společenství. Dozorovou činnost v intencích této směrnice plní taktéž pracovní skupina WP29. Pokud dochází ke zpracování osobních údajů v rámci činností plně svěřených působnosti Společenství, řídí se takový postup přímo nařízením Evropského parlamentu a Rady č. 45/2001, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (18. 12. 2000). I toto nařízení však vychází z obecných zásad směrnice č. 95/46/ES. Nařízením byl zřízen úřad nezávislého Evropského inspektora ochrany údajů. Jeho funkční období trvá pět let a mezi nejpřísnější možnosti zásahu proti činnosti institucí patří oprávnění zakázat zpracování údajů. 5
1.2 Legislativa České republiky Historie právní úpravy ochrany osobních údajů není příliš dlouhá. Od konce 19. století můžeme však na území pozdějšího českého státu dohledat ustanovení chránící právo na soukromí, a to v podobě listovního tajemství, domovní a osobní svobody. Zákon z roku 1867 o obecných právech občanů byl později převzat recepční normou do právního řádu první Československé republiky. Také v ústavě z roku 1920 bylo právo na soukromí obsaženo, a to s tím, že k provedení ustanovení bude vydán zvláštní zákon. Zatímco dění za druhé světové války a po jejím skončení vedlo v mnoha zemích k přijímání dokumentů o lidských právech, v komunistických Čechách byla stanovena jen občanskoprávní ochrana osobnosti. O tom, že lidé mají právo na ochranu soukromí, se začalo psát až na počátku 80. let minulého století a o ochraně osobních údajů se objevily sporadické zmínky teprve koncem tohoto desetiletí, výslovná právní úprava ani jednoho z těchto práv ovšem provedena nebyla. 5 Značně pokročilejší vývoj v některých státech Evropy byl jistě jedním z impulsů pro zařazení práva na ochranu před neoprávněným shromažďováním, zveřejňováním a dalšími způsoby zneužívání osobních údajů do Listiny základních práv a svobod (čl. 10 odst. 3 Listiny). Listina je v českém právním řádu uvozena usnesením České národní rady č. 23/1991 Sb. jako ústavní zákon č. 2/1993 Sb. Práva na ochranu osobnosti zaměstnance jakožto fyzické osoby zahrnují jednolitě jeho fyzickou i duchovní stránku. Ústavněprávní zakotvení osobnostních práv nalezneme ve článcích 1 a 3 Listiny, kde je zejména upravena rovnost lidí v důstojnosti, právech a svobodách. Článkem 17 Listiny je v jakémsi protikladu k článku 10 zaručováno právo na svobodný přístup k informacím: svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice států. Mezi oběma právy by měla existovat rovnováha. Odstavec 4 článku 17 stanoví, že právo na informace lze omezit zákonem, jde-li o 6
opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti. S některými výjimkami (srov. čl. 17 odst. 5 Listiny) proto není stanovena povinnost nikomu informace sdělovat. Garance ochrany práv je dále upevněna odstavcem čtvrtým tohoto článku. 6 Obecné ustanovení deklarující nedotknutelnost osoby a ochranu soukromí obsahuje čl. 7. Princip svobody utváření pracovněprávních vztahů nalezneme v čl. 9. Jako obecný předpis v oblasti ochrany soukromí působí zákon č. 40/1964 Sb., ve znění pozdějších předpisů, občanský zákoník, a to když v ustanovení 11 jmenuje příkladmo osobnostní práva na ochranu života a zdraví, občanské cti, lidské důstojnosti, soukromí, jména a projevů osobní povahy. 7 Projevem osobní povahy může být ku příkladu zachycení podoby (obraz, fotografie), a tak se v některých případech obsah pojmu osobní údaj a projev osobní povahy bude překrývat (v tomto případě obrazové dílo jakožto projev osobní povahy obsahuje osobní údaj podobiznu). Všeobecná osobností práva mohou být omezena zákonnou licencí (např. pro potřeby vědy), či odvolatelným souhlasem fyzické osoby, které se týkají. Právnické osobě náleží obdobná práva na ochranu názvu a dobré pověsti (ust. 19b občanského zákoníku). 5 6 7 Mates, P. Ochrana osobních údajů. Praha: Nakladatelství Karolinum, 2002, s. 40. Omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti. ( 11) Fyzická osoba má právo na ochranu své osobnosti, zejména života a zdraví, občanské cti a lidské důstojnosti, jakož i soukromí, svého jména a projevů osobní povahy. ( 12) (1) Písemnosti osobní povahy, podobizny, obrazové snímky a obrazové a zvukové záznamy týkající se fyzické osoby nebo jejích projevů osobní povahy smějí být pořízeny nebo použity jen s jejím svolením. (2) Svolení není třeba, použijí-li se písemnosti osobní povahy, podobizny, obrazové snímky nebo obrazové a zvukové záznamy k účelům úředním na základě zákona. (3) Podobizny, obrazové snímky a obrazové a zvukové záznamy se mohou bez svolení fyzické osoby pořídit nebo použít přiměřeným způsobem též pro vědecké a umělecké účely a pro tiskové, filmové, rozhlasové a televizní zpravodajství. Ani takové použití však nesmí být v rozporu s oprávněnými zájmy fyzické osoby. ( 13) (1) Fyzická osoba má právo se zejména domáhat, aby bylo upuštěno od neoprávněných zásahů do práva na ochranu její osobnosti, aby byly odstraněny následky těchto zásahů a aby jí bylo dáno přiměřené zadostiučinění. (2) Pokud by se nejevilo postačujícím zadostiučinění podle odstavce 1 zejména proto, že byla ve značné míře snížena důstojnost fyzické osoby nebo její vážnost ve společnosti, má fyzická osoba též právo na náhradu nemajetkové újmy v penězích. (3) Výši náhrady podle odstavce 2 určí soud s přihlédnutím k závažnosti vzniklé újmy a k okolnostem, za nichž k porušení práva došlo. 7
Právo na informace je v legislativě České republiky upraveno zákonem č. 106/1999 Sb., o svobodném přístupu k informacím. Zákon zaručuje právo na informace, kterými disponují orgány státní správy a samosprávy, což je jistě v demokratickém zřízení žádoucí, nekoliduje tak s právem na soukromí, neboť nestanoví povinnosti pro soukromé osoby. V současné době platnému a účinnému zákonu o ochraně osobních údajů, vyhlášenému ve Sbírce zákonů pod č. 101/2000, tematicky předcházel zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, jehož předmětem dle ust. 1 byla ochrana osobních údajů, zejména povinnosti související s ochranou informací při provozování informačního systému, který nakládá s osobními údaji a odpovědnost provozovatele informačního systému a dalších fyzických a právnických osob, které se účastní provádění činností souvisejících s provozováním takového informačního systému. Tento zákon ještě nebyl souladný s předpisy Evropského společenství, neobsahoval sankce pro případ porušení povinností, a za jeho účinnosti neexistoval žádný orgán dozoru na tomto úseku. Dosah ochrany před zneužitím údajů byl tak spíše jen deklaratorní. 8 Zákon č. 101/2000 Sb. nabyl účinnosti 1. 6. 2000, ustanovení 16, 17 a 35 byly v souvislosti s potřebným časem pro zahájení práce Úřadu pro ochranu osobních údajů účinnými až o polovinu roku později. Tento zákon byl již třiadvacetkrát novelizován, zabývá se již ochranou osobních údajů bez ohledu na formu jejich zpracování (ust. 3 odst. 2 zákona) a představuje konkrétní úpravu ochrany osobních údajů v návaznosti na desátý článek Listiny. Zákon je plně souladný s předpisy Evropského společenství, přejímá zásady zpracování údajů z Úmluvy č. 108, a upravuje nově také předávání údajů do zahraničí. Za nejpodstatnější přínos zákona je považován institut souhlasu subjektu údajů se zpracováním určitých informací, které se ho týkají. Zákon oproti předchozímu stavu úpravy posiluje ochranu subjektů údajů před poškozujícími praktikami správců údajů, na druhé straně však stanoví relativně hodně povinností správcům a zpracovatelům údajů, tyto se mohou zdát pro svou nepřehlednost těžko zvládané v praxi. Přímý význam zákona 8 Proto Česká republika zpočátku také nepřistoupila k Úmluvě č. 108. 8
o ochraně osobních údajů pro obyčejného člověka je v zajištění informovanosti o tom, že někdo osobní údaje zpracovává. 9 V porovnání s úpravou ochrany osobnostních práv, obsaženou v občanském zákoníku, je tento zákon co do práv a povinností konkrétnější, ale také více dbá na prevenci před poškozováním subjektů. V případě zpracovávání osobních údajů se právní úprava zákona č. 101/2000 Sb. použije před občanským zákoníkem přednostně (viz ust. 1 občanského zákoníku). Systematiku zákona představují tyto složky: Úvod hlavička, Část I. Ochrana osobních údajů, Hlava I. Úvodní ustanovení, Hlava II. Práva a povinnosti při zpracování osobních údajů, Hlava III. Předávání osobních údajů do jiných států, Hlava IV. Postavení a působnost úřadu, Hlava V. Organizace úřadu, Hlava VI. Činnost úřadu, Hlava VII. Správní delikty, Hlava VIII. Ustanovení společná, přechodná a závěrečná, Část II. (zrušena), Část III. Novela zákona o svobodném přístupu k informacím, Část IV. Účinnost, Poznámky pod čarou. 10 Působnosti tohoto zákona podléhají osobní údaje zpracovávané orgány státní moci, orgány územní samosprávy, jiné orgány veřejné moci a také fyzické a právnické osoby soukromého práva (ust. 3 odst. 1 zákona). Pojmem jiný orgán veřejné moci, rozumíme instituce, které rozhodují o právech a povinnostech subjektu, který vůči nim není v rovnoprávném postavení (např. vysoká škola). 11 Pod režim zákona nespadá zpracování údajů fyzickou osobou výlučně pro její osobní potřebu (ust. 3 odst. 3 zákona), a dále nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovány ( 3 odst. 4 zákona). Roku 2005 novelizované znění 3 odst. 5, 6 zákona upravuje působnost ve zvláštních případech, např. kdy správce údajů nesídlí na území EU, avšak provádí v České republice zpracování údajů a dále výjimky z povinností správce v případech, kdy se jedná o bezpečnost a obranu státu a další tam uvedené případy. 12 Podstatný závěr pro 9 10 Matoušová, M. a kolektiv. Ochrana osobních údajů v otázkách a odpovědích. Praha: ASPI Publishing, 2004, s. 33. Poznámky pod čarou obsažené v právních předpisech však postrádají právní závaznost, jsou pouze informativní. 11 Mates, P. Ochrana osobních údajů. Praha: Nakladatelství Karolinum, 2002, s. 41. 12 Blíže viz důvodová zpráva k návrhu zákona č. 439/2004 Sb. 9
tuto práci tedy zní, že na zaměstnavatele při zpracování osobních údajů jejich zaměstnanců se zákon bude vztahovat. Předmětný zákon dále obsahuje poměrně rozsáhlou paletu legálních definic zavedených pojmů. V některých případech se lze z pohledu praktického obávat, zda definice nejsou příliš široké. Zákony ze své povahy nemohou předvídat všechny budoucí situace, avšak měly být jednoduše (pro právní laiky) a dostatečně obecně použitelné. Výkladu jednotlivých pojmů a také působnosti Úřadu pro ochranu osobních údajů je věnována další z následujících částí práce. Stěžejní oddíl se týká práv a povinností účastníků procesu zpracování osobních údajů. Další doplněk ochrany osobnostních práv a soukromí tvoří právo na odpověď a uveřejnění dodatečného sdělení (zákon o provozování rozhlasového a televizního vysílání č. 231/2001 Sb. a tiskový zákon č. 46/2000 Sb.), ochrana duševního vlastnictví (zákon o právu autorském, o právech souvisejících s právem autorským č. 121/2000 Sb. a další), předpisy práva správního (zákon č. 200/1990 Sb., o přestupcích) a trestního (zákon č. 40/2009 Sb., trestní zákoník). V zákonných ustanoveních jsou promítnuty některé zásady zpracování údajů. O jejich konkrétním významu bude postupně psáno dále, na tomto místě je pouze uvádím v přehledném výčtu: 1) zásada legitimity zpracování, 2) zásada účelovosti, 3) zásada časového omezení, 4) zásada přiměřenosti a potřebnosti, 5) zásada průhlednosti, 6) zásada bezpečnosti, 7) zásada práva na přístup k údajům, 8) zásada práva na opravu a výmaz údajů, 9) zásada nezávislého dozoru, 10) zásada souhlasu subjektu údajů, 11) zásada zákazu sdružování osobních údajů. 1.2.1 Pracovní právo Zákon č. 262/2006 Sb., zákoník práce, umožňuje, aby se na pracovněprávní vztahy taktéž uplatnila obecná občanskoprávní úprava osobnostních práv. To znamená např. ochranu před zveřejňováním nepravdivých údajů o zaměstnancích ze strany podniku. 10
Zákoník práce sám o sobě neobsahuje příliš širokou úpravu ochrany zaměstnanců. Za základní lze považovat ust. 316. 13 Tato úprava reflektuje zákaz diskriminace a rovné podmínky všech uchazečů o zaměstnání. Pracovní právo upravuje tři základní druhy právních vztahů: vztahy vznikající v souvislosti s výkonem závislé práce, vztahy kolektivní povahy a vztahy zaměstnanostní ( 1 zákoníku práce). Dle ust. 2 odst. 4 se závislou prací rozumí práce, která je vykonávána ve vztahu nadřízenosti zaměstnavatele a podřízenosti zaměstnance, jedná se výlučně o osobní výkon práce zaměstnance pro zaměstnavatele, podle pokynů zaměstnavatele, jeho jménem, za mzdu, plat nebo odměnu za práci, v pracovní době nebo jinak stanovené nebo dohodnuté době na pracovišti zaměstnavatele, popřípadě na jiném dohodnutém místě, na náklady zaměstnavatele a na jeho odpovědnost. Vztahy zaměstnanosti rozumíme právní vztahy vznikající v rámci pracovního práva zaměstnancům a zaměstnavatelům ke správním orgánům. Zaměstnavatelé mají na základě různých právních předpisů povinnost vést evidenci pro účely pojištění a o skutečnostech oznamovaných zdravotní pojišťovně a uskutečněných platbách na zdravotní pojištění; evidenci všech úrazů a náhradách za ztrátu na výdělku po skončení pracovní neschopnosti; evidenci pro účely důchodového pojištění (evidenční listy důchodového pojištění); účet mzdy pracovníka a mzdové listy pro účely daně z příjmu osob; evidenci pracovní doby; evidenci pro účely bezpečnosti a ochrany zdraví při práci; 13 ( 316) (1) Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. (2) Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci. (3) Jestliže je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů podle odstavce 2, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění. (4) Zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a s pracovněprávním vztahem uvedeným v 3 větě druhé. Nesmí vyžadovat informace zejména o a) těhotenství, b) rodinných a majetkových poměrech, c) sexuální orientaci, d) původu, e) členství v odborové organizaci, f) členství v politických stranách nebo hnutích, g) příslušnosti k církvi nebo náboženské společnosti, h) trestněprávní bezúhonnosti; to, s výjimkou písmene c), d), e), f) a g), neplatí, jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis. Tyto informace nesmí zaměstnavatel získávat ani prostřednictvím třetích osob. 11
dokumentaci požární ochrany; evidenci rizikových prací a zaměstnanců s uznanou nemocí z povolání. Od roku 2013 zřejmě také vznikne povinnost evidovat podklady pro účely úrazového pojištění. K zákonu o ochraně osobních údajů se dále některými svými ustanoveními vztahuje zákon o státní kontrole, obchodní zákoník (ustanovení pojednávající o obchodním rejstříku), zákon o evidenci obyvatel, zákon o katastru nemovitostí a zápisech do něj, živnostenský zákon, zákon o zaměstnanosti, o Policii České republiky, o péči o zdraví lidu a zákon o vězeňské službě. 1.2.2 Úřad pro ochranu osobních údajů Dle článku 28 Směrnice č. 95/46/ES je každý členský stát ES povinen pověřit alespoň jeden orgán k dohledu nad dodržováním a prováděním ochrany osobních údajů v souladu se zásadami a předpisy upravujícími oblast ochrany osobních údajů. Akceptace této směrnice v podobě implementace je pro státy přistupující k Evropskému společenství nutná. V České republice byl 1. 6. 2000 na základě ust. 2 zákona o ochraně osobních údajů zřízen Úřad pro ochranu osobních údajů. Jedná se o nezávislý ústřední správní orgán sui generis (jeho postavení nevychází z tzv. kompetenčního zákona 14 ) se sídlem v Praze, jeho činnost vymezuje ust. 29 uvedeného zákona takto: úřad provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů, vede registr zpracování osobních údajů, přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení, zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti, vykonává další působnosti stanovené mu zákonem 15, projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona, zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, a z přímo použitelných předpisů Evropských společenství, poskytuje konzultace v oblasti ochrany osobních údajů, spolupracuje s obdobnými úřady jiných států, 14 15 Zákon č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy jmenuje a určuje působnost ministerstev a jmenuje úřady, v jejichž čele nestojí člen vlády. Jedná se např. o zákon č. 329/1999 Sb., o cestovních dokladech, zákon č. 127/2005 Sb., o elektronických komunikacích a další. 12
s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů. Úřad v souladu s právem Evropských společenství plní oznamovací povinnost vůči orgánům Evropské unie. Úřad pro ochranu osobních údajů je podobně jako Česká národní banka či Nejvyšší kontrolní úřad financován ze samostatné kapitoly státního rozpočtu a není podřízen vládě, ve své činnosti se řídí pouze zákony a právními předpisy nižší právní síly, nepodléhá však nařízením vlády a jeho pravomoc a působnost lze případně měnit jen na základě zákona. 16 Úřad sám má možnost vydávat právní předpisy v podobě vyhlášky. Stanoviska Úřadu, jež jsou k dispozici na internetu a ve věstníku, vyjadřují právní názor Úřadu v otázkách nejednoznačné a nové právní úpravy, a nejsou obecně právně závazná. 17 Dozorovou a kontrolní činnost Úřadu provádí jeho inspektoři a další pověřené osoby. Z dozorové pravomoci je však vyňato zpracování osobních údajů zpravodajskými službami, zde může být činná jen Poslanecká sněmovna Parlamentu České republiky. V současné době působí při Úřadu sedm inspektorů jmenovaných prezidentem ČR na návrh Senátu Parlamentu ČR, tito při kontrole postupují kromě zákona o ochraně osobních údajů také dle zákona č. 552/1991 Sb., o státní kontrole. Mezi jejich pravomoci patří vstupovat do prostor každého, kdo zpracovává osobní údaje, pokud to souvisí s předmětem kontroly, seznamovat se s utajovanými informacemi za podmínek stanovených zvláštním právním předpisem 18, požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných skutečnostech, zajišťovat v odůvodněných případech doklady či pořídit kopie obsahu paměťových médií, obsahujících osobní údaje. Na druhé straně jsou inspektoři samozřejmě stiženi povinnostmi prokázat se kontrolovanému subjektu průkazem [jeho vzor upravuje nařízení vlády na základě ust. 38 odst. 5 písm. a) zákona o ochraně osobních údajů], oznámit kontrolovanému zahájení kontroly či šetřit práva a právem chráněné zájmy kontrolovaných. O výsledku každé kontroly je pořizován zvláštní protokol a pracovník je povinen zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Ust. 16 17 18 Mates, P., Neuwirt, K. Právní úprava ochrany osobních údajů v ČR. Praha: Nakladatelství IFEC, Praha, 2000, s. 37. Kučerová, A., Nonnemann, F. Ochrana osobních údajů v otázkách a odpovědích. Bova Polygon, 2010. s. 82. Jedná se o zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. 13
38 odst. 1 také stanoví, že kontrolu nesmí provádět ten, u nějž jsou s ohledem na vztah k věci či subjektům kontroly dány důvodné pochybnosti o jejich nepodjatosti. Zákon operuje s pojmy dozor a kontrola, tyto jsou často používány jako synonyma. Teorie správního práva nabízí různá vysvětlení. Obecně lze dozor považovat za aktivitu, jejíž podstatou je pozorování určité činnosti nebo určitého stavu, na které navazuje hodnocení, popř. též užití prostředků směřujících k zajištění účelu sledovaného dozorčí činností. 19 Mezi pojmy je spatřován vztah nadřazenosti a podřazenosti. Podle jiného názoru rozdíl mezi oběma termíny spočívá v tom, že kontrola zpravidla bezprostředně nezahrnuje vlastní nápravu zjištěného závadného stavu, zatímco dozor ano. 20 Úřad pro ochranu osobních údajů také vybírá pokuty jako sankce za spáchané přestupky a jiné správní delikty. Tyto delikty vymezuje nejen zákon o ochraně osobních údajů, ale také např. zákon č. 133/2000 Sb., o evidenci obyvatel a rodných čísel, a další předpisy. Při stanovení výše pokut přihlíží k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Vybrané pokuty jsou příjmem státního rozpočtu. Dle výroční zprávy za rok 2010, zveřejněné na internetových stránkách Úřadu, proběhlo v loňském roce např. šetření s Hlavním městem Prahou stran porušení zákona, kdy hl. m. Praha nedostatečným způsobem informovala zájemce o vydání tzv. Karty Pražana Opencard o parametrech budoucího zpracování jejich osobních údajů. Za primární úkol Úřadu by měla být brána prevence v oblasti řádného zpracování osobních údajů. Tím je myšlena nejen osvěta, ale zejména praktické zaměření poskytování pomoci a konzultací souvisejících s ochranou a zneužitím osobních údajů. Úřad je povinen se podněty zabývat a autora posléze informovat o postupu a vyřízení. V sídle Úřadu je také (po předchozí dohodě) veřejnosti k dispozici tematicky vybavená knihovna. 19 20 Hendrych, D. a kolektiv. Správní právo obecná část. Praha: Nakladatelství C. H. Beck, 2003, s. 237 259. Průcha, P. Správní právo obecná část. Brno: MU Brno a nakladatelství Doplněk, 2004, s. 257 261. 14
2 Vymezení pojmů Zákon o ochraně osobních údajů poskytuje několik legálních definic potřebných termínů v ustanovení paragrafu čtvrtého, Směrnice č. 95/46/ES obsahuje podobné ustanovení v článku druhém. Jelikož oba tyto předpisy jsou zvláštní (resp. tematicky základní obecnou) právní úpravou, platí vymezení termínů i pro použití v souvislostech s dalšími předpisy. Některé termíny korespondují téměř doslovně také s Úmluvou č. 108. Většina termínů je v běžném životě obecně srozumitelná, při snaze o interpretaci jejich legálního vymezení však často vzniká potíž s jejich konkrétním obsahovým vymezením. Pro lepší porozumění jsou proto dále uvedeny také praktické příklady. Slovníček nejdůležitějších pojmů je zveřejněn i na internetových stránkách Úřadu pro ochranu osobních údajů. 21 2.1 Osobní, citlivé, anonymní, zveřejněné údaje Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže jej lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. 22 Úmluva č. 108 definuje tento pojem jako veškeré údaje o identifikované nebo identifikovatelné osobě ( natural person ). Údaj může v praxi mít podobu slovní, číselnou i obrazovou, jejich kombinace nevyjímaje. Údaj se musí vztahovat k určité fyzické osobě (bez ohledu na české občanství): nebude-li totiž ve spojení s konkrétním subjektem (např. osobní číslo zaměstnance, které dosud není nikomu přiděleno), nemůže být osobním údajem. Stejně tak jednalo-li by se o údaj nedostatečný k identifikaci osoby. Subjekt je tedy určitelný, pouze jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo určit jeho identitu. To může platit 21 http://www.uoou.cz/uoou.aspx?menu=281&submenu=441&loc=455 (citováno 22. 8. 2011) 15
i pro omezený okruh osob (sousedé, spolupracovníci). Původně uzákoněná omezující podmínka, že se tak má stát bez vynaložení neúměrného úsilí byla zrušena novelou provedenou zákonem č. 439/2004 Sb. Dle literatury lze shrnout: osobní údaj je skutečně každý údaj, který je uvedený do vztahu k nějaké fyzické osobě. 23 Určenost osoby je vždy objektivním faktem, tato musí být rozpoznatelná v určité skupině osob. V teorii je dále rozlišována objektivní určenost (např. na základě DNA) a neurčenost (jméno fiktivního filmového hrdiny). Naopak určitelnost je jakousi subjektivní možností osobu označit na základě známého údaje. Osobní údaj je vždy vztahem mezi reálnou fyzickou osobou a hodnotou údaje. 24 Data osobní povahy lze členit do několika skupin. Mezi údaje identifikační patří ty, které vyjadřují nějakou vlastnost nebo jinou charakteristiku, která se rozlišuje u všech lidí patřících do určité komunity a jejíž používání je formálně podporováno. 25 Bude se tedy jednat o informace sloužící k identifikaci a možnosti kontaktu se subjektem zároveň: jméno a příjmení, datum a místo narození, pohlaví, rodinný stav, státní příslušnost, rodné číslo, adresu a další. Ostatní údaje řadíme do kategorie popisných údajů, které samy o sobě nejsou dostačující k formální identifikaci osoby. Lze je dále dělit na obecné popisné údaje (vzdělání, hmotnost, číslo bankovního účtu, počet dětí), transakční (neboli provozní) popisné údaje (pracovní funkce, plat, pracovní úvazek a docházka) a údaje jiného subjektu údajů (údaje o rodině v osobním dotazníku). Za citlivý údaj označuje zákon v ust. 4 písm. b) osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Do tohoto výčtu bylo novelou provedenou zákonem č. 177/2001 Sb. zahrnuto také členství v odborových organizacích a politických postojích. Výčet je taxativní. Tato speciální kategorie osobních údajů je považována za zvláště důležitou při ochraně lidských práv, neboť obsahuje soukromá data, na jejichž základě dochází často 22 23 24 25 Viz ust. 4 písm. a) zákona o ochraně osobních údajů. Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. Praha: ASPI, 2008, s. 19. Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. Praha: ASPI, 2008, s. 18. Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. Praha: ASPI, 2008, s. 21. 16
k diskriminaci, a to samozřejmě i v oblasti pracovních vztahů. Je tedy třeba zvýšené opatrnosti nejen na straně zpracovatele, ale i jejich nositele, který s výjimečným zpracováním údajů poskytuje souhlas. Případy, kdy je možné s citlivými údaji pracovat, jsou určeny v ust. 9 zákona o ochraně osobních údajů. Naopak přístup Směrnice č. 95/46/ES vychází primárně ze zákazu tohoto zpracování. 26 Za zpracování citlivých údajů je považována i dokumentace (např. fotografická) stávek či demonstrací. K některým kategoriím je vhodné doplnit vysvětlení. Co se týče původu osoby, listinou zachycující citlivý údaj by mohla být i fotografie. K nesprávnému shromaždování údaje o národnosti osoby dochází často také chybou zaměstnavatele, který zamění označení národnosti a státní příslušnosti (občanství), kterou je dle zákona o zaměstnanosti ( 102) povinen evidovat. Dokument obsahující údaje o neodsouzení za trestný čin neobsahuje citlivé údaje (citlivým údajem je jen informace o pravomocném odsouzení za spáchaný zločin, přečin, resp. trestný čin, avšak nikoli přestupek, evidovaná dle zákona č. 269/1994 Sb. o rejstříku trestů). O zdravotním stavu subjektu vypovídá i údaj o snížené pracovní schopnosti, medikovaných lécích či provedených vyšetřeních. Typickým způsobem obcházení zákona jsou zaměstnavatelem požadované údaje o zdravotním stavu uchazeče o zaměstnání s tím, že se jedná jen o stručné laické sdělení, které nemá povahu citlivého údaje. Osobně považuji za velmi nepříjemné předkládání propustek ze zaměstnání k lékaři, neboť z razítka, jímž lékař propustku označuje, je zřejmá jeho specializace. Za poněkud paradoxní lze považovat, že i v dnešní ČR je údaj o registrovaném partnerství považován za citlivý údaj o sexuálním životě. Naproti tomu údaj o manželovi nikoli. Tyto údaje jsou schraňovány v matričních knihách příslušných úřadů. Za genetické informace označujeme ty, které se získávají rozborem jedinečné lidské deoxyribonukleové kyseliny (DNA), tedy umožňují jednoznačně identifikovat osobu a nesou mnoho dalších informací o její rodinné anamnéze. Biometrické údaje (otisk prstů, struktura sítnice) jsou biologické vlastnosti, rysy či opakovatelné úkony (styl chůze) 26 Ustanovení o zákazu se nepoužije při splnění jedné z následujících podmínek: výslovný písemný souhlas subjektu údajů, výslovné zákonné oprávnění takového užití, výskyt kritické události nebo poskytnutí vhodné záruky. 17
jedince, které jsou měřitelné. Kritériem obecného osobního údaje je opět možnost identifikace určité osoby. Podobné vymezení citlivých údajů obsahuje také zákoník práce ( 316), zákon o zaměstnanosti ( 12) a antidiskriminační zákon. Jejich chvályhodným cílem je předcházení zásahům do intimní sféry člověka, avšak jsou poněkud nejednotné rozsahem údajů i v pojmech. Na tenký led se zákonodárce pouští, pokud mezi nimi hrozí vzniknout kolize. 27 V současné době se objevují návrhy rozšířit okruh těchto údajů o informace majetkového charakteru. Anonymní údaj označuje údaj, který [ust. 4 písm. c) zákona o ochraně osobních údajů] buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů. Zákon také operuje se slovesem anonymizovat. Jedná se např. o začernění textu, použití zvláštních formulářů apod., jejichž výsledkem je znemožnění spojení zjištěného údaje s určitou osobou. Informace tedy mohou být jako anonymní již sbírány, nebo později dodatečně anonymizovány. Jen částečně anonymizovaný bude údaj, z nějž při splnění určitých podmínek bude možné nositele určit. Anonymní údaje lze zpracovávat i bez souhlasu subjektu údajů pro účely vědy a statistiky, zřejmě se tak bude dít v rámci obsáhlých databázových souborů. Při Masarykově univerzitě je např. zpracovávána zdravotnická databáze průběhu rakovinných onemocnění. Dle ust. 4 písm. l) citovaného zákona je zveřejněný údaj osobním údajem zpřístupněným zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu. Mezi hromadné sdělovací prostředky patří tisk, vysílání a internet. Za jiné veřejné sdělení lze považovat např. vyhlášku. Jak naznačuje slovo zejména, jedná se o výčet pouze demonstrativní. Pro již zveřejněné údaje existují zhoršené podmínky další ochrany. Nový zpracovatel nemusí při zpracování již zveřejněných údajů získávat souhlas subjektů údajů. 27 Ust. 240 zákoníku práce nutnost znalosti údaje o rodinných poměrech, 286 odst. 2 zákoníku nutnost znalosti údaje o členství v odborové organizaci, nebo 105 odst. 6 zákoníku povinnost zaměstnavatele vést evidenci pracovních úrazů a nemocí z povolání 18
Současně však platí, že právo na ochranu soukromého a osobního života subjektu údajů se tím nemění. 28 2.2 Subjekt údajů Subjektem údajů je žijící fyzická osoba bez omezení národností, věkem či jinými kritérii, k níž se osobní údaje vztahují [ 4 písm. d) citovaného zákona]. Po úmrtí subjektu údajů zůstávají v platnosti ustanovení zákona, jejichž působnost nezávisí na skutečnosti, zda subjektem údajů je osoba žijící nebo zemřelá. 29 Podle ust. 20 odst. 1 předmětného zákona smrtí pomine účel zpracování údajů, lze po správci požadovat, aby tyto zlikvidoval. Na druhou stranu lze nalézt v literatuře také názor, dle kterého ochranu zemřelým poskytují pouze jiné zákony (např. zák. č. 40/1964 Sb., občanský zákoník), a to s ohledem na jejich vztah k blízkým pozůstalým. 30 2.3 Souhlas subjektu údajů Souhlasem subjektu údajů je dle ust. 4 písm. n) předmětného zákona myšlen svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Poskytnutí souhlasu je právním úkonem ve smyslu ust. 34 a násl. občanského zákoníku, jedná se o úkon odvolatelný. Zákoník práce nemá vlastní obecnou úpravu právních úkonů, v pracovněprávních vztazích platí tedy uvedená úprava. Zákon nestanoví povinnou písemnou či jinou formu úkonu, je však třeba pamatovat na povinnost správce (a tedy i případné důkazní břemeno na jeho straně) být schopen po celou dobu zpracování prokázat, že mu subjekt údajů k takovému zpracování svých osobních údajů souhlas poskytl (ust. 5 odst. 4 cit. zákona). 28 29 30 Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. Praha: ASPI, 2008, s. 147. Matoušová, M., Hejlík, L. Osobní údaje a jejich ochrana. Praha: ASPI, 2008, s. 191. Mates, P. Ochrana soukromí ve správním právu. Praha: Linde Praha, a.s., 2006, s. 193. 19
Bez předchozího souhlasu subjektu je správce ke zpracování oprávněn pouze v případech vypočtených zákonem v ust. 5 odst. 2, např. pokud je to součástí právní povinnosti správce. Ohledně citlivých osobních údajů je zákon přísnější, vyžaduje totiž kvůli zvýšené potřebě ochrany od subjektu souhlas výslovný. Zákon dále stanoví v ust. 5 odst. 4, že subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Proto se subjekt často označuje jako subjekt informovaný. Poučovací povinnost správců je poněkud komplikovanější. Pokud zpracování údajů je současně jejich shromažďováním, je třeba poučení rozšířit dle ust. 11 o to, jakým způsobem budou údaje zpracovávány, komu je lze zpřístupnit, o právu na přístup k informacím a o tom, zda jsou údaje poskytovány povinně, nebo ne. Toto poučení není potřeba např. v případě zpracování informací pro státní statistické služby a nezískal-li je zpracovatel přímo od subjektu. Nesplnění poučovací povinnosti lze sankcionovat pokutou. Naopak správci není stanovena povinnost poučení o možnost odvolání uděleného souhlasu. K udělování souhlasu se zpracováním osobních údajů zaměstnancem zaměstnavateli existuje široké spektrum stanovisek pracovní skupiny WP29 i Úřadu pro ochranu osobních údajů. Zaměstnavatel je povinen zpracovávat osobní údaje zaměstnanců pouze k zákonem stanoveným účelům, v jiných případech je mu třeba souhlas subjektů údajů. 31 Takové zpracování osobních údajů by se mělo omezit na situace, kdy má zaměstnanec skutečnou možnost svobodné volby, zda souhlasit s tímto postupem zaměstnavatele, nebo ne. 2.4 Zpracování osobních údajů Zpracováním osobních údajů je slovy zákona [odst. 4 písm. e) zákona o ochraně osobních údajů] jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče 31 http://www.uoou.cz/uoou.aspx?menu=29&submenu=33&loc=34 (citováno 22. 8. 2011) 20