Právnická fakulta Masarykovy univerzity v Brně Katedra pracovního práva a sociálního zabezpečení Ochrana osobních údajů z pohledu pracovního práva Rigorózní práce Mgr. Dana Zerzánová 2007 Prohlašuji že jsem rogorózní práci na téma ochrany osobních údajů v oblasti pracovně-právních vztahů zpracovala sama pouze s využitím pramenů v práci uvedených. 1
OBSAH 1 ÚVOD... 5 1.1 Terminologie použitá v práci...7 2 ÚSTAVNĚPRÁVNÍ ROVINA... 9 3 PRÁVO NA OCHRANU SOUKROMÍ... 11 3.1 Osobní údaje jako součást soukromí, mezinárodněprávní úprava... 11 3.2 Právní úprava ochrany soukromí v České republice... 12 4 OSOBNÍ ÚDAJE... 19 4.1 Pojem osobní údaj... 19 4.2 Druhy osobních údajů... 20 4.2.1 Identifikační údaje... 20 4.2.2 Adresní (kontaktní) údaje... 21 4.2.3 Popisné údaje... 21 4.2.4 Citlivé údaje... 21 5 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ... 23 5.1 Pojem zpracování osobních údajů... 23 5.1.1 Obecné vymezení... 23 5.1.2 Dílčí zpracování osobních údajů... 25 5.1.3 Zveřejňování osobních údajů... 26 6 ZPRACOVÁNÍ VYŇATÁ Z PŮSOBNOSTI ZÁKONA O OCHRANĚ OSOBNÍCH ÚDAJŮ... 28 6.1 Zpracování pro osobní potřebu... 28 6.2 Nahodilé shromažďování... 28 6.3 Další výjimky... 30 7 SUBJEKTY ZPRACOVÁVAJÍCÍ OSOBNÍ ÚDAJE... 31 7.1 Správce zaměstnavatel... 31 7.2 Zpracovatel osobních údajů... 32 8 POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ... 34 8.1 Povinnosti zaměstnavatele před zahájením zpracování... 34 8.1.1 Povinnost stanovit účel zpracování... 34 8.1.2 Povinnost stanovit prostředky a způsob zpracování... 35 8.1.3 Povinnost získat souhlas zaměstnance jako subjektu údajů... 35 8.1.4 Informační povinnost... 40 8.1.5 Oznamovací povinnost... 41 8.2 Povinnosti zaměstnavatele v rámci zpracování... 44 8.2.1 Povinnost zpracovávat přesné údaje... 44 8.2.2 Povinnost zpracovávat údaje odpovídající účelu a v nezbytném rozsahu... 48 2
8.2.3 Povinnost uchovávat osobní údaje pouze po nezbytnou dobu... 49 8.2.4 Povinnost zpracovávat osobní údaje pouze ke stanovenému účelu... 49 8.2.5 Povinnost shromažďovat osobní údaje otevřeně... 50 8.2.6 Povinnost nesdružovat osobní údaje... 50 8.2.7 Povinnost zabezpečit osobní údaje... 51 8.3 Povinnost zaměstnavatele při ukončení zpracování... 58 8.4 Povinnosti zpracovatele... 59 9 PRÁVA SUBJEKTU ÚDAJŮ... 61 9.1 Vymezení pojmu... 61 9.2 Jednotlivá oprávnění... 62 9.2.1 Právo na informace o zpracování... 62 9.2.2 Právo nesouhlasit se zpracováním... 63 9.2.3 Právo na přístup k osobním údajům... 64 9.2.4 Práva subjektu údajů domáhat se ochrany svých práv... 65 10 OSOBNÍ ÚDAJE ZÍSKÁVANÉ PRO PRACOVNĚPRÁVNÍ ÚČELY... 69 10.1 Osobní údaje shromažďované při výběru zaměstnance... 69 10.2 Osobní údaje shromažďované a zpracovávané před uzavřením pracovního poměru... 71 10.2.1 Jméno, příjmení a akademický titul... 73 10.2.2 Rodné číslo... 73 10.2.3 Datum a místo narození... 76 10.2.4 Bydliště zaměstnance... 77 10.2.5 Státní příslušnost... 78 10.2.6 Dosažené vzdělání... 79 10.2.7 Předchozí praxe zaměstnance... 80 10.2.8 Údaj o tom, zda je zaměstnanec poživatelem důchodu... 80 10.2.9 Informace, zda se jedná o osobu se zdravotním postižením... 81 10.2.10 Informace o další činnosti zaměstnance shodné s činností zaměstnavatele... 82 10.2.11 Posudek o zdravotní způsobilosti zaměstnance... 83 10.3 Osobní údaje shromažďované a zpracovávané za trvání pracovního poměru... 83 10.3.1 Rodinný stav zaměstnance... 84 10.3.2 Údaje o dětech zaměstnance... 84 10.3.3 Údaje o manželovi/manželce zaměstnance... 85 10.3.4 Údaje o rodičích zaměstnance... 85 11 PŘÍKLADY PRAKTICKÝCH PROBLÉMŮ V SOUVISLOSTI SE ZPRACOVÁVÁNÍM OSOBNÍCH ÚDAJŮ... 87 11.1 Evidence při vstupech do budovy... 87 11.2 Monitorování elektronické pošty zaměstnanců... 88 3
11.3 Provozování kamerového systému... 91 12 EVROPSKÁ OCHRANA OSOBNÍCH ÚDAJŮ... 98 12.1 Současná ochrana osobních údajů... 98 12.2 Ochrana osobních údajů v rámci Evropské ústavy... 106 13 ZÁVĚR... 109 RESUMÉ... 111 POUŽITÁ LITERATURA... 114 PŘÍLOHA A... 116 4
1 ÚVOD Problematika ochrany osobních údajů se stále více dostává do povědomí nejširší veřejnosti. Děje se tak zejména díky medializovaným kauzám týkajících se osobních údajů (na tomto místě mohu připomenout například údaje uveřejňované na jízdních dokladech nebo údaje pasažérů poskytované leteckým společnostem). Seznamování veřejnosti s možností ochrany jejich osobních údajů však bohužel není tak efektivní, jak bychom si přáli. Průzkumy ukazují, že ani v dnešní době dost velké procento obyvatel České republiky nevěnuje pozornost ochraně svých osobních údajů, případně nemá představu o tom, jak chránit své soukromí, a to zejména v souvislosti s právy či povinnostmi jiných osob. Bez rozmýšlení tak lidé poskytují svá osobní data komukoliv a kdykoliv jsou o to požádáni. Problémem ovšem není jen liknavost českého národa k této problematice. S politováním musím konstatovat, že legislativní úprava ochrany osobních údajů vykazuje hrubé nedostatky, o kterých pojednám dále. Nedotknutelnost osoby a jejího soukromí patří mezi základní lidská práva garantovaná Listinou základních práv a svobod i mezinárodními smlouvami. V právním řádu České republiky je v současné době ochrana osobních údajů stanovena zvláštním zákonem, a sice zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Právo člověka na ochranu jeho soukromí pak garantuje i zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů, ve znění pozdějších předpisů, který má v pracovněprávní oblasti zásadní význam pro každodenní praxi všech zaměstnavatelů. V čem spočívají avizované problémy české právní úpravy? Uvedený zákon o ochraně osobních údajů je obecnou normou, upravující základní práva a povinnosti správce a zpracovatele osobních údajů, zvláštní pravidla pro kategorii citlivých údajů a v neposlední řadě také složení a kompetence Úřadu pro ochranu osobních údajů jako dozorového orgánu. Podle mého názoru ale v právním řádu citelně chybí zvláštní právní předpis, který by se zabýval ochranou osobních údajů v pracovněprávních vztazích. Určité fragmenty této úpravy nalezneme v jednotlivých pracovněprávních předpisech, nejčastěji v souvislosti s diskriminačními hledisky nebo výčtem údajů, které mají být zaměstnancem poskytnuty zaměstnavateli. Jde tedy o naprosto neucelenou a nedostatečnou úpravu způsobující interpretační a aplikační potíže, navíc v tak exponované oblasti, jakou pracovněprávní vztahy bezpochyby jsou. Ale vraťme se nyní do minulosti Dřívější právní úprava se týkala pouze osobních údajů v informačních systémech a nedávala jednotlivci možnost výše zmíněnou praxi změnit 5
(neexistoval dozorový orgán, který by prošetřil, zda nedochází k porušení zákona v oblasti zacházení s osobními údaji a příslušná právní norma neobsahovala úpravu sankcí, které by bylo možné proti případnému porušiteli zákonných ustanovení uplatnit). Až nová legislativa přinesla zlepšení nastíněné situace. Informace mají zásadní význam pro rozvoj vědy, a tedy i pro společenský pokrok, nicméně mohou působit i kontraproduktivně a podílet se na zkáze civilizace. Zřejmě neodmítnete tvrzení, že kdo má dostatečné množství informací, ten má celkový přehled a dokáže předvídat určité skutečnosti (ať politické, nebo ekonomické) a v konečném důsledku je tudíž ve společnosti úspěšnější. Lidé informace potřebují ke svému životu a aktivně si je vyhledávají, současně se ale mohou dostat do situace, kdy nevědí, co si se získanými informacemi počít. Ještě důležitější než schopnost informace přijímat je tedy umění vybírat si z nich takové, které opravdu potřebujeme a jejichž získání má pro nás skutečný význam. Co si ale můžeme pod slovem informace představit? Spousta lidí si pojem informace mylně spojuje s myšlenkou v něčí hlavě, textem dokumentu, disketou nebo pevným diskem počítače. Její spojení s hmotným nosičem je však pouze jejím znakem. Jako její další znak se uvádí nevyčerpatelnost (informace se neustále rozvíjejí, navazují na sebe a vrství se). O informaci můžeme hovořit jen tehdy, pokud je vyjádřena ve vnímatelné podobě (nejčastěji slovy, písmem nebo pomocí znaků). V okamžiku svého vzniku se stává nezávislou na svém tvůrci a získává svou hodnotu (která nemusí odpovídat a zpravidla neodpovídá nákladům vynaloženým na její získání). Pro informace, které vypovídají o určité fyzické osobě, se používá označení osobní údaj. Osobní údaje jsou součástí soukromí každého z nás a právo na jejich ochranu se v moderních demokratických společnostech považuje za samostatné základní lidské právo. 6
1.1 Terminologie použitá v práci V práci je použito následujících výrazů 1 : osobní údaj jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Zaměstnance lze tedy v praxi určit přímo např. pomocí jeho osobního čísla, rodného čísla, ale též nepřímo, např. řekneme-li ta žena ze mzdové účtárny s dlouhými hnědými vlasy ; citlivý údaj osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu údajů. Pro nakládání s citlivými údaji pak platí přísnější režim, než jaký se uplatní na běžné osobní údaje; anonymní údaj takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů; subjekt údajů fyzická osoba, k níž se osobní údaje vztahují, v našem pojetí pak subjektem údajů rozumíme zaměstnance případně uchazeče o zaměstnání; zpracování osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace; shromažďování osobních údajů pro pracovněprávní účely záměrná systematická činnost zaměstnavatele směřující k získání potřebných údajů a informací za účelem jejich dalšího uložení na nosič informací (ať už arch papíru nebo počítačový disk) pro jejich okamžité nebo pozdější zpracování. Z hlediska zákona o ochraně osobních údajů není rozhodující, zda zaměstnavatelé shromažďují osobní údaje ojediněle (např. při výběrovém řízení) nebo soustavně (např. pro účely plnění daňových povinností); uchovávání osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat; 1 4 zákona č. 101/2000 Sb.. o ochraně osobních údajů, 7
blokování osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat; likvidace osobních údajů fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování (volba způsobu likvidace osobních údajů záleží na způsobu jejich zpracování, nejobecněji zda jsou údaje zpracovány automatizovaně nebo manuálně); správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj (z našeho hlediska zaměstnavatel). Zpracování osobních údajů o zaměstnancích může zaměstnavatel provádět sám, nebo k tomu využívá jinou právnickou nebo fyzickou osobu, kterou pak zákon o ochraně osobních údajů označuje jako zpracovatele osobních údajů; zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření zaměstnavatelem zpracovává osobní údaje podle tohoto zákona; zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu. Jak se dále dočteme, na zpracování zveřejněných osobních údajů platí volnější režim; evidencí nebo datovým souborem osobních údajů (dále jen datový soubor ) jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií; souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Náležitostem a podmínkám udělení souhlasu je pak věnována zvláštní část; příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za příjemce se podle zákona nepovažuje subjekt, který zpracovává osobní údaje podle 3 odst. 6 písm. g). 8
2 ÚSTAVNĚPRÁVNÍ ROVINA Ochranu osobních údajů jako zvláštní obor činnosti výstižně charakterizuje hledání rovnováhy mezi více právy každého individua. Na jedné straně pomyslných vah stojí právo na soukromí (neodmyslitelně v sobě zahrnující i jeho ochranu), na straně druhé právo každého jedince na informace (jinými slovy právo být informován). 2 Tato základní práva našla své vyjádření jak v mezinárodních dokumentech, tak v právních řádech jednotlivých států, Českou republiku nevyjímaje. V České republice nejsou vyjádřena přímo v Ústavě, ale jak jsem již výše uvedla, v Listině základních práv a svobod (dále jen Listina), která je součástí ústavního pořádku České republiky. Článek 10 Listiny zakotvuje jako jedno ze základních lidských práv a svobod právo na ochranu soukromí, když říká: Každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. (odst. 1) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. (odst. 2) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. (odst. 3) V souvislosti s ochranou osobních údajů se zpravidla uvádí pouze třetí odstavec citovaného ustanovení Listiny, který akcentuje ochranu před neoprávněnou manipulací s osobními údaji. Takto zužující pohled však není zcela přesný, protože ochrana osobních údajů konkrétní osoby v konkrétní situaci souvisí se současným uplatněním více práv, přičemž právo na ochranu osobních údajů navazuje na právo na ochranu soukromého a rodinného života, o kterém pojednává odstavec druhý citovaného článku Listiny. Jak jsem již výše uvedla, osobní údaje jsou jedním z elementů soukromí každého člověka, a těžko bychom si tedy mohli představit kvalitní ochranu osobních údajů při neexistenci práva ochrany soukromí jako celku. Do opozice vůči právu na ochranu osobních údajů je stavěno právo na informace, vymezené v článku 17 Listiny v rámci garantovaných politických práv: Svoboda projevu a právo na informace jsou zaručeny. (odst. 1) 2 Matoušková M., Hejlík L.: Osobní údaje a jejich ochrana, 1. vydání, Praha: ASPI Publishing, 2003, 416 str. 9
Každý má právo vyjadřovat své názory slovem, písmem, tiskem, obrazem nebo jiným způsobem, jakož i svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice státu. (odst. 2) Cenzura je nepřípustná. (odst. 3) Svobodu projevu a právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti. (odst. 4) Státní orgány a orgány územní samosprávy jsou povinny přiměřeným způsobem poskytovat informace o své činnosti. Podmínky a provedení stanoví zákon. (odst. 5) Právo na ochranu osobních údajů můžeme z hlediska uvedeného ustanovení Listiny (odst. 4) zařadit mezi jedno z práv druhých, která mohou být důvodem pro omezení zacházení s osobními údaji jiných lidí. 10
3 PRÁVO NA OCHRANU SOUKROMÍ 3.1 Osobní údaje jako součást soukromí, mezinárodněprávní úprava Pod pojmem soukromí si člověk zpravidla představuje určitý prostor, který patří jen jemu a do něhož mu nesmí bez povolení nikdo zasahovat. V této podobě se ale jedná o dosti zužující interpretaci, podle které by do soukromí spadaly jen věci týkající se izolovaně pouze daného individua (např. jeho názory, duševní vývoj, osobní data atd.). Judikatura Evropského soudu pro lidská práva se propracovala k mnohem širšímu výkladu, v jehož rámci do oblasti soukromí spadá i právo na normální styky s jinými lidmi, především s členy rodiny. 3 Právo na soukromí vyžaduje zvláštní ochranu, protože v okamžiku, kdy je postiženo soukromí, dochází i k zásahu do všech ostatních osobnostních práv. Ani právo na soukromí, stejně jako právo na informace, není právem absolutním. Existují případy, kdy do něj může být zasahováno, ovšem pouze za situace, kdy příslušný zásah umožňuje litera zákona. Vzhledem k tomu, že osobní údaje většinou spadají do soukromí, nepřekvapí, že v rámci práva na soukromí se postupně vydělilo právo na ochranu osobních údajů, které bylo nakonec uznáno za samostatné právo. V předchozí větě jsem při vymezení osobních údajů jako součástí soukromí záměrně použila slovo většinou. Osobní údaje totiž nemusí vždy tvořit součást soukromí (není tomu tak například u jména, příjmení a adresy určité osoby uvedených ve veřejně dostupném seznamu). Přestože takto veřejně zpřístupněné údaje nezahrneme do soukromí člověka, kterého se týkají, nakládáním s nimi může být do jeho soukromí zasahováno. V této souvislosti se jako klasický příklad uvádějí praktiky nejrůznějších reklamních agentur a direkt marketinkových firem. Zde nám ovšem hrozí jen to, že budeme zaplavováni nabídkami zboží, jehož prezentaci jsme si nevyžádali, eventuálně dopisy o zařazení do soutěže o pohádkové ceny, jejichž možná výhra je podmíněna objednáním firmou nabízených produktů v určité hodnotě. Od počátku 70. let začaly demokratické státy přijímat zvláštní zákony na ochranu osobních údajů. Tyto zákony vznikaly jako reakce na možnosti jednotlivce ovlivnit využívání osobních údajů o sobě samém. Jednotlivec je považován za subjekt osobních údajů, je tím, kdo je chráněn, a zvláštní zákon musí garantovat ochranu jeho osobních údajů, aniž by se této ochrany musel jednotlivec aktivně domáhat. Zvláštní právní úprava si pak 3 Mates P.: Ochrana osobních údajů, 1. vydání, Praha: Karolinum, 2002, 73 str. 11
klade za cíl zabránit zneužití osobních údajů a současně umožnit jejich zpřístupnění k legálním účelům. Při tvorbě zákonů na ochranu osobních údajů sehrála významnou roli Rada Evropy, která 28. ledna 1981 přijala ve Štrasburku první mezinárodní dokument tohoto zaměření Úmluvu č. 108 na ochranu osob se zřetelem na automatizované zpracování osobních dat (dále Úmluva 108 ), jejímž účelem je zaručit na území každé smluvní strany každé fyzické osobě, ať je jakékoli národnosti nebo pobývá kdekoli, úctu k jejím právům a základním svobodám, a zejména k jejímu právu na soukromý život, se zřetelem k automatizovanému zpracování osobních údajů, které se k ní vztahují ( ochrana údajů ). 4 Úmluva dále vymezila základní pojmy z této oblasti a stanovila zásady pro nakládání s osobními údaji. V dalších letech na ni navázala řada doporučení Výboru ministrů pro nakládání s osobními údaji v různých sférách života, v souvislosti s rozvojem internetu a rozšířením jeho užívání širokou veřejností mohu uvést např. Doporučení Výboru ministrů č. 99/5 o ochraně soukromí na internetu. V rámci Evropské unie lze za důležitý dokument v této oblasti považovat Směrnici Evropského parlamentu a rady č. 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů z 24. října 1995 (dále Směrnice 95/46/ES). Směrnice jako akty orgánů Společenství nemají obecnou závaznost, nemohou tedy přímo zavazovat vnitrostátní subjekty členských států (jednotlivé fyzické a právnické osoby), ale zavazují výhradně členské státy. Předepisují jen určitý výsledek, stav, kterého má být dosaženo, přičemž formy a metody dosažení tohoto cíle zůstávají na vůli a možnostech jednotlivých států. Směrnice zpravidla stanoví určité zásady, které mají členské státy následně vtělit do svých právních řádů jednoduše řečeno, členské státy (prakticky rovněž státy ucházející se o členství v Evropské unii) musí svou právní úpravu přizpůsobit komunitárnímu právu. 5 3.2 Právní úprava ochrany soukromí v České republice Od roku 1948 do tzv. sametové revoluce vládnoucí režim žádnou ochranu soukromí v podstatě nepřipouštěl. První zmínky o právu lidí na ochranu soukromí se objevují až na počátku 80. let, o samotné problematice ochrany osobních údajů se ale začalo mluvit až koncem uvedené dekády. Tento žalostný stav zřejmě působil jako jeden ze základních důvodů, proč zákonodárce výslovně zakotvil v čl. 10 Listiny nejen právo jedince na soukromí, ale rovněž právo na ochranu před neoprávněným 4 čl. 1 Úmluvy č. 108 na ochranu osob se zřetelem na automatizované zpracování osobních dat 5 Týč V.: Základy práva Evropské unie pro ekonomy, 3. vydání, Praha: Linde, 2002, 335 str. 12
shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Nedlouho po přijetí Listiny našlo právo na ochranu osobních údajů své vyjádření ve zvláštním zákoně inspirovaném Úmluvou 108, a sice v zákoně č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Kromě vymezení hlavních pojmů z dané oblasti zákon stanovil základní právní rámec nakládání s osobními údaji včetně stanovení povinností souvisejících s ochranou informací. To vše se ovšem týkalo pouze provozování informačních systémů nakládajících s osobními údaji (jinými slovy zákon stanovil povinnosti provozovatelů těchto systémů na jedné straně a práva subjektů údajů na ochranu v případě protiprávního nakládání s jejich osobními údaji na straně druhé). Na manuální zpracování se jeho úprava nevztahovala, v takovém případě nezbývalo, než zákon přiměřeně aplikovat. Za další nedostatek této normy můžeme považovat skutečnost, že zákon buď neupravil, nebo upravil pouze částečně řadu dalších souvisejících oblastí (např. dostatečnou ochranu osobních údajů vypovídajících o osobnosti a jejím soukromí, informační povinnost osoby shromažďující osobní údaje ve vztahu k subjektům těchto údajů, oznamovací povinnost subjektu nakládajícího s osobními údaji u kontrolního orgánu a další). V České republice, do jejíhož právního řádu byla tato norma po rozpadu federace převzata, sehrál zákon o ochraně osobních údajů v informačních systémech jen malou roli. Jeho text totiž kromě výše zmíněných nedostatků neobsahoval ani úpravu sankcí uplatnitelných vůči porušitelům stanovených povinností (v úvahu tak přicházela jen zdlouhavá ochrana soudní cestou), stejně tak nedošlo ke zřízení zvláštního orgánu, který by registroval informační systémy s osobními údaji a dohlížel na jejich provozování. Zákon sice ve svém 24 předpokládal ustavení takového orgánu, ovšem k vydání zvláštního předpisu, kterým měl být zřízen, nikdy nedošlo. Projekt na zřízení zmíněné instituce tzv. datové inspekce byl totiž v roce 1993 odmítnut jako nepřijatelný a v dalších letech se k němu již nikdo nevrátil. Neexistence dozorového orgánu byla také hlavním důvodem, proč zákon o ochraně osobních údajů v informačních systémech neodpovídal svým obsahem úpravě obsažené v Úmluvě 108 a Česká republika k ní tehdy nemohla přistoupit (stalo se tak až k 1. červnu 2002 po přijetí nové legislativy). Zlepšení nastíněné situace přinesla až snaha České republiky o vstup do Evropské unie, z jejíž strany byla kritizována zcela nedostatečná česká právní úprava ochrany osobních údajů. V rámci dosažení kompatibility českého právního řádu s komunitárním právem, což byla jedna z podmínek pro přijetí České republiky do Evropské unie, muselo dojít ke změně legislativy v této oblasti. Vláda vypracovala návrh zákona vycháze- 13
jící ze Směrnice Evropského parlamentu a Rady č. 95/46/ES, který byl schválen jako zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen zákon o ochraně osobních údajů ). Přijetím uvedeného zákona Česká republika především zdokonalila svůj postoj k základním právům a svobodám svých obyvatel. Snadnost zpracování osobních údajů, které zaměstnavatelé využívají v pracovněprávních vztazích, s sebou totiž přináší i nebezpečí jejich zneužití. Nový zákon garantuje ochranu před neoprávněným zasahováním do soukromí každého člověka. Zákonem o ochraně osobních údajů došlo k celkovému posílení práv jednotlivců jako subjektů údajů. Zákon totiž staví subjekt údajů do role oprávněné osoby. 6 Jednotlivé fyzické osoby se pak podle jeho úpravy aktivně podílejí na ochraně svých osobních údajů (jen na nich záleží, zda udělí, či neudělí souhlas se zpracováním o nich vypovídajících údajů, mají právo požadovat informace o údajích, které o nich určitý subjekt shromáždil atd.). Návrh tohoto zákona byl navíc koncipován tak, že dopadal jak na automatizované, tak na neautomatizované zpracování osobních údajů. Nikdo nepochybuje o tom, že celá řada osobních údajů je zpracovávána pro pracovněprávní účely. Schválený zákon o ochraně osobních údajů se tak stal předmětem zájmu personalistů, kteří se jeho ustanovení snaží více či méně úspěšně uvádět do praxe. V každodenní praxi se dosud vyskytuje mnoho nejasností a problémů, které je nutné řešit. Mnoho zaměstnavatelů bohužel stále nerespektuje Listinou garantovanou nedotknutelnost soukromí zaměstnance a upřednostňují vlastní zájem na co největší informovanost o svých zaměstnancích nad zákon. Cílem této práce je nastínit problematiku ochrany osobních údajů se zaměřením na osobní údaje v oblasti pracovněprávní, včetně rozebrání v praktickém životě často se vyskytujících problémů. Zákon o ochraně osobních údajů upravuje v souladu s právem Evropských společenství a mezinárodními smlouvami, kterými je Česká republika vázána (viz. 1 a 2 zákona o ochraně osobních údajů): ochranu osobních údajů o fyzických osobách, práva a povinnosti při jejich zpracování, podmínky, za nichž se uskutečňuje přenos osobních údajů do zahraničí a zřizuje Úřad pro ochranu osobních údajů, který vedle řady dalších činností provádí zejména dozor nad dodržováním povinností stano- 6 Maštalka J.: Nová právní úprava na ochranu osobních údajů, Asociace firem pro ochranu informací (AFOI): Bezpečnost informačních systémů a uživatelé (sborník příspěvků 10. semináře), Praha: AFOI, 2001, 64 str. 14
vených zákonem o ochraně osobních údajů při zpracování osobních údajů jednotlivými správci údajů. 7 Jak jsem již v úvodu uvedla, dalším zvláštním zákonem, garantujícím právo člověka na ochranu soukromí je zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů, ve znění pozdějších předpisů (dále jen zákon o evidenci obyvatel a rodných číslech ). Tímto zákonem byly navíc Úřadu svěřeny další kompetence, a sice v případech, kdy jde o neoprávněné nakládání s rodným číslem nebo o jeho neoprávněné využívání. Nejnověji došlo k rozšíření kompetencí Úřadu pro ochranu osobních údajů v souvislosti se zákonem č. 159/2006 Sb., o střetu zájmů, a sice s účinností od 1.1.2007. K tomuto datu nabyla účinnosti nová právní úprava podmínek týkajících se omezení některých činností veřejných funkcionářů a neslučitelnosti výkonu funkce veřejného funkcionáře s jinými funkcemi. Ustanovení 13 a 14 tohoto zákona upravuje podmínky pro vedení registru oznámení o činnostech, oznámení o majetku a oznámení o příjmech, darech a závazcích, které zabezpečují orgány tam uvedené a právo každého do registru nahlížet, a to i prostřednictvím Internetu. Fyzická osoba, která informace získané z registru dále zpracuje k jinému, než uvedenému účelu ( 23 písm. a) ), nebo poruší povinnost mlčenlivosti ( 23 písm. b) ), spáchá přestupek, jehož projednání spadá do kompetence Úřadu pro ochranu osobních údajů ( 25 odst. 2) zákona č. 159/2006 Sb.). Protiklad práva na ochranu soukromí a práva na informace, který jsem již v úvodu nastínila v ústavněprávní rovině, se samozřejmě promítá do celého právního řádu České republiky. Stejně jako právo na ochranu osobních údajů je i právo na informace upraveno velkým množstvím zákonů vztahujících se k určité specifické oblasti. Tato odvětvová úprava je pak doplněna průřezovou úpravou, kterou představuje zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Tento zákon je považován za obecnou normu zajišťující právo široké veřejnosti na informace, vymezuje podmínky práva svobodného přístupu k informacím a podmínky, které musí být splněny pro poskytnutí informací. Povinnými subjekty pak podle jeho 2 jsou státní orgány, orgány územní samosprávy a veřejné instituce hospodařící s veřejnými prostředky (např. vysoké školy), přičemž tyto subjekty poskytují informace vztahující se k jejich působnosti. Podle tohoto zákona jsou dále povinny poskytovat informace subjekty, kterým bylo zákonem svěřeno rozhodování o právech, právem chráněných zájmech nebo povinnostech fyzických nebo právnic- 7 d Ambrosová H.: Ochrana osobních údajů v personalistice od roku 2005, 1. vydání, Praha: Pragoeduca, 2005, 87 str. 15
kých osob v oblasti veřejné správy, vždy pak pouze v rozsahu jejich rozhodovací pravomoci. Do negativní působnosti zákona pak spadá poskytování osobních údajů a informací podle zvláštního právního předpisu, přičemž příkladem je uveden zákon o ochraně osobních údajů. Na tomto místě uvádím případ žaloby na přezkoumání rozhodnutí žalovaného, Úřadu pro ochranu osobních údajů, o odepření informace dle zákona o svobodném přístupu k informacím, kterým se zabýval Městský soud v Praze pod č.j. 33 Ca 51/2002. Uvedený judikát je příkladem rozporu mezi právem na informace a právem na ochranu soukromí, nikoliv však pouze v obecné rovině, ale navíc s řešením rozsahu kompetencí jednotlivých státních orgánů. Žalobce se domáhal soudního přezkoumání rozhodnutí Úřadu pro ochranu osobních údajů (dále Úřad ) ve smyslu ust. 16 odst. 6 zákona o svobodném přístupu k informacím. Jako publicista a novinář se v roce 2001 zabýval problematikou sčítání lidu, domů a bytů a za tím účelem požádal Úřad o poskytnutí informací podle uvedeného zákona (konkrétně se dožadoval textu správní žaloby týkající se přípustnosti zpracování některých osobních údajů při sčítání lidu, kterou proti rozhodnutí Úřadu podal Český statistický úřad). O výsledku soudního řízení Úřad informoval na tiskové konferenci. Žalobci na jeho žádost odpověděl žalovaný dopisem, č.j. 12133/01/625/KON, ve kterém mu sdělil, že žalobcem požadované informace se nevztahují k jeho působnosti a že jeho žádost dle 14 odst. 3 písm. b) zákona o svobodném přístupu k informacím odkládá. Proti tomuto rozhodnutí se žalobce 27.11.2001 odvolal, odvolání však žalovaný zamítl. Své rozhodnutí zdůvodnil žalovaný tak, že požadované informace se nevztahují k jeho působnosti s ohledem na 11 odst. 4 písm. b) zákona o svobodném přístupu k informacím, podle kterého povinné subjekty neposkytují informace o rozhodovací činnosti soudů. Žalobce se domníval, že obě rozhodnutí žalovaného jsou v rozporu se zákonem o svobodném přístupu k informacím. Podle názoru žalobce musí v souladu se zákonem o svobodném přístupu k informacím všechny povinné subjekty žadateli poskytnout veškeré požadované informace vztahující se k jejich působnosti s výjimkou těch, na které se vztahuje v zákoně uvedená výjimka. V tomto případě se dle názoru žalobce jednalo 16
o informace vztahující se k působnosti žalovaného (podaná a projednaná správní žaloba proti rozhodnutí žalovaného). Žalobce se dále domníval, že stačí, když informací je obsah předmětné žaloby, čímž je dána přímá souvislost mezi textem požadovaného dokumentu a činností žalovaného jako povinného subjektu. Dle ustanovení 11 odst. 4 písm. b) zákona o svobodném přístupu k informacím by tak podle žalobce měl být z povinnosti poskytnout informace vyloučen text rozhodnutí ve věci samé, nikoliv samotná žaloba, která neinformuje o rozhodovací činnosti soudu, ale o požadavku jednoho orgánu státní správy vůči druhému. Žalovaný ve svém vyjádření k žalobě zdůraznil, že žalobcem požadovaná informace se nevztahuje ve smyslu 2 odst. 1 zákona o svobodném přístupu k informacím k působnosti žalovaného. Žalovaný již v odůvodnění svého dřívějšího rozhodnutí uvedl, že mezi žalobou, kterou nepodal, a jeho působností není žádná přímá souvislost. Jde sice o správní žalobu, která napadá jeho rozhodnutí, ale její obsah a argumentace jsou věcí žalobce (s působností žalovaného by mohl být spojován maximálně soudem vydaný rozsudek ve věci). Dle názoru žalovaného je obsah žaloby dokumentem vztahujícím se k rozhodovací činnosti soudu, proto by neměl být v souladu s 11 odst. 4 zákona o svobodném přístupu k informacím poskytován. Jiným osobám by mohla být žaloba zpřístupněna pouze nahlédnutím do spisu, což upravuje 44 občanského soudního řádu. A i podle tohoto ustanovení se mohou s obsahem žaloby seznámit pouze účastníci řízení a jejich zástupci a dále osoby, jež na tom mají právní zájem, nebo je k tomu vedou vážné důvody (zde však rozhoduje o zpřístupnění spisu předseda senátu na žádost příslušné osoby). Podle názoru žalovaného by pak měl žalobce požadovat informace o žalobě od Českého statistického úřadu, který žalobu podal a který by mohl mít zájem o seznámení široké veřejnosti se svými argumenty. Soud dospěl k závěru, že žaloba není důvodná. Žalobce se domáhal, aby mu žalovaný ve smyslu zákona o svobodném přístupu k informacím poskytl správní žalobu, kterou vůči jeho rozhodnutí podal jiný správní orgán. Podle ustanovení 11 odst. 4 písm. b) zákona 17
o svobodném přístupu k informacím povinné osoby neposkytnou informace o rozhodovací činnosti soudů. K tomu soud odkázal na instrukci Ministerstva spravedlnosti ze dne 21.12.1999, č.j. M 1827/99, kterou se provádějí některá ustanovení zákona č. 106/99 o svobodném přístupu k informacím. Podle instrukce se informací rozumí sdělení údajů o skutečnostech, které se týkají zákonem stanovené působnosti povinného subjektu, jeho činnosti vyplývající z jeho působnosti a z jeho charakteristiky. Za rozhodovací činnost soudů v jiných než trestních věcech je pak dle instrukce třeba považovat nejen vlastní rozhodování soudů, ale také postup v řízení a úkony účastníků vůči soudu a jiným účastníkům řízení. Z uvedeného vyplývá, že žalobcem požadovaná informace se v souladu se zákonem o svobodném přístupu k informacím neposkytuje. Soud navíc dospěl k závěru, že Úřad pro ochranu osobních údajů žalovaný, není ve smyslu zákona o svobodném přístupu k informacím povinným subjektem. Tento zákon v 2 odst. 3 stanoví, že se jeho úprava nevztahuje na poskytování osobních údajů a informací podle zvláštního zákona, přičemž na tomto místě odkazuje přímo na zákon o ochraně osobních údajů, kterým byl zřízen žalovaný. Všechny tyto důvody vedly soud k zamítnutí žaloby. 18
4 OSOBNÍ ÚDAJE 4.1 Pojem osobní údaj Jak jsem již výše uvedla, v souvislosti se vstupem České republiky do Evropské unie bylo nutné harmonizovat české právní normy s komunitárním právem. Na počátku roku 2004 byl v Parlamentu České republiky dokončen legislativní proces novelizace zákona o ochraně osobních údajů. Uvedená novela, kterou můžeme rovněž nazvat euronovelou, zcela harmonizovala zákon o ochraně osobních údajů se základními evropskými směrnicemi. Vzhledem k blížícímu se členství České republiky v Evropské unii bylo nutné sjednotit obecné podmínky ochrany soukromí v souvislosti se zpracováním osobních údajů v českém právním řádu s podmínkami, které vyplývají z mezinárodních závazků České republiky v této oblasti, a které jsou vyjádřeny především ve směrnici Evropského parlamentu a Rady 95/46/ES a v Úmluvě 108. I když se vzhledem ke složitosti legislativního procesu nepodařilo dodržet předpokládaný termín účinnosti novely, kterým mělo být datum vstupu České republiky do Evropské unie, přijatá novela vstoupila v účinnost natolik včas (26.7.2004), aby se zákon o ochraně osobních údajů nestal terčem kritiky ze strany Evropské unie. Základní pojmy zákona, jako je pojem osobní údaj nebo pojem zpracování, byly novelou dotčeny v minimálním rozsahu. 8 Jako osobní údaj zákon o ochraně osobních údajů vymezuje jakýkoliv údaj týkající se určeného nebo určitelného subjektu. 9 Z definice pojmu byla novelou odstraněna část obsahující negativní vymezení pojmu osobní údaj, definice byla naopak doplněna o kritéria určenosti a určitelnosti subjektu údajů. Zákonná definice se však bohužel vůbec nezabývá obsahem pojmu údaj. Údajem se rozumí informace vyznačující se tím, že vyjadřuje a pojmenovává nějakou charakteristiku určité entity a současně vyjadřuje hodnotu takové charakteristiky. Vysvětlení samotného pojmu údaj tedy nenalezneme přímo v zákoně, ale pro takovouto bližší specifikaci bychom museli sáhnout po encyklopedii. 10 Z citovaného ustanovení zákona pouze vyplývá, že osobní údaj vyjadřuje vztah mezi reálnou fyzickou osobou a hodnotou údaje. Tato vazba vzniká na základě jednoho, ale zpravidla více údajů, jimiž lze danou osobu odlišit od jiných. Pod osobním údajem si tedy můžeme představit každý údaj uve- 8 Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2004, www.uoou.cz 9 4 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů 10 Matoušková M., Hejlík L.: Osobní údaje a jejich ochrana, 1. vydání, Praha: ASPI Publishing, 2003, 416 str. 19
dený do vztahu k nějaké fyzické osobě. O fyzické osobě, k níž byl údaj vztažen, potom hovoříme jako o subjektu údaje, eventuálně údajů. Určitelnost, tedy stav, kdy lze osobu na základě údajů identifikovat, spadá do kategorie objektivní (záleží na tom, jaké údaje máme k dispozici). O určenost subjektu jde v situaci, kdy na základě údajů, jež máme k dispozici, a s přihlédnutím ke konkrétním okolnostem, můžeme subjekt jednoznačně určit (jednoznačného určení subjektu lze dosáhnout, máme-li současně k dispozici jméno, příjmení a rodné číslo nebo datum narození). O osobní údaj se nejedná, pokud bychom ke zjištění identity určité osoby potřebovali nepřiměřené množství času, úsilí či materiálních prostředků. Z působnosti zákona je tedy vyloučen např. otisk prstu, pokud jej nelze ztotožnit s údaji obsaženými v dostupné evidenci nebo pokud je nám tato evidence nepřístupná. 11 4.2 Druhy osobních údajů 4.2.1 Identifikační údaje Jako identifikační se označuje osobní údaj, který lze využít k určení totožnosti subjektu pouze za použití dalších údajů, které ovšem rovněž plní identifikační funkci. Důvodem vzniku a rozvoje ochrany osobních údajů však jsou všechny osobní údaje kromě identifikačních. k narušení soukromí, kterému se společnost snaží předcházet, totiž může dojít až při použití dalších údajů (údajů kontaktních a popisných, o kterých bude řeč dále), k nimž slouží údaje identifikační pouze jako klíč. Mezi základní identifikační údaje přidělené v zásadě volním aktem spadají jméno a příjmení. Jejich používání je právem každého občana, ale současně i jeho povinností před orgány veřejné moci. Konkrétní jméno a příjmení jsou osobními údaji pouze v případě, že existuje vazba mezi nimi a reálnou fyzickou osobou. Mezi údaje, které nebyly získané volním aktem, ale které byly zjištěny a jako jednou zjištěné byly předepsaným způsobem úředně zaznamenány, můžeme zařadit datum a místo narození a dále identifikační čísla (rodné číslo, daňové identifikační číslo a další). Bezesporu nejdiskutovanějším osobním údajem z této kategorie jsou rodná čísla, jejichž používání upravuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle názoru pracovníků Úřadu pro ochranu osobních údajů si obyvatelé České republiky, zejména starší generace, nedokáží chránit své soukromí. Jako nešťastný postup označoval RNDr. Karel Neu- 11 Maštalka J.: Nová právní úprava na ochranu osobních údajů, Asociace firem pro ochranu informací (AFOI): Bezpečnost informačních systémů a uživatelé (sborník příspěvků 10. semináře), Praha: AFOI, 2001, 64 str. 20