Adresát: Nejvyšší státní zastupitelství České Republiky Značka: SL11 OZNÁMENÍ O ZJIŠTĚNÍ SKUTEČNOSTÍ, KTERÉ NASVĚDČUJÍ O PŘÍPRAVĚ TRESTNÉHO ČINU dle 180 (neprávněné nakládání s sbními údaji) trestníh zákníku v suladu s 367 trestníh zákníku Pdezřelý: Český statistický úřad rganizační slžka státu, 10082 Praha 10 Strašnice (Praha 10), Na padesátém 3268/81, IČ 00025593 (dále jen ČSÚ), případně jeh neznámý dpvědný pracvník. Stručný ppis skutkvé pdstaty: Pdezření se týká přípravy neprávněnéh nakládání s sbními údaji dle 180 trestníh zákníku, které spatřuji v tm, že při Sčítání lidu, dmů a bytů 2011 1 (dále jen Sčítání lidu) ČSÚ plánuje neprvést annymizaci dat a tedy plánuje s sbními údaji dále neprávněně nakládat zejména je uchvávat. Jedná se přitm sbní údaje cca 10 milinů lidí v ČR včetně citlivých sbních údajů (např. nárdnst neb nábženství), tedy případný trestní čin by byl velkéh rzsahu. Pdrbný ppis a zdůvdnění: 1) Annymizaci dat předepisuje zákn sčítání lidu (296/2009 Sb. v 22, dst. 4). Nestanví přesný pstup annymizace vlbu způsbu pnechává na tm, kd má pvinnst annymizaci prvést tedy na ČSÚ. Přest ale prvedení annymizace vyžaduje. Tut pvinnst v becné rvině stanvuje i zákn 101/2000 Sb. ( chraně sbních údajů) v 5, dst. 4. 2) Annymizace jak pjem není přím definvaný a jeh gramatickým výkladem 2 djdeme k tmu, že se jedná prces, který ze subrů (zejména sbních) údajů udělá subr annymních údajů. 3) Annymní údaj je již pjem definvaný v 2 zákna č. 89/1995 Sb. ( státní statistické službě) a bdbně i pdle zákna na chranu sbních údajů (v 4 zákna 101/2000 Sb.): Citace 2 zákna č. 89/1995 Sb.: a) individuálním údajem údaj týkající se jedntlivé právnické neb fyzické sby, získaný pr statistické účely pdle tht zákna, 1 dle zákna 296/2009 Sb. 2 tent výklad je pdpřen i článkem vydaný Úřadem na chranu sbních úřadů, který uvádím v dplňujících infrmacích pd bdem 1) 1
c) annymním údajem takvý individuální údaj, který buď v půvdním tvaru neb ani p prvedeném zpracvání neumžňuje přímu, ppřípadě nepřímu identifikaci jedntlivé právnické neb fyzické sby, d) přímu identifikací identifikace jedntlivé právnické neb fyzické sby na základě jakéhkliv identifikátru, který lze pužít bez nutnsti vynalžit ke zjištění identity dané sby nepřiměřenéh času a úsilí, e) nepřímu identifikací mžnst dvdit ttžnst jedntlivé právnické neb fyzické sby jiným způsbem než způsbem uvedeným v písmenu d), Citace 4 zákna 101/2000 Sb.: a) sbním údajem jakákliv infrmace týkající se určenéh neb určitelnéh subjektu údajů. Subjekt údajů se pvažuje za určený neb určitelný, jestliže lze subjekt údajů přím či nepřím identifikvat zejména na základě čísla, kódu neb jednh či více prvků, specifických pr jeh fyzicku, fyzilgicku, psychicku, eknmicku, kulturní neb sciální identitu, c) annymním údajem takvý údaj, který buď v půvdním tvaru neb p prvedeném zpracvání nelze vztáhnut k určenému neb určitelnému subjektu údajů, d) subjektem údajů fyzická sba, k níž se sbní údaje vztahují, Obě definice, ač jsu frmulvány dlišně, se shdují na tm, že pdstatnu vlastnstí annymních údajů je, že nesmí být mžn žádným způsbem identifikvat sbu 3, které se údaj týká. Naknec tt CSÚ uvádí na svém webu 4 (cituji...ale nikd už nikdy nezjistí, jak se jmenuje, ani jaké má rdné čísl ). Zástupci ČSÚ t uvádí i v médiích. 4) ČSÚ, resp. jeh dpvědní pracvníci, se chystají prvést annymizaci způsbem, kdy dstraní z údajů sčítacíh dtazníků puze jmén, příjmení, rdné čísl, den a měsíc narzení. Dlžit t lze např. těmit prhlášeními dpvědných pracvníků ČSÚ. Vyjádření Stanislava Drápala, místpředsedy ČSÚ, ve věci annymizace dat ze Sčítání lidu 5 : Jan Vbřil 9.3. 23:57: Dbrý den, můžete mi říci, jaké údaje budu dstraněny z elektrnických frmulářů při jejich annymizaci? Stanislav Drápal 14:07: Dbrý den, při annymizaci budu dstraněny údaje jménu a příjmení, datu narzení a rdné čísl. Papírvé frmuláře musí být pdle zákna skartvány nejpzději d tří let d rzhdnéh kamžiku (půlnc z 25. na 26. března). Veškeré údaje zůstanu puze v elektrnické pdbě a ve stejném termínu musí být předány nárdnímu archivu. Ppis annymizace dat za webu ČSÚ 6 : Jakmile budu papírvé frmuláře naskenvány, djde před samtným zpracváním k jejich annymizaci. T v praxi znamená, že budu z databází dstraněna všechna jména a rdná čísla. 3 tent výklad je pdpřen i článkem vydaný Úřadem na chranu sbních úřadů, který uvádím v dplňujících infrmacích pd bdem 1) 4 zdrj: http://www.czs.cz/sldb2011/redakce.nsf/i/scitani_lidu_bezpecnst_na_vsech_frntach 5 zdrj: http://eknm.ihned.cz/c1-51022320-ptejte-se-na-scitani-lidu-2011 6 zdrj: http://www.czs.cz/sldb2011/redakce.nsf/i/scitani_lidu_bezpecnst_na_vsech_frntach 2
Odpvěď Barbry Serbusvé, pracvnice ČSÚ na dtaz, jakým způsbem prbíhá annymizace dat při sčítání lidu 2011: Dle 22 zákna č. 296/2009 Sb., sčítání lidu, dmů a bytů, budu sčítací frmuláře p uknčení zpracvání výsledků sčítání zařazeny d skartačníh řízení. Skartace sčítacích frmulářů prběhle dle zákna d 3 let d rzhdnéh kamžiku. Český statistický úřad však přepkládá, že frmuláře budu skartvány dříve v návaznsti na pstup zpracvání výsledků. Sčítací frmuláře budu převedeny d elektrnické pdby (metdu ptickéh snímání), a tyt frmuláře splu s elektrnickými frmuláři vyplněnými pvinnými sbami budu ve stanveném kamžiku zpracvání dat annymizvány. Neannymizvaná data jsu nutná pr vylučení duplicit v datvém subru a pr knstrukci dmácnstí. Prces annymizace dat spčívá v dstranění jména a příjmení sby, dále rdnéh čísla a měsíce a dne narzení (z data narzení bude vypčítán věk v dknčených letech). Stejné infrmace pdávají pršklení perátři i na ficiální inflince Sčítání lidu. 5) V datech tak zbude mim jiné přesná adresa až na úrveň bytu, věk sby v celých letech, phlaví. 6) Pdle adresy, věku a phlaví není prblém v mnha případech identifikvat přím knkrétní sbu. V jednm bytě se mál kdy nachází více sb se stejným věkem v celých letech a phlavím. Existuje i velké mnžství bytů či dmů, kde bydlí puze jedna sba. Infrmace bydlišti (ať trvalém neb faktickém stejně se ve většině případů shdují) jsu u celé řady sb veřejně dstupné 7. Připuštím, že v některých případech identifikvat sbu nelze. Annymizvat je ale třeba každý údaj, takže je irelevantní, u klika dtazníků lze identifikvat sbu a u klika nikli. P annymizaci nesmí existvat ani jeden jediný dtazník, u kteréh by byl mžné sbu identifikvat. T zjevně splněn není. 7) Z uvedených infrmací vyplývá, že uvedený pstup dstranění uvedených údajů nesplňuje kritéria annymizace a nelze jej za annymizaci pvažvat. Dplňující infrmace: 1) Článek 8 Úřadu na chranu sbních údajů (dále jen ÚOOÚ) k pjmu sbní údaj z rku 2001 (aktualizván v květnu 2010), který vysvětluje mim jiné pjem annymizace. Důležité části jsu vyznačeny tučně.: K pjmu sbní údaj Zákn č.101/2000 Sb., chraně sbních údajů a změně některých záknů, ve znění pzdějších předpisů, definuje v 4 písmen a) pjem sbní údaj takt: Osbním údajem (se rzumí) jakákliv infrmace týkající se určenéh neb určitelnéh subjektu údajů. Subjekt údajů se pvažuje za určený neb určitelný, jestliže lze subjekt údajů přím či nepřím identifikvat zejména na základě čísla, kódu neb jednh či více prvků, specifických pr jeh fyzicku, fyzilgicku, psychicku, eknmicku, kulturní neb sciální identitu. 7 telefnní seznam, katastr nemvitstí, živnstenský rejstřík apd. 8 zdrj: http://www.uu.cz/uu.aspx?menu=14&lc=365 3
Úřad pr chranu sbních údajů (dále jen Úřad ) pvažuje za důležité úvdem upzrnit na t, že nelze zaměňvat pjem sbní údaj a pjem prjev sbní pvahy, jak je upraven v 11 a dalších bčanskéh zákníku. Jde dva samstatné právní instituty, přičemž však prjev sbní pvahy může za určité situace bsahvat sbní údaj (např. pdbizna, písemnst sbní pvahy neb zvukvý prjev) a za takvé situace dchází k jejich překrývání. Pdle výše uvedené definice tedy v případě, pkud fyzická sba může být ze shrmážděných údajů neb na jejich základě jiným způsbem přím neb nepřím identifikvána, pak tyt údaje jsu údaji sbními. Znakem sbníh údaje tedy je, že vypvídá subjektu údajů, který nelze zaměnit s jiným subjektem údajů. Definice sbníh údaje je velmi širká, cž statně vyplývá z rzmanitsti zpracvávání sbních údajů v praktickém živtě. Na definici sbních údajů však není mžné phlížet izlvaně, bez znalsti dalších klnstí zpracvání sbních údajů. Jak je patrné, základním kritériem pr psuzení th, zda se jedná sbní údaj či nikliv, je klnst mžné zjištění identity subjektu údajů (určenst neb určitelnst). Je tedy nutn vycházet ze skutečnsti, zda správce či jiná sba může vytvřit přímu vazbu mezi údajem a fyzicku sbu. Tent vztah se vytváří převážně pmcí přesnéh identifikátru a/neb pmcí něklika jiných údajů, které jednznačnu identifikaci fyzické sby tvří (přímá identifikace). Při psuzvání mžnsti fyzicku sbu identifikvat je však nutn vycházet ze všech mžnstí dlišit d sebe jedntlivé fyzické sby. Tedy nikliv puze mezeným phledem např. na bsah zpracvávaných dat v knkrétním zpracvání (např. bsah databáze), ale také zjištěním dalších mžnstí subjekt údajů identifikvat. Jedná-li se např. správce, který má v držení subr identifikující subjekty údajů, nemůže být žádný jiný subr, umžňující prpjení na subr s identifikátry subjektů údajů, pvažván za annymní, a t ani v případech, když by zpracvávaný subr přímu identifikaci subjektu údajů nebsahval. Obdbně však tt platí i mžnsti správce získat identifikátr ze subrů, které nejsu v jeh držení např. z veřejných registrů, d zpracvatele, s nímž má uzavřenu smluvu apd. V těcht případech se, v suladu s definicí, jedná nepřímu mžnst zjistit identifikaci subjektu údajů (nepřímá identifikace). Není rzhdující, zda tét mžnsti správce má v úmyslu využít či nikliv. Rvněž není rzhdující, že správce nesmí sdružvat sbní údaje shrmážděné pr rzdílné účely. Příklad: Jedná-li se správce, který prvádí zpracvání sbních údajů pr účely zdravtníh pjištění, je zřejmé, že pr splnění tht účelu má v držení subr údajů zdravtních pjištěncích s jejich úplnu a jednznačnu identifikací. Pkud by tent správce zpracvával další subr údajů a tent jiný subr by kterýmkli znakem (údajem neb údaji) umžnil prpjení na subr zdravtních pjištěnců a umžnil tak identifikvat subjekt údajů v tmt dalším subru, pak se i v tmt případě jedná zpracvání sbních údajů. Pr správce, kteří uchvávají subry určených neb určitelných (identifikvaných či identifikvatelných) fyzických sb, bude z těcht důvdů vždy pměrně btížné vytvřit z takvých subrů sbních údajů jiné subry s údaji annymizvanými. Annymizace je jedním ze způsbů chrany sbních údajů. Pkud jsu pr určitá zpracvání dstraněny údaje, jimiž jsu neb mhu být subjekty údajů identifikvány, pak tat annymizace musí být prvedena způsbem, který zcela znemžní jakukliv zpětnu identifikaci subjektů údajů. Tt platí i pr předávání údajů jiným 4
subjektům. Pkud by subr údajů byl jedním správcem předán jak annymní jinému správci, pak nvý správce by musel pět splňvat pžadavek, že nemá mžnst k získaným údajům přiřadit další sbní údaje, pmcí nichž by byl mžné subjekty údajů identifikvat. Obdbně se tyt pžadavky vztahují také na zpracvatele. Příklad: Pkud by zdravtnické zařízení zpracvával annymizvané subry subjektů údajů (pacientů), ale zárveň by měl přístup k nárdnímu zdravtnímu registru, z něhž by byl mžn získat identifikaci těcht sb (a jednznačně ji k nim přiřadit), pak by se nejednal zpracvání sbních údajů annymních. Příklad: Pkud by statistický úřad zveřejnil annymní údaje, ale kterýkliv příjemce by měl mžnst přiřadit k nim další infrmace (např. gegrafické) a tím umžnit jednznačné rzlišení bčanů či rdin, pak by se nejednal zveřejnění annymních údajů. Z výše uvedenéh vyplývá, že subjekt údajů nemusí být identifikván puze jménem, příjmením a adresu (přímá identifikace). Jakákliv jiná kmbinace sbních údajů, která umžní dlišit d sebe jedntlivé fyzické sby (subjekty údajů), musí být pvažvána za identifikaci subjektu údajů (nepřímá identifikace). Je však nutn vždy psudit minimální kmbinaci sbních údajů, která již identifikaci umžní. Nicméně např. kmbinace sbních údajů jmén, příjmení, adresa a datum narzení téměř vždy jednznačně subjekt údajů identifikují. Ve většině případů zpracvání sbních údajů je však znalst jména, příjmení a adresy dstatečným předpkladem pr určenst neb určitelnst subjektu údajů. Příklad: V některých případech nemusí pstačvat k rzlišení subjektů údajů puze jmén, příjmení a adresa (např. více generací jedné rdiny a téhž jména a příjmení bydlících na stejné adrese). Pkud správce takvu mžnst vzhledem k účelu zpracvání (např. dručvání zásilek) předpkládá, pak je mžn k těmt sbním údajům přiřadit další údaje (např. datum narzení), který jednznačné rzlišení umžní. Pkud by však buď z rzsahu subru, neb z účelu zpracvání mžnst jednznačnéh rzlišení subjektů údajů nevyplývala, nelze dplňující údaj (datum narzení) pvažvat za sučást nezbytných údajů pr identifikaci. Takvý údaj by napak mhl být psuzván jak nadbytečný pr splnění stanvenéh účelu. Ve smyslu definice je tedy určitelnst stav, kdy na základě sbních údajů, které má správce k dispzici, neb z sbních údajů, k nimž má přístup, lze fyzicku sbu jednznačně dlišit d jiných fyzických sb. Určenst je ptm stav, kdy správce má k dispzici přímé identifikační údaje (např. jmén, příjmení a adresu) subjektu údajů. Je nutn upzrnit také na skutečnst, že sbní údaj se nemusí vždy vztahvat puze k jedné fyzické sbě. V praktickém živtě jsu situace, kdy se nějaký údaj vztahuje k více sbám neb ke skupině sb např. splumajitelé nemvitsti, majitelé splečnéh bankvníh účtu. Jsu-li však jedntlivé sby dále rzlišeny, pak se i v tmt případě jedná sbní údaj. Při zpracvání údajů právnických sbách se nepstupuje pdle zákna chraně sbních údajů, údaje právnické sbě jsu chráněny pdle příslušných ustanvení bchdníh zákníku (např. bchdní jmén-firma, bchdní tajemství), ppřípadě bčanskéh zákníku ( 18 a suvisející becná právní úprava právnických sb). 5
2) Nejedná se prblém puze annymizace frmulářů knkrétních sb, ale i tzv. bytvé frmuláře, kde jsu identifikváni členvé dmácnsti (přesnu adresu a datem narzení), přičemž tent frmulář bsahuje další údaje (např. jejich příbuzenské vztahy), které se týkají tét skupiny sb (sbní údaj se může vztahvat ke skupině sb viz předpslední dstavec výše uvedenéh článku ÚOOÚ). 3) ČSÚ byl na ppsaný prblém upzrňván prstřednictvím e-mailu, ficiální telefnní inflinky, webvé diskuse na Facebku, kteru mderuje ČSÚ, ale jakukli změnu pstupu dmítá neb připmínku ignruje. 4) Neprvedení annymizace je závažné narušení bezpečnsti statistické akce Sčítání lidu. Uchváním dat, ze kterých lze i v buducnsti přiřadit sbní údaje k jedntlivých sbám v mnha případech s velku pravděpdbnstí, vzniká velké rizik zneužití takvýcht dat. A t nejen v sučasné dbě za sučasnéh právníh systému a platné legislativy, ale i kdykli v buducnsti (d úmrtí všech sčítaných lidí). 5) ČSÚ infrmuje v rzpru se svým záměrem bčany tm, že údaje budu annymizvány tak, že nebude mžné přiřadit údaje ke knkrétní sbě. Např. na webu 9 ČSÚ se píše: Z výsledků sčítání tak puze zjistíte, že např. v Bruntále v Jiráskvě ulici žije žena, které je 35 let, má dvě děti, každý den djíždí d práce vlakem d Opavy, vystudvala vysku šklu a nardila se v Ostravě, ale nikd už nikdy nezjistí, jak se jmenuje, ani jaké má rdné čísl. V případě prvedení pstupu, který ČSÚ pvažuje za annymizaci, je tt tvrzení nepravdivé a zavádějící. Slv puze vyvlává djem, že nic jinéh, než je uveden se ze výsledků sčítání nikd nedzví. Přitm p prvedení pstupu djde k zachvání čísla dmu, značení bytu a spusty dalších údajů. Jmén sby lze v mnha případech zjistit pmcí veřejně dstupných infrmací 10, v některých případech není prblém zjistit ani rdné čísl 11 (pstup již byl ppisván výše). Existují i neveřejné rejstříky evidence byvatel. Pdstatná je mžnst spárvání údajů z dtazníků s knkrétní sbu a tedy i se všemi dalšími dstupnými infrmacemi dané sbě, cž se neslučuje s annymizací. 6) Vyjádření ČSÚ k některým tázkám, z nichž jedna se týká annymizace dat. Vážený pane..., pkud jde prces annymizace dat, becně platí:... Pkud jde annymizvané údaje jedntlivých sbách a jejich vazbu na adresu, tady byste mhl mít částečně pravdu, z těcht dat by se mhla dát v určitých případech (rdinné dmy) identifikvat sba. Tyt údaje však jednak nejsu nikmu pskytvány (t je i dpvěď na jednu z Vašich tázek, přístup k neagregvaným údajům mají jen pracvníci našeh úřadu) a jednak v databázích jsu tyt adresy ulženy dděleně d vlastních dat za sby.... 9 http://www.scitani.cz/cz/media/scitani_lidu_bezpecnst_na_vsech_frntach.html 10 např. telefnní seznam, katastr nemvitstí, živnstenský rejstřík 11 např. pmcí živnstenskéh rejstříku 6
Jsef Škrabal Ředitel dbru statistiky byvatelstva Zde jsu tedy nastíněny dva důvdy, prč ČSÚ pvažuje tent stav za vyhvující. 1. Údaje nejsu nikmu pskytvány. T je důvd zjevně irelevantní, prtže zákn pžaduje prvedení annymizace a zničení půvdních dat. Tedy nestanvuje, že by data v neannymizvané pdbě mhl ČSÚ dále držet, pkud je nebude nikmu pskytvat. 2. Oddělené databáze. Zaprvé zde ČSÚ nedeklaruje, že tyt databáze neprpjuje např. při vytváření statistických analýz (pkud by tak nečinil, lze pchybvat užitečnsti takvých dat), ani neuvádí knkrétní způsb ddělení. Zadruhé i tak je t irelevantní viz první tučně vyznačená část zmiňvanéh článku ÚOOÚ 12, pdle které je třeba psuzvat annymnst pdle všech dat, která má daný subjekt k dispzici (ať je vlastní neb se např. jedná veřejně dstupné infrmace) a t bez hledu na t, zda má v úmyslu prpjvání či nikli. Tedy držení v ddělených datvých subrech nemá na psuzvání vliv ani v případě, že prpjvání datvých subrů nemá v úmyslu. Vyhtven dne 14. 3. 2011 12 viz bd 1 dplňujících infrmací 7