Zpracovní osobních údajů při vstupu do budov

Dotaz:

1) Jsou údaje opsané z OP tedy jméno, příjmení a číslo OP jako celek osobními údaji?

2) Při vstupech do mnohých administrativních budov jsem často vyzván ke kontrole totožnosti dle OP, což vždy umožním. Ovšem zapsání mého jména, čísla OP či dalších údajů z OP se bráním. Téměř žádná z bezpečnostních služeb operujících ve vstupech budov neví nic o dalším nakládání (natož o skartaci) se zapsanými údaji návštěvníků.

3) Prosím o radu k postupu při jednání s pracovníky bezpečnostních služeb v recepcích budov.

Váš dotaz je velmi zajímavý a pokusím se na něho dopovědět strukturovaně. Dopředu upozorňuji, že se nacházíme v prostoru ochrany osobních údajů, jež je regulován zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen ZOOÚ“).

1.

Pojem osobní údaj je definován v § 4 písm. a) ZOOÚ. Podle tohoto ustanovení je osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Pokud převedeme uvedenou definici do méně právnického vyjádření, pak osobním údajem je vlastně cokoli (jakákoliv informace), která se vztahuje ke konkrétnímu člověku (pokud víme, nebo můžeme nějak zjistit, o koho se jedná).

Osobním údajem jsou jednak údaje, které osobu přímo identifikují, jako je rodné číslo, jméno a příjmení, otisky prstů, ale nejen to: osobním údajem jsou i údaje o tom, že si někdo koupil televizi a kolik za ní zaplatil, jaké má číslo bot, kdy a za jakých okolností se seznámil se svojí přítelkyní atd. Osobní údaje tedy jsou nejen údaje identifikační, které identifikují osobu, ale jakékoli údaje, které se k identifikované osobě vztahují. Ve Vašem případě osobními údaji jsou jednak Vaše jméno, příjmení, číslo OP, ale i údaj o tom, kdy jste navštívil uvedenou budovu (čas a datum uvedené v návštěvní knize).

2.

Situace, kterou popisujete, jenom dokládá, že většina správců osobních údajů nemá vůbec potuchy o tom, že jsou správci osobních údajů, že existuje nějaký zákon o ochraně osobních údajů a že by se měli chovat určitým způsobem. Pro úplnost popíši, jak by to asi mělo (dle litery zákona) vypadat.

Předpokládejme, že správce osobních údajů (ona instituce, na jejíž podnět jste podrobován uvedené kontrole) má nějaký oprávněný důvod, proč po Vás tyto údaje vyžaduje. Mne napadá pouze jediný, a to je v podstatě ochrana majetku. Za tímto účelem je možné zpracovávat osobní údaje i bez souhlasu subjektu údajů (Vás) – výjimka je uvedená v § 5 odst. 2 písm e) ZOOÚ. Ve skutečnosti se ovšem zpracovávají osobní údaje s Vaším konkludentním (tichým) souhlasem, protože kdybyste nesouhlasil s poskytnutím osobních údajů, tak je nesdělíte. Pak se ovšem nedostanete, kam potřebujete.

Jelikož se jedná o zpracování osobních údajů dle § 5 odst. 2 písm e) ZOOÚ – tedy takové, které je nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby, má správce osobních údajů další povinnosti, které jsou uvedené v § 11 ZOOÚ.

Podle § 11 odst. 2 ZOOÚ by Vás měli poučit, zda je poskytnutí osobního údaje dobrovolné či povinné. Toho se výslovně asi nedočkáte, ale na druhou stranu v podstatě víte, že poskytnutí osobních údajů je povinné, protože, když je nesdělíte, tak Vás nepustí do budovy.

Dále by Vás měl správce bez zbytečného odkladu informovat podle § 11 odst. 5 ZOOÚ o zpracování Vašich osobních údajů. Zákon blíže neupřesňuje, jak by mělo toto informování vypadat. Půjde tedy vlastně o to, abyste věděl, že se o Vás zpracovávají určité osobní údaje a za jakým účelem. Měli by Vám tedy nějak zřetelně oznámit (pokud to nevyplývá ze situace samé), že zpracovávají Vaše osobní údaje za účelem evidence návštěvníků v budově kvůli ochraně svého majetku (případně něco podobného).

Jen na okraj upozorňuji, že správce má zpracovávat osobní údaje pouze v takovém rozsahu, který je nezbytný pro naplnění účelu (§ 5 odst. 1 písm. d) ZOOÚ), což znamená, že pro ochranu majetku jim plně postačí Vaše jméno a příjmení, případně adresa, nebo číslo OP. Tyto údaje totiž slouží pouze pro to, kdyby se něco ztratilo, aby na Vás byl kontakt, který se předá policii. Naprosto nad rámec účelu by bylo opisovat si z OP rodné číslo.

Dále upozorňuji na povinnost uchovávat osobní údaje pouze po dobu, které je nezbytná k naplnění účelu jejich zpracování (§ 5 odst. 1 písm. e) ZOOÚ). Jestliže jde tedy o určitou prevenci proti krádežím, pak by se uvedené osobní údaje neměly skladovat desetiletí. Záleží na konkrétní situaci, v obecné rovině mě připadá dostatečně dlouhá doba pro uchovávání těchto informací cca. 14 dní – měsíc. Po této době by se měly uvedené údaje skartovat, neboť pominul účel jejich zpracování.

Správce má dále oznamovací povinnost dle § 18 odst. 2 ZOOÚ, která by Vás mohla zajímat asi nejvíc, a která se v ČR téměř vůbec neplní. Podle uvedeného ustanovení je správce povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou.

Pokud by správce tuto povinnost plnil, tak byste se mohl někde na webu správce dozvědět vše, co chcete vědět – tedy i za jak dlouho budou Vaše osobní údaje skartovány (to je ona doba uchovávání).

3.

Je jasné, že pracovníci bezpečnostních služeb v budovách plní pouze příkazy a zpravidla vůbec nic neví o tom, že by Vás měli nějak poučovat. Domnívám se, že od nich se nic nedozvíte. Mohl byste však zjistit, pro koho pracují a kdo si vymyslel to, že se budou osobní údaje návštěvníků evidovat – to je v dikci zákona správce osobních údajů (§ 4 písm. j) ZOOU). Vůči správci pak máte šanci uplatnit svá práva. Jednak máte právo na přístup k informacím – kdy by Vám měl správce bez zbytečného odkladu předat informace, ve kterých by mělo být sdělení o:

a) účelu zpracování osobních údajů,

b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,

c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,

d) příjemci, případně kategoriích příjemců.

Dále máte další práva dle § 21 ZOOÚ, a to požádat správce nebo zpracovatele (což bude ona bezpečnostní agentura, která pracuje pro správce) o vysvětlení, jestliže se domníváte, že se Vaše osobní údaje zpracovávají v rozporu se zákonem.

Rovněž můžete požádat o odstranění závadného stavu. Pro zjednodušení můžete použít vzorů žádostí, které naleznete na těchto stránkách.

Potom záleží na správci případně zpracovateli, zda Vám vyhoví nebo ne. Pokud tomu tak nebude, pak je nejjednodužší cesta obrátit se na Úřad pro ochranu osobních údajů, který by měl uvedenou situaci prošetřit. Na Úřad pro ochranu osobních údajů se můžete obrátit i přímo, bez toho aniž byste kontaktoval správce nebo zpracovatele. Úřad pro ochranu osobních údajů má dostatečné nástroje na to (zejména pokuty), aby správce případně zpracovatele přiměl k tomu, aby Vaše osobní údaje zpracovával v souladu se zákonem. Jestli to však úřad udělá či nikoli, to je již jiná otázka.

Pokud by Vám vznikla nějaká majetková nebo nemajetková újma, tak se můžete domáhat její náhrady na soudě. Jde vlastně o specifickou verzi žaloby na ochranu osobnosti.