Ochrana osobních údajů

Ochrana osobních údajů, někdy se lze setkat s výrazem ochrana osobních dat, představuje v právním smylu určitý soubor práv a povinností, které se vztahují ke zpracování informací (údajů, dat) o fyzických osobách.

Osobní údaje (osobní data) jsou jakékoli informace, které se vztahují ke konkrétní fyzické osobě. Nemusí jít vždy o údaje identifikační (jméno, příjmení, rodné číslo, fotografie, otisky prstů), ale i o jiné údaje, které souvisejí se životem určité fyzické osoby (např. velikost oblečení, členství v politické straně, vlastnictví nemovitostí, provozování koníčků).

Ochrana osobních údajů (ochrana osobních dat) je v České republice regulována zákonem č. 101/2001 Sb., o ochraně osobních údajů a o změně některých zákonů a dalšími právními předpisy.

To bude platit do 25. května 2018, kdy začíná platit tzv. GDPR - nařízení Evropského parlamentu a rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

GDPR navazuje na směrnici o ochraně osobních údajů, ze které vycházel i český zákon na ochranu osobních údajů.

Zákon rozlišuje osoby, které zpracovávají osobní údaje (osobní data) jiných lidí (tzv. správce nebo zpracovatel osobních údajů) a dále osoby, jejichž osobních údaje správce a zpracovatele zpracovávají (tzv. subjekty údajů).

Správcům a zpracovatelům jsou při ochraně osobních údajů ukládány především povinností, zatímco subjektům údajů jsou dána práva.

V rámci ochrany osobních údajů je naproto klíčové popsat, co se s osobními údaji dělá. To se popisuje pomocí takových parametrů jako je účel zpracování, kategorie osobních údajů, způsoby zpracování osobních údajů, prostředky zpracování oosbních údajů, kategorie příjemců osobních údajů a dalších. Popis těchto parametrů může být poměrně zdlouhavý a mnohdy se opakuje, za účelem ulehčení práce byl vyvinut Klíč k ochraně osobních údajů., pomocí kterého lze nakládání s osobními údaji popsat.

Podle zákona č. 101/2000 Sb. (ale i GDPR) je účel klíčovým pojmem ochrany osobních údajů. Zákon stanovuje povinnost správce stanovit účel při zpracování osobních údajů. Na druhou stranu lze říci, že zákonodárce touto cestou brání tomu, aby se zpracovávaly osobní údaje tam, kde to není nutné. Povinnost stanovit účel vlastně znamená povinnost správce rozmyslet si, k čemu osobní údaje potřebuje.

Účel zpracování je v podstatě provozně realizační důvod, proč správce osobní údaje zpracovává, tedy proč je potřebuje.

Ochrana osobních údajů je vlastně speciálním druhem ochrany osobnosti, zvláště pak ochrany soukromí. Stanovení účelu zpracování osobních údajů je tak třeba posuzovat s ohledem na ochranu soukromí. Tutéž myšlenku je možné vyjádřit i jinak: Je nezbytné, aby úředník obce, který vymáhá na fyzické osobě poplatek za odvoz odpadů, věděl, že tato fyzická osobě spáchala dopravní přestupek a pronajímá si od obce nebytové prostory? Je nezbytné, aby zaměstnanec odpovědný za vyřizování reklamace, věděl, že osoba uplatňující reklamaci je rovněž zaměstnancem jejich společného zaměstnavatele, a že má se zaměstnavatelem uzavřenou dohodu o srážkách ze mzdy, nebo že jsou mu ze mzdy sráženy částky na základě soudní nebo správní exekuce? Samozřejmě, že to nezbytné není, a z hlediska ochrany soukromí je to i nežádoucí. Aby k výše uvedenému nedocházelo, zakazuje zákonodárce sdružovat osobní údaje, které byly získány k rozdílným účelům (§ 5 odst. 1 písm. h) zákona).

Problémem v této situaci je, že účel si stanovuje správce sám. Představme si situaci, že by si správce (obec) stanovil účel jako výkon veřejné správy nebo realizace práva obce na samosprávu, nebo správce (podnikatel) si stanovil účel jako podnikání nebo realizace právních vztahů souvisejících s podnikáním. Správce by měl zkrátka pro veškeré činnosti, které vykonává, vymezen pouze jeden účel. Takové vymezení účelu by však představovalo neplatné právní jednání. Podle občanského zákoníku musí právní jednání obsahem a účelem odpovídat dobrým mravům a zákonu (§ 547 NOZ). Pokud správce takto široce (všezahrnujícně) stanoví účel zpracování, potom skutečně zákon obchází, neboť v tom případě by nešla použít základní pojistka proti neoprávněnému zpracování osobních údajů, jako je povinnost správce nesdružovat osobní údaje, které byly získány k rozdílným účelům (§5 odst. 1 písm. h) zákona).

Stanovit účel je tak třeba s ohledem na naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí (§1 zákona).

Z hlediska ochrany soukromí je možné do soukromí jiných lidí zasahovat pouze oprávněně. Jiným slovy pouze tehdy, když existuje jiné ústavně zaručené právo, k jehož realizaci je třeba prolomit ochranu soukromí (jiného ústavně zaručeného práva). Nelze tedy např. zasahovat do soukromí jiných lidí (zpracovávat osobní údaje) za účelem páchání trestné činnosti apod. Účel, o který se nám jedná, je potom třeba vyložit tak, že jde o účel, který je právem povolený.

Zpracování osobních údajů není činností, která by byla důležitá pro správce sama o sobě. Je to vždy jenom dílčí činnost, která je nezbytná pro výkon nějakého práva nebo povinnosti, při kterých je možné zasáhnout do práva na soukromí jiných lidí (např. výkon veřejné správy, realizace umělecké tvorby, realizace smluvní svobody). Účelem v širším pojetí je tedy realizace nějakého ústavně zaručeného práva nebo plnění povinnosti. V tomto smyslu je účel vlastně objektivní kategorií, neboť při realizaci konkrétního práva různými správci, bude tento účel stejný. Povinnost správce stanovit účel pak znamená vlastně tento objektivně existující účel deklarovat a popsat. Zákon i evropská směrnice 96/45, ze které zákon vychází, dokonce některé účely zpracování osobních údajů přímo pojmenovávají. Obdobně to činí i GDPR.

Aby bylo možné vůbec posoudit, zda je rozsah zpracovávaných osobních údajů zpracováván nad rámec účelu, je třeba stanovení účelu zhodnotit podle množství údajů a kategorií subjektů údajů, kvůli nimž se údaje zpracovávají. Zde se vlastně dostáváme ke stanovení účelu v užším smyslu. Pokud účelem v širším smyslu je realizace nějakého práva nebo povinnosti, pak účelem v užším smyslu je realizace tohoto účelu ve vztahu ke konkrétní kategorii subjektů údajů. Podle této kategorie subjektů údajů lze pak rovněž hodnotit i množství osobních údajů, které se kvůli dotčené kategorii subjektů údajů zpracovávají.

Vymezit kategorii subjektů údajů je možné podle různých kritérií, z hlediska ochrany osobních údajů považuji za účelné udělat to podle právních vztahů kategorie subjektů údajů vůči správci. Tedy podle rozsahu jednotlivých, specifických práv, které odlišují jednu kategorii subjektů údajů od druhé. Pro příklad mohou posloužit smluvní vztahy podnikatele. Smluvní partnery podnikatele můžeme třídit přinejmenším podle dvou hledisek. Jednak jsou to spotřebitelé – tedy osoby, které nakupují výrobky nebo užívají služby za jiným účelem než pro podnikání s těmito výrobky nebo službami, a ostatní smluvní partneři. Spotřebitelé pak mají na rozdíl od ostatních smluvních partnerů privilegované postavení a větší právní ochranu. Smluvní partnery by pak bylo možno ještě dále třídit podle typů jednotlivých práv. Zda se jedná o smluvní partnery ze smluv kupních, smluv o dílo atd. Z hlediska rozsahu právní ochrany kategorií subjektů údajů (smluvních partnerů) správce by zde již rozdíl nebyl.

Problém zůstává, jak podrobně tyto kategorie subjektů stanovovat. Základním rozlišovacím kritériem by mělo být, aby se právní postavení jedné kategorie subjektů lišilo od právního postavení jiné kategorie (zpravidla mají tyto kategorie subjektů údajů vůči správci speciální označení např. spotřebitelé, nebo účastníci řízení ve správním řízení).

Pomocným kritériem při stanovení kategorií subjektů údajů je rozsah zpracovávaných osobních údajů. Podle zákona je třeba zpracovávat osobní údaje pouze v rozsahu, který je v souladu s účelem zpracování. Účel se tedy projevuje v rozsahu zpracování – v množství osobních údajů a kategorií subjektů údajů, o kterých jsou údaje zpracovávány. Logicky by to mělo být i naopak. Tedy tak, že konkrétní množství osobních údajů zpracovávaných o konkrétní kategorii subjektů údajů je zpracováváno pro jeden konkrétní účel. Pokud tedy při zpracování osobních údajů týkajících se jedné kategorie subjektů údajů budou existovat dvě skupiny subjektů, které si liší množstvím zpracovávaných osobních údajů, mělo by se jednat o dva rozdílné účely.

Příklad: Podnikatel u svých zákazníků (spotřebitelů) zpracovává jednak jejich jméno a příjmení, adresu, telefon, emailovou adresu a číslo účtu. Při bližším rozboru zjistíme, že u první skupiny zpracovává jméno, příjmení a jejich adresu a u druhé skupiny zpracovává jméno a příjmení, adresu, telefon, emailovou adresu a číslo účtu. V tomto případě je třeba se zamyslet, zda se tyto skupiny subjektů údajů mezi sebou nějak liší, a zda se tedy neliší i účel zpracování. První skupiny subjektů údajů jsou ti, kteří si koupili zboží v kamenném obchodě a uplatnili reklamaci, zatímco druhá skupina subjektů údajů si objednala zboží po internetu. Existují tu tedy dvě kategorie subjektů i dva účely zpracování, ten první bychom mohli nazvat jako uplatňování reklamací u zboží zakoupeného v kamenném obchodě, ten druhý jako prodej zboží v internetovém obchodě.