Povinnosti obcí podle zákona o ochraně osobních údajů (Dokončení) Shromažďovat údaje lze toliko otevřeně a je vyloučeno činit tak pod záminkou jiného účelu nebo činnosti, pokud zvláštní zákon nestanoví jinak. Subjekt musí vědět, že jsou o něm údaje shromažďovány a nepřichází v úvahu např. tajné...
Povinnosti obcí podle zákona o ochraně osobních údajů
(Dokončení)
Shromažďovat údaje lze toliko otevřeně a je vyloučeno činit tak pod záminkou jiného účelu nebo činnosti, pokud zvláštní zákon nestanoví jinak.
Subjekt musí vědět, že jsou o něm údaje shromažďovány a nepřichází v úvahu např. tajné monitorování jeho chování. Zakazuje se též sdružovat osobní údaje získané k rozdílným účelům, nestanoví-li zvláštní zákon jinak. Takové oprávnění mají např. Policie ČR nebo orgány vykonávající statistickou službu.
Zásada je, že ke zpracování osobních údajů je třeba souhlasu subjektu údajů. Tento souhlas není ovšem třeba formulovat na zvláštní listině, postačí např. vyplnění přihlášky nebo úředního formuláře, pokud splňují náležitosti souhlasu stanovené v § 5 odst. 5 zákona č. 101/2000 Sb.
Bez souhlasu
Bez souhlasu lze údaje zpracovávat, pokud:
[*] se provádí zpracování pro účely stanovené zvláštním zákonem /např. seznam pracovníků, kteří jsou oprávněni seznamovat se se zvláštními skutečnostmi podle zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon)/ nebo nutné pro plnění povinností stanovené zvláštním zákonem (např. vedení evidencí zaměstnanců pro účely plnění daňové povinnosti);
[*] je to nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo plnil ujednání smlouvy uzavřené se správcem;
[*] je to nezbytné k ochraně důležitých zájmů subjektu údajů (např. k záchraně jeho majetku při živelné události);
[*] se týče oprávněně zveřejněných údajů v souladu s příslušným právním předpisem (za oprávněně zveřejněné nelze považovat např. údaje, které byly odcizené nebo získané porušením povinnosti mlčenlivosti);
[*] je to nezbytné k ochraně práv správce (např. obec, jakožto majitel domů může vy-užít osobní údaje z nájemních smluv k podání žaloby na osoby, které neplatí nájemné).
Kromě toho lze bez souhlasu subjektu zpracovávat osobní údaje také pro účely statistické a vědecké, zde však musí být anonymizovány, jakmile je to možné.
Správce může zpracovávat osobní údaje sám nebo je může zpracovat jiný subjekt - zpracovatel, a to buď na základě zmocnění zvláštním zákonem nebo smluvně pověřený správcem. Smlouva musí být písemná a obsahovat náležitosti stanovené v § 6 zákona.
Zpracovatel má zásadně obdobné povinnosti jako správce. Pokud by zjistil, že zpracovatel porušuje povinnosti, musí jej na tuto skutečnost upozornit a ukončit zpracování údajů. Nestane-li se tak, odpovídá s ním solidárně za případnou škodu (§ 8 zákona).
Zvláštní režim
Zvláštní, zpřísněný režim platí pro zpracování citlivých údajů. K jejich zpracování musí být dán výslovný písemný souhlas (nestačí např. podpis přihlášky), jehož náležitosti stanoví § 9 písm. a) zákona.
Bez souhlasu lze senzitivní údaje zpracovávat, pokud:
[*] je to nezbytné v zájmu zachování života či zdraví subjektu údajů nebo i jiné osoby či odvrácení bezprostředního závažného nebezpečí, které hrozí jejich majetku za podmínky, že takový souhlas nelze získat (např. osoba není přítomná nebo není způsobilá jej dát);
[*] se jedná o poskytování zdravotní péče (která nesměřuje k zachování života či zdraví, např. kosmetických výkonů) nebo posuzování zdravotního stavu (zejména pro potřeby sociálního zabezpečení);
[*] tak stanoví zvláštní zákon (např. zákon č. 152/1994 Sb., o volbách do zastupitelstev v obcích a o změně a doplnění některých dalších zákonů, ve znění pozdějších předpisů).
Informační povinnost
Správce musí subjekt informovat o tom, že o něm údaje shromažďuje, v jakém rozsahu, pro jaký účel a o dalších skutečnostech stanovených v § 11 odst. 1-3 zákona.
Tuto povinnost nemá, jestliže zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví, ukládá-li mu zpracování zvláštní zákon (např. zákon o matrikách, zákoník práce, zákon o účetnictví) nebo stanoví-li zákon, že údaje není povinen poskytovat (zejména všechny případy, kdy zákon ukládá povinnost mlčenlivosti). Údaje je třeba poskytovat písemně a informace musí být formulovány srozumitelně a natolik včas, aby subjekt údajů mohl případně efektivně hájit svoje práva.
Součástí informační povinnosti správce je poskytovat jednou za rok bezplatně a kdykoli za přiměřenou úplatu informace o osobních údajích, které vede o subjektu. Tyto informace se poskytují vždy jen k písemné žádosti subjektu. Správce je ovšem nemusí poskytovat v případě, že to vylučuje zvláštní zákon. Zákon vylučuje, aby rozhodnutí nebo i jiný úkon (evidenční, statistický, podání vyjádření) byly učiněny na základě výlučně automatizovaného zpracování údajů, ledaže by se tak stalo ve prospěch subjektu údajů.
Zajištění bezpečnosti
Povinností správce je také zajistit bezpečnost osobních údajů, a to před jednáním osob (úmyslným, nedbalostním i nezaviněným) stejně jako důsledky událostí. Tato povinnost jej stíhá nejen během zpracování údajů, ale i po jeho ukončení, tj. do doby, kdy údaje zlikviduje, předá jinému správci apod. Konkrétní způsoby zajištění určuje zejména způsob, jímž jsou údaje zpracovány (jiná opatření je třeba přijmout pro ochranu písemné kartotéky, jiná pro údaje v počítačích). Součástí zajištění bezpečnosti osobních údajů je povinnost správce a zpracovatele vymezit podmínky a rozsah, v němž mohou jejich zaměstnanci a další osoby zpracovávat osobní údaje (§ 14 zákona). Všem fyzickým osobám, přicházejícím u správce a zpracovatele do styku s osobními údaji ukládá zákon povinnost mlčenlivosti o osobních údajích a bezpečnostních opatřeních k jejich ochraně. Tato povinnost se vztahuje také na zaměstnance orgánů kontroly, znalce a další, kteří mohou mít uloženu povinnost mlčenlivosti i podle jiných zákonů.
Hodlá-li někdo zpracovávat osobní údaje, musí to oznámit Úřadu pro ochranu osobních údajů (dále jen Úřad). Totéž je povinen učinit správce v případě, že zpracování hodlá změnit. Obsah oznámení vymezuje § 16 (prostřednictvím formuláře vydaného Úřadem). Do 30 dnů od doručení oznámení jej Úřad buď registruje (dnem registrace lze zahájit zpracování) nebo vydá správní rozhodnutí, že se zpracování nepovoluje. Pro případ, že by v 30denní lhůtě nebylo oznamovateli sděleno, že došlo k registraci ani vydáno rozhodnutí, že se zpracování nepovoluje, stanoví zákon fikci, že oznámení bylo registrováno.
Oznamovací povinnost se nevztahuje na zpracování těch osobních údajů, které jsou součástí veřejně přístupných evidencí (např. katastru nemovitostí nebo voličských seznamů) a těch, jejichž zpracování je uloženo zákonem (např. evidence vidimací a legalizací podle zákona č. 41/1993 Sb., o ověřování shody opisů nebo kopie s listinou a o ověřování pravosti podpisu okresními a obecními úřady a o vydávání potvrzení orgány obcí a okresními úřady, ve znění pozdějších předpisů).
Hodlá-li správce ukončit činnost, musí neprodleně oznámit Úřadu, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost. O tom se žádné rozhodnutí nevydává, pouze se poznamená v registru.
V případě, že správce nebo zpracovatel poruší povinnost, může se subjekt údajů obrátit na Úřad a požádat o zajištění nápravy v rámci výkonu dozoru. Ten musí posoudit, jaká konkrétní opatření k odstranění protiprávního stavu přijme.
Nezávisle na tom, zda byla žádost podána, může subjekt vůči správci a zpracovateli, kteří by porušili zákon, uplatnit nároky vymezené v § 21 odst. 2 zákona (požadovat, aby se zdržel závadného jednání, provedl likvidaci údajů zaplatil peněžitou náhradu atd.). Obdobně může subjekt postupovat vůči zaměstnancům správce a zpracovatele a jiným subjektům, které pro něj vykonávají práce na základě smlouvy. Stejné povinnosti vůči subjektu údajů mají ti, kdo shromáždili osobní údaje neoprávněně, a to bez ohledu na to, zda se tak stalo zaviněně nebo nahodile.
Co se týče předávání osobních údajů do jiných států, může tak správce či zpracovatel činit, pokud je zdejší právní úprava ochrany kompatibilní s českou (vyhovující ochranu má většina států EU, dále např. Maďarsko a Švýcarsko). Do jiných států lze údaje předávat za podmínek stanovených v § 27 odst. 2 zákona (např. děje-li se tak se souhlasem subjektu údajů, předávání plyne z mezinárodní smlouvy, je to nutné k uzavření smlouvy v zájmu subjektu údajů).
K předávání údajů do zahraničí je třeba zásadně souhlas Úřadu (ledaže by zákon stanovil jinak), který je poskytuje svým rozhodnutím. Souhlas vydává k žádosti správce nejpozději do 7 kalendářních dní, pokud by však hrozilo nebezpečí z prodlení, činí tak neprodleně.
Nezávislý úřad
Nad dodržováním povinností při ochraně osobních údajů bdí Úřad pro ochranu osobních údajů, který se řídí pouze zákony a jinými právními předpisy a do jeho činnosti lze zasahovat jen zákonem. Na rozdíl od jiných tzv. ústředních správních úřadů nepodléhá vládě. Dozoru Úřadu podléhají všichni správci a zpracovatelé osobních údajů, s výjimkou zpravodajských služeb, které jsou i v tomto ohledu kontrolováni příslušným orgánem Poslanecké sněmovny.
Vlastní výkon kontroly provádějí jednak inspektoři Úřadu, jednak další pověření zaměstnanci. Jejich práva a povinnosti při výkonu kontroly jsou vymezena obdobně jako v zákoně ČNR č. 552/1998 Sb., o státní kontrole, ve znění pozdějších předpisů, který ostatně platí subsidiárně. S ohledem na specifický ráz předmětu kontroly, tj. osobní údaje, jim zákon dává i oprávnění vstupovat do obydlí, slouží-li také k provozování podnikatelské činnosti a požadovat výpisy a zdrojové kódy programů, jakož i dat, související s předmětem kontroly. Bude-li při provádění kontroly zjištěno porušení povinností, uloží inspektor opatření k nápravě a lhůtu, v níž má být provedena.
Dodržování uložených povinností je zajišťováno i systémem sankcí. Tomu, kdo nedodrží povinnost mlčenlivosti, hrozí za přestupek pokuta do výše 50 000 Kč, porušení ostatních povinností je rovněž přestupek, který lze postihnout pokutou do 25 000 Kč.
Osoba, jež neposkytne Úřadu při výkonu kontroly potřebnou součinnost, se dopouští pořádkového správního deliktu, postižitelného pokutou do 25 000 Kč, a to i opakovaně. Správci a zpracovatelé mohou být za porušení některé z uložených povinností potrestání za tzv. smíšené správní delikty pokutou do 10 mil. Kč a při recidivě až ve dvojnásobné výši. Dopustí-li se pořádkového deliktu, může jim být uložena pokuta do jednoho miliónu Kč.
K projednávání všech uvedených správních deliktů je příslušný Úřad, který postupuje podle zákona o přestupcích, resp. správního řádu a zákona o ochraně osobních údajů.
Pavel Mates,
Vysoká škola ekonomická Praha
