Text dokumentu

SOUHRNNÁ ZPRÁVA O ČINNOSTI VEŘEJNÉHO OCHRÁNCE PRÁV ZA ROK 2011 Výňatek 2.16 Ochrana osobních údajů Ochrana osobních údajů V oblasti práva na ochranu osobních údajů zaměřil ochránce pozornost k několika otázkám, které dosud nebyly řešeny správními soudy a mohou přitom výrazně ovlivnit úroveň ochrany osobních údajů v České republice. Naprostá většina z nich se vždy dotýkala dílčích aspektů odpovědnosti správců či zpracovatelů údajů. Povaha odpovědnosti správce údajů Ochránce řešil případy, kdy došlo k nezákonnému zpracování osobních údajů (nejčastěji ve formě jednorázového zpřístupnění či zveřejnění) v důsledku porušení povinnosti řadového zaměstnance správce údajů (soudu, správního úřadu). Porušení mělo vždy charakter nedbalostní. Úřad pro ochranu osobních údajů neuplatnil své dozorové pravomoci, ačkoliv byl na možné porušení zákona o ochraně osobních údajů (zákon č. 101/2000 Sb., ve znění pozdějších předpisů) či jiných souvisejících předpisů upozorněn stížností. Ochránce konstatoval, že ačkoliv zaměstnanec správce údajů nemůže být za porušení ustanovení § 14 zákona o ochraně osobních údajů sankciován dle zákona o ochraně osobních údajů, není tím správce údajů zbaven případné deliktní odpovědnosti. Ta je typově konstruována jako "objektivní odpovědnost" či "odpovědnost za výsledek". V kompetenci Úřadu pro ochranu osobních údajů je tak posoudit, zda se správce v souvislosti s jednáním svého zaměstnance nedopustil jednoho či více správních deliktů vymezených v zákoně o ochraně osobních údajů, případně zvážit, zda jsou dány liberační důvody ve smyslu citovaného zákona. Úřad přijal argumentaci ochránce a v konkrétních případech zahájil u správců údajů státní kontrolu. Podobnými úvahami by se měl úřad řídit i v případech, kdy se na zpracování údajů podílí více subjektů (správce, dílčí zpracovatelé či osoby ve smluvním postavení podle § 14 zákona o ochraně osobních údajů). S nezákonným zpracováním údajů se ochránce setkal u činnosti tzv. akvizičních společností, které zařadily osobní údaje do příslušné evidence, přestože neměly platný souhlas subjektu údajů. Ochránce vyslovil názor, že pokud úřad uloží správci (zpracovateli) sankci ve výši odpovídající závažnosti deliktu, lze předpokládat, že udělenou pokutu správce (zpracovatel) posléze vymáhá po smluvním partnerovi. Tím se dle ochránce může výrazně změnit přístup k ochraně údajů v koncovém článku celého řetězce zpracování, tj. u konkrétní osoby, která údaje shromažďuje "v terénu" přímo od subjektů údajů (možný pracovněprávní postih, snížení odměny, smluvní pokuta, náhrada škody). V neposlední řadě ochránce uzavřel šetření, které se týkalo výkladu pojmu "správce údajů" ve vztahu k inzertním internetovým portálům. Předmětem šetření byla i povaha odpovědnosti za obsah vkládaný na internet uživatelem. Ochránce opakovaně komunikoval s úřadem a dokonce oslovil i dozorové orgány na ochranu osobních údajů ve vybraných státech Evropské Unie. Z šetření vyplynulo, že inzertní společnosti mají ve většině případů postavení správců údajů, neboť ve smyslu § 4 písm. j) zákona o ochraně osobních údajů zpracovávají osobní údaje za účelem zprostředkování nabídky a poptávky mezi fyzickými a právnickými osobami vztahující se k movitým a nemovitým věcem či službám. Prostředkem zpracování údajů je z povahy věci internet. Vztahují se tak na ně povinnosti stanovené v zákoně ochraně osobních údajů, což byl dlouhodobý názor ochránce. Odpovědnost za obsah vkládaný uživatelem se však řídí ustanovením § 5 zákona o některých službách informační společnosti (zákon č. 480/2004 Sb., ve znění pozdějších předpisů), což v praxi inzertních portálů znamená, že správce bude odpovědný až poté, co byl na nezákonné zpracování upozorněn, a neučinil neprodleně veškeré kroky, které lze po něm požadovat, k odstranění nebo znepřístupnění takovýchto informací. Délka zpracování osobních údajů v bankovním registru Problematice ochrany osobních údajů v bankovnictví se ochránce věnuje již od roku 2009. Naposledy se vyslovil k otázce délky zpracování údajů v Bankovním registru klientských informací (BRKI), která není stanovena zákonem a činí dle dohody bank s Úřadem 4 roky od zániku závazku. Ochránce v šetření Úřadu pro ochranu osobních údajů připomněl, že správce (zpracovatel) údajů je povinen uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování [§ 5 odst. 1 písm. e) zákona o ochraně osobních údajů]. Zároveň má povinnost dbát na ochranu soukromého a osobního života subjektu údajů, provádí-li zpracování na základě zvláštního zákona (§ 5 odst. 3, § 10 zákona o ochraně osobních údajů). Proto probíhá-li mezibankovní výměna informací o klientech paušálně a nediferencovaně po dobu čtyř let od zániku jejich závazku k bance, bez toho, aby bylo přihlédnuto k celkové situaci klienta (zejména počtu aktuálních či zaniklých závazků a jejich výši), dopouští se správce (zpracovatel) správního deliktu dle § 45 odst. 1 písm. d) zákona o ochraně osobních údajů. Úřad je povinen vždy při výkonu jemu svěřených pravomocí důkladně vyvažovat mezi právem vlastnickým (či veřejným zájmem na stabilitě bankovního trhu) a právem na ochranu soukromí a ochranu osobních údajů.