Osobní údaje a jejich ochrana v České republice Praha Nemoforum

obsah a struktura semináře zdroje otázky a náměty Nemofora zkušenosti z práce inspektorky ÚOOÚ struktura definiční poznámky vztah zákona č.101/2000 Sb. k jiným zákonům možné formy plnění povinností správce a zpracovatele otázky a odpovědi, diskuse

Poznámky k pojmu osobní údaj Může něco někdy být osobním údajem a jindy ne? definice osobního údaje v zák. č. 101/2000 Sb. identifikační osobní údaj(e) citlivé a „velmi citlivé“ osobní údaje anonymizace – anonymní (osobní) údaj

Poznámky k pojmu osobní údaj zacházení s osobními údaji ve světle právních předpisů: nakládání vs zpracování kontinuum osobní údaj - dokument obsahující osobní údaje - zpracování osobních údajů

Rodné číslo Otázka: Rodné číslo, byť je důležitým identifikátorem, je podle zákona osobním údajem jako každý jiný údaj vztažený k subjektu (nejde přitom ani o citlivý osobní údaj). Není zneužitím pravomoci veřejného činitele, jestliže ÚOOÚ přikládá rodnému číslu vyšší význam při ochraně než jiným osobním údajům a snaží se používání RČ různě omezovat a ovlivňovat, když takové počínání nemá v zákoně žádnou oporu?

Rodné číslo Je RČ osobním údajem jako každý jiný údaj? Je zneužitím pravomoci veřejného činitele, jestliže ÚOOÚ přikládá RČ vyšší význam a snaží se používání RČ omezovat?

Rodné číslo RČ je i není osobním údajem jako každý jiný údaj. Přikládat RČ vyšší význam a snažit se užívá- ní RČ omezovat není porušením zákona. Porušením zákona by bylo, pokud by např. ÚOOÚ ukládal omezení při nakládání s RČ, jež není (nebylo by) zpracováním osobních údajů.

Vztahy zákona o ochraně osobních údajů a jiných zákonů I Zosú je pro ochranu osobních údajů úpravou obecnou Odkazy na platnost zosú (např. zák. č. 106/1999 Sb.) nevyjadřují vztah obecný- speciální Katastrální zákon neobsahuje speciální úpravu ochrany osú

Vztahy zákona o ochraně osobních údajů a jiných zákonů II Otázky I.P.: Je-li obsah katastru stanoven zákonem, může mít vůbec ÚOOÚ jakékoliv výhrady k tomu, že registr vede a zpřístupňuje některé údaje (vedené a šířené v souladu se zákonem), když povinností ÚOOÚ je pouze dohled nad dodržováním zákona o ochraně osobních údajů a nikoliv zásahy do právního řádu státu? Pokud inspektoři ÚOOÚ vytýkají nedostatky, které nejsou nedostatky dodržování zákona o ochraně osobních údajů (ale např. vyplývají z obsahu speciálních zákonů, které vedení určitého registru upravují), nejde náhodou o zneužívání pravomoci veřejného činitele (navíc jmenovaného do funkce přímo presidentem republiky)?

Otázka Ing. P.T.: Vysvětlit ochranu údajů žadatelů související ze zákonnou povinností správců sítí poskytnout Vyjádření o existenci podzemních vedení. Mám na mysli zákon č.50/1976 Sb..§ 103 a zákon č. 151/2000 Sb. -§ 88. Odpověď: § 103 zák. č.50/1976 Sb. neobsahuje speciální úpravu ochrany osú ani jiného nakládání s osobními údaji; zakotvuje povinnost poskytovat jiné údaje Zák. č. 151/2000 Sb. v § 88 odst. 9 taktéž

Formy plnění povinností uložených zákonem o ochraně osobních údajů zdroje forem zákon o ochraně osobních údajů věcně příslušné zákony a prováděcí předpisy k nim organizace a formy řízení užívané orgá- ny obce a obecním (městským, magis- trátním) úřadem

zákon o ochraně osobních údajů jako zdroj formy plnění povinností Pouze u vybraných povinností: v převážné míře („úplně“): - podle § 16 (oznamovací povinnost) - podle § 27 odst. 4 (požádat o povolení) částečně („neúplně“): - podle § 5 odst. 2 a 5 a § 9 (získat souhlas subjektu údajů) - podle § 11(vybraná ustan.) a podle § 12 odst. 2 (informační povinnost)

věcně příslušné zákony jako zdroj formy plnění povinností (1) Povinnosti správce před započetím zpracování: stanovit účel zpracování: téměř vždy stanovit prostředky a způsob zpracování: téměř vždy, ne však v úplnosti Povinnosti správce při zpracování zpracovávat pravdivé a přesné osobní údaje (pokud ano, pak výběrově a do detailů) shromažďovat údaje odpovídající účelu a v ne- zbytném rozsahu: vždy (výčet)

věcně příslušné zákony jako zdroj formy plnění povinností (2) uchovávat os. údaje pouze po nezbytnou dobu: vždy, často však podle jiného zákona zpracovávat os. údaje v souladu s původním účelem: vždy, výhradně implicitně shromažďovat os.údaje otevřeně: výjimky (deklarování, nebo úplný předpis) nesdružovat osobní údaje: výjimky (daně a popl.) přijmout bezpečnostní opatření: běžně mlčenlivost + konstatování povinnosti, jinak jen utaj.skuteč.

Katastrální zákon jako zdroj plnění povinností při zpracování os.údajů stanovit účel zpracování: ano (parametry povinnosti) stanovit prostředky a způsob zpracování: částečně (např. § 1) zpracovávat pravdivé a přesné osobní údaje: ano - detailně shromažďovat údaje odpovídající účelu a v nezbyt- ném rozsahu: ano (výčet) uchovávat os. údaje pouze po nezbytnou dobu: ? nesdružovat osobní údaje: ano (§ 12 odst. 2 kz)

Možné formy plnění povinnosti přijmout bezpečnostní opatření Tak, jak stanoví zákon (+ prováděcí předpis) (např. matriky…) Jak stanoví nadřízený orgán např. v instrukci (směrnice MV), metodickém pokynu (MPSV) Postupem obvyklým v obci: nejužívanější vnitřní akt řízení, dokument schválený orgánem obce) účelovým (ad hoc) postupem (směrnice o ochraně os. údajů)

formy plnění povinnosti přijmout bezpečnostní opatření stanoví zákon (+prováděcí předpis) V: jasná závaznost a nespornost N: nebývá dostatečně podrobné, nezaručuje řádné plnění stanoví nadřízený orgán V: k dispozici je řešení „na klíč“ N: ne vždy zaručuje řádné plnění, organizační/technická vhodnost stanoví obec z vlastního rozhodnutí V: respektování místních poměrů N: respektování místních poměrů na úkor řádného plnění, pracnost (náklady) a vyšší odpovědnost než ad a) a b)

příklad plnění povinnosti podle § 13 Kontrolované město: stanovilo odpovědnost za zpracování os. údajů ve statutu města, organizač. řádu MěÚ, spiso- vém řádu, skartačním plánu a pracovním řádu jednotlivým zaměstnancům stanovilo rozsah činností a vybrané podmínky výkonu práce při zpracování os.údajů v popisech práce zpracování os.údajů vykonávají k tomu určené organizační složky a v jejich rámci pracovníci zařazení na odpovídajících prac. pozicích

příklad plnění povinnosti podle § 13 Kontrolované město přijalo a rutinně používá : k zabezpečení objektů a místností: vstupní zábranné technické prostředky a elektronické zabezpečení další opatření fyzické bezpečnosti režimová opatření vstupu a přístupu k os.úd. v automatizované a neautomatizované části zpracování prohlášení zaměstnanců zpracovávajících os. údaje o poučení a závazku mlčenlivosti podle § 15 zosú

Možné formy stanovení podmínek, za nichž mohou zaměstnanci zpracovávat os. údaje ve vnitřních aktech řízení, v popisech práce (pracovních náplních) výběrem a užíváním odpovídajících technických prostředků pro zpracování osobních údajů (rozhodující vliv, vymáhání) jako smluvní závazek Podmínkou vymáhání stanoveného

Vnitřní kontrola jako forma a nástroj plnění povinností správce/zpracovatele Kontrola jako součást řízení (§ 74 písm. a) zák. č. 65/1965 Sb., zákoník práce) vnitřní kontrola jako součást vymáhání stanoveného kontrolní (dozorová) činnost organizova- ná primárně z j. důvodu (bezpečnost práce) ad hoc kontroly zpracování osobních údajů

Zbývající otázky I.P. Při stávající bezmezně široké definici osobních údajů je osobním údajem např. i křestní jméno či datum narození osoby. Je porušením zákona např. vyzrazení křestního jména, když se o něm zaměstnanec dozvěděl při vedení registru, který je přitom ze zákona veřejný? Obdobně, když zaměstnanec na př. KÚ na požádání sdělí jinak veřejné údaje katastru, ale mimo pracovní dobu (např. po úředních hodinách – třeba i proto, že chce zákazníkovi vyhovět), popř. při návštěvě KÚ v jiných místnostech, než které jsou určeny pro styk s veřejností a poskytování údajů katastru?

Zbývající otázky I.P. (II) Jak je to s vedením všelijakých městských a obecních informačních systémů (které vesměs obsahují i nějaké osobní údaje) z hlediska dodržování zákona o ochraně osobních údajů? Jsou z hlediska zákona vůbec legální (a za jakých podmínek)? Mohou nějaké informace poskytovat také někomu jinému než svým zaměstnancům pro plnění jejich úkolů (např. veřejnosti – tedy např. občanům)? Jak je to s povinností zachovávat mlčenlivost?

Zbývající otázky I.P. (III) Podle informací z médií by mohl člověk nabýt názoru, že ÚOOÚ se zaměřuje spíše na invazi do právního řádu a neoprávněné zásahy do vedení informačních systémů, namísto toho, aby se zaměřil na vlastní skutečný dohled nad dodržováním zákona o ochraně osobních údajů, který mu jedině přísluší (např. nedávné mediální informace o LOK či bankovním registru). Bude s tím ÚOOÚ něco dělat?

Cokoli, co je v lidských rukou, není zaručeno … … ani osobní údaje, ani jejich ochrana.