Jak poznat, kdo zpracovává osobní údaje v souladu se zákonem?

Dotaz:

Lze nějak jednoduše poznat, které firmy a instituce zpracovávají osobní údaje v souladu se zákonem?

Plnění některých povinností, jež ukládá zpracovateli zákon č. 101/2000 Sb. o ochraně osobních údajů (ZOOÚ), lze zjistit poměrně snadno, plnění jiných povinností může zjistit v podstatě pouze Úřad pro ochranu osobních údajů nebo policie, tedy orgány, jež jsou vybaveny patřičnými nástroji a pravomocemi.

Z textu ZOOÚ je patrné, že regulace ochrany osobních údajů je postavena na zásadě, že každý by měl mít možnost zjistit, jaké osobní údaje ten který správce zpracovává. K tomu je možné využít právo subjektu údajů na přístup k informacím (§ 12 ZOOÚ) – lze tedy napsat žádost, na kterou by Vám měl správce osobních údajů odpovědět a sdělit Vám jaké kategorie osobních údajů zpracovává, za jakým účelem, z jakých zdrojů je získal a komu je zpřístupňuje. Pokud by správce Vaší žádosti nevyhověl, je možné obrátit se s podnětem na Úřad pro ochranu osobních údajů, který má poměrně velké sankční nástroje k tomu, aby správce k plnění této povinnosti přinutil.

Další možností je využít dálkového přístupu k informacím o zpracování osobních údajů. Obecně platí, že jakékoli zpracování osobních údajů musí být registrováno u Úřadu pro ochranu osobních údajů, zde je možno najít údaje o tom, zda správce svoji registrační povinnost splnil. Pokud správce registrační povinnost splnil, lze se domnívat, že se ochranou osobních údajů zabývá, což je prvním předpokladem pro to zpracovávat osobní údaje v souladu se zákonem.

V registru Úřadu pro ochranu osobních údajů však není všechno. Existují i výjimky z této oznamovací povinnosti, které jsou uvedené v § 18 odst. 1 ZOOÚ. Zřejmě nejpočetnější výjimkou je zpracování osobních údajů, které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona. Tito správci však mají povinnost zajistit, aby se „informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou“(§18 odst. 2 ZOOÚ).

Další výjimkou z oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů je zpracování osobních údajů, které jsou součástí datových souborů veřejně přístupných na základě zvláštního zákona, a zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.

Pokud to tedy shrnu, tak jakýkoli správce (kromě sdružení vůči svým členům, a zpracování osobních údajů veřejně přístupných na základě zvláštního zákona (např. katastr nemovitostí)) musí dát společnosti najevo, jaké osobní údaje zpracovává. To se dělá buď tak, že to oznámí Úřadu pro ochranu osobního údajů (§ 16 ZOOÚ) a ten to vede ve svém registru a nebo to zveřejní správce osobních údajů sám na svých webových stránkách (§18 odst. 2 ZOOÚ).

Dotaz:

Můžete uvést konkrétní příklady, kterých správců se týká povinnost zveřejňovat informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování na internetu?

Jak již jsem uváděl, jsou to ti správci, kteří jsou uvedeni v § 18 odst. 2 ZOOÚ, tedy ti, kterým zpracování osobních údajů ukládá zvláštní zákon nebo je zpracování osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona.

Pokud bych měl provést určitou typologii těchto správců, tak je nejlépe začít Ústavou ČR. Podle Ústavy ale i Listiny základních práv a svobod je v našem státě možné vykonávat veřejnou správu pouze na základě zákona a v jeho mezích. Z toho tedy logicky plyne, že všichni, jimž bylo svěřeno vykonávat veřejnou správu, ji mohou vykonávat jenom na základě zákona, a proto tuto povinnost mají plnit především oni.

Konkrétně půjde o:

orgány státní správy

obce

kraje

samosprávné komory

Další kategorii budou představovat ti, kterým zvláštní zákon ukládá zpracování osobních údajů, zpravidla se to v zákoně formuluje tak, že vedou určitou evidenci.

Konkrétně půjde zejména o:

školy – na základě školského zákona vedou evidenci svých žáků

autoškoly – na základě zákona o získávání a zdokonalování odborné způsobilosti k řízení motorových vozidel a o změnách některých zákonů, mají vést evidenční knihu žáků

vysoké školy – na základě vysokoškolského zákona vedou matriku studentů

zdravotnická zařízení a soukromí lékaři – na základě zdravotnických předpisů vedou zdravotnickou dokumentaci a na základě dalších zákonů např. evidují recepty, které obsahují osobní údaje

lékárny – na základě zákona zpracovávají recepty

hotely, penziony a ubytovací zařízení – na základě zákona o místních poplatcích jsou povinni vést evidenční knihu, která obsahuje osobní údaje a slouží k placení poplatku za lázeňský nebo rekreační pobyt

ústavy sociální péče – zpracovávají osobních údaje na základě zákona o sociálním zabezpečení

Tento výčet rozhodně není úplný, dále do skupiny zpracovávající osobní údaje na základě zákona patří notáři, exekutoři, v podstatě i zaměstnavatelé – zpracovávají osobní údaje na základě různých zákonů (zákona o mzdě, o daních z příjmů, zdravotního a nemocenského pojištění atd.) a rovněž i všechny právnické osoby, neboť zpracovávají osobní údaje o svých zakladatelích, členech statutárních a dozorčích orgánů.

Dotaz:

Co když správci, které jste tu uváděl, svoje povinnosti neplní?

Pokud svoje povinnosti neplní, tak je možné podat podnět Úřadu pro ochranu osobních údajů. Za odmítnutí podat subjektu údajů informace lze fyzickou sobu pokutovat až 1 milionem korun (§ 44 odst. 2 písm. g) + § 44 odst. 5 ZOOÚ) a právnickou osobu 5 miliony korun (§ 45 odst. 1 písm. g) + § 45 odst. 3 ZOOÚ).

Stejné je to při nesplnění oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů nebo nevyvěšením obdobných údajů na webu (§ 44 odst. 2 písm. i) + § 44 odst. 5 ZOOÚ) a (§ 45 odst. 1 písm. i) + § 45 odst. 3 ZOOÚ).