Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Archiv

 

Stanovisko č. 6/2009 - Ochrana soukromí při zpracování osobních údajů

 

Odkazy


 
 

listopad 2009, aktualizace únor 2014[1]

 

Úvod

Úřad pro ochranu osobních údajů (dále jen „Úřad“) se při své činnosti setkává se situacemi, kdy veřejnosti není zcela zřejmý vztah pojmů soukromí a ochrana osobních údajů, resp. jejich právní úprava a odlišnosti. V některých případech jsou tyto pojmy používány, a to i při veřejné diskusi, jako synonyma nebo jiným způsobem, který plně neodpovídá platné legislativě. Úřad vydává toto stanovisko se záměrem přispět k odstranění této nejasnosti.

Pojem soukromí není v českém právu přímo definován. Soukromí můžeme stručně popsat jako osobní, intimní sféru člověka v jeho integritě, která zahrnuje všechny projevy osobnosti konkrétního a jedinečného lidského tvora. Pojem soukromí obsahuje rovněž hmotný i myšlenkový prostor jednotlivce, součástí soukromého života je i právo na vytváření a rozvíjení vztahů s dalšími lidskými bytostmi.


Relevantní právní úprava

Ochranu soukromí v českém právním řádu na prvním místě upravuje zákon č. 2/1993 Sb., usnesení předsednictva České národní rady ze dne 16. prosince 1992 o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky, ve znění zákona č. 162/1998 Sb., kterým se mění Listina základních práv a svobod (dále jen „Listina základních práv a svobod“). Tento právní předpis ústavněprávního charakteru umisťuje právo na ochranu soukromí mezi základní lidská práva a svobody, když v čl. 10 odst. 2 uvádí, že každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života.

Ochranu soukromí jako základního lidského práva upravují i významné mezinárodní dokumenty. Například Všeobecná deklarace lidských práv OSN v čl. 12 stanoví, že nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence, ani útokům na svou čest a pověst. Každý má právo na zákonnou ochranu proti takovým zásahům nebo útokům. Obdobné ustanovení obsahuje i Úmluva o ochraně lidských práv a základních svobod Rady Evropy, která v čl. 8 odst. 1 říká, že každý má právo na respektování svého soukromého a rodinného života, obydlí a korespondence.

Z výše uvedené základní a obecné definice soukromí v kontextu s citovaným ustanovením Listiny základních práv a svobod vyplývá, že k zásahům do soukromí nezbytně dochází prakticky při každé interakci s dalšími lidmi, resp. jak při interakci přímé, tak v situaci, kdy někdo jiný disponuje a případně dále nakládá s informacemi o projevech naší osobnosti. Tyto zásahy však zásadně musejí být oprávněné, tedy legální, vycházející z práva. Jakýkoliv jiný stav je nežádoucí a protiprávní.

Ochranu před jednorázovými, resp. nesystematickými zásahy do soukromí jednotlivce upravuje především § 81 a násl. zákona č. 89/2012  Sb., občanský zákoník, v rámci institutu ochrany osobnosti. Občanský zákoník rovněž upravuje právo dotčené fyzické osoby domáhat se toho, aby bylo od neoprávněného zásahu do osobnostních práv upuštěno nebo aby byl odstraněn jeho následek, a také právo domáhat se náhrady škody a nemajetkové újmy.

Pokud někdo s projevy osobní povahy či jinými informacemi týkajícími se určené nebo určitelné fyzické osoby systematicky provádí nějakou operaci nebo soustavu operací, potom již jde o zpracování osobních údajů a dostáváme se do režimu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Tento zákon provádí další základní lidské právo stanovené v čl. 10 odst. 3 Listiny základních práv a svobod, tedy právo každého na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě, které je nedílnou součástí práva na ochranu soukromí.

Jak vyplývá ze samotné podstaty pojmu zpracování osobních údajů, k zásahům do soukromí při něm nutně a nezbytně dochází, neboť bez operace (ať už shromažďování, uchovávání, využívání atd.) prováděné s projevy osobní povahy identifikované nebo identifikovatelné osoby, dle dikce zákona o ochraně osobních údajů subjektu údajů, by ke zpracováním osobních údajů vůbec dojít nemohlo. Aby zpracování osobních údajů bylo legální a zásah do soukromí osoby oprávněný, je nutné při tomto zpracování dbát všech povinností stanovených zákonem o ochraně osobních údajů, případně zvláštními právními předpisy.

Zákon o ochraně osobních údajů pro správce údajů, tedy osobu, která stanoví účel a prostředky zpracování, provádí jej a také za něj zodpovídá, stanoví řadu povinností: např. povinnost stanovit účel a prostředky zpracování osobních údajů, povinnost zajištění právního titulu ke zpracování, povinnost zpracovávat pouze přesné osobní údaje v souladu se stanoveným účelem, důležité okolnosti směřující k ochraně zpracovávaných osobních údajů proti neoprávněnému či nahodilému přístupu, informační povinnost vůči subjektům údajů, registrační povinnost k Úřadu a další.

V kontextu tohoto stanoviska se zaměříme především na povinnost stanovenou v § 5 odst. 3 a v § 10 zákona o ochraně osobních údajů. Jedná se o povinnost správce, případně zpracovatele, při zpracování osobních údajů dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. 

K zásahu do soukromí při zpracování osobních údajů nezbytně dochází. Tyto zásahy ovšem musejí být dle uvedených ustanovení zákona o ochraně osobních údajů oprávněné. Znamená to, že správce má mj. povinnost stanovit účel zpracování a prostředky, jimiž bude zpracování provádět. Za oprávněný zásah do soukromí lze považovat takové zpracování, které je prováděno způsobem a prostředky přiměřenými zvolenému legálnímu a legitimnímu, tedy právem připuštěnému, resp. nezakázanému, účelu zpracování. V opačném případě, byť by jinak zpracování odpovídalo všem požadavkům zákona, by šlo o zpracování nelegální, nezákonné a Úřad by mohl uplatnit své dozorové pravomoci. Nehodnotil by primárně účel zpracování samotný ani plnění ostatních povinností správce, ale zaměřil by se především na to, zda zvolený způsob zpracování osobních údajů je adekvátní a přiměřený stanovenému účelu a zda nadbytečně a tedy neoprávněně zasahuje, či nikoliv do soukromého života subjektů údajů.

Z praktického hlediska je účelné odlišit dvě kategorie správců – subjekty soukromého a subjekty veřejného práva.

Subjekty soukromoprávní si v zásadě účel i způsob zpracování osobních údajů stanoví samy, pokud nejde o zpracování, které jim ukládá zákon, a to v duchu ústavního pravidla, že každý může činit to, co není zakázáno. Po zvolení účelu zpracování osobních údajů si proto mohou vybrat prostředky a způsoby, jimiž bude zpracování probíhat. Ještě před zahájením samotného zpracování dat, ve fázi úvah o jeho potřebnosti a parametrech, musí správce uvážit, zda je určitý způsob zpracování adekvátní stanovenému účelu, a to s ohledem ke všem okolnostem zamýšleného zpracování, nebo zda by do soukromí zasáhl vzhledem k účelu nepřiměřeně. Pokud by tak neučinil a prováděl zpracování osobních údajů tak, že by nadbytečně zasahoval do soukromí subjektů údajů, mohl by Úřad uplatnit své dozorové kompetence. Po provedené kontrole v rámci uložených opatření k nápravě by mohl takovéto zpracování osobních údajů, byť by bylo jinak perfektní, i zcela zakázat.

Subjekt veřejného práva, pokud vystupuje v této roli, může zásadně činit jen to, co mu zákon umožňuje, a to pouze zákonem stanoveným způsobem. Pokud tedy správce, veřejnoprávní subjekt, provádí zpracování osobních údajů jediným způsobem, které mu právní řád umožňuje, pak jedná z principu vždy po právu a o nelegální, neoprávněný zásah do soukromí ve smyslu § 5 odst. 3, příp. § 10 zákona o ochraně osobních údajů se jednat nemůže. Rovněž v těch případech, kdy je právem stanovený způsob zpracování ne zcela adekvátní jeho účelu, musí dotyčný správce osobní údaje určeným způsobem zpracovávat. V těchto případech nezbývá Úřadu, který nedisponuje zákonodárnou iniciativou, než své připomínky k takto nevhodné právní úpravě uplatňovat jinak než uplatněním svých dozorových kompetencí.

Veřejnoprávní subjekt v postavení správce proto může způsob a prostředky zpracování osobních údajů ovlivnit, resp. je nucen posuzovat jejich dopad na soukromí, pouze v případech, kdy mu právní řád dává na výběr z více způsobů zpracování, jakými může stanoveného cíle dosáhnout. V tomto případě je i tento správce povinen posoudit konkrétní případ, účel zpracování osobních údajů a další okolnosti, které se zpracování dotýkají, a zvolit takový způsob zpracování osobních údajů, který do soukromí subjektů údajů zasáhne v menší míře. V tomto případě argumentace tím, že správce provádí zpracování jedním ze způsobů, který mu zákon umožňuje, neobstojí. Každý správce, tedy i subjekt veřejného práva, má povinnost se při zpracování osobních údajů řídit také právními předpisy upravujícími ochranu osobních údajů, tedy i zákonem o ochraně osobních údajů. A pokud má na výběr z více možností zpracování osobních údajů a zvolí ten invazivnější, soukromí dotčených osob méně respektující způsob, poruší výše uvedená ustanovení zákona o ochraně osobních údajů a ocitá se v kolizi s tímto právním předpisem (např. poměrně častý požadavek na identifikaci osoby pomocí „data narození nebo rodného čísla“, kdy správci musí bez dalšího stačit datum narození, protože se jedná o údaj, který nezahrnuje další informace a do soukromí dané osoby zasahuje méně). V tomto případě by možné opatření uložené k nápravě nemohlo zpracování, které je prováděno na základě zákona o zmocnění, zakázat, mohlo by však v konkrétním případě zakázat jeden z jeho více možných způsobů.

Závěr

Každé zpracování osobních údajů představuje zásah do soukromí jednotlivce. Aby tento zásah a celé zpracování bylo legální, je třeba, aby správce ve všech případech, kdy je to možné, posoudil případné způsoby zpracování a zvolil ten, který do soukromí subjektů údajů zasáhne v nejmenší míře. V opačném případě nebude zpracování v souladu se zákonem o ochraně osobních údajů a správce se vystavuje riziku kontroly a uplatnění opatření k nápravě ze strany Úřadu s tím, že toto opatření může v krajním případě představovat i zákaz celého prováděného zpracování osobních údajů.[1] Právní stav k 1. lednu 2014.

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 21.3.2013 / 21.3.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém