Úřad pro ochranu osobních údajů

říjen 2013

Úvod

V souvislosti s nabytím účinnosti nové právní úpravy uchovávání a využívání provozních a lokalizačních údajů o elektronických komunikacích ze strany poskytovatelů služeb elektronických komunikací (dále jen „poskytovatelé“), která je obsažena zejména v zákoně č.  273/2012 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony, jakož i v jeho prováděcí vyhlášce č. 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů, se objevil problém s odmítáním přístupu k informacím o zpracování osobních údajů (konkrétně údajů provozních a lokalizačních[1]) subjektům údajů ze strany poskytovatelů, kteří údaje jako správci zpracovávají.

Povinnost poskytovat informace subjektu údajů

Ačkoli povinnost uchovávat provozní a lokalizační údaje je uložena zvláštním zákonem, konkrétně  § 97 odst. 3 zákona č. 127/2005 Sb., tak tento zákon výslovně neupravuje přístup subjektu údajů k těmto údajům. Právo subjektu údajů na přístup k osobním údajům vztahujícím se k jeho osobě je dáno v § 12 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. V praxi tak poskytovatelé odmítali poskytnout informace subjektům údajů s odkazem na skutečnost, že v § 97 odst. 3 zákona č. 127/2005 Sb. je přesně definován okruh subjektů, kterým mohou být údaje zpracovávané podle tohoto ustanovení předávány (Policie ČR, Bezpečnostní informační služba, Vojenské zpravodajství, Česká národní banka). Zákon č. 127/2005 Sb. pak považovali za zvláštní zákon ve vztahu k obecné úpravě zpracování osobních údajů v zákoně č. 101/2000 Sb., jehož aplikace je podle názoru těchto poskytovatelů vyloučena.

Tento názor není podle Úřadu pro ochranu osobních údajů (dále jen „Úřad“) správný. Kolizní pravidlo lex specialis derogat legi generali lze uplatnit na konkrétní ustanovení zákona č. 127/2005 Sb. v případě, že upravují stejný právní institut jako obecný předpis, nikoli na zákon jako celek. Zákon č. 127/2005 Sb. neobsahuje konkrétní ustanovení, které by v případě provozních a lokalizačních údajů vylučovalo nebo modifikovalo oprávnění subjektu údajů k přístupu ke svým osobním údajům podle § 12 zákona č. 101/2000 Sb., proto je právo subjektu údajů na přístup ke svým osobním údajům plně zachováno.

Vedle výše zmíněného důvodu odmítnutí žádostí se dále objevil názor, že na uvedené zpracování lze vztáhnout výjimku dle § 3 odst. 6 zákona č. 101/2000 Sb., který uvádí, že § 12 tohoto zákona se nevztahuje na zpracování osobních údajů nezbytná pro plnění povinností správce stanovených zvláštními zákony mimo jiné pro zajištění bezpečnosti ČR, obrany ČR, veřejného pořádku a vnitřní bezpečnosti nebo předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů. O uvedené výjimce však nelze uvažovat v případech, kdy poskytovatel zpracovává plošně osobní údaje týkající se všech uživatelů služeb bez rozdílu za různými účely stanovenými zvláštními zákony a na vyžádání oprávněných subjektů je těmto subjektům předá.

Zásadní pro plnění povinnosti poskytnout informace o zpracovávaných osobních údajích je dále obsah poskytované informace. V daném případě je třeba dle názoru Úřadu poskytnout vždy konkrétní zpracovávané osobní údaje a nebude stačit sdělit subjektu údajů pouze kategorie těchto osobních údajů. Jedině tak bude naplněno právo subjektu údajů na přístup k osobním údajům a umožněno mu uplatnit další jeho práva dle § 21 zákona č. 101/2000 Sb.

Povinnost poskytovat informace o zpracování osobních údajů subjektu údajů dle § 12 zákona č. 101/2000 Sb. se tak vztahuje na všechny poskytovatele. Výjimkou je povinnost poskytovatelů a jejich zaměstnanců zachovávat mlčenlivost o skutečnosti, že došlo k poskytnutí provozních a lokalizačních údajů oprávněným subjektům dle § 97 odst. 8 zákona č. 127/2005 Sb., tedy povinnost poskytnout informaci o příjemci údajů, kterým bude subjekt spadající pod ustanovení § 3 odst. 6 zákona č. 101/2000 Sb. [2]

Řešení otázky totožnosti žadatele a subjektu údajů

Pro praktickou aplikaci § 12 zákona č. 101/2000 Sb. je nezbytné rozlišovat subjekt údajů, tedy skutečného uživatele služby, jehož osobní údaje jsou zpracovávány, a smluvní stranu smlouvy o poskytování služby. Typickým příkladem, kdy tyto subjekty nejsou shodné, je případ, kdy zaměstnanci užívají mobilní telefony poskytnuté zaměstnavatelem, který je smluvní stranou smlouvy o poskytování služeb uzavřené s poskytovatelem.

Při plnění povinnosti poskytnout subjektu údajů informace o zpracování jeho osobních údajů v souladu s § 12 zákona č. 101/2000 Sb. musí proto poskytovatelé dodržovat povinnost zabezpečit osobní údaje před nahodilým nebo neoprávněným přístupem podle § 13 zákona č. 101/2000 Sb. Za tento neoprávněný přístup by bylo možno považovat poskytnutí informací o zpracování osobních údajů osobě, která nebude subjektem údajů (tj. nebude se jednat o její lokalizační údaje), případně bez zákonného zmocnění v § 97 odst. 3 zákona č. 127/2005 Sb. Poskytovatelé by tak měli vyvinout maximální úsilí, které po nich lze spravedlivě požadovat, aby ověřili skutečnost, že osoba žadatele, které budou informace poskytnuty, je zároveň subjektem údajů, uživatelem služby.

Z možných variant lze ve stručnosti zmínit, že v případě, kdy jedna fyzická osoba má uzavřenu pouze jednu smlouvu (a to i jako podnikatel), je možné vycházet z toho, že zpracovávané provozní a lokalizační údaje se týkají tohoto subjektu. Obdobné jsou případy, pokud bude mít jedna fyzická osoba více smluv, z nichž jedna se bude například týkat poskytování hlasových a druhá datových služeb (zejména pokud lokalizační údaje budou totožné). Jiným případem je, pokud je na jednu smlouvu uživatele navázáno více účastnických čísel v rámci rodiny; v takovém případě lze poskytnout informace pouze ve vztahu k účastnickému číslu hlavního uživatele (lze-li jej určit), údaje o ostatních účastnických číslech již nikoliv, neboť není zřejmé, jaké číslo užívá konkrétní člen rodiny.

Mezi případy, kdy není zřejmé, kdo je konkrétním uživatelem daného telefonního čísla, poté bude patřit smlouva uzavřená právnickou osobou, více smluv uzavřených jednou fyzickou osobou (s výjimkou výše uvedených případů), nebo užívání předplacené karty, která nebude registrována na konkrétního uživatele.

Při vlastním příjmu žádosti by měl poskytovatel ověřit totožnost žadatele (nejlépe osobně na pobočce). Při vlastním příjmu žádosti musí být pro poskytnutí informace zvolen takový postup, který subjektu údajů umožní reálně svého práva využít. Proto nelze např. nutit subjekt údajů dostavit se do centrály poskytovatele, ale ten může využít svých distribučních kanálů a poboček k předání informace žadateli. Pro ověření, zda uživatel skutečně užívá dané účastnické číslo lze např. na toto číslo zaslat autorizační kód, na jehož základě následně ke zpřístupnění údajů dojde. V případě důvodných pochybností, zda se subjekt údajů shoduje se žadatelem, je třeba upřednostnit právo na ochranu osobních údajů před rizikem předání osobních údajů neoprávněné osobě a situaci řešit například osobním jednáním se žadatelem, který se poskytovateli může přímo identifikovat.

Dále lze doporučit při předání žadateli vlastní provozní a lokalizační údaje šifrovat s tím, že klíč k těmto údajům mu bude zaslán jiným způsobem, než samotné údaje. Uvedené vyplývá z povinnosti poskytovatele zajistit bezpečnost údajů po celou dobu až do jejich předání subjektu údajů.

Úhrada nákladů

Je také nutné zdůraznit, že ačkoliv má poskytovatel dle § 12 odst. 1 povinnost poskytnout žadateli (subjektu údajů) informaci bez zbytečného odkladu, má současně právo za poskytnutí informace podle § 12 odst. 3 zákona č. 101/2000 Sb. požadovat přiměřenou úhradu nákladů nezbytných na poskytnutí informací.

Závěr

Subjekt údajů má vždy právo na informace o svých zpracovávaných osobních údajích, resp. právo na přístup k nim, a toto jeho právo se vztahuje i na provozní a lokalizační údaje shromažďované poskytovateli služeb elektronických komunikací. Výjimkou je informace o příjemci osobních údajů ze zákona (např. Policii České republiky), neboť ta by mohla ohrozit jiný právem chráněný zájem, např. vyšetřování trestné činnosti.

Správce musí vždy ověřit, zda osobní údaje poskytuje tomu subjektu údajů, kterého se týkají tak, aby nedošlo k neoprávněnému zásahu do soukromí. Dále musí předávané osobní údaje řádným způsobem zabezpečit.

Správce nesmí podmiňovat poskytnutí informace zaplacením nákladů, ale tyto náklady může vymáhat následně.