Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka

 

Stanovisko č. 8/2006 - K využívání elektronických karet

 

Odkazy


 
 

říjen 2006


Poslední dobou se v různých institucích a v mnoha oblastech běžného života rozšířilo vydávání elektronických (čipových) karet, které např. umožňují uplatňovat slevy, vstupy do budov, či využívání různých služeb. Při výrobě těchto karet dochází téměř ve všech případech ke shromažďování osobních údajů. V souvislosti s touto skutečností se Úřad pro ochranu osobních údajů rozhodl vydat následující stanovisko, které vyjadřuje základní postoj Úřadu k této problematice.

     V současné době je vydáváno několik typů elektronických karet. Nejjednodušší je tzv. „bílá“ čipová karta, která často bývá nesprávně označovaná jako anonymní. Její anonymita spočívá v tom, že na kartě nejsou viditelně uvedeny identifikační údaje držitele karty (např. jméno, příjmení, fotografie). Z pohledu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“), by o anonymitě držitele karty bylo možné hovořit jen v případě, že by karta pouze umožňovala jejímu nositeli vstup do budovy, přístup do informačního systému (popř. využití nějaké služby), aniž by při jejím použití byl majitel jednoznačně identifikován. Systém by neidentifikoval držitele, ale pouze úroveň přístupových práv, které karta svému držiteli umožňuje, tedy v souvislosti s užíváním karty by nebyly zpracovávány žádné osobní údaje ve smyslu § 4 písm. a) a e) zákona o ochraně osobních údajů. Většina těchto „bílých“ karet je však personalizovaná. Znamená to, že umožňuje využívání specifických služeb jen konkrétnímu uživateli, např. vydávání obědů, zpětnou kontrolu oprávněnosti vstupu apod. Systém je pak schopen sledovat činnosti držitele „bílé“ karty stejným způsobem, jako činnosti majitele jakékoli jiné karty. V takovém případě je tedy nepochybně naplněno ustanovení § 4 písm. e), podle něhož se zpracováním osobních údajů rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky, a dochází tak ke zpracování osobních údajů.

     Dalším typem jsou jednoúčelové personalizované karty, jako jsou např. zákaznické, benefitní nebo předplatní. Při vydávání těchto karet rovněž dochází ke zpracování osobních údajů, neboť tyto karty jsou vázány na konkrétního uživatele, který je na kartě jednoznačně identifikován – většinou pomocí jména, příjmení, popř. fotografie.

Posledním, v současnosti nejužívanějším typem elektronických karet, jsou multifunkční karty, jež umožňují využívat více druhů služeb, poskytovaných různými subjekty.

V souvislosti se zpracováním osobních údajů v rámci poskytovaného produktu (služby), představuje karta vnější prostředek vzhledem k různě definovaným účelům. Podstatné je zpracování (databáze) osobních údajů, v souvislosti s nímž je karta vydána, a především účel tohoto zpracování, tedy nikoli karta sama. Ve většině případů jsou karty nástrojem sloužícím k provedení služby, tedy nástrojem zvoleným pro účely plnění smlouvy (smlouva o poskytnutí služby), která je uzavírána mezi poskytovatelem služby a subjektem údajů. Vydání karty a zpracovávání osobních údajů je tak výrazem smluvního vztahu uzavíraného z iniciativy subjektu údajů (podání žádosti o vydání karty), který spadá do výjimky § 5 odst. 2 písm. b) zákona o ochraně osobních údajů.  Podle něj může správce osobní údaje zpracovávat bez souhlasu subjektu údajů, jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření či o změně smlouvy uskutečněné na návrh subjektu údajů. Jedná se o akceptaci nabídky produktu se stanovenými parametry.

Existuje-li alternativní možnost, tedy možnost produkt využívat i bez čipové karty, zpracování osobních údajů je možné bez formálního souhlasu subjektu údajů, neboť výběrem produktu tak zákazník přistupuje na podmínky poskytovatele služby. V případě, že poskytování produktu je striktně vázáno na podmínku pořízení karty, je nutné rozlišovat zpracování osobních údajů pro různé účely.

Pro zpracování údajů nezbytně nutných pro vydání karty a pro plnění smlouvy platí výše uvedené, tedy možnost zpracování bez souhlasu. Pro zpracování údajů, které jde nad rámec nezbytnosti zpracování pro plnění smlouvy (zaznamenávání informací typu odkud a kam subjekt údajů cestuje, v kolik hodin chodí na obědy atd.), je, podle názoru Úřadu pro ochranu osobních údajů, třeba souhlasu subjektu údajů. Avšak i v případě získání souhlasu je nutné respektovat zásadu ochrany soukromí a osobního života, která stanoví hranici rozsahu zpracovávaných osobních údajů.

Vzhledem ke skutečnosti, že nabízený produkt (službu) lze využít pouze s kartou a bude-li rozsah zpracovávaných údajů zcela zjevně nepřiměřený stanovenému účelu, je možné zpochybnit svobodu poskytovaného souhlasu. A právě svoboda je podle § 4 písm. n) zákona o ochraně osobních údajů nezbytným atributem tohoto úkonu. Souhlas musí být také informovaný, jak ukládá § 5 odst. 4 zákona o ochraně osobních údajů, podle něhož musí být při udělení souhlasu subjekt údajů informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období.

Informování subjektu údajů však není vázáno pouze na úkon souhlasu. Informování subjektu údajů je nutné i v případech, kdy zákon o ochraně osobních údajů umožňuje zpracování bez souhlasu. Tuto povinnost stanoví § 11 zákona o ochraně osobních údajů. Splnění informační povinnosti vůči subjektům údajů, uživatelům karet, pak nabývá na významu zvláště tam, kde dané prostředí prakticky „nutí“ fyzické osoby si kartu pořídit a využívat ji v rámci daného systému nebo komunity.

V souvislosti s vydáváním a následným využíváním karet dochází, nebo může docházet, v drtivé většině případů k vytváření rozsáhlé databáze. Ta může, kromě identifikačních údajů potřebných pro vydání karty, obsahovat i údaje o využívání jednotlivých služeb, jež karta poskytuje, a to prostřednictvím počítačových systémů zapojených do daného projektu. Systém je pak schopen uchovávat všechny informace o činnosti držitele karty, které tato technologie umožňuje; např. údaje o tom, kdy nebo jak často chodí majitel karty (žák nebo student) do školy, ve škole dále na obědy, jak často a jak dlouho se držitel karty pohybuje po určité budově (nejen školy, ale třeba i kolejní budovy, knihovny atd.) – systém tak umožňuje velmi průkaznou možnost evidence docházky apod.

Shromažďování osobních údajů, k němuž dochází v souvislosti s vydáváním karet, popřípadě shromažďováním dalších údajů, týkajících se využívání karty, a jejich následné další zpracování podléhá nepochybně režimu zákona o ochraně osobních údajů. Z toho důvodu je třeba věnovat pozornost následujícím okruhům problémů.

V prvé řadě je třeba vymezit základní vztahy při zpracování osobních údajů, tedy kdo je v daném případě správcem a kdo zpracovatelem ve smyslu § 4 písm. j) a k) zákona o ochraně osobních údajů. Tento krok bude komplikovanějším u „multifunkčních“ karet. Musí být jednoznačně určeno, zda je vydavatel karty správcem a majitelé jednotlivých aplikací nebo funkcí karty a počítačových systémů zapojených do daného projektu jsou zpracovatelé, nebo zda všichni účastníci budou ve vztahu správce – správce, tedy že jedna (multifunkční) karta bude mít z pohledu zákona o ochraně osobních údajů několik správců osobních údajů, zpracovávaných při využívání karty jejím držitelem.

Nastavení vzájemných vztahů mezi vydavatelem karty a dalšími účastníky je plně v jejich rukou, nelze proto předjímat, doporučovat či dokonce nařizovat, kdo bude v postavení správce, případně zpracovatele. Ve velké většině případů platí, že vydavatel karty je správcem. Jednotliví účastníci zapojení do systému mohou mít postavení zpracovatele, nebo také všichni účastníci budou ve vztahu správce – správce, popřípadě je možné, že vydavatel karty bude v postavení správce a zároveň i zpracovatele pro další subjekty – samostatné správce.

Pokud by se ve vztahu objevil zpracovatel, bylo by nutné uzavřít mezi správcem a zpracovatelem zpracovatelskou smlouvu podle § 6 zákona o ochraně osobních údajů, která musí být písemná a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Tato smlouva také musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.

Musí být také zajištěno, aby osobní údaje, zpracovávané v rámci aplikací, byly chráněny tak, že k údajům z jednotlivých aplikací budou mít přístup pouze jejich správci, že každý správce bude mít přístup pouze do své aplikace. Je zcela nepřípustné, aby údaje byly přístupné v plném rozsahu všem správcům, jejichž aplikace se na kartě vyskytuje, či dokonce, aby údaje byly nějakým způsobem sdružovány. Nastavení přístupů vždy musí odpovídat nastavení vzájemných vztahů, a to tak, aby byla naplněna všechna ustanovení zákona o ochraně osobních údajů, v tomto případě především § 13. Správce, popřípadě zpracovatel, musí také zajistit, aby výrobce karty zlikvidoval po skončení prací veškeré poskytnuté údaje a zpracování tak ukončil.

Správné určení postavení jednotlivých účastníků projektu je východiskem pro plnění dalších povinností podle zákona o ochraně osobních údajů. Zpracování osobních údajů při vydávání karet ve většině případů podléhá oznamovací povinnosti podle § 16 zákona o ochraně osobních údajů, kterou je povinen splnit správce osobních údajů. Oznamovací povinnost nemusí správce plnit pouze v případě, že je možné na jím prováděné zpracování uplatnit některou z výjimek stanovenou § 18 odst. 1 zákona o ochraně osobních údajů (např. v případě, kdy zaměstnatel vydá kartu svým zaměstnancům za účelem kontroly docházky. Zaměstnavatel tak plní svou zákonnou povinnost a karta je pouze zvoleným prostředkem zákonného zpracování).

Je tedy zjevné, že elektronické karty jsou ve většině případů pouze prostředkem nebo nástrojem pro zpracování osobních údajů, a to v souvislosti s poskytováním služeb. Jsou-li pak jakékoli osobní údaje v souvislosti s touto službou dále zpracovávány, musejí osoby, které tyto technické prostředky svým zákazníkům (klientům) nabízejí, mít na zřeteli, že se jedná o zpracování osobních údajů, které je zcela podřízeno režimu zákona o ochraně osobních údajů. Musejí si být také vědomy skutečnosti, že z toho pro ně vyplývají jejich povinnosti. V konkrétních případech se může jednat o získání souhlasu se zpracováním osobních údajů. Je třeba mít na paměti, že informační povinnost takové osoby postihuje v každém případě, a samozřejmě musejí být respektovány také další povinnosti vyplývající pro správce, resp. zpracovatele osobních údajů, a to zejména podle ustanovení § 5 odst. 1 a 2 zákona o ochraně osobních údajů.

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 21.3.2013 / 21.3.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém