Ochrana osobních údajů. GDPR se blíží

Úvodem

Podle čl. 2 odst. 4 Ústavy (ústavní zákon č. 1/1993 Sb.) „Každý občan může činit, co není zákonem zakázáno, a nikdo nesmí být nucen činit, co zákon neukládá.“

Listina základních práv a svobod (ústavní zákon č. 2/1993 Sb.) jde ve vymezení těchto práv ještě dále a v čl. 10 uvádí, že každý má právo

• aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno,
• na ochranu před neoprávněným zasahováním do soukromého a rodinného života, na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě a
• právo na ochranu osobních údajů,

přitom musí být respektováno právo občana na ochranu osobních údajů, která je součástí práva na soukromí a ochranu osobnosti.

Do této oblasti vnáší podstatné změny nařízení Evropského parlamentu a Rady (EU) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Nařízení je anglicky označované General Data Protection Regulation (dále jen GDPR), jeho účinnost nastane 25. května 2018.

Ochranu osobních údajů nelze však posuzovat izolovaně. Vedle Ústavy a Listiny základních práv a svobod, které jsou ústavněprávním základem práva občana na ochranu osobnosti, musíme vzít v úvahu i další naše předpisy. Vyjmenujme si alespoň ty v praxi nejčastěji používané:

• občanský zákoník č. 89/2012 Sb. (dále jen OZ),

• zákon č. 101/2000 Sb., o ochraně osobních údajů (dále jen ZOÚ),
• zákoník práce č. 262/2006 Sb. (dále jen ZP),
• školský zákon č. 561/2004 Sb. (dále jen ŠZ).

Občanský zákoník

Občanský zákoník vychází z přirozenoprávní teorie a z toho důvodu nechápe osobnost člověka jako „přívěsek“ právní subjektivity, ale právní subjektivita je naopak pojata jako důsledek osobnosti člověka jako takového. Z toho důvodu zákon důsledně garantuje veškerá přirozená práva člověka, ať již jsou v zákoně výslovně vzpomenuta nebo ne.

Jedním z klíčových pojmů OZ je pojem osoby, tedy právního subjektu, k níž se vztahují práva a povinnosti jako účinky právního řádu. S osobou je spojena kategorie právní osobnosti (personnalité juridique).

Člověk má přirozené a mezinárodně uznané právo na to, aby byla všude uznávána jeho právní osobnost (čl. 6 Všeobecné deklarace lidských práv a Pakt o občanských a lidských právech č. 120/1976 Sb.). Pozitivní právo, ke kterému se OZ hlásí, tudíž nemá možnost odmítnout uznání právní osobnosti člověka.

Důstojnost člověka, jeho hodnota jako osoby, je ústřední prvek, k němuž celková koncepce osnovy zákoníku směřuje a kterou je třeba chránit.

Proto také OZ upravuje právo člověka na jméno, zejména ale na jeho ochranu. Jméno člověka je jeho osobní jméno a příjmení, popřípadě jeho další jména a rodné příjmení, která mu podle zákona náležejí. Každý člověk má právo užívat své jméno v právním styku, stejně jako právo na ochranu svého jména a na úctu k němu. 

Občanský zákoník stanoví tedy základní a nejobecnější zásady ochrany osobnosti v našem právním řádu vůbec. Další zákony, zejména ZOÚ a zákon č. 301/2000 Sb., o matrikách, o jménu a příjmení a o změně některých souvisejících zákonů, jsou již speciálními zákony k tomuto obecnému kodexu civilního práva vůbec.

Zákon o ochraně osobních údajů

Východiskem celé právní úpravy ochrany osobních údajů v ZOÚ je samozřejmě Listina základních práv a svobod, nicméně zákon navazuje i na předchozí zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Jako v každém odvětví práva, i ochrana osobních údajů je regulována právem ES. V daném případě se jedná o Směrnici č. 95/46/EC Evropského parlamentu a Rady z roku 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat a Úmluvu č. 108 Rady Evropy na ochranu osob ve vztahu k automatizovanému zpracování dat z roku 1981. 

Listina základních práv a svobod zaručuje nedotknutelnost osob a jejich soukromí. Tato nedotknutelnost může být omezena jen v případech stanovených zákonem. Listina dává každému právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno, právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života a právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.

Zároveň je každému dána možnost domáhat se stanoveným postupem svého práva u nezávislého a nestranného soudu a ve stanovených případech u jiného orgánu. Dále každý, kdo tvrdí, že byl na svých právech zkrácen rozhodnutím orgánu veřejné správy, se může obrátit na soud, aby přezkoumal zákonnost takového rozhodnutí, nestanoví-li zákon jinak.

Zákon o ochraně osobních údajů upravil ochranu osobních údajů, zejména povinnosti související s ochranou informací, pouze při provozování informačních systémů nakládajících s osobními údaji. V případě manuálního nakládání s osobními údaji je nutné zákon přiměřeně aplikovat. Dále stanovil odpovědnost provozovatelů takových informačních systémů a dalších fyzických a právnických osob účastnících se provádění činností souvisejících s provozováním informačních systémů. Neupravil, či upravil pouze částečně řadu dalších oblastí, například dostatečnou ochranu osobních údajů vypovídajících o osobnosti a soukromí, povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech, oznamovací povinnost nakládání s osobními údaji u kontrolního orgánu subjektem, který hodlá nakládat s osobními údaji, možnost zásahu kontrolního orgánu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika, sankce za porušování zákona a předávání údajů do jiných zemí.

GDPR a ZOÚ

Obecné nařízení představuje nový právní rámec osobních údajů v Evropě, který bude od 25. května 2018 stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektů údajů (fyzických osob) ve všech státech Evropské unie včetně Islandu, Norska a Lichtenštejnska. V právní praxi známe, jak jednotlivé směrnice ES (Evropského parlamentu nebo Rady) transponujeme do našich zákonů. GDPR je však přímo použitelný předpis, který v uvedený den 25. května 2018 nahradí z větší části ZOÚ.

Zákon o ochraně osobních údajů bude novelizován a do budoucna bude upravovat pouze otázky týkající se Úřadu pro ochranu osobních údajů a některé dílčí otázky, které GDPR umožňuje řešit vnitrostátní právní úpravou (jedná se o zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby).

Cílem GDPR je přizpůsobení právního rámce ochrany osobních údajů dnešní době, dosažení větší jednoty právního rámce ve všech výše jmenovaných zemích a posílení práv subjektů údajů. Současný právní rámec, založený směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o volném pohybu těchto údajů, již přestal odpovídat současné době, zejména pokud jde o prostředky, které jsou ke zpracování využívány a též i pokud jde o zpracování jako takové, které je daleko komplexnější, než bylo před několika desítkami let (např. v oblasti automatizace zpracování osobních údajů).

Jak jsme si uvedli, GDPR  v podstatě v České republice nahradí obsah ZOÚ. V tomto směru není mezi GDPR a zákonem rozdíl, oba právní předpisy stanovují práva a povinnosti. Určitou zvláštností GDPR je jeho Preambule, která obsahuje tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení a tato ustanovení jsou v některých případech výkladem či do jisté míry důvodovou zprávou k některým ustanovením vlastního textu GDPR. V praxi se proto bude muset při výkladu jednotlivých ustanovení GDPR brát do úvahy i příslušné recitály, které se ke konkrétním článkům GDPR vztahují.

Po 25. květnu 2018 bude tak v České republice tvořit kompletní právní rámec ochrany osobních údajů GDPR a novelizovaná ZOÚ.

Z působnosti GDPR jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovány osobní údaje výlučně pro osobní či domácí činnost. Dále je z působnosti GDPR vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestu, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Je však třeba konstatovat, že nabytím účinnosti GDPR nedojde k žádné revoluci v oblasti práva na ochranu osobních údajů. GDPR navazuje na zásady a cíle zpracování a ochrany osobních údajů ve směrnici 95/46/ES a sleduje pouze překonání stávající roztříštěnosti v provádění ochrany osobních údajů v EU. Z jednoduchého porovnání obsahu GDPR a směrnice 95/46/ES je zřejmé, že jsou používány stejné definice klíčových pojmů (osobní údaj, subjekt údajů, zpracování – čl. 2 směrnice 95/46/ES a čl. 4 GDPR) a obdobně formulované, obsahově velmi blízké, zásady zpracování (čl. 5 a 6 GDPR a čl. 6 a 7 směrnice 95/46/ES). Pravidla pro ty, kdo osobní údaje zpracovávají, tedy správce a zpracovatele, jsou podrobnější a vesměs přesnější než ve výrazně stručnější směrnici 95/46/ES a ZOÚ. Správcům jsou ukládány některé nové povinnosti - ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a ohlašování téhož dotčeným subjektům údajů a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů. Oproti současné obecné formulaci povinností při zabezpečení zpracování v § 13 ZOÚ jsou v GDPR akcentovány „technické prostředky“ a jmenovitě určené technologie - pseudonymizace a šifrování, obnova dostupnosti, pravidelné testování a hodnocení účinnosti zavedených opatření.  Podstatné je i to, že ve všech povinnostech správců a zpracovatelů se promítají konstrukční zásady záměrné a standardní ochrany a přístupu založeného na riziku, které se uplatňují rovněž současně - např. v povinnosti posuzovat vliv jednotlivých zpracování na ochranu osobních údajů.

Také práva těch, jejichž osobní údaje musí být chráněny, tedy subjektu údajů podle směrnice 95/46/ES jsou zachována a nově upravena podrobněji, s tím, že jedinou skutečnou novinkou je právo na přenositelnost údajů podle čl. 20 GDPR. Jako novinka v právech subjektu údajů je ovšem v současné době v České republice prezentováno právo na výmaz podle článku 17 GDPR, často pod alternativním názvem „právo být zapomenut“. Novinka v ochraně osobních údajů v členských státech EU to není; právo existuje podle čl. 14 směrnice 95/46/ES a v českém právním řádu je nalezneme v ZOÚ od jeho schválení v roce 2000.

Nové přístupy GDPR

Nové nařízení GDPR je založeno na dvou nových přístupech, na principu odpovědnosti správce a na přístupu založeném na riziku.

Princip odpovědnosti je podle čl. 5 GDPR ve vztahu k subjektu údajů, osobní údaje musí být zpracovávány korektně, zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“) a shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu se musí přizpůsobit i zabezpečení osobních údajů. V užším slova smyslu můžeme hovořit o přístupu založeném na riziku jako o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby. V tomto rozsahu princip založený na riziku se uplatňuje zejména u nových povinností ohlašování, resp. oznamování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů. V případě kdy k porušení zabezpečení osobních údajů nedojde, není třeba se ničeho obávat.

Závěrem

V souvislosti s výkladem GDPR ale není možno zapomenout na naši vnitrostátní právní úpravu, především na OZ. Ten má velké pasáže věnované jménu a podobě člověka, osobnosti člověka a soukromí.

Jak jsme si uvedli výše, OZ vychází v ustanovení § 81 („Chráněna je osobnost člověka včetně všech jeho přirozených práv. Každý je povinen ctít svobodné rozhodnutí člověka žít podle svého.“) ze základních ústavních práv člověka na ochranu jeho osobnosti a stanoví, že ochrany požívají zejména život a důstojnost člověka, jeho zdraví a právo žít v příznivém životním prostředí, jeho vážnost a čest, soukromí a jeho projevy osobní povahy. Přitom zvlášť klade důraz na ochranu podoby člověka a jeho soukromí.

Mnoho zásadních zásad ochrany zaměstnance se vyskytuje i v ZP – např. ustanovení § 316 odst. 4 ZP, které vyjmenovává informace, které zaměstnavatel nesmí od zaměstnance v souvislosti s pracovněprávním vztahem vyžadovat, nebo § 316 odst. 2 ZP, podle kterého zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci. Zásadně platí, že kamery může zaměstnavatel použít pouze tehdy, pokud nedojde k zásahu do ochrany soukromí zaměstnance a pokud účelu, kterého tím zaměstnavatel sleduje (např. zajištění bezpečnosti a ochrany zdraví zaměstnanců) nelze dosáhnout jinak. To vše jsou principy obsažené v GDPR

Proto v řadě zásad bude GDPR naplňováno i naší vnitrostátní právní úpravou – občanským zákoníkem, zákoníkem práce a školským zákonem.

V souladu s přijetím GDPR mají členské státy EU povinnost oznámit Komisi (ES) do 25. května 2018 příslušná ustanovení svých právních předpisů, která k tomu účelu přijmou, a to se ještě nestalo.

U nás se musí především vyčkat na novelu ZOÚ, protože ten bude muset být značně změněn, protože GDPR je z pohledu práce EU přímo použitelný předpis. V ostatních zákonech, jako například v zákoníku práce nebo ve školském zákoně, nedojde v této souvislosti k žádným změnám.