Ochrana osobních údajů v životě podnikatele - 103 řešení modelových situací

edice právo 1. vydání JUDr. Václav Bartík JUDr. Eva Janečková OCHRANA OSOBNÍCH ÚDAJŮ V ŽIVOTĚ PODNIKATELE 103 ŘEŠENÍ MODELOVÝCH SITUACÍ • základní pojmy a výjimky z působnosti zákona • omezení při práci s osobními údaji • povinnosti a rizika při zpracování osobních údajů • praktická doporučení

© JUDr. Václav Bartík, JUDr. Eva Janečková, 2013 © Nakladatelství ANAG, 2013 ISBN 978-80-7263-811-6 V případě, že dojde k významným legislativním změnám v období mezi jednotlivými vydáními publikace, vyhledejte její aktualizaci na našich internetových stránkách www.anag.cz Aktualizaci zašleme zdarma na vyžádání anag@anag.cz, tel.: 585 757 411

3 OBSAH Úvod ...............................................................................................................5 Seznam zkratek...............................................................................................9 1. Osobní údaj ............................................................................................10 2. Výjimky z působnosti ZoOU ..................................................................29 3. Subjekt údajů.........................................................................................33 4. Vybrané aplikační problémy související s pojmem „zpracování osobních údajů“................................................35 5. Zveřejňování osobních údajů.................................................................39 6. Smlouva o zpracování ............................................................................50 7. Informační povinnost.............................................................................53 8. Povinnosti osob při zabezpečení osobních údajů .................................59 9. Oznamovací povinnost...........................................................................71 10. Předávání osobních údajů do zahraničí................................................85 11. Likvidace osobních údajů......................................................................96 12. Rozesílání obchodních sdělení podle zákona č. 480/2004 Sb............. 104 13. Zpracování osobních údajů klientů..................................................... 114 13.1 Zákaznické karty ............................................................................. 114 13.2 Registry dlužníků ............................................................................ 115 13.3 Marketing........................................................................................120 14. Rodná čísla...........................................................................................125 15. Zpracování osobních údajů v personalistice ....................................... 134 16. Role Úřadu pro ochranu osobních údajů............................................. 151 Přílohová část Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů ....................... 156 Zákon č. 328/1999 Sb., o občanských průkazech, ve znění pozdějších přepisů ........................................................................ 184 Obsah

4 Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů ...................................................................... 186 Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů ...... 187 Zákon č. 262/2006 Sb., zákoník práce........................................................ 190 Seznam použité literatury a materiálů Úřadu pro ochranu osobních údajů ............................................................. 193 Věcný rejstřík.............................................................................................. 197 Obsah

5 ÚVOD V současné době jsou informace, a tedy také informace o fyzických oso- bách, v pojmosloví zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, o subjektech údajů, předmětem zájmu mno- hých. Na jedné straně se jedná o nutnost, resp. povinnost tam, kde nějaké informace o fyzických osobách mít ukládá subjektu, ať už soukromému nebo z oblasti veřejné správy v širším slova smyslu, nějaký právní předpis, vesměs tedy zákon, na straně druhé se jedná o zájem, chtění, zvědavost nebo i nějaký méně ušlechtilý zájem nebo cíl. Zcela vědomě zde užíváme slova „informace“. I tento pojmem, v zásadě obecný, má v našem právním řádu v řadě případů svůj právní obsah a je i definován. V zákoně o ochraně osobních údajů je pak postulována definice, která pomocí tohoto pojmu definuje osobní údaj. Nelze nezmínit, že řada informací je chráněna, a to i zvláštním způsobem, resp. přístupem. Tak např. zákon o ochraně utajo- vaných informací, velmi zjednodušeně řečeno, chrání státem vyhrazené informace, které nejsou obecně přístupné. Z opačného pohledu je třeba zmínit zákon o svobodném přístupu k informacím, který naopak principálně stanoví, že informace z oblasti veřejné zprávy přístupné jsou, až na tímto zákonem stanovené výjimky. Zákon o ochraně osobních údajů jako právní předpis z oboru práva veřejného pak stanoví, jak s informacemi, které jsou osobními údaji, nakládat, tedy je zpracovávat. Dlužno konstatovat, že tento zákon je určen k ochraně soukromí subjektu údajů, tedy fyzických osob, jak ostatně přímo plyne z jeho § 11) . Pojem soukromí je pak třeba vykládat v jeho ústavním významu, jak plyne z Listiny a jejího čI. 10 odst. 2, kde se hovoří výslovně o soukromém a rodinném životě, včetně zajištění ochrany listov- ního tajemství, domovní svobody a obydlí, ochrany před odposloucháváním telefonů, ať již v soukromém bytě, či v prostorách, jako jsou např. advo- kátní kanceláře, zajištění ochrany tajemství údajů o fyzické osobě, jakož i o ochraně jejího obydlí2) . Podle nálezu Ústavního soudu3) je právo na ochranu osobního sou- kromí právem fyzické osoby rozhodnout podle vlastního uvážení zda, 1) Tento zákon v souladu s právem Evropských společenství, mezinárodními smlouvami, kterými je Česká republika vázána, a k naplnění práva každého na ochranu před neoprávněným zasa- hováním do soukromí, upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států. 2) ŠVESTKA, J. – SPÁČIL, J. – ŠKÁROVÁ, M. – HULMÁK, M. a kol. Občanský zákoník I. § 1 – 459. Komentář. 1. vydání. Praha: 2008, s. 124. 3) II. ÚS 517/99. Úvod

6 popř. v jakém rozsahu a jakým způsobem, mají být skutečnosti jejího osob- ního soukromí zpřístupněny jiným subjektům, a zároveň se bránit (vze- přít) proti neoprávněným zásahům do této sféry ze strany jiných osob. Přílišná akcentace pozitivní složky práva na ochranu soukromého života vede k neadekvátnímu zúžení ochrany pouze na to, aby skutečnosti sou- kromého života fyzické osoby nebyly zpřístupňovány bez jejího souhlasu či bez důvodu uznávaného zákonem, a tak nebyla narušována integrita vnitřní sféry, která je pro příznivý rozvoj osobnosti nezbytná. Ústavní soud nesdílí toto zúžené pojetí, neboť respektování soukromého života musí do určité míry zahrnovat právo na vytváření a rozvíjení vztahů s dalšími lidskými bytostmi. Součástí soukromého života je též rodinný život za- hrnující i vztahy mezi blízkými příbuznými, když k rodinnému životu patří nejen sociální a morální vztahy, ale také zájmy materiální povahy (např. vyživovací povinnost). Respektování takto pojatého rodinného života zahrnuje závazek státu jednat způsobem umožňujícím normální rozvoj těchto vztahů. Zákon o ochraně osobních údajů tak vlastně provádí Listinu a její limity, pokud se týká osobních údajů a jejich zpracování. Ochrana osobních údajů – tak, jak je dnes zakotvena v právním řádu České republiky a prakticky všech států, na něž se Česká republika politicky orientuje, a mezinárodních organizací – si neklade za cíl absolutně bránit po- užívání osobních údajů jiných lidí; jejím jediným deklarovaným a s větším či menším úspěchem naplňovaným cílem je zabránit zneužití osobních údajů a zároveň umožnit zpřístupnění osobních údajů k legálním účelům.4) Je také nutné si uvědomit, že ochrana osobních údajů nestojí v našem právním řádu samostatně, ale je součástí mnohem širší oblasti, a tou je ochrana soukromí. Ochrana soukromí se v poslední době stala nedílnou součástí našeho života. Jako obecný fenomén je stále častěji vnímána jako něco, co vyžaduje zvláštní pozornost. Je jí – zejména v posledních několika letech – věnována značná pozornost i státem samotným. To se projevuje např. tím, že řada právních předpisů obsahuje zvláštní ustanovení týkající se ochrany soukromí a osobního života nebo ochrany osobních údajů, jsou stanovovány daleko přesnější limity pro to, kdo a k jakým informacím má či může mít přístup atd. Navenek se tedy běžnému občanovi může zdát, že stát na sebe přebírá jistou roli ochránce soukromí. Lze tak vypozorovat tendence spoléhat se na stát při ochraně práv v oblasti ochrany soukromí. Vzhledem k tomu, že se většině osob může jevit soudní ochrana neefektivní, ať už z důvodů nákladnosti, délky řízení či nutnosti vyhledat pomoc práv- níků, mohlo by jistě leckoho napadnout využít právě státu, a to prostřed- 4) Tamtéž, s. 2. Úvod

7 nictvím specializovaných úřadů (např. Úřad pro ochranu osobních údajů, veřejný ochránce práv atd.).5) Otázku soukromí a jeho ochrany je však třeba položit jinak: jaké mož- nosti člověk má, aby si soukromí ochránil tam, kde není nezbytně nutné, aby se jej vzdal. Nejjednodušší odpověď na ni je, že si má soukromí prostě sám chránit. Problém je však v tom, že prostředky, jimiž jednotlivec disponuje, jsou obvykle chabé v porovnání s těmi, jimiž disponují ti, kteří do soukromí mohou zasahovat. Proto musí existovat právní ochrana tohoto slabšího partnera, která stanoví, za jakých podmínek smí být do jeho soukromí in- tervenováno. Soukromí je institutem, který prochází napříč právním řádem, ochranu mu poskytuje právo trestní, občanské, pracovní i předpisy jiných právních odvětví. Taková úprava je nezbytná především ve vztazích vertikál- ních, tedy tam, kde vůči jednotlivci vystupují orgány veřejné moci, pro které platí v právním státě zásada, že mohou jen to, co jim zákon výslovně dovo- luje. Ochranu je však třeba soukromí jednotlivců poskytovat i ve vztazích horizontálních, kde vůči sobě vystupují jinak rovnoprávní partneři, kteří mohou vše, co jim zákon nezakazuje. Právní úprava musí ovšem řešit i jiné problémy, zejména konkurenci různých práv, především pak práva na sou- kromí na straně jedné a práva na informace na straně druhé.6) Smyslem zákona o ochraně osobních údajů je realizovat právě také Lis- tinou zaručené právo na ochranu občana před neoprávněným zasahováním do jeho soukromého a osobního života neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů7) . Jak je shora uvedeno, zákon o ochraně osobních údajů jako obecný právní předpis regulující, resp. stanovící pravidla zpracování osobních údajů se týká prakticky každého subjektu8) , který osobní údaje zpracovává, tedy i subjektů podnikatelských. Každý podnikatel dnes ví, že v rámci podnikání musí respektovat a dodržovat řadu právních předpisů. Daňové zákony, zá- 5) BARTÍK, V. – JANEČKOVÁ, E.: Zveřejňování osobních údajů periodickým tiskem. In: Právní rozhledy 2/2009, s. 60 a násl. 6) MATES, P.: Ochrana soukromí ve správním právu. Praha: Linde, 2004, s. 8. 7) BARTÍK, V. – JANEČKOVÁ, E.: Zákon o ochraně osobních údajů s komentářem. Olomouc: ANAG, 2010, s. 13. 8) § 3 ZoOU (1) Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby. (2) Tento zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. (3) Tento zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu. Úvod

34 OCHRANA OSOBNÍCH ÚDAJŮ V ŽIVOTĚ PODNIKATELE činnosti fyzických osob podnikajících nepožívají ochrany podle ZoOU. Ale aby to nebylo tak jednoduché, tak např. Nejvyšší správní soud v jednom ze svých rozsudků (sp. zn. 1 Afs 60/2009) s odkazem na evropskou judikaturu konstatuje, že utajeným pořízením audiovizuálního záznamu uvnitř vozidla veřejná moc zasahuje do práva na respektování soukromého života taxikáře. Lze tedy s jistou opatrností shrnout, že ZoOU může být jako obecný předpis aplikován i na fyzické osoby podnikající, resp. na zpracování údajů o nich, avšak vždy bude nezbytné posoudit konkrétní okolnosti zpracovávání takových údajů. ? Vztahuje se zákon o ochraně osobních údajů pouze na údaje ži- vých fyzických osob nebo se týká i fyzických osob zemřelých? Pokud jde o vztah ZoOU a osobních údajů osob zemřelých, částečně danou proble- matiku řeší § 15 ObčZ, který stanoví, že po smrti fyzické osoby přísluší uplatňovat právo na ochranu její osobnosti manželovi/manželce a dětem, a není-li jich, rodičům. Toto ustanovení zabezpečuje s ohledem na požadavek zachování piety a památky ochranu osobnosti fyzické osoby tehdy, není-li již naživu, a tudíž se nemůže sama právně bránit (jde např. o ochranu cti, důstojnosti a pověsti zemřelé fyzické osoby, jejího jména atd.).42) Vztah ZoOU k údajům zemřelých osob je komplikovaný. Podle § 4 písm. d) ZoOU se subjektem údajů rozumí fyzická osoba, k níž se osobní údaje vztahují. Podle § 7 ObčZ nabývá fyzická osoba způsobilost mít práva a povinnosti narozením a tuto způsobilost pozbývá smrtí. Zemřelá osoba tak přestává být účastníkem občanskopráv- ních vztahů. Tak je však fyzická osoba označena v rámci hlavy druhé občanského zákoníku týkající se občanskoprávních vztahů. Nelze však zapomenout, že zákon o ochraně osobních údajů obsahuje právní instituty nejen občanskoprávního charak- teru, ale i veřejnoprávního charakteru, kde nejde o občanskoprávní vztah, a jejichž ochrana je veřejným zájmem. Jsou to ta ustanovení, která slouží k ochraně institutů, které nelze vztáhnout pouze na konkrétního člověka a jeho úkony a odkázat jej tedy na občanskoprávní úpravu. Tyto instituty vyžadují mnohem efektivnější způsob ochrany. Například právě § 13 ZoOU je institutem, kdy subjekt údajů nevystupuje jako účastník občanskoprávních vztahů a kdy správce osobních údajů má povinnost stanovenou v § 13 ZoOU absolutní, nejen vůči konkrétnímu subjektu údajů. Osobní údaje subjektu údajů je tak nutné v některých ohledech chránit i po smrti subjektu údajů.43) Nicméně lze konstatovat, že po smrti již přestává být člověk subjektem údajů ve smyslu ZoOU. 42) JEHLIČKA, O. – ŠVESTKA, J. – ŠKÁROVÁ, M. a kol., Občanský zákoník. Komentář. Páté vydání. Praha: C. H. Beck, 1999, s. 83. 43) BARTÍK, V. – JANEČKOVÁ, E.: Ochrana osobních údajů ve zdravotnictví. In: Zdravotnictví a právo č. 9/2007.

39 5. Zveřejňování osobních údajů 5. ZVE EJþOVÁNÍ OSOBNÍCH ÚDAJ Osobní údaje jsou a asi ještě dlouho budou předmětem zájmu. Stále se vrací otázka, které osobní údaje je možno zveřejnit a které ne a proč. Zveřejňování osobních údajů je definovaný právní pojem a ZoOU jej v § 4 písm. l) charak- terizuje tak, že je „zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu“. Vzhledem k tomu, že zákonodárce oba pojmy jako formy zpracování osob- ních údajů rozlišil, naznačuje, že mezi zpřístupněním a zveřejňováním bude rozdíl. Z logiky věci se dá usoudit, že zveřejňování je zvláštní forma zpřístup- nění spočívající v tom, že o zveřejnění se bude jednat v případě, kdy osobní údaje budou zpřístupněny neurčitému okruhu příjemců zveřejňovaného osobního údaje, jak naznačuje definice, když fakultativně uvádí na prvním místě hromadné sdělovací prostředky, mezi něž se běžně řadí periodický tisk v nejširším slova smyslu46) , rozhlas, televize47) a také bezpochyby internet jako prostředek moderní elektronické komunikace a šíření informací48) . Naproti tomu zpřístupnění lze chápat spíše tak, že osobní údaj je zpří- stupněn omezenému okruhu adresátů, byť by tento omezený okruh mohl být i relativně velký. Nebude se však jednat o širokou veřejnost, tak jak je tento pojem dnes běžně chápán, tedy, že zveřejněná informace je určena jakoby všem, na něž dopadá i teoretický nebo potencionální vliv daného sdělovacího prostředku. Zveřejnění ve smyslu ZoOU je však vždy třeba chápat jako zpracování, tedy jako systematickou činnost správce osobních údajů ve smyslu § 4 písm. e) ZoOU. Přitom je zveřejňování nutno považovat za jeden z nejcitlivějších způsobů zpracování. Znamená to ale také, že ne každé zveřejnění informací, jež samy o sobě mohou být i osobním údajem, je nutno považovat za zpracování, a tedy činnost podřaditelnou pod ZoOU. Sem je možno zařadit třeba informace zprostředkované právě médii při zpravodajstvích. Často se totiž v těchto případech jedná o nahodilé nebo lépe ojedinělé zveřejnění nezpracovávaných osobních údajů a v tomto případě se nejedná o činnost, která by byla pod dohledem Úřadu.49) Zpřístupnění 46) Zákon č. 46/2000 Sb., o právech a povinnostech při vydávání periodického tisku a o změně některých dalších zákonů (tiskový zákon). 47) Zákon č. 231/2001 Sb., o provozování rozhlasového a televizního vysílání a o změně dalších zákonů. 48) Např. zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích). 49) KUČEROVÁ, A. – BARTÍK, V. – PECA, J. – NEUWIRT, K. – NEJEDLÝ, J.: Zákon o ochraně osobních údajů. Komentář. 1. vydání. Praha: C.H.Beck, 2003, s. 62.

64 OCHRANA OSOBNÍCH ÚDAJŮ V ŽIVOTĚ PODNIKATELE a stanovených úkolů přizná, budou mít přístup omezen jen do oblastí zpracování, které pracovní pozici a stanoveným úkolům, tedy náplni práce, odpovídá, když toto omezení bude zajištěno specifickými prostředky výpočetní techniky, tedy přístupovými právy, a to individuálními s případným rozlišením specifických oprávnění jako je např. oprávnění pouze nahlížet, měnit konkrétní záznam apod. Účelem a smyslem ustanovení písm. c) je zajistit, aby správce mohl zjistit, ja- kým způsobem bylo s údaji při automatizovaném zpracování nakládáno, a to tak, že o přístupech budou existovat elektronické záznamy, tzv. loggy. Současně to však neznamená, že by nezbytně musely existovat záznamy o přístupech v rámci jednoho informačního např. databázového systému ke konkrétní datové větě, i když ani ta- ková možnost není vyloučena a bude vždy záviset na konkrétním vyhodnocení rizik ve vztahu k závažnosti chráněných dat, které je správce povinen posoudit podle odst. 3, když povinnost podle písm. c) je možné plnit i v kombinaci s vhodnými organizačními opatřeními. Povinnost stanovená v odst. 4 je upřesňující v tom smyslu, že chránit je třeba nejen samotná „aktivní“ automatizovaná zpracování probíhající na prostředcích výpočetní techniky, ale také individuální datové nosiče, na nichž jsou např. uchovávány zálo- hové soubory a že tato ochrana musí být systémová a odpovídající vyhodnoceným rizikům90) . ? Je z hlediska zákona o ochraně osobních údajů nějaký rozdíl mezi správci, např. zda se jedná o soukromé osoby nebo subjekty veřej- ného práva, tedy zejména instituce veřejné moci? Jednoznačně lze říci, že nikoliv. Povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému zpracování nebo zneužití osobních údajů podle § 13 odst. 1 ZoOU, mají správce i zpracovatel bez ohledu na to, zda působí v soukromé či veřejné sféře. V případě státních orgánů, které vedou rozsáhlé evidence obsahující velké množství osobních údajů včetně citlivých dat (typicky informační systém evidence obyvatel nebo informační systémy spravované Policií České republiky), je důsledná ochrana zpracovávaných osobních údajů, vzhledem k možným následkům v případě jejich zneužití, snad ještě významnější než u subjektů soukromoprávní sféry. K zajištění bezpečnosti osobních údajů zpracovávaných ve veřejnoprávních regis- trech je nezbytné přijmout komplexní systém organizačních a technických bezpeč- nostních opatření, který odpovídá používaným způsobům a prostředkům zpracování osobních údajů z takové evidence a účinně brání zpracování osobních údajů jiné účely, než připouští právní předpis, na jejichž základě je příslušná evidence vedena (např. vyhledávání informací k soukromým potřebám pracovníka). Na tomto místě je také nutné uvést, že § 13 odst. 2 ZoOU stanoví relativně novou povinnost správců a zpracovatelů osobních údajů přijatá bezpečnostní opatření dokumentovat. 90) BARTÍK. V. – JANEČKOVÁ, E.: Bezpečnost osobních údajů podle zákona o ochraně osobních údajů, In: Právní rozhledy 21/2010, s. 839 a násl.

65 8. Povinnost osob při zabezpečení osobních údajů Co se týče poskytování informací o činnosti státních orgánů, je vzhledem k povin- nosti vyjádřené v § 13 odst. 1 ZoOU nutné formu i obsah poskytované informace vždy zvážit tak, aby tímto postupem nedošlo ke zpřístupnění osobních údajů v rozsahu větším, než jaký je za účelem informování veřejnosti nezbytný. Například povolení nasnímání či okopírování písemnosti ze spisového materiálu za účelem využití ve zpra- vodajství, aniž by správce či zpracovatel předem vyhodnotil, zda tímto způsobem nebudou zpřístupněny osobní údaje přesahující tento účel a případné nadbytečné údaje znečitelnil, nelze považovat za postup v souladu s § 13 odst. 1 ZoOU. Zvážení veškerých relevantních okolností a nezbytné míry zásahu do práva na ochranu osob- ních údajů a soukromí osoby, které se poskytované informace týkají, a volba adekvátní formy poskytnutí informací právní předpisy neupravují, a tak je toto rozhodnutí po- necháno na správci a zpracovateli osobních údajů, který musí postupovat v souladu se zákonem o ochraně osobních údajů91) . ? Má správce, příp. zpracovatel nějaké zvláštní povinnosti vůči svým zaměstnancům, resp. osobám jim na roveň postaveným? Samozřejmě má a ve vztahu k plnění povinností tak plyne přímo ze ZoOU. Totiž dalším ustanovením, které se zabývá zabezpečením osobních údajů a obsahově tak doplňuje § 13 ZoOU, je § 14 ZoOU. Podle něj zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném. Toto ustanovení tedy stanovuje povinnosti i dalším osobám rozdílným od správců nebo zpracovatelů. Jedná se o jejich zaměstnance nebo o jiné osoby, které pro ně vykonávají zpracování osobních údajů. Ustanovení tak vzhledem k použitému termínu „osoby“ stíhá jak osoby fyzické, tak právnické. U osob fyzických se bude především jednat o zaměstnance v pracovním poměru ke správci nebo zpracovateli podle § 33 ZP nebo o zaměstnance vykonávající pro správce nebo zpracovatele činnosti spočíva- jící ve zpracování osobních údajů na základě dohody o provedení práce podle § 75 ZP nebo dohody o pracovní činnosti podle § 76 ZP. U osob právnických, resp. fyzických osob–podnikatelů se bude jednat o smluvní vztah, především na základě některého ze smluvních typů podle zákona č. 513/1991 Sb., obchodní zákoník, ve znění poz- dějších předpisů. Vzhledem ke stanovené povinnosti je zřejmé, že správce nebo zpracovatel musí dotčeným osobám určit podmínky zpracování. Ostatně tak vyplývá i z důvodové zprávy k návrhu ZoOU, kde je uvedeno že „tímto ustanovením je vyloučeno, aby osoby, kterým nedá správce nebo zpracovatel souhlas, jakkoliv zpracovávaly osobní údaje. Správce, resp. zpracovatel musí stanovit též rozsah oprávnění, v němž určitá osoba má k osobním údajům přístup a může je zpracovávat“. Co se týká zaměst- nanců, je zřejmé, že zaměstnanec musí takové pokyny obdržet. Asi nejběžnější formou 91) Z rozhodovací činnosti Úřadu pro ochranu osobních údajů http://www.uoou.cz/uoou.aspx?me- nu=10&submenu=12&loc=224.

96 OCHRANA OSOBNÍCH ÚDAJŮ V ŽIVOTĚ PODNIKATELE 11. LIKVIDACE OSOBNÍCH ÚDAJ Likvidace je jednou z forem zpracování, jak uvádí § 4 písm. e) ZoOU, a to for- mou velmi důležitou. Likvidací osobních údajů se uzavírá proces jejich zpra- cování, a je tak de facto poslední etapou zpracování. Po provedené likvidaci již osobní údaje nebudou existovat (s výjimkou dále uvedenou) a subjekt, který je zpracovával, přestává být správcem osobních údajů v rozsahu likvi- dovaných údajů,124) tedy přestává být za jejich zpracování zodpovědný. Zpracování osobních údajů jako takové je definováno v již zmiňovaném § 4 písm. e) ZoOU, který říká, že zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Tato definice vychází z článku 2 písm. b) směrnice 95/46/ES, podle něhož je zpracováním osobních údajů jakýkoliv úkon nebo soubor úkonů s osob- ními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů. Důležitou částí této definice je skutečnost, že se nemusí vždy jed- nat o celý soubor činností, ale může jít v některých případech jen o některé z nich, dokonce se může jednat o operaci jedinou. Podstatou definice této činnosti tedy je, že se musí vždy jednat o syste- matickou činnost správce nebo zpracovatele, popř. jiných osob, tedy činnost vykonávanou s určitým záměrem zpracovávat osobní údaje fyzických osob – subjektů údajů. Dalším dnes již sice tolik nezdůrazňovaným kritériem je skutečnost, že se toto ustanovení vztahuje na jakékoliv systematicky prová- děné operace, aniž je přitom rozhodující, zda jsou tyto operace prováděny automatizovaně nebo jinými prostředky.125) V návaznosti na část prvou předmětného ustanovení dále definice uvádí demonstrativní výčet postupů, které se nejčastěji za zpracování považují. A mezi nimi najdeme i likvidaci, která celou paletu uzavírá.126) Základním, a v praxi nejčastějším, důvodem pro likvidaci osobních údajů je, že pomine účel, pro který byly osobní údaje zpracovány. V případě, že tato skutečnost nastane, stanoví § 20 odst. 1 ZoOU povinnost pro správce nebo na základě jeho pokynu pro zpracovatele likvidaci provést. Jinak řečeno, 124) KUČEROVÁ, A. – BARTÍK, V. – PECA, J. – NEUWIRT, K. – NEJEDLÝ, J.: Zákon o ochraně osobních údajů. Komentář. Praha: C. H. Beck, 2003. 125) Tamtéž. 126) Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňo- vání, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

115 13. Zpracování osobních údajů klientů PŘEHLED DOTAZŮ ˆ rozsah údajů na věrnostních kartách ? Vymezuje, resp. omezuje ZoOU rozsah údajů, které je možné zpra- covávat prostřednictvím věrnostních karet? Zákon o ochraně osobních údajů neobsahuje žádné konkrétní ustanovení, které by omezovalo rozsah osobních údajů právě v případě věrnostních karet. Jednou ze základních povinností správců stanovenou § 5 odst. 1 písm. d) je však povinnost shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu ne- zbytném pro naplnění stanového účelu. Důležitým bodem tedy je přesné vymezení účelu a výběr odpovídajících kategorií osobních údajů. Jen zřídkakdy se obchodník při získávání osobních údajů spokojí pouze s e-mai- lovou adresou. Rozsah požadovaných údajů bývá zpravidla širší. Většinou se jedná o úplnou sadu kontaktních údajů, tedy jméno, příjmení, adresu bydliště, e-mailovou adresu a telefonní číslo. Při posuzování rozsahu, tedy množství shromažďovaných údajů i ve výše uvedeném rozsahu se nedá říci, že by byl nepřiměřený k deklaro- vanému účelu. Uvedený rozsah kontaktních údajů totiž umožňuje obchodníkovi kontaktovat klienta všemi běžně v moderní společnosti dostupnými komunikačními kanály, tedy obyčejnou poštou, telefonicky i e-mailovou zprávou. Pokud tedy zákazník poskytne úplný rozsah kontaktních údajů, měl by si být vě- dom, že osloven vydavatelem karty může být každým z uvedených způsobů. Pokud by chtěl některý komunikační kanál vyloučit, neměl by příslušný údaj poskytovat, pokud to půjde. V tom nejjednodušším případě, kdy je zákazníkovi vydávána nabízená karta přímo na obchodním místě, nebývá na ní ani uvedeno jméno a příjmení zákazníka, ale taková karta mívá číslo, které ve spojení s podepsaným formulářem souhlasu po- skytuje obchodníkovi možnost např. při každém uplatnění slevy sejmout obyčejnou čtečkou čárových kódů číslo karty a tedy evidovat využití karty. Existují však obchodníci, kteří k problematice věrnostních karet přistupují daleko „komplexněji“, mají propracovaný systém slev, např. evidují u něj majitelem karty utracené peníze v jejich celkovém objemu a poskytují pak hromadně nárok na slevy odpovídající utraceným penězům. Rovněž jejich zájem o informace o zákazníkovi, kterému slevy poskytují, budou asi komplexnější. Ale z hlediska zákazníka také rizi- kovější. 13.2 Registry dlužník Nesplácené úvěry jsou velkým rizikem nejen makroekonomickým, ale také samotných bank a jiných poskytovatelů úvěrů. V důsledku toho začaly vznikat evidence, kterým se zjednodušeně říká registry dlužníků, ač toto

134 OCHRANA OSOBNÍCH ÚDAJŮ V ŽIVOTĚ PODNIKATELE 15. ZPRACOVÁNÍ OSOBNÍCH ÚDAJ V PERSONALISTICE Personalistika bývá obecně charakterizována jako činnost, která se zamě- řuje na získávání pracovníků a práci s nimi. V širším slova smyslu je pak činností, kterou vykonává prakticky každý zaměstnavatel, který má či hodlá mít zaměstnance, a zahrnuje v sobě zejména plnění zákonných povinností, jež zaměstnavatelům ukládají zvláštní právní předpisy, ale také činnosti, které jsou v zájmu samotného zaměstnavatele na základě jeho vlastního rozhodnutí a týkají se jeho zaměstnanců. Vzhledem k tomu, že není mys- litelné, aby se personální práce obešla bez údajů osob, zaměstnanců, jichž se personální práce týká, bude se v každém případě jednat o zpracování osobních údajů a na tato zpracování bude dopadat také ZoOU. Rozdíl bude jen v tom, v jakém režimu, resp. jaká ustanovení ZoOU budou dotčena a jaká práva a povinnosti budou stíhat zaměstnavatele, a tedy, jakými ustanoveními uvedeného zákona se budou jednotlivá zpracování řídit. Z hlediska časové posloupnosti lze zpracování osobních údajů rozdělit do tří základních částí. Zpracování osobních údajů před uzavřením pra- covního nebo obdobného poměru, zpracování v jeho průběhu, a konečně po jeho ukončení. Základní hmotněprávní úpravu vztahů mezi fyzickou osobou, subjektem údajů, a potenciálním zaměstnavatelem z hlediska práva pracovního představuje zákon o zaměstnanosti a ZP. PŘEHLED DOTAZŮ ˆ údaje uchazeče o zaměstnání ˆ výpis z rejstříku trestů ˆ souhlas pro zpracování v rámci výběrového řízení ˆ životopisy neúspěšných uchazečů ˆ registrace zaměstnavatele ˆ výpis z rejstříku trestů jako citlivý údaj ˆ zdravotní stav ˆ fotografie zaměstnance ˆ ověření výše platu ˆ firemní webové stránky ˆ registrace kamerových systémů ˆ monitorování e-mailové pošty

151 16. Role Úřadu pro ochranu osobních údajů 16. ROLE Ú ADU PRO OCHRANU OSOBNÍCH ÚDAJ Úřad byl zřízen jako jeden z nových dozorových orgánů České republiky, které jsou označovány jako nezávislé správní orgány. Činnost Úřadu je vymezena ZoOU a některými dalšími zákony. Úřad provádí dozor nad dodr- žováním zákonem stanovených povinností při zpracování osobních údajů, vede registr povolených zpracování osobních údajů, přijímá podněty a stíž- nosti občanů na porušení zákona a poskytuje konzultace v oblasti ochrany osobních údajů.187) Další kompetence Úřadu jsou stanoveny zvláštními právními předpisy. Přestože ZoOU uvádí v poznámce pod čarou pouze zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), má Úřad kompetence svěřeny i dalšími zákony. Je to např. zákon č. 127/2005 Sb., o elektronic- kých komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), zákon č. 40/1995 Sb., o regulaci reklamy a o změně a doplnění zákona č. 468/1991 Sb., o provozování rozhlasového a televizního vysílání. Projednávání správních deliktů a přestupků v oblastech zvláštních zpra- cování osobních údajů stanoví zákon č. 328/1999 Sb., o občanských prů- kazech, zákon č. 329/1999 Sb., o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů (zákon o cestovních dokladech), dále zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), zákon č. 159/2006 Sb., o střetu zájmů, a zákon č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů (zákon o azylu). Naposledy byly další kompetence svě- řeny Úřadu zákonem č. 111/2009 Sb., o základních registrech, který v § 11 stanoví, že Úřad vytváří zdrojové identifikátory fyzických osob a agendové identifikátory fyzických osob, vede jejich seznamy a zajišťuje převod agen- dového identifikátoru fyzické osoby v agendě na agendový identifikátor této fyzické osoby v jiné agendě, a to na základě zákonného požadavku.188) 187) www.uoou.cz, Úřad. 188) www.uoou.cz, Právní předpisy, O působnosti Úřadu.

ANAG, spol. s r. o. Kollárovo nám. 698/7, 772 00 Olomouc tel.: 585 757 411, fax: 585 418 867 e-mail: obchod@anag.cz, www.anag.cz Měsíčník MZDOVÁ ÚČETNÍ Edice ÚČETNICTVÍ Edice PRÁVO Měsíčník ÚČETNÍ A DANĚ Edice PRÁCE | MZDY | POJIŠTĚNÍ Edice PRÁVO NÍÍÍNÍÍÍ