22. Ochrana osobních údajů – GDPR

Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 neboli General Data Protection Regulation tzv. GDPR, kterému je věnována tato kapitola, zdaleka nepředstavuje první právní regulaci ochrany osobních údajů v naší republice. Zároveň ani nebylo žádnou revolucí, jak bylo v médiích často prezentováno. Spíše plynule navázalo na několik právních norem přijímaných již od 80. let 20. století na národní i evropské úrovni. Od 25. května 2018, kdy vešlo GDPR v účinnost, uplynuly tři roky a v současné době již máme spoustu literatury, materiálů, metodik i stanovisek., které nám právní praxi s touto normou usnadňují. Tato kapitola shrnuje nejdůležitější poznatky, které se zastupiteli, radnímu či starostovi mohou hodit v jejich praxi.

22. 1 Úvod do ochrany osobních údajů

GDPR bylo přijato jako součást tzv. balíčku opatření EU pro reformu ochrany osobních údajů společně se směrnicí Evropského parlamentu a Rady (EU) 2016/680 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány. To vše za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Evropská unie v souvislosti s přijetím balíčku deklaruje, že GDPR „umožňuje občanům Evropské unie lépe kontrolovat své osobní údaje, také modernizuje a sjednocuje předpisy umožňující podnikům snížit administrativní zátěž a mít prospěch z větší důvěry spotřebitelů“.

Evropská unie přistoupila v roce 2016 ke změně formy právní úpravy ochrany osobních údajů. Zatímco dříve byla ochrana osobních údajů upravena směrnicí, v současné době je upravena nařízením.[1] Tato skutečnost má velký význam především pro použitelnost právní úpravy. Narozdíl od směrnice má totiž nařízení aplikační přednost před národní právní úpravou.[2] Současně platí, že národní právní úpravou nelze zpřísnit podmínky stanovené nařízením, pokud to jím není výslovně umožněno.[3] Omezení základních zásad GDPR je možné pouze tehdy, když je toto omezení nezbytné v demokratické společnosti z důvodu veřejného zájmu.[4]

V dubnu 2019 byl v České republice přijat tzv. adaptační zákon[5], který ovšem neobsahuje ucelenou právní úpravu ochrany osobních údajů. Jde pouze o „prováděcí“ zákon k nařízení GDPR, a proto je třeba v praxi skutečně pracovat přímo s nařízením. To je zásadní rozdíl oproti staršímu zákonu č. 101/2000 Sb., o ochraně osobních údajů, který obsahoval kompletní právní úpravu.

22. 2 Základní práva dle nařízení GDPR

Nařízení GDPR poskytuje právní ochranu fyzickým osobám v EU a současně deklaruje volný pohyb osobních údajů v EU.  Ve srovnání s předchozí právní úpravou ochrany osobních údajů posiluje stávající práva subjektů údajů, tedy fyzických osob, kterých se osobní údaje týkají a přiznává jim následující nová práva:

• Snadnější přístup k údajům včetně poskytnutí více informací o tom, jak jsou údaje zpracovány a zajištění toho, aby informace byly dostupné jasným a srozumitelným způsobem. Obce tak nově musí reagovat na právo na přístup k osobním údajům. Musí navíc rozlišovat žádosti o přístup k osobním údajů od žádostí podle zákona č. 106/1999 Sb., které mohou být na první pohled velmi podobné, nicméně mají zcela jiný právní režim.
• Právo být zapomenut,tj.když si osoba nepřeje, aby její údaje byly dále zpracovávány. Pokud není podložený důvod k jejich uchovávání, budou údaje smazány. Stejně tak je nutné údaje automaticky mazat, pomine-li účel jejich zpracování.
• Právo dozvědět se, že jejich osobní údaje byly napadeny. Obce mají mít povinnost bezodkladně informovat všechny subjekty údajů, své občany, o závažném porušení zabezpečení osobních údajů. Všechny takové případy navíc musí být ohlášeny Úřadu pro ochranu osobních údajů.

22. 3 Působnost nařízení GDPR

Věcná působnost

Z hlediska věcné působnosti se GDPR neliší od směrnice, která ochranu osobních údajů upravovala před jeho přijetím. Podle čl. 2 odst. 1 se GDPR rovněž vztahuje na:

• zcela nebo částečně automatizované zpracování osobních údajů – dikce je záměrně technologicky neutrální, aby dopadla na všechny způsoby zpracování, kde část neprovádí fyzicky člověk,
• manuální zpracování osobních údajů za podmínky zpracování v evidenci (kartotéce) – ochrana je poskytována v momentě, kdy jsou údaje systematicky uspořádány podle kritérií.

Manuální zpracování kopií dokumentů obsahujících osobní údaje, které nejsou rozřazeny či evidovány podle klíče, nařízení nepodléhá. Vztahuje se na ně ale ochrana dle občanského zákoníku, ochrana obchodního tajemství, bankovního tajemství či povinnost mlčenlivosti.

Co se rozumí evidencí, uvádí čl. 4 odst. 6 GDPR: „Pro účely nařízení se rozumí „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný nebo rozdělený podle funkčního či zeměpisného hlediska. Evidencemi jsou tedy spisové kartotéky.

Místní působnost

Ve vztahu k místní působnosti došlo s přijetím GDPR ke značným změnám oproti původním směrnicovým pravidlům a pravidlům dle zákona o ochraně osobních údajů.

Dle základního pravidla[6] je působnost GDPR dána, dochází-li ke zpracování osobních údajů souvisejícímu s činností provozovny správce nebo zpracovatele v EU. Není přitom rozhodné, kde ke zpracování dojde – postačí samotná souvislost s provozovnou. Působnost GDPR je dále dána v případě,[7] pokud dochází ke zpracování informací, které souvisí s nabídkou služeb a zboží subjektům v EU, nebo s monitorováním jejich chování, pokud k němu dochází v EU. Tento druh působnosti označujeme jako extrateritoriální.

Dle dalšího pravidla[8] se nařízení vztahuje též na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se právo členského státu uplatňuje na základě mezinárodního práva veřejného. GDPR se ve výsledku neuplatní pouze na území EU, ale na území celého Evropského hospodářského prostoru, do nějž kromě EU spadá také Island, Norsko a Lichtenštejnsko, a to v důsledku inkorporace do Dohody o Evropském hospodářském prostoru.

Časová působnost

GDPR vstoupilo v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie, tj. 24. května 2016 a v účinnost 25. května 2018. 

22. 4 Základní zásady zpracování osobních údajů

GDPR vymezuje základní zásady ochrany osobních údajů. Dodržování těchto zásad je při nakládání s osobními údaji zcela zásadní. GDPR dále stanovuje odpovědnost správce za jejich dodržení, které musí být správce vždy schopen doložit, a to např. prostřednictvím záznamů o činnostech zpracování. Základní zásady jsou:

1. Zásada zákonnosti, korektnosti a transparentnosti:[9] podle této zásady může ke zpracování osobních údajů dojít jedině na základě právního titulu dle čl. 6 GDPR a takovým způsobem, který by subjekty mohly legitimně očekávat, tedy „férovým“ způsobem.
2. Zásada účelového omezení:[10] podle této zcela stěžejní zásady může dojít ke zpracování osobních údajů, jen je-li dán ke zpracování určitý, výslovně vyjádřený a legitimní účel (v případě změny účelu hovoříme o dalším zpracování, přičemž v tomto případě je třeba provést posouzení slučitelnosti).
3. Zásada minimalizace údajů:[11] podle této zásady je možné zpracovat pouze ty údaje, které jsou ve vztahu k účelu relevantní (tj. „nepotřebuji-li některé údaje, neshromažďuji je“).
4. Zásada přesnosti:[12] podle této zásady údaje musejí být přesné, odpovídající skutečnosti a aktuální, přičemž přesnost neznamená nutně pravdivost. Správce není odpovědný za to, že mu subjekt sdělil nepravdivé údaje.
5. Zásada omezení uložení:[13] podle této zásady je možné uchovávání údajů pouze po dobu, jež je pro účel zpracování nezbytná.
6. Zásada integrity a důvěrnosti:[14] podle této zásady údaje musejí být zpracovány takovým způsobem, který zajistí jejich náležité zabezpečení (bezpečnost je nově klíčovou zásadou).
7. Zásada odpovědnosti:[15] podle této zásady musí být správce v souladu se zásadami GDPR vždy schopen sám doložit, tj. vést patřičné dokumentace a odpovídá za porušení GDPR.

22. 5 Osobní údaj

Osobní údaj[16] představuje klíčový pojem GDPR. „Pro účely tohoto nařízení se rozumí:
(1) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.“[17]

Osobní údaj je veřejnoprávním institutem. Z této skutečnosti zejména vyplývá, že pokud informace týkající se fyzické osoby kvality osobního údaje v daném případě nedosahuje, pak není vyloučeno použití jiných odvětví – např. pokud daná osoba použití údaje, který není osobním ve smyslu zákona o ochraně osobních údajů, považuje za zásah do svého soukromí a osobního života, zákon o ochraně osobních údajů aplikovat sice nelze, ale v úvahu stále připadá žaloba na ochranu osobnosti nebo trestní postih (např. trestný čin pomluvy).

Je vhodné rozlišovat přímé identifikátory osoby, např. jméno či rodné číslo, od ostatních osobních údajů, které mají povahu osobních údajů právě až ve spojení s přímými identifikátory.

Od pojmu osobní údaj je třeba odlišit pojem anonymní údaj. Za anonymní údaj je považován takový údaj, který buď v původním tvaru nebo po provedeném zpracování, nelze vztáhnout
k určitému nebo určitelnému subjektu údajů. Na anonymní údaje se nevztahují zásady ochrany osobních údajů a GDPR nedopadá na jejich zpracování, včetně zpracování pro statistické a výzkumné účely.

S pojmem osobní údaj je úzce spjat též pojem zpracování[18]. Zpracováním se rozumí jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Od pojmu zpracování je třeba odlišit jiné nakládání s osobními údaji, které nenaplňuje výše uvedené znaky definice a představuje např. nahodilé činnosti, které nejsou prováděny systematicky a sofistikovaně, jako je tomu
v případě zpracování.

Soudní dvůr Evropské unie pojem osobní údaj vykládá extenzivně. Za osobní údaj se podle tohoto výkladu např. považuje i pohyblivá IP adresa. Tento druh výkladu označujeme za judikaturní rozšiřující (extenzivní) výklad a uplatňuje jej také český Nejvyšší správní soud. S pojmem osobní údaj je dále spojena výkladová metoda in dubio pro libertate, podle které platí, že pokud nevíme, zda lze údaj považovat za osobní, přikloníme se výkladu, že jde
o osobní údaj.

Za osobní údaj je nutno považovat jak objektivní, pravdivé, prokázané nebo ověřené skutečnosti, tak i subjektivní a nepravdivá sdělení, pokud jsou zpracovávána v rámci stejné databáze s ostatními údaji, a dále i různá více či méně formální hodnocení a posudky.

Pojem „osobní údaj“ je tak nutno vykládat vždy v konkrétním případě. Někdy je nutné
k přímé či nepřímé identifikaci méně údajů, někdy více (záleží také na velikosti zasaženého území).

Dle stanoviska Pracovní skupiny WP29 (dnes Evropský sbor pro ochranu osobních údajů) ze dne 20. 6. 2017 platí, že aby bylo možné konstatovat existenci vazby údaje a osoby (vazbu určitelnosti), je nutné zkoumat prvek obsahu, prvek účelu a prvek výsledku takové informace. Abychom tedy mohli určitý soubor údajů označit za osobní údaje, musíme být schopni zjistit (alespoň teoreticky), o jakou osobu jde. V konkrétním případě, např. na menší obci, může stačit k identifikaci osoby méně údajů, zatímco jindy je nutné mít údajů více, popř. přesnější data. Např. ve velkoměstě údaj o pouhém jménu a příjmení nemusí stačit, zatímco specifické příjmení na menší obci může být postačující. Je třeba doplnit, že člověk nemusí být identifikovatelný jen podle daných osobních údajů, ale také podle jejich kombinace s veřejně dostupnými údaji.

Definice osobních údajů[19] uvádí demonstrativní, tedy příkladný a neuzavřený typový výčet identifikátorů fyzických osob, které umožňují jejich přímou či nepřímou identifikaci a lze je tedy označit za osobní údaje. Jedná se např. o:

• identifikační čísla umožňující přímou či nepřímou identifikaci: datum narození, rodné číslo, personální číslo přidělené zaměstnavatelem, telefonní číslo, IP adresa či číslo bankovního účtu apod.;
• prvky fyzické a fyziologické identity: vzhled dané osoby, tvar jejího obličeje, např. profilová fotografie, tvar hlavy i celého těla, výška, váha, barva vlasů a očí, informace o chování či reakcích dané osoby v určitých situacích apod.;
• prvky ekonomické identity: informace o majetku, pohledávkách i závazcích, o výši
  a zdroji příjmů apod.;
• prvky kulturní identity: zájmy, záliby a schopnosti jedince apod.;
• prvky sociální identity: rodinný stav, sociální původ, vzdělání, zaměstnání či jiné aktivity, místo narození, adresa zaměstnavatele, místo výkonu zaměstnání, údaje o příbuzných, osobách, s nimiž subjekt údajů žije ve společné domácnosti, o známých, sousedech a spolupracovnících, přátelích apod.

Výše uvedený výčet obsahuje již poměrně tradiční identifikátory, které ve výčtu osobních údajů uváděly již dříve přijaté právní předpisy. GDPR však do výčtu výslovně přidává identifikátory, které sice za osobní údaje používala před přijetím GDPR judikatura, nebyly však výslovně součástí legálních definic obsahujících výčty osobních údajů. Jedná se o:

• prvky genetické identity: informace o genomu, DNA, dědičných onemocněních; GDPR je řadí do zvláštní kategorie osobních údajů (v českém právu se hovoří o citlivých osobních údajích);
• lokační údaje: informace týkající se místa pobytu a pohybu; podmnožinou jsou lokalizační údaje[20];
• síťový identifikátor: jedná se o IP adresu, cookies, RFID (Radio Frequency Identification), IMEI (International Mobile Equipment Identity) – ačkoli se vztahují spíše k věci (mobilnímu telefonu, počítači, notebooku apod.), lze je považovat za osobní údaje tehdy, pokud je daná věc (s vysokou mírou pravděpodobnosti) ve vlastnictví konkrétního člověka.

Jako další příklady údajů, které se považují za osobní údaj, pokud na základě nich lze osobu identifikovat, lze uvést posouzení spolehlivosti dlužníka, nákupní preference, dynamickou (pohyblivou) IP adresu (C-213/15, Patrick Breyer proti SRN), pohyb osoby (GPS sledování), informace o spotřebě energií, IMEI (unikátní číslo mobilního telefonu).

Nejvyšší správní soud se např. v rozsudku ze dne 12. února 2009, sp. zn. 9 As 34/2008, zabýval telefonním číslem: „Plná identita fyzické osoby v současných podmínkách technologicky vyspělé společnosti, tj. za vysokého stupně rozvoje elektronických a jiných médií, která jsou většině populace snadno dostupná, ve své podstatě neznamená nic jiného než možnost tuto osobu určitým způsobem kontaktovat, aniž by bylo nutno znát místo jejího aktuálního pobytu. Proto se výklad pojmu osobní údaj nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Prostřednictvím tohoto čísla je však možno daný subjekt v určitém časovém úseku přímo kontaktovat (což se ostatně stalo i v posuzovaném případě) a tento subjekt je tak dosažitelný a jistým způsobem určitelný, a to případně i bez znalosti jeho jména a dalších údajů, které již vazbu na jeho fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu mají.“

Rodné číslo

Specifickým osobním údajem je též rodné číslo, které považujeme za osobní údaj i bez znalosti dalších údajů. GDPR označuje rodné číslo jako národní identifikační číslo a nepovažuje jej za zvláštní kategorii osobních údajů. Nejde tedy o citlivý údaj. Nakládání
s rodnými čísly je předmětem samostatné úpravy v zákoně o evidenci obyvatel.[21] Mohou jej používat pouze orgány moci veřejné, popř. jiné osoby, pokud tak stanoví zvláštní zákon (např. občanský soudní řád při podání žaloby), ostatní osoby pak jen se souhlasem. Nejde ovšem o souhlas dle GDPR, ale o souhlas dle zákona o evidenci obyvatel.

Úřední doklady

Doklad či jeho kopie samy o sobě nejsou osobními údaji, ale na každém dokladu je soubor osobních údajů, např. fotografie, jméno a příjmení, číslo dokladu atd. Úřední doklady (občanské a řidičské průkazy, cestovní pasy) jsou předmětem úpravy zvláštních zákonů.

• Občanské průkazy – Je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana, kterému byl občanský průkaz vydán, pokud zvláštní zákon nebo mezinárodní smlouva, kterou je Česká republika vázána, nestanoví jinak.[22]
• Cestovní pasy – Je zakázáno pořizovat jakýmikoliv prostředky kopie cestovního dokladu bez souhlasu občana, kterému byl cestovní doklad vydán, pokud zvláštní zákon nebo mezinárodní smlouva nestanoví jinak.[23]
• Řidičské průkazy – Právní úprava[24] ani vyhláška[25] nestanoví žádné zvláštní podmínky pro pořizování kopií řidičského průkazu (stanoví se pouze, že je veřejnou listinou
  a nesmí být ponecháván a přijímán jako zástava, a odebírán při vstupu do objektů nebo na pozemky). Upravují ale mimo jiné to, za jakých podmínek je možné pořizovat kopie těchto dokladů.

V případě občanských průkazů ani cestovních pasů se nejedná o souhlasy dle GDPR, ale o souhlasy dané dle zvláštních zákonů. Musejí být tedy splněny náležitosti dle obou předpisů.

22. 6 Zpracování osobních údajů

Rozlišovat následující druhy zpracování osobních údajů:

• automatizované zpracování se provádí technickými prostředky, zejména za použití výpočetní techniky, bez nutnosti lidské činnosti,
• částečně automatizované zpracování spočívá v kombinaci automatizovaného a manuálního zpracování,
• manuální zpracování v evidenci je zpracování prováděné člověkem za použití psacích prostředků či počítače.

Od automatizovaného zpracování je nutné odlišovat automatizované rozhodování o právech subjektů údajů,[26] který v podstatě zavádí právo lidí nebýt předmětem rozhodování robotů.

Zpracovávání osobních údajů lze také rozčlenit do několika po sobě jdoucích fází:

1. Shromažďování osobních údajů představuje systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. Jedná se o první fázi/operaci zpracování, a proto je některými autory dokonce považováno za definiční znak samotného zpracování.
2. Uchovávání osobních údajů lze definovat jako udržování údajů v takové podobě, která je umožňuje dále zpracovávat. Ačkoli jde o ryze pasivní činnost, kvůli jejímu účelu ji považujeme za zpracování.
3. Práci s osobními údaji GDPR pouze jmenuje, ale nestanoví pro ně bližší obecná pravidla. Jedná se o kategorii zahrnující uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, seřazení či zkombinování.

Některé speciální činnosti v rámci zpracování však GDPR blíže definuje a reguluje. Konkrétně jde o omezení zpracování osobních údajů, profilování a pseudonymizaci osobních údajů.

Omezení zpracování[27] osobních údajů definujeme jako označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu. Zpravidla se jedná o přesun údajů do jiného systému a znepřístupnění veřejnosti. V původním systému je omezení vyznačeno, typicky např. pro registr dlužníků. Nejde nezbytně o blokování, protože nemusí být nutně bráněno jakémukoli dalšímu zpracování. K omezení musí dojít v případech uvedených v čl. 18 odst. 1 GDPR, např. pokud subjekt údajů popírá přesnost osobních údajů nebo je zpracování protiprávní, ale subjekt údajů odmítá výmaz osobních údajů a požaduje omezení jejich použití.

Profilování[28] osobních údajů je jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu. Jedná se o činnost sloužící k posouzení vlastností či preferencí osoby, tedy k odhadu budoucího chování daného jedince. Často jde o získávání informací pro cílenou reklamu. Profilování není zakázáno při dodržení podmínek.[29] S profilováním dále souvisí právo vznést námitku.[30]

Pseudonymizací osobních údajů[31] se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. Pseudonymizace se podobá „šifrování“, stále se ale jedná o osobní údaje, které jsou rozděleny na šifrované údaje a informace o šifře samotné. Pseudonymizace zvyšuje bezpečnost dat[32] a jedná se zároveň o doporučené bezpečnostní opatření. Rozdíl mezi pseudonymizací a anonymizací spočívá v nevratnosti procesu anonymizace. Pseudonymizace souvisí s dalším zpracováním[33], posuzováním vlivu[34] a zpracováním pro účely archivace, výzkumu či statistiky[35].

Příkladem velmi primitivní pseudonymizace může být zveřejnění údajů o přijatých uchazečích ke vzdělávání podle školského zákona, kdy se na úřední desce a na internetových stránkách školy zveřejňuje právě jen seznam uchazečů identifikovaných pořadovým číslem.

Pojmy “zpřístupnění“, „zveřejnění“ a „šíření osobních údajů“ jsou na první pohled obsahově velmi podobné. Zpřístupněním osobních údajů se rozumí jejich zpřístupnění omezenému okruhu adresátů, byť může být i relativně velký. Nejde ale o širokou veřejnost. Zveřejnění osobních údajů oproti tomu představuje zpřístupnění zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu. Šíření osobních údajů pak znamená rozšíření již zveřejněné informace, zpravidla formou sdělovacích prostředků či sociálních sítí.

S popsanými druhy zpracování osobních údajů souvisí též pojem „příjemce“[36]. Ten definujeme jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Orgány veřejné moci (např. policejní, daňové či celní orgány), které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují. Zpracování těchto osobních údajů orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování. Příjemce nemůže být zároveň správcem ani zpracovatelem – pojmy se navzájem vylučují. Každý správce je povinen informovat o kategoriích příjemců, kterým hodlá poskytnout osobní údaje.

Posledními operacemi zpracování je likvidace a již dříve zmíněná anonymizace. Likvidací rozumíme fyzické zničení nosiče osobních údajů, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalšího zpracování, např. vrácení listiny subjektu údajů bez pořízení a uložení fotokopie. Za anonymizaci osobních údajů pak označujeme dosažení stavu, kdy řada informací sice zůstane zachována, ale přestane být osobními údaji. V obou případech musí jít ex definitione o poslední fázi zpracování. Po likvidaci či anonymizaci přestávají být osobní údaje osobními. Buď přestanou existovat, nebo se anonymizují.

22. 7 Právní titul ke zpracování osobních údajů

Dle zásady zákonnosti platí, že zpracování osobních údajů je zákonné jen tehdy, je-li založeno na právním titulu. V rámci auditu osobních údajů by měl správce vždy jako první krok provést vyhodnocení, zda je každý osobní údaj zpracován na základě právního titulu. Pro zpracování zvláštní kategorie osobních údajů navíc platí, že správce musí mít k zákonnému zpracování nejen právní titul, ale také zvláštní důvod pro zpracování.[37] Totéž platí pro zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů, přičemž zvláštní důvody pro zpracování upravuje čl. 10 GDPR.

Právní titul se vždy pojí s účelem zpracování. Právní titul je zákonným podkladem zpracování, který je vždy opřen o účel. Účel je alfou a omegou zpracování: chybí-li účel, pak je zpracování nezákonné (aneb nepotřebuji-li údaje, pak je nemám mít). Právní tituly a účely na sebe mohou navazovat. Po skončení původního zpracování pak není nutné údaje smazat, pokud správci vznikne potřeba zpracovávat údaje pro jiný účel a pro tento účel bude mít právní titul. Bude ovšem nutné provést posouzení slučitelnosti původního a nového účelu.[38]

Dle GDPR je vždy nutné mít právní titul pro zpracování, a to bezvýjimečně, přičemž právním titulem se rozumí:

• souhlas,
• plnění smlouvy,
• plnění právní povinnosti,
• životně důležitý zájem,
• veřejný zájem,
• oprávněný zájem.

GDPR oproti předchozí právní úpravě zpřísňuje podmínky souhlasu a definuje striktní pravidla, která se týkají jeho udělení:

• výslovný souhlas – není možné udělit souhlas konkludentním jednáním, které spočívá v opomenutí či pasivitě, např. nemůže jít o předvyplněné zaškrtávací tlačítko; z užívání webu také nelze dovodit souhlas s používáním cookies;
• jednoznačný souhlas – pokud je souhlas získáván písemně, je nutné, aby byl viditelný a oddělený od zbylého textu, a to ideálně na samostatném listu; nesmí se nacházet ve všeobecných obchodních podmínkách;
• svobodný souhlas – hlavní službu nelze podmiňovat poskytnutím souhlasu (hlavní službu vždy kryje titul plnění smlouvy); nevhodný pro zaměstnavatele a orgány moci veřejné;
• informovaný souhlas – před poskytnutím souhlasu musí být subjekt poučen o účelu a způsobu zpracování;
• odvolatelný souhlas – subjekt údajů může souhlas kdykoli odvolat;
• prokazatelný souhlas – správce musí být vždy schopen prokázat udělení souhlasu.

22. 8 Právní tituly využívané obcemi při zpracování osobních údajů

Při zpracování osobních údajů postupují obce na základě výše zmíněných právní titulů.

1. Zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.[39] Jde o situaci, kdy obec vystupuje jako smluvní partner, např. v případě nájemní smlouvy, kdy obec je pronajímatelem a občan je nájemcem obecního bytu.
2. Zpracování, které je nezbytné pro splnění právní povinnosti.[40] Většina povinností vyplývá ze zákona o obcích, správního řádu, zákona o archivnictví a dalších zvláštních právních předpisů. Zpravidla jde o agendy, které obec vykonává v tzv. přenesené působnosti.[41]
3. Zpracování, které je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.[42] Půjde o velmi výjimečnou situaci při ochraně života a zdraví. Jde o činnosti spojené s obranou, krizovým řízením a výjimečně také se sociální politikou obce.
4. Zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.[43] Všestranný rozvoj území obce a péče o potřeby svých občanů je veřejným zájmem.[44]
5. Zpracování, které je nezbytné pro účely oprávněných zájmů obce.[45] Těmito zájmy jsou zejména ochrana práv obce, ochrana obecního majetku, bezpečnost a ochrana života a zdraví občanů obce, transparentnost a efektivita obecního úřadu, ochrana dětí, sociálně slabých a osob omezených na svéprávnosti či ochrana životního prostředí a zajištění trvale udržitelného rozvoje.
6. Zpracování se souhlasem subjektu údajů.[46] Jde spíše o výjimečné zpracování, které jde nad rámec plnění zákonných povinností obce, např. výjimečné zveřejnění fotografie na sociálních sítích, kde dochází k profilování. Souhlas subjektu údajů musí být v takovém případě informovaný, svobodný a konkrétní.

Následující tabulka shrnuje výše uvedený text a zároveň vás navede do dalších sekcí těchto zásad, kde najdete další podrobnější informace.

22.9 Zpracování údajů při plnění zákonných povinností obce

Obec je jako každý právní subjekt vázána celou řadou právních předpisů a z nich vyplývajících povinností. Od pracovněprávních povinností obce jako zaměstnavatele přes povinnosti daňové a účetní až po povinnosti, které souvisí s tím, že obec je zároveň orgánem veřejné moci a vykonavatelem státní správy. S tím pak souvisí zpracování osobních údajů při činnosti zastupitelstva a rady a činnosti obecního úřadu jako vykonavatele státní správy v přenesené působnosti.

Jelikož je obec orgánem veřejné moci, tedy vykonavatelem územní samosprávy i státní moci, podléhá kontrole ze strany obyvatel. Obec je tedy povinna poskytovat informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších přepisů (dále jen „o svobodném přístupu k informacím“) či třeba zveřejňovat smlouvy do registru smluv. Obec je zároveň výrazně omezena při podnikání a nakládání se svým majetkem, a to zejména zákonem o obcích a zákonem č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „zákon o veřejných zakázkách“).

Při následujících činnostech dochází ke zpracování osobních údajů jednak úředních osob a dalších oprávněných osob na straně obce, jednak jednotlivých občanů a třetích osob. Jde
o činnosti, které je obec povinna vykonávat a ke zpracování osobních údajů za těmito účely tedy nevyžaduje souhlas subjektů údajů. Jedná se o:

• Činnost orgánů obce – činnost zastupitelstva, rady, starosty, činnost komisí rady i výborů zastupitelstva vyžadují zpracování celé řady osobních údajů na podkladech pro jednání těchto orgánů, jakož i na jejich výstupu (zápisy, usnesení apod.).
• Činnost obce jako zaměstnavatele – pracovněprávní vztah je zejména smluvním vztahem. Toto zpracování tak souvisí se zpracováním, které je nezbytné pro plnění smluvních povinností, byť některé povinnosti nemají smluvní povahu, ale výhradně zákonnou (např. povinnost hradit za zaměstnance zdravotní pojištění). Obec zpracovává také údaje o uchazečích o zaměstnání, tedy údaje, jejichž zpracování ještě není kryto existující smlouvou, ale jednáním, které má vést k uzavření smlouvy.
• Činnost obce jako daňového a účetního subjektu – jelikož je obec vybranou účetní jednotkou podle ustanovení § 1 odst. 3 zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů (dále jen „zákon o účetnictví“) musí vést účetnictví. Obec zároveň není pouze příjemcem daní, ale také daňovým subjektem. Při plnění všech účetních a daňových povinností ovšem dochází ke zpracování mnoha osobních údajů, zejména těch uvedených na daňových dokladech.
• Činnost obce jako zadavatele veřejných zakázek – zákon č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „zákon o veřejných zakázkách“) stanoví pro obec celou řadu právních povinnosti, při kterých dochází ke zpracováních osobních údajů zájemců o veřejné zakázky i třetích osob, např. členů výběrové komise.
• Informační povinnosti obce – jelikož je obec veřejným subjektem, který nakládá
  s veřejnými financemi, je vázána celou řadou právních předpisů za účelem zvýšení transparentnosti veřejné správy. Jedná se zejména o povinnost plynoucí za zákona
  č. 106/1999 Sb. a zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (dále jen „zákon o registru smluv“).
• Výkon orgánu veřejné moci – obec není pouhým adresátem právních povinnosti, ale je rovněž orgánem veřejné moci, který na dodržování povinností v celé řadě lidských činnosti sám dohlíží.

Činnost orgánů obce

V rámci zasedání zastupitelstva obce či schůzí rady obce mají členové zastupitelstva obce, jakož i zaměstnanci obce k dispozici řadu materiálů, které obsahují i osobní údaje. Např. při žádosti o přidělení sociálního bydlení obsahují žádosti informace o sociálních poměrech žadatele, jeho věk, rodinný a zdravotní stav apod. K těmto materiálům mohou mít přístup i členové komisí rady a výborů zastupitelstva, kteří nemusí být nutně zastupiteli, ale určité informace potřebují pro svou vlastní práci a rozhodovací činnost. Proto jim mohou být osobní údaje rovněž poskytnuty, a to ze strany zastupitelů nebo zaměstnanců obce.

Účelem zpracování osobních údajů je zde ovšem vlastní činnost obce a poskytování informací o činnosti obce, nikoli informování veřejnosti o individuální situaci osob, jejichž osobní údaje jsou předmětem jednání. Tomuto účelu je také podřízen způsob zpracování osobních údajů. Zákonnost zpracování osobních údajů pro účely uveřejňování materiálů před a po zasedání jednotlivých orgánů obce je dána ve výjimečných případech (zejména tam, kde je naplňováno právo na svobodný přístup k informacím) tím, že se jedná o zpracování nezbytné pro splnění právní povinnosti svěřené obci[47] nebo nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci obcí.[48]

Členové všech zmíněných orgánů (zastupitelstvo obce a jeho výbory, rada obce a její komise) by měli být poučeni o tom, že pokud jsou jim předávány osobní údaje, pak s nimi musí nakládat v souladu s účelem, pro který jim byly poskytnuty. Obec členy těchto orgánů nemusí nutně zavazovat písemnou povinností mlčenlivosti, neboť ta vyplývá z čl. 5 odst. 1 písm. b) GDPR a členové orgánů o ní mají být poučeni. Pokud člen zastupitelstva tuto mlčenlivost poruší, vystavuje se sám riziku žaloby na ochranu osobnosti pro spáchání civilního deliktu[49], popř. trestního stíhání pro trestný čin neoprávněné nakládání s osobními údaji[50].

Obec má dále povinnost alespoň sedm dní před zasedáním zastupitelstva zveřejnit na své úřední desce a rovněž na webových stránkách informaci o navrženém programu připravovaného zasedání zastupitelstva. Jednotlivé body programu je vhodné formulovat tak, aby se v nich nevyskytovaly žádné osobní údaje (až na výjimečné případy hodné zvláštního veřejného zájmu).

O průběhu zasedání zastupitelstva pořizuje obec zápis, který je uložen na obecním úřadu
k nahlédnutí. Občan obce má právo nahlížet[51] do usnesení a zápisů z jednání zastupitelstva. Ačkoli žádný právní předpis nestanoví povinnost tento zápis plošně uveřejňovat, z důvodu transparentnosti tak mnoho obcí činí. Zápis z jednání zastupitelstva se uveřejňuje na webových stránkách obce na základě právního titulu oprávněného zájmu, který spočívá ve zvýšení transparentnosti obecního úřadu a veřejného zájmu, který spočívá v možnosti občanů kontrolovat činnost orgánů, zaměstnanců a představitelů obce. Zveřejněný zápis ze zastupitelstva ovšem podléhá anonymizaci. Výjimku opět tvoří případy, kdy je ke zveřejnění informací obsahujících osobní údaje dán oprávněný nebo veřejný zájem, a to nejen u výsledků výběrových řízení, uzavřených majetkových transakcí obce, ale např. i v takových případech, kdy určitá osoba vystoupí na jednání zastupitelstva.

22.10 Oprávněný zájem obce na zpracování osobních údajů

Zpracování, které je nezbytné pro účely oprávněných zájmů[52], je rovněž velmi častou kategorií zpracování a může rovněž souviset se všemi agendami obce (doprava, školství, podnikání apod.). Obec nicméně není oprávněna využívat tento právní titul při plnění úkolu orgánu veřejné moci[53], tzn. při výkonu přenesené působnosti. Právní titul „oprávněný zájem“ je tak využíván zejména v samostatné působnosti.

Mezi oprávněné zájmy obce lze řadit následující zájmy a hodnoty:

1. Ochrana práv obce – ochrana reputace a dobrého jména obce, ochrana obecního majetku, výkon dalších práv a právních nároků, vymáhání a prodej pohledávek.
2. Bezpečnost a ochrana života a zdraví občanů obce – z důvodu ochrany majetku, života a zdraví může rovněž dojít ke zpracování osobních údajů.
3. Transparentnost a efektivita obecního úřadu – často dochází k informování občanů
   i nad rámec zákonných povinností.
4. Ochrana dětí, sociálně slabých a osob omezených na svéprávnosti – v rámci sociální politiky obce lze považovat za oprávněný zájem rovněž ochranu dětí, sociálně slabých a osob omezených na svéprávnosti. Při práci s osobními údaji těchto osob je nutná obezřetnost, neboť jsou často velmi citlivé povahy.
5. Ochrana životního prostředí a zajištění trvale udržitelného rozvoje – trvale udržitelný rozvoj je takový způsob rozvoje lidské společnosti, který uvádí v soulad hospodářský a společenský pokrok s plnohodnotným zachováním životního prostředí. Mezi hlavní cíle udržitelného rozvoje patří zachování životního prostředí budoucím generacím v co nejméně pozměněné podobě. Za účelem ochrany životního prostředí a zajištění trvale udržitelného rozvoje může rovněž dojít ke zpracování osobních údajů, např. v souvislosti s problematikou komunálního odpadu, místními poplatky či třeba ochranou zvířat. Osobní údaje mohou být využívány za účelem potírání jednání, které poškozuje životní prostředí či naopak při aktivitách, které propagují ochranu životního prostředí.
6. Komunitní život městské části – v zájmu obce může být se pochlubit úspěchy svých občanů, stejně tak jako připomínat jejich důležité životní okamžiky, např. vítání občánků či jubilejní narozeniny seniorů.
7. Vnitřní potřeby fungování obce – osobní údaje mohou být zpracovávány zaměstnanci obce v rámci vnitřních potřeb fungování obecního úřadu v informačních systémech obce; slouží také pro činnost rady, jejích komisí, zastupitelstva a jeho výborů, pokud tyto orgány samosprávy potřebují osobní údaje pro své rozhodování (např. v případě prodeje obecního majetku); některé případy zpracování jsou pokryty zvláštními zákony či výkonem veřejné moci, nicméně může dojít i ke zpracování na základě tohoto oprávněného zájmu, který spočívá pouze ve zvýšené efektivitě fungování úřadu a jejích orgánů.

Související předpisy

– nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

– směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů

– zákon č. 110/2019 Sb., o zpracování osobních údajů

Literatura a užitečné odkazy

– www.mvcr.cz/gdpr

– https://www.uoou.cz/gdpr-obecne-narizeni/ds-3938/p1=3938

Poznámky pod čarou

[1] čl. 288 Smlouvy o fungování EU (GDPR)

[2] Vyplývá z rozsudků Soudního dvora Evropské unie ve věcech Van Gend en Loos, Costa vs. ENEL, Simmenthal a nálezu Ústavního soudu sp. zn. Pl. ÚS 50/2004.

[3] např. čl. 23 GDPR, čl. 85 až 91 GDPR

[4] čl. 23 GDPR

[5] zákon č. 110/2019 Sb., o zpracování osobních údajů

[6] čl. 3 odst. 1 GDPR

[7] čl. 3 odst. 2 GDPR

[8] čl. 3 odst. 3 GDPR

[9]  čl. 5 odst. 1 písm. a) GDPR

[10] čl. 5 odst. 1 písm. b) GDPR

[11] čl. 5 odst. 1 písm. c) GDPR

[12] čl. 5 odst. 1 písm. d) GDPR

[13] čl. 5 odst. 1 písm. e) GDPR

[14] čl. 5 odst. 1 písm. f) GDPR

[15] čl. 5 odst. 2 GDPR

[16] Aktuální definice osobního údaje dle GDPR byla přejata z mezinárodních dokumentů, konkrétně Úmluvy č. 108. Směrnice č. 95/46/ES; GDPR ji přitom mírně rozšiřuje.

[17] čl. 4 odst. 1 GDPR

[18] čl. 4 odst. 2 GDPR

[19] čl. 4 odst. 1 GDPR

[20] § 91 zákona o elektronických komunikacích

[21] § 13 a násl. zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech

[22] § 39 písm. c) zákona č. 269/2021 Sb., o občanských průkazech

[23] § 2 odst. 3 zákona č. 329/1999 Sb., o cestovních dokladech

[24] § 103 a násl. zákona č. 361/2000 Sb., o provozu na pozemních komunikacích

[25] vyhláška č. 31/2001 Sb., o řidičských průkazech a o registru řidičů

[26] čl. 22 GDPR

[27] čl. 4 odst. 3 GDPR

[28] čl. 4 odst. 4 GDPR

[29] dle čl. 22 odst. 2 GDPR

[30] dle čl. 21 GDPR

[31] čl. 4 odst. 5 GDPR

[32] body 26 a 28 odůvodnění GDPR

[33] čl. 5 odst. 1 písm. b) GDPR

[34] čl. 35 GDPR

[35] čl. 89 GDPR

[36] čl. 4 odst. 9 GDPR

[37] čl. 9 odst. 2 GDPR

[38] čl. 6 odst. 4 GDPR

[39] čl. 6 odst. 1 písm. b) GDPR

[40] čl. 6 odst. 1 písm. c) GDPR

[41] § 61 odst. 1 písm. a) zákona o obcích;

[42] čl. 6 odst. 1 písm. d) GDPR

[43] čl. 6 odst. 1 písm. e) GDPR

[44] viz ustanovení § 2 odst. 2 zákona o obcích

[45] čl. 6 odst. 1 písm. f) GDPR

[46] čl. 6 odst. 1 písm. a) GDPR

[47] dle čl. 6 odst. 1 písm. c) GDPR

[48] dle čl. 6 odst. 1 písm. e) GDPR

[49]  podle § 82 odst. 1 a násl. občanského zákoníku

[50]  ve smyslu ustanovení § 180 zákona č. 40/2009 Sb., trestního zákoníku, ve znění pozdějších předpisů

[51]  § 16 odst. 2 písm. e) zákona o obcích

[52]  v souladu s čl. 6 odst. 1 písm. f) GDPR

[53]  viz čl. 6 odst. 1 in fine GDPR