• O Zpravodaji
• Pro autory
• Pro čtenáře
• Statistiky

• Aktuální číslo
• Archivní čísla

• Autoři
• Články
• Seriály

• Vyhledávání

   

Ochrana osobních údajů na Masarykově univerzitě

Informace o občanech jsou sbírány odedávna. Ovšem až zhruba v posledních třiceti letech, což přímo souvisí s masivním vstupem počítačové techniky do všech oblastí lidské činnosti, je jejich ochraně věnována vážná pozornost a řada civilizovaných států světa upravuje podmínky zacházení s osobními údaji právními normami.

V ČR do konce května 2000 platil zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Byl první svého druhu v našich podmínkách a vedle mnohých nesporných kladů trpěl zejména dvěma problémy:

• nedočkal se dostatečné "popularity" (ať již mezi občany, jejichž data byla zpracovávána, nebo u zpracovatelů těchto dat), aby byl alespoň dostatečně dodržován, resp. jeho dodržování bylo důsledně vyžadováno;
• předpokládal ustavení orgánu, jehož posláním by byla ochrana osobních údajů jednotlivců, ovšem takový orgán nikdy zřízen nebyl.

V roce 1995 přijaly Evropský parlament a Rada Směrnici č. 95/46/EC o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat, která především zavazuje členské státy Evropské unie, aby odpovídajícím způsobem uvedly do souladu své národní zákonodárství s pravidly této směrnice. Přestože tento závazek se ČR netýká přímo, patří Směrnice mezi ty screeningové normy, které s ní budou projednávány v souvislosti s harmonizací právních předpisů před vstupem do EU.

To vše pak bylo důvodem, proč byl 4. dubna 2000 schválen zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Zjednodušeně lze říci, že pro praktický smysl tohoto zákona je zvláště charakteristické, že:

• na jednu stranu dává relativně velká práva těm, kteří se dosud nemohli dost účinně bránit různým nekalým praktikám v této oblasti, tj. subjektům údajů;
• na druhou stranu stanovuje relativně velké povinnosti těm, kdo s daty pracují a využívají je, tj. především správcům a zpracovatelům dat.

Zatímco u první skupiny je aplikace uvedeného zákona snad jen otázkou znalosti několika jeho vybraných ustanovení a vynaložení trochy energie při domáhání se svých práv, u druhé skupiny to bude naopak problém detailní znalosti této normy a vynaložení nejen velké energie, ale často i rozhodně nemalých finančních prostředků.

Zákon výrazně rozšířil svou věcnou působnost, a to v podstatě už jen tím, že se zjednodušila základní definice pojmu osobní údaj. Osobním údajem je tedy jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů (osoba) se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. Naopak se o osobní údaj nejedná, pokud je třeba ke zjištění identity subjektu údajů vynaložit nepřiměřené množství času, úsilí či materiálních prostředků.

Dalším výraznou změnou je skutečnost, že zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji - tedy zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Zatímco předchozí zákon se týkal jen automatizovaného zpracování osobních dat v informačních systémech, nová norma se vztahuje na jakékoliv osobní údaje kýmkoliv zpracovávané, a to jak automatizovaně, tak i manuálně.

Obecně platí, že správce či zpracovatel mohou zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je mohou zpracovávat jen ve stanovených případech výjimek (např. odkaz na jiné zákony, smlouva se správcem, zveřejněné údaje). Opět až na výjimky je správce povinen včas a řádně subjekt údajů (písemně) informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou určeny. Rovněž musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné.

Ještě mnohem markantněji tento problém vystupuje v případě citlivých (senzitivních) údajů, tedy osobních údajů vypovídajících o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Tyto údaje lze zpracovávat, jen pokud dal subjekt údajů ke zpracování výslovný souhlas.

Nebylo by nic překvapivého na tom, že správce či zpracovatel musí zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Nastává však nová povinnost ověřovat, zda jsou osobní údaje pravdivé a přesné (a pokud tak nemůže zjistit, musí je blokovat). A pokud přitom zjistí, že údaje nejsou pravdivé a přesné, opět je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat.

Naopak nikoliv novým ustanovením (ale ne v praxi zrovna příliš používaným) je povinnost správce jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných.

V novém zákoně byla rozšířena a upřesněna práva subjektů údajů v situaci, kdy při zpracování dat došlo k porušení povinností. Pokud tak učinil správce nebo zpracovatel, má subjekt údajů právo požadovat:

• aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění;
• aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné;
• aby osobní údaje byly zablokovány nebo zlikvidovány;
• zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

Správce i zpracovatel se zde nacházejí v režimu tzv. objektivní odpovědnosti, což znamená, že oni jsou povinni prokazovat, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od nich požadovat. Za případně způsobenou škodu odpovídají společně a nerozdílně. V této souvislosti je Úřad pro ochranu osobních údajů oprávněn ukládat pokuty, a to dost citelné. Například správce nebo zpracovatel už jen za to, že maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 miliónu Kč. Ovšem, pokud tentýž správce nebo zpracovatel poruší povinnost uloženou mu podle tohoto zákona, bude potrestán pokutou do výše 10 miliónů Kč. A pokud si to do jednoho roku ještě jednou zopakuje, může mu být uložena pokuta ještě v dvojnásobné výši.

Tento zákon založil tzv. "orgán datového dozoru", tj. Úřad pro ochranu osobních údajů. Mezi jeho základní práva a povinnosti patří, vedle již zmiňovaných kontrol a ukládání pokut, zejména registrace veškerých zpracování osobních údajů. Tedy ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost v poměrně podrobném písemném oznámení sdělit Úřadu před započetím zpracovávání osobních údajů. Pokud Úřad dané zpracování údajů nepovolí, není možné je zahájit.

Zákon nabyl účinnosti 1. června 2000 a jeho ustanoveními se od toho dne musí řídit bez výjimek všechna nová zpracování dat. De facto technickou výjimkou z této účinnosti jsou jeho ustanovení jakkoliv související s Úřadem pro ochranu osobních údajů, která jsou účinná až od 1. prosince 2000 (z důvodu nutnosti ponechat odpovídající čas pro konstituování a zahájení práce Úřadu). A poslední zásadní výjimkou zmírňujícím toto rychlé tempo je možnost, aby ti, kdo zpracovávali osobní údaje již před účinností tohoto zákona, harmonizovali svou činnost do úplného souladu s tímto zákonem až k datu 1. června 2001.

Jak na to?

Již v září 2000 vydal rektor MU směrnici č. 4/2000 Ochrana osobních údajů na Masarykově univerzitě. V té jsou zejména konkretizována některá ustanovení zákona na maximálně únosné úrovni obecnosti, a tedy především:

• zákaz zpracovávat citlivé údaje (s výjimkami);
• osobní a strukturální rozsah zveřejňování osobních údajů zejména na veřejných www-stránkách MU;
• rozsah a mechanismus pověřování osob přicházejících do styku s osobními údaji;
• způsob zabezpečení osobních údajů;
• a v neposlední řadě mechanismus registrace a evidence zpracování osobních údajů.

S ohledem na současné datum je jistě zřejmé, že aplikace těchto ustanovení již probíhá. Pochopitelně začala mapováním, jaká zpracování osobních údajů na MU vůbec existují, resp. jaké zacházení s osobními údaji podléhá režimu uvedené právní úpravy. Hrubý následující "algoritmus k harmonizaci" se zákonem by mohl vypadat asi takto:

1. Nejprve si snad rozmyslet, zda zpracování osobních dat, která provozujeme, jsou vůbec nutná, účelná a legální, resp. zda nám stojí za určitá rizika s tím spojená.
2. V případě kladné odpovědi na první otázku by měla následovat podrobná analýza datových struktur se zvláštním zřetelem na položky, které jsou zbytečné, špatně využitelné, obtížně verifikovatelné a především pak na ty, které obsahují citlivá data, s maximální snahou eliminovat vše nadbytečné s ohledem na účel zpracování dat.
3. V dalším kroku nezbývá, než se podrobně seznámit s legislativou, která případně speciálně upravuje zpracování dat v oblasti, kde jako správce či zpracovatel působíme, a která by mohla hrát roli jistých výjimek či specifik, na která se i tento zákon odkazuje. Zde podotýkám, že pokud zpracováváme data podle nějaké jiné speciální zákonné úpravy, ale datovou strukturu jsme si třeba z praktických důvodů rozšířili nad její definovaný rámec, nezbývá nám nic jiného, než se právě v těchto "nadstavbových" úrovních řídit obecným zákonem se všemi důsledky.
4. Následuje etapa, kterou určitě nemilují ti, kteří si zvykli své databáze měnit každý den podle okamžité potřeby, a to podrobně popsat celé zpracování dat od iniciálního smyslu a účelu zpracování, přes způsoby získávání, verifikace a zpřístupňování výsledků až po systém jejich zabezpečení. Útěchou jim budiž, že uvedený text v různých variantách dobře využijí pro několik následujících účelů.
5. Současně nezbývá nic jiného než si podrobně prostudovat veškeré dokumenty, které jsme jako správci či zpracovatelé podepsali a vydali. Zejména je třeba věnovat pozornost všem souvisejícím smlouvám, a to jak třeba zprostředkovatelským (zejména outsourcing všech možných typů), tak i pracovním, systému pověřování pracovníků k práci s daty a stanovení odpovědnosti.
6. Pokud konkrétní zpracování dat projde i touto etapou, ještě zdaleka nekončí nutné práce. Dalšího maximálně půl roku má správce na to, aby si vyžádal patřičná písemná svolení ke zpracovávání citlivých dat, resp. aby informoval subjekty dat v ostatních kategoriích, že o nich data zpracovává, a vytvořil si a zejména pak prakticky realizoval systém průběžného ověřovaní správnosti zpracovávaných údajů, což v určitých konkrétních situacích nemusí být nijak snadná záležitost.
7. Dále je nutné efektivním způsobem vyřešit problém uchovávání citlivých dat, když tam, kde dnes např. u národnosti stačila dvoubytová položka s odkazem na číselník, musí z praktického hlediska přibýt minimálně datum udělení souhlasu a datum, dokdy tento souhlas subjektem údajů udělený trvá.
8. Daleko zajímavějším však bude rozhodně vyřešení možnosti likvidovat a zejména pak blokovat u kterékoliv položky kterékoliv věty její obsah, zpravidla do okamžiku verifikace tohoto obsahu nebo do okamžiku (zpravidla vnějšího) rozhodnutí.

Metodickým dohledem a kontrolou nad uvedenými akcemi je pověřen Útvar systémového řízení a organizace RMU, který se (a to nejen z povinnosti) bude intenzivně na všech analýzách a rozhodnutích výše uvedeného typu podílet. Výsledkem pak musí být kompletní zveřejněná evidence veškerých zpracování osobních údajů na MU (zabezpečí ÚSŘO) v rozsahu:

1. Název
2. Účel
3. Kategorie subjektů údajů
4. Seznam položek osobních údajů
5. Vlastní proces nakládání s osobními údaji:
   • zdroje osobních údajů;
   • popis způsobu zpracování osobních údajů, včetně stanovení odpovědnosti jednotlivých pověřených osob, pracovních funkcí i pracovišť, která budou realizovat jednotlivé fáze zpracování;
   • příjemce nebo kategorie příjemců, kterým mohou být uvedené osobní údaje zpřístupněny i sdělovány (v případě jakéhokoliv příjemce mimo MU charakterizovat jeho právní status, vztah k MU a důvod);
   • způsob získávání souhlasu subjektů údajů se zpracováváním jejich osobních údajů, resp. jiné oprávnění ke sběru uvedeného údaje (na subjektu údajů nezávislé);
   • způsob informování subjektu údajů, že jsou o nich určité údaje shromažďovány;
   • způsob ověřování pravdivosti a přesnosti osobních údajů;
   • způsob, jak budou subjektům údajů poskytovány informace o osobních údajích o nich zpracovávaných.
   [Pokud se jednotlivé fáze procesu liší pro konkrétní položky osobních údajů, je třeba popsat proces nakládání s každou z nich zvlášť.]
6. Pracovní funkce hlavního garanta + pracovní funkce garantů jednotlivých částí, resp. průřezových aspektů daného zpracování
7. Stručný technický popis zpracování osobních údajů
8. V případě, že zpracování osobních údajů probíhá s využitím informačních technologií, databází a počítačových programů požívajících autorskoprávní ochrany, označení autorů (rozdělení na osobnostní a majetková práva).
9. Popis opatření k zajištění ochrany osobních údajů
10. Popis přímého propojení na jiné správce

a současně správně vyhotovené registrační přihlášky u Úřadu pro ochranu osobních údajů.

A to vše v termínu květen 2001 s tím, že jakékoliv další změny či zcela nová zpracování osobních údajů atd. si pochopitelně vyžádají obdobnou nelehkou práci všech zúčastněných.