Jako na zaměstnavatele se na nás obrátil exekutor a požaduje, abychom mu sdělili mobilní telefonní číslo naše zaměstnance. Jsme povinni mu vyhovět?
Pracovní právo
JUDr.
Eva
Janečková
Související předpisy:
-
zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů,
-
zákon č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád) a o změně dalších zákonů, ve znění pozdějších předpisů.
Podle ustanovení § 33 odst. 6 zákona č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád) a o změně dalších zákonů, ve znění pozdějších předpisů, jsou poskytovatelé služeb elektronických komunikací povinni oznámit exekutorovi na jeho písemnou žádost telefonní, dálnopisné a telefaxové stanice užívané povinným a údaje o nich, pokud nejsou uvedeny ve veřejně dostupných seznamech. Zaměstnavatel tedy dle zákona není povinen žádosti o telefonní kontakt povinného vyhovět.
Na zaměstnavatele by se mohlo vztahovat pouze ustanovení § 33 odst. 4 téhož zákona, podle kterého banky, pobočky zahraničních bank, spořitelní a úvěrní družstva, instituce elektronických peněz, zahraniční instituce elektronických peněz, vydavatelé elektronických peněz malého rozsahu, platební instituce, zahraniční platební instituce a poskytovatelé platebních služeb malého rozsahu pojišťovny, investiční společnosti a investiční fondy, obchodníci s cennými papíry, penzijní společnosti, penzijní fondy podle zvláštního právního předpisu, Fond pojištění vkladů, notáři, advokáti, fyzické a právnické osoby jsou povinni sdělit exekutorovi na jeho písemnou žádost údaje o číslech účtů povinného nebo jeho jiných jedinečných identifikátorech, jakož i o jejich stavu a změnách a údaje o majetku, věcech, listinách či zaknihovaných cenných papírech povinného jimi spravovaných či u nich pro povinného či povinným uschovaných.
Zaměstnavatel tedy má povinnost sdělit pouze výše uvedené údaje. V takovém případě bude postupovat podle § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých údajů, ve znění pozdějších předpisů, podle něhož je možné zpracovávat osobní údaje bez souhlasu subjektu údajů, jestliže provádí zpracování nezbytné pro dodržení právní povinnosti. U všech ostatních kategorií údajů je třeba získat souhlas subjektu údajů dle ustanovení § 5 odst. 2 téhož zákona.
Mé osobní údaje se objevily v registru, který je jakousi databází podnikatelských subjektů, jež jsou dlužníky. Nejedná se o bankovní registr. Souhlas k takovému zveřejnění jsem nikomu nedal.
Jak bylo uvedeno, jedná se o databázi podnikajících subjektů a informace tak pravděpodobně pocházejí z veřejně přístupných zdrojů. Jde tedy o údaje oprávněně zveřejněné, které je možné dále zpracovávat bez Vašeho souhlasu [ust. § 5 odst. 2 písm. d) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“)].
Pokud jde o informační povinnost, ustanovení § 11 odst. 3 písm. c) zákona o ochraně osobních údajů uvádí, že informace a poučení podle odstavce 1 není povinen správce poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů, pokud zpracovává výlučně oprávněně zveřejněné osobní údaje.
Vámi uvedený případ tedy spadá pod výjimku uvedenou v zákoně a správce osobních údajů je informační povinnosti zproštěn.
Je také nutno uvést, že v ustanovení § 4 písm. d) zákona o ochraně osobních údajů je uvedeno, že subjektem údajů fyzická osoba, k níž se osobní údaje vztahují. I fyzická osoba podnikající může zcela jistě být subjektem údajů tak, jak jej definuje zákona o ochraně osobních údajů, a jako taková může být zasažena ve svém soukromí, avšak pouze v závislosti na skupině zpracovávaných osobních údajů. Budou-li zpracovávány pouze osobní údaje týkající se osoby coby podnikatelského subjektu a údaje, které se týkají pouze její podnikatelské aktivity, nemůže - vzhledem k tomu, že podnikání není činností, jež by byla s to zasáhnout do soukromí, neboť se netýká soukromí tak, jak jej chápe občanské právo - dojít k neoprávněnému zásahu do soukromí, jak o něm mluví § 1 zákona o ochraně osobních údajů. Takovým údajům proto nelze přiznat ochranu podle tohoto zákona.
Lze uvést alespoň obecný návod, jak zabezpečit osobní údaje zpracovávané elektronicky?
Požadavky na zabezpečení osobních údajů stanoví obecně ustanovení § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“). Tento paragraf uvádí, že správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.
V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se:
a)
plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
b)
zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
c)
zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a
d)
opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
Pokud jde o zabezpečení v oblasti automatizovaného zpracování osobních údajů je důležitý především odst. 4 tohoto ustanovení, který říká, že správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také:
a)
zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby,
b)
zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby,
c)
pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a
d)
zabránit neoprávněnému přístupu k datovým nosičům.
Celý odstavec 4 je nutné chápat kontextuálně a nikoliv vytrženě ze smyslu a účelu povinností stanovených v odstavci 1. Povinnosti uvedené pod písm. a) a b) pouze upřesňují obecnou povinnost správce přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům případě, že se jedná o automatizovaný způsob zpracování. Je tedy nezbytné volit nikoliv jen obecná organizační opatření, ale také i metody, které taková opatření promítnou do automatizovaných zpracování prostředky, které mu odpovídají. Znamená to, že ne každý ze zaměstnanců správce bude mít přístup k automatizovaně zpracovávaným údajům, a ti, jimž správce takovou možnost, vycházející z pracovní pozice a stanovených úkolů, přizná, budou mít přístup omezen jen do oblastí zpracování, které pracovní pozici a stanoveným úkolům, tedy náplni práce, odpovídá, když toto omezení bude zajištěno specifickými prostředky výpočetní techniky, tedy přístupovými právy, a to individuálními s případným rozlišením specifických oprávnění, jako je např. oprávnění pouze nahlížet, měnit konkrétní záznam apod.
Účelem a smyslem ustanovení písm. c) je zajistit, aby správce mohl zjistit, jakým způsobem bylo s údaji při automatizovaném zpracování nakládáno, a to tak, že o přístupech budou existovat elektronické záznamy, tzv. loggy. Současně to však neznamená, že by nezbytně musely existovat záznamy o přístupech v rámci jednoho informačního např. databázového systému ke konkrétní datové větě, i když ani taková možnost není vyloučena a bude vždy záviset na konkrétním vyhodnocení rizik ve vztahu k závažnosti chráněných dat, které je správce povinen posoudit podle odstavce 3, když povinnost podle písm. c) je možné plnit i v kombinaci s vhodnými organizačními opatřeními. Povinnost, stanovená v odstavci 4, je upřesňující v tom smyslu, že chránit je třeba nejen samotná „aktivní“ automatizovaná zpracování probíhající na prostředcích výpočetní techniky, ale také individuální datové nosiče, na nichž jsou např. uchovávány zálohové soubory, a že tato ochrana musí být systémová a odpovídající vyhodnoceným rizikům.