Informační povinnost v rozsahu podle § 11 zákona č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů “), je jednou ze základních povinností správce osobních údajů a je podstatnou podmínkou efektivní ochrany osobních údajů zejména proto, že na základě uvedených informací se subjekt údajů může sám na ochraně svých osobních údajů aktivně podílet, tj. svobodně se rozhodnout, zda za daných podmínek své osobní údaje poskytne, nebo se domáhat nápravy, nejsou-li jeho osobní údaje zpracovávány v souladu s právní úpravou.
Informační povinnost podle GDPR
JUDr.
Eva
Janečková
Současná právní úprava
Zákon o ochraně osobních údajů v současné době nestanoví, jak má poskytnutí informací vypadat. Zákon uvádí dobu poskytnutí (při shromažďování osobních údajů) a obsah.
V informaci poskytované subjektu údajů musí být uveden „rozsah“ zpracovávaných osobních údajů, nejlépe taxativním výčtem zpracovávaných osobních údajů. Přestože slovo „účel“ je v předmětném ustanovení uvedeno v jednotném čísle, zřejmě lze přisvědčit názoru, že v informaci poskytované subjektu údajů může být v odůvodněných případech uvedeno i více účelů, pro které budou osobní údaje zpracovávány.
Správce musí dále subjekt údajů informovat také o tom, jakým způsobem bude správce, popřípadě zpracovatel, osobní údaje zpracovávat. Subjekt údajů musí být správcem informován rovněž o tom, „kdo“ bude osobní údaje zpracovávat. Osobu nebo osoby, které budou zpracovávat osobní údaje, je nezbytné identifikovat; u právnických osob uvedením názvu a sídla právnické osoby, popřípadě jejího identifikačního čísla, u fyzických osob uvedením jejich jména, příjmení, adresy a data jejich narození. Obdobně je nezbytné identifikovat osoby, kterým mohou být osobní údaje zpřístupněny či kterým jsou osobní údaje určeny. Nepostačující by bylo např. vymezení, že osobami, které budou zpracovávat osobní údaje, nebo kterým mohou být osobní údaje zpřístupněny či kterým jsou osobní údaje určeny, jsou „obchodní společnosti, které podnikají na území České republiky“.1)
Zákon o ochraně osobních údajů dále požaduje, aby byl subjekt údajů informován o tom, zda je poskytnutí osobních údajů správci dobrovolné nebo zda je subjekt údajů povinen osobní údaje poskytnout správci, popřípadě zpracovateli ke zpracování na základě zvláštního zákona. Jestliže je subjekt údajů podle zvláštního zákona povinen poskytnout správci osobní údaje pro zpracování, musí být správcem také poučen o důsledcích, které budou vyvozeny, pokud subjekt údajů osobní údaje ke zpracování neposkytne. Subjekt údajů musí být správcem také poučen o tom, zda je oprávněn odmítnout poskytnutí osobních údajů správci.
Zákon o ochraně osobních údajů obsahuje také výjimky a stanoví, za jakých okolností není potřeba informační povinnost plnit. Tyto okolnosti jsou uvedeny v § 11 odst. 3 zákona.
K tomu, aby se výjimka na správce osobních údajů vztahovala, je nutné splnit základní předpoklad, který je často správcem, jenž se soustředí pouze na jednotlivá písmena odstavce, opomíjen. Tímto předpokladem, nutným a platným pro všechna písmena odstavce, je fakt, že osobní údaje nebyly získány od subjektu údajů. Tento požadavek je logický, v
šechny
relevantní
informace totiž již subjekt údajů získal, resp. získat měl, od správce, který jeho údaje poskytnul k případnému dalšímu, jinému zpracování novému správci.GDPR
Nová právní úprava v podobě nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), která nabývá účinnosti 25. 5. 2018, nemění jádro této povinnosti, nicméně ji zcela zásadním způsobem konkretizuje a rozšiřuje.
V čl. 12 GDPR uvádí základní povinnost správce, který má přijmout vhodná opatření, aby poskytl subjektu údajů
stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků
veškeré informace. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby. Je tedy nejen stanovena povinnost informace poskytnout, zároveň jsou uvedeny parametry poskytnutí informací.Podle recitálů by jakékoliv zpracování osobních údajů mělo být prováděno zákonným a spravedlivým způsobem. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a na sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní, a aby byly stanoveny v okamžiku shromažďování osobních údajů.
Recital 58 požadavky GDPR ještě zpřesňuje a říká, že zásada transparentnosti vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků, a ve vhodných případech navíc i vizualizace. Pokud budou tyto informace určeny veřejnosti, mohly by být poskytovány v elektronické podobě, např. prostřednictvím internetových stránek. To platí obzvláště v situacích, kdy zapojení celé řady aktérů a technologická složitost znesnadňují subjektu údajů, aby věděl a porozuměl tomu, zda jsou shromažďovány jeho osobní údaje, a kdo a za jakým účelem je shromažďuje, jako je reklama na internetu.
GDPR striktně rozlišuje situace, kdy jsou osobní údaje získávány přímo od subjektu údajů a kdy tomu tak není.
Osobní údaje jsou získávány od subjektu údajů
Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:
a)
doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b)
existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
c)
existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
d)
existence práva podat stížnost u dozorového úřadu;
e)
skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
f)
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace.
Vedle těchto informací poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
a)
totožnost a kontaktní údaje správce a jeho případného zástupce;
b)
případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c)
účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d)
oprávněné zájmy správce nebo třetí strany;
e)
případné příjemce nebo kategorie příjemců osobních údajů;
f)
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí komise o odpovídající ochraně nebo odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
Recital 61 zároveň konstatuje, že pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace.
Informační povinnost je tedy oproti stávajícímu stavu značně rozšířená.
Osobní údaje nejsou získávány od subjektu údajů
I v případě, kdy správce nezískává osobní údaje přímo od subjektu údajů, je povinen poskytnout některé informace:
a)
totožnost a kontaktní údaje správce a případně jeho zástupce;
b)
kontaktní údaje případného pověřence pro ochranu osobních údajů;
c)
účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d)
kategorie dotčených osobních údajů;
e)
případné příjemce nebo kategorie příjemců osobních údajů;
f)
případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí komise o odpovídající ochraně nebo odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
Kromě těchto informací poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:
a)
doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b)
oprávněné zájmy správce nebo třetí strany v případě;
c)
existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
d)
existence práva kdykoli odvolat souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
e)
existence práva podat stížnost u dozorového úřadu;
f)
zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;
g)
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Lhůta pro splnění povinnosti
GDPR zároveň uvádí lhůty, ve kterých je nutné tuto povinnost splnit:
a)
v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;
b)
nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo
c)
nejpozději při prvním zpřístupnění osobních údajů, pokud má v úmyslu je zpřístupnit jinému příjemci.
Recital 61 toto ustanovení ještě zpřesňuje, když uvádí, že informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromáždění od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě, v závislosti na okolnostech případu. Jestliže mohou být osobní údaje oprávněně sděleny jinému příjemci, měl by být subjekt údajů informován o jejich prvním sdělení tomuto příjemci.
Stejně jako v současné právní úpravě provedené zákonem o ochraně osobních údajů existuje z nutnosti plnit informační povinnost několik výjimek. Tyto výjimky však směřují zcela jiným směrem, než je tomu v zákoně o ochraně osobních údajů.
Správce nemusí informační povinnost splnit v případě, kdy:
a)
subjekt údajů již má uvedené informace;
b)
se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;
c)
je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje, a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo
d)
osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství, upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.
Vzhledem k tomu, že celá řada správců osobních údajů v současné době neplní informační povinnost v dostatečné míře a mnoho správců tuto povinnost zcela opomíjí a neplní ji vůbec, bude nutné zaměřit pozornost tímto směrem, zajistit plnění této povinnosti, revidovat stávající texty, jimiž je povinnost plněna, a zajistit skutečnou transparentnost zpracování osobních údajů, jak ji požaduje GDPR.
1) Kučerová, A.; Bartík, V.; Peca, J.; Neuwirt, K.; Nejedlý, J.
Zákon o ochraně osobních údajů. Komentář.
1. vydání. Praha: C. H. Beck, 2003, s. 123. Kučerová, A.; Bartík, V.; Peca, J.; Neuwirt, K.; Nejedlý, J. Zákon o ochraně osobních údajů. Komentář.
1. vydání. Praha: C. H. Beck, 2003, s. 123.