Zejména proto, že na základě uvedených informací se subjekt údajů může sám na ochraně svých osobních údajů aktivně podílet, tj. svobodně se rozhodnout, zda za daných podmínek své osobní údaje poskytne, nebo se domáhat nápravy, nejsou-li jeho osobní údaje zpracovávány v souladu s právní úpravou. Nesplnění informační povinnosti v podstatě také zpochybňuje platnost souhlasu se zpracováním osobních údajů, neboť právní úkon může být považován za souhlas se zpracováním osobních údajů podle zákona o ochraně osobních údajů jen tehdy, pokud jsou subjektu údajů dány veškeré relevantní informace týkající se zamýšleného zpracování osobních údajů a je mu tak umožněno se svobodně a vědomě rozhodnout, zda souhlas se zpracováním osobních údajů za těchto podmínek udělí.

Z § 11 odst. 7 zákona o ochraně osobních údajů jasně vyplývá, že informační povinnost, jež je stanovena § 11 zákona o ochraně osobních údajů, nemusí nutně plnit správce, ale může ji za něj splnit i zpracovatel. Značně se tím usnadňuje postavení správce, který v mnoha případech určuje pouze účel, prostředky a způsob zpracování, avšak samotné zpracování neprovádí sám, ale pouze prostřednictvím zpracovatele. V takových případech by pro něj bylo proto velmi obtížné, mohl-li by informační povinnost plnit pouze on (správce).

Způsob plnění informační povinnosti

Správci osobních údajů plní svou informační povinnost obvykle prostřednictvím textu souhlasu se zpracováním osobních údajů uvedeném ve smlouvě či na příslušném formuláři anebo ustanovením v rámci všeobecných obchodních podmínek. Zde je nutno zdůraznit, že uvedené informace je nutno subjektu údajů sdělit (poskytnout) ve srozumitelné a přehledné formě. Při postupu, kdy jsou požadované informace subjektu údajů poskytnuty formou mnoha komplikovaně provázaných ustanovení v rámci rozsáhlého dokumentu, případně několika dokumentů, anebo pokud není jejich znění jednoznačně srozumitelné, lze o splnění povinnosti přinejmenším pochybovat.1)

Zákon tak nestanoví žádný způsob, jak má poskytnutí informací vypadat, nicméně ze zákona o ochraně osobních údajů vyplývá, že "správce je při shromažďování osobních údajů povinen subjekt údajů informovat", zákon o ochraně osobních údajů tedy zcela jednoznačně požaduje, aby informace byla subjektu údajů poskytnuta při shromažďování údajů. V informaci poskytované subjektu údajů musí být uveden "rozsah" zpracovávaných osobních údajů, nejlépe taxativním výčtem zpracovávaných osobních údajů. Přestože slovo "účel" je v předmětném ustanovení uvedeno v jednotném čísle, zřejmě lze přisvědčit názoru, že v informaci poskytované subjektu údajů může být v odůvodněných případech uvedeno i více účelů, pro které budou osobní údaje zpracovávány.

Správce musí subjekt údajů dále informovat také o tom, jakým způsobem bude správce, případně zpracovatel, osobní údaje zpracovávat. Subjekt údajů musí být správcem informován rovněž o tom, "kdo" bude osobní údaje zpracovávat. Osobu nebo osoby, které budou zpracovávat osobní údaje, je nezbytné identifikovat; u právnických osob uvedením názvu a sídla právnické osoby, případně jejího identifikačního čísla, u fyzických osob uvedením jejich jména, příjmení, adresy a případně i dalších identifikátorů. Obdobně je nezbytné identifikovat osoby, kterým mohou být osobní údaje zpřístupněny či kterým jsou osobní údaje určeny. Nepostačující by bylo např. vymezení, že osobami, které budou zpracovávat osobní údaje nebo kterým mohou být osobní údaje zpřístupněny či kterým jsou osobní údaje určeny, jsou "obchodní společnosti, které podnikají na území České republiky".2)

Další povinně poskytované informace

Ustanovení § 11 odst. 2 zákona o ochraně osobních údajů stanoví správci osobních údajů povinnost poučit subjekt údajů o tom, zda je poskytnutí osobních údajů správci dobrovolné nebo zda je subjekt údajů povinen osobní údaje poskytnout správci, případně zpracovateli ke zpracování na základě zvláštního zákona. Z textu zákonného ustanovení je zřejmé, že povinnost podle § 11 odst. 2 zákona o ochraně osobních údajů má správce jen tehdy, když získává a shromažďuje osobní údaje přímo od subjektu údajů. Jestliže je subjekt údajů podle zvláštního zákona povinen poskytnout správci, případně zpracovateli, osobní údaje pro zpracování, musí být správcem také poučen o důsledcích, které budou vyvozeny, pokud subjekt údajů osobní údaje ke zpracování neposkytne. Subjekt údajů musí být správcem také poučen o tom, zda je oprávněn odmítnout poskytnutí osobních údajů správci,3) případně zpracovateli. Z textu zákonného ustanovení je zřejmé, že rovněž tato poučení musí správce poskytnout subjektu údajů pouze tehdy, když získává a shromažďuje osobní údaje přímo od subjektu údajů. Správce musí být schopen prokázat, že splnil svou povinnost poučit subjekt údajů tak, jak mu to ukládá § 11 odst. 2 zákona o ochraně osobních údajů.

Tuto povinnost by měl správce splnit nejlépe ještě před zahájením zpracování osobních údajů. Na rozdíl od informační povinnosti stanovené podle § 11 odst. 1 Zákona o ochraně osobních údajů však z textu § 11 odst. 2 zákona o ochraně osobních údajů nevyplývá, že by povinnost poučit subjekt údajů o výše uvedených skutečnostech musel správce splnit ještě před zahájením zpracování osobních údajů.4) Nicméně logika věci je taková, že i tyto informace by měl subjekt údajů dostat tak, aby mohl uvážit důsledky případného neposkytnutí informací, tedy předem, obdobně jak stanoví odst. 1.

Výjimky z informační povinnosti

Informační povinnosti je správce zproštěn v případě, že jsou informace o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat, a komu mohou být osobní údaje zpřístupněny, již známy.

Další výjimky z informační povinnosti jsou stanoveny v § 11 odst. 3 zákona o ochraně osobních údajů. Tento odstavec stanoví výluku z povinností poskytnout informace subjektu údajů uvedených v předchozích dvou odstavcích. K tomu, aby se výjimka na správce osobních údajů (případně na zpracovatele) vztahovala, je nutné splnit základní předpoklad, který je často správci, jenž se soustředí pouze na jednotlivá písmena odstavce, opomíjen. Tímto předpokladem, nutným a platným pro všechna písmena odstavce, je fakt, že osobní údaje nebyly získány od subjektu údajů. Tento požadavek je ostatně i logický. Všechny relevantní informace totiž již subjekt údajů získal, resp. získat měl, od správce, který jeho údaje poskytnul k případnému dalšímu, jinému zpracování novému správci.

Je-li splněn tento předpoklad, tedy nebyly-li údaje získány od subjektu údajů (ale např. od jiného správce) není povinen správce osobních údajů plnit informační povinnost, pokud zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby,5) vědecké nebo archivní účely6) a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud je ukládání na nosiče informací nebo zpřístupnění výslovně stanoveno zvláštním zákonem.

OCHRANA SOUKROMÉHO A OSOBNÍHO ŽIVOTA

V těchto případech je správce povinen přijmout potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů. To, zda by poskytnutí takových informací vyžadovalo neúměrné úsilí, bude zřejmě nutné vždy posuzovat podle konkrétních okolností každého případu a patrně také podle poměrů správce. Je nutné upozornit, že toto ustanovení obsahuje i povinnost přijmout potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů. Jak již bylo uvedeno výše, ochrana soukromí a osobního života je základním limitem při zpracování osobních údajů; chrání nejen subjekt údajů proti neoprávněnému zasahování do jeho soukromí ze strany správců a zpracovatelů, ale chrání i fyzické osoby, které existují v soukromém a osobním životě subjektu údajů (jako jsou např. jeho rodiče, děti, sourozenci, ostatní příbuzní, osoby blízké, jeho přátelé či spolupracovníci).

Správce dále nemusí subjektu údajů poskytnout informace v případě, že zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů. U odkazu na zvláštní zákony není v rozporu s obvyklou legislativní praxí připojen odkaz na poznámku pod čarou, která by obsahovala alespoň demonstrativní výčet takových zákonů nebo jejich jednotlivých ustanovení. Správce také nemusí subjektu údajů informace poskytnout, pokud zpracovává výlučně oprávněně zveřejněné osobní údaje.7) Zveřejněným osobním údajům, a to zejména oprávněně zveřejněným osobním údajům, lze sotva zabezpečit stejný stupeň ochrany jako u ostatních osobních údajů, které nejsou pro správce, zpracovatele a třetí osoby běžně dostupné. Rovněž by bylo sotva vhodné stanovit i stejný režim pro nakládání se zveřejněnými osobními údaji (a také shodné povinnosti správců a zpracovatelů) jako u ostatních osobních údajů, které nejsou pro správce, zpracovatele a třetí osoby běžně dostupné. Je ovšem nutné uvést, že okruh zveřejněných osobních údajů a okruh osobních údajů, které jsou součástí evidencí veřejně přístupných, nejsou totožné.8)

Poslední možnou výjimkou je, pokud správce zpracovává osobní údaje získané se souhlasem subjektu údajů. Jevilo se jako nadbytečné zdvojovat informační povinnosti správců vůči subjektům údajů v případech, kdy dochází ke zpracování osobních údajů se souhlasem subjektu údajů, neboť některé informace poskytované správcem subjektu údajů podle § 11 odst. 1 zákona o ochraně osobních údajů (např. informace o účelu a rozsahu zpracování a o osobách, které budou osobní údaje zpracovávat) jsou obdobné požadavkům na náležitosti souhlasu subjektu údajů.9)

Na závěr je nutné dodat, že i když správce získává byť jen jediný údaj od subjektu údajů z dané množiny, liberační § 11 odst. 3 Zákona o ochraně osobních údajů aplikovat nelze a správce podléhá informační povinnosti. Přitom osobní údaje jsou považovány za získané od subjektu údajů, i když tak nečiní sám správce, ale jeho zpracovatel.

Další povinnosti podle § 11 zákona o ochraně osobních údajů

Zákon o ochraně osobních údajů v § 11 odst. 4 konstatuje, že předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů, přičemž v poznámce pod čarou uvádí demonstrativní výčet zákonů, podle nichž lze zmiňované informace požadovat. Informační povinnost podle § 11 zákona o ochraně osobních údajů správce plní vůči subjektu údajů a v jejím rámci poskytuje subjektu údajů informace o osobních údajích a o skutečnostech souvisejících se zpracováváním osobních údajů týkajících se subjektu údajů. Plnění informační povinnosti podle § 11 zákona o ochraně osobních údajů může být sotva překážkou pro plnění povinností vyplývajících pro správce ze zvláštních zákonů, neboť jde vesměs o informace, kterými se plní jiná zákonná povinnost stanovená osobě povinné podle zvláštních zákonů. Takové povinnosti tedy musejí stát zcela samostatně a odst. 4 tuto skutečnost jen akcentuje.

Podle § 11 odst. 5 Zákona o ochraně osobních údajů je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování jeho osobních údajů v případech zpracování osobních údajů podle § 5 odst. 2 písm. e)10) a § 9 písm. h)11) zákona o ochraně osobních údajů . Oba případy se týkají zpracování, kdy se správce osobních údajů dovolává svého právního nároku, na základě kterého uplatňuje právo zpracovávat osobní údaje bez souhlasu subjektu údajů. Zákon o ochraně osobních údajů v tomto případě neuvádí, za jakých okolností by měly být tyto údaje získány - byly získány od subjektu údajů/nebyly získány od subjektu údajů. Lze proto dovodit, že tato povinnost se vztahuje na oba případy a při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm. h) zákona o ochraně osobních údajů musejí být informace podány vždy. Zákon také neurčuje přesnou lhůtu, kdy má správce tuto povinnost splnit, uvádí pouze, že tak má učinit bez zbytečného odkladu. Správce je proto povinen informaci předat ihned, jakmile je to možné, což je nutné vždy posuzovat v každém případě individuálně. Za splnění informační povinnosti by bylo možné zajisté uznat např. i prosté respektování zákonné povinnosti např. podle § 526 odst. 1 věty první občanského zákoníku.12)


Nicméně je třeba upozornit na to, že ač zákon o ochraně osobních údajů požaduje po správci, aby subjekt údajů informoval o náležitostech zpracování, a dokonce jsou s neinformováním spojeny i správní sankce [§ 44 odst. 2 písm. f) a § 45 odst. 1 písm. f) zákona o ochraně osobních údajů], sám zákon ponechává zcela na správci, jak se případně vyrovná s tím, když bude např. postaven před nutnost splnění informační povinnosti prokázat.

Zákon o ochraně osobních údajů totiž prokazatelnost poskytnuté informace přímo nepožaduje, i když tak třeba činí v případě souhlasu (§ 5 odst. 4 zákona o ochraně osobních údajů).

Lze tedy jen doporučit, aby správce, pokud plní svou informační povinnost, postupoval obdobně jako u souhlasu, tedy aby si nechal poskytnutí informací subjektem údajů nějakým prokazatelným způsobem potvrdit.


Poznámky:

1) www.uoou.cz, Dozorová činnost - Správní delikty - Z rozhodovací činnosti, jinak také Bartík, V., Janečková, E.:Zákon o ochraně osobních údajů s komentářem. Anag, Olomouc 2010.

2) Kučerová, A., Bartík, V., Peca, J., Neuwirt, K., Nejedlý, J.: Zákon o ochraně osobních údajů. Komentář. 1. vydání. Praha: C. H. Beck, 2003, str. 123.

3) Například pokud by tím způsobil nebezpečí trestního stíhání sobě nebo osobám sobě blízkým.

4) Kučerová, A., Bartík, V., Peca, J., Neuwirt, K., Nejedlý, J.: Zákon o ochraně osobních údajů. Komentář. 1. vydání. Praha: C. H. Beck, 2003, str. 125.

5) Zákon č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů.

6) Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.

7) Viz § 4 písm. l) nebo § 5 odst. 2 písm. d) zákona o ochraně osobních údajů.

8) Kučerová, A., Bartík, V., Peca, J., Neuwirt, K., Nejedlý, J.: Zákon o ochraně osobních údajů. Komentář. 1. vydání. Praha: C. H. Beck, 2003, str. 131, jinak také Bartík, V., Janečková, E.: Zákon o ochraně osobních údajů s komentářem. Anag, Olomouc 2010.
9) Ustanovení § 5 odst. 4 zákona o ochraně osobních údajů.

10) Správce může zpracovávat osobní údaje bez souhlasu subjektu údajů, pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života.

11) Citlivé údaje je možné zpracovávat jen pokud je zpracování nezbytné pro zajištění a uplatnění právních nároků.

12) Postoupení pohledávky je postupitel povinen oznámit dlužníkovi bez zbytečného odkladu.


Václav Bartík
Česká národní banka

Eva Janečková
Úřad pro ochranu osobních údajů

Související