Pracovní právo a ochrana osobních údajů
JUDr.
Eva
Janečková
Pro zpracování mezd využíváme externí účetní firmu, se kterou máme uzavřenu smlouvu o
zpracování podle § 6 zákona o ochraně osobních
údajů. Během zpracování mezd došlo k úniku některých osobních údajů. Kdo je z hlediska
zákona o ochraně osobních údajů odpovědný za
toto porušení zákona?
Primární odpovědnost za zabezpečení osobních údajů leží na správci osobních údajů.
Odpovědnost za správní delikt podle § 45 odst.
1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve
znění pozdějších předpisů (dále jen „zákon o ochraně
osobních údajů“), je přitom postavena na objektivní odpovědnosti, tedy bez ohledu na
zavinění.
Zákon o ochraně osobních údajů však
zároveň obsahuje § 46 odst. 1, podle něhož právnická osoba za správní delikt neodpovídá, jestliže
prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti
zabránila. Pokud tedy vaše firma uzavřela smlouvu o zpracování, která má zákonem požadovaný obsah,
včetně záruk zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů, a i Vaše
pokyny směrem ke zpracovateli byly v souladu se zákonem, je možné, že se odpovědnosti za správní
delikt zprostíte.
Důkaz o existenci liberačního důvodu jde vždy k tíži škůdce. Chce-li se tedy odpovědný
subjekt odpovědnosti zprostit, musí prokázat, že je v daném případě dán liberační důvod vylučující
jeho odpovědnost za vzniklou škodu. Aktivita musí proto být na straně správce.
Lze dynamickou IP adresu uživatele považovat za osobní údaj?
K tomuto tématu se před nedávnem vyjádřil Soudní dvůr Evropské unie ve svém rozhodnutí ze
dne 19. 10. 2016, sp. zn. ECLI:EU:C:2016:779. V tomto rozhodnutí soud řešil otázku, zda dynamická IP
adresa, kterou poskytovatel online mediálních služeb uchovává v souvislosti s přístupem osoby na
internetovou stránku, kterou tento poskytovatel zpřístupnil veřejnosti, pro uvedeného poskytovatele
představuje osobní údaj, pokud má k dispozici další informace potřebné k identifikaci této osoby
jedině třetí subjekt, například poskytovatel internetového připojení.
Osobními údaji se rozumí „veškeré informace o identifikované nebo identifikovatelné osobě
(subjekt údajů)“. Identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo
identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její
fyzické, fyziologické, psychické, hospodářské, kulturní nebo sociální identity.
Projednávaný případ se týkal situace, v níž poskytovatel online mediálních služeb
uchovával IP adresy uživatelů internetové stránky, kterou tento poskytovatel služeb zpřístupnil
veřejnosti, aniž měl k dispozici další informace potřebné k identifikaci těchto uživatelů. Jednalo
se o „dynamické“ IP adresy, a sice dočasné adresy, jež jsou přidělovány při každém internetovém
připojení a nahrazovány při dalších připojeních, a nikoli „statické“ IP adresy, jež jsou neměnné a
umožňují trvalou identifikaci zařízení připojeného k síti.
V této souvislosti soud poukázal na to, že je nesporné, že dynamická IP adresa
nepředstavuje informaci o „identifikované osobě“, jelikož taková adresa přímo neodhaluje totožnost
fyzické osoby, která je majitelem počítače, ze kterého byla navštívena internetová stránka, ani
totožnost jiné osoby, která mohla tento počítač používat.
Za účelem určení, zda dynamická IP adresa představuje osobní údaj pro poskytovatele online
mediálních služeb, je třeba ověřit, zda taková IP adresa, jakou uchovává takový poskytovatel, může
být kvalifikována jako informace o „identifikovatelné osobě“, pokud má poskytovatel internetového
připojení tohoto uživatele k dispozici další informace potřebné k identifikaci uživatele internetové
stránky, kterou tento poskytovatel služeb zpřístupnil veřejnosti.
V tomto ohledu ze znění čl. 2 písm. a) směrnice 95/46 vyplývá, že identifikovatelnou
osobou se rozumí osoba, kterou lze identifikovat nejen přímo, nýbrž i nepřímo. Použití pojmu
„nepřímo“ naznačuje, že k tomu, aby mohla být informace kvalifikována jako osobní údaj, není nutné,
aby tato informace sama o sobě umožňovala identifikovat subjekt údajů.
Znění směrnice nasvědčuje tomu, že aby určitý údaj mohl být kvalifikován jako „osobní
údaj“, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely
nacházet v rukách jediné osoby.
Skutečnost, že další informace potřebné k identifikaci uživatele internetové stránky nemá
k dispozici poskytovatel online mediálních služeb, nýbrž poskytovatel internetového připojení tohoto
uživatele, tedy nemůže vyloučit, že dynamické IP adresy uchovávané poskytovatelem online mediálních
služeb představují pro tohoto poskytovatele osobní údaje. Je nicméně třeba určit, zda možnost
spojení dynamické IP adresy s uvedenými dalšími informacemi, které má k dispozici tento poskytovatel
internetového připojení, představuje prostředek, který může být rozumně použit pro identifikaci
subjektu údajů.
S ohledem na výše uvedené je třeba říct, že čl. 2 písm. a) směrnice 95/46 musí být
vykládán v tom smyslu, že dynamická IP adresa, kterou poskytovatel online mediálních služeb uchovává
v souvislosti s přístupem osoby na internetovou stránku, kterou tento poskytovatel zpřístupnil
veřejnosti, pro uvedeného poskytovatele představuje osobní údaj ve smyslu tohoto ustanovení, pokud
má k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů díky dalším
informacím, kterými disponuje poskytovatel internetového připojení tohoto subjektu.
Dostal jsem se do sporu se zaměstnavatelem. Rád bych si nahrával naše jednání při jeho
řešení pro případné budoucí soudní jednání. Je to možné bez souhlasu nadřízeného?
Základním východiskem je skutečnost, že pořízení zvukového záznamu je zpracováním osobních
údajů. Bude-li však záznam pořizován fyzickou osobou pro osobní potřebu, bude se na takové jednání
vztahovat § 3 odst. 3 zákona o ochraně osobních
údajů, podle něhož se tento zákon nevztahuje na zpracování osobních údajů, které provádí
fyzická osoba výlučně pro osobní potřebu.
Jinak řečeno, jakékoliv zpracování osobních údajů, které provádí fyzická osoba pro sebe,
nebude spadat pod působnost zákona o ochraně osobních
údajů, i kdyby fyzická osoba údaje, kterými disponuje, někomu dále sdělila. Navíc by se
pravděpodobně nejednalo o činnost systematickou, která je pojmovým znakem zpracování osobních údajů
podle definice uvedené v § 4 písm. e) zákona o
ochraně osobních údajů.
Bude však nutné zohlednit zákon č. 89/2012
Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“), a jeho §
84 a násl., které se týkají soukromí člověka, možnosti zachytit jeho podobu a pořídit obrazový a
zvukový záznam. Otázkou, kterou je nutno zodpovědět, je, zda nahrávku hovoru s nadřízeným lze
považovat za zásah do soukromí. V § 88 odst. 1
občanského zákoníku je uvedeno, že svolení není třeba, pokud se podobizna nebo zvukový či
obrazový záznam pořídí nebo použijí k výkonu nebo ochraně jiných práv nebo právem chráněných zájmů
jiných osob.
Z výše uvedeného lze tedy dovodit, že pořízení nahrávky hovoru s nadřízeným a její
pozdější použití při soudním řízení je možné, a to i bez souhlasu daného nadřízeného.
Musí povinný subjekt zveřejňovat v registru smluv i dodatky smluv?
Zákon č. 340/2015 Sb., o zvláštních
podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru
smluv), ve znění pozdějších předpisů (dále jen „zákon o registru smluv“), nemluví o uveřejňování
dodatků zcela jasně. Z praxe však vyplývá, že v zásadě může dojít ke dvěma situacím:
–
V prvním případě se jedná o dodatek, kterým je sjednán další závazek nebo plnění.
Není-li původní smlouva zveřejněna v registru, dodatky jsou posuzovány samostatně. Je tedy
posuzováno, zda cena dodatku, popřípadě hodnota plnění vyplývající z tohoto dodatku, dosahuje více
než 50 000 Kč. Při splnění zákonem stanovených podmínek bude dodatek zveřejněn. Byť to zákon o
registru smluv výslovně neříká, měl by takový dodatek být vzhledem ke smyslu a účelu zákona
uveřejněn i s původní smlouvou, na tu se ale nevztahují případné sankce za nedodržení otevřenosti a
strojové čitelnosti formátu smlouvy. Pokud je původní smlouva v registru zveřejněna, potom bude
dodatek zveřejněn v souvislosti s původní smlouvou pomocí ID této smlouvy.
–
Ve druhém případě dodatek mění obsah původní smlouvy. Takový dodatek nelze posuzovat
samostatně, nelze jej oddělit od původní smlouvy. Byla-li tedy uveřejněna původní smlouva, musí být
uveřejněn i dodatek.
Je nutné plnit informační povinnost podle
§ 11 zákona o ochraně osobních údajů v
každém případě zpracování osobních údajů, nebo existují nějaké výjimky?
I z § 11 zákona o ochraně osobních
údajů a z informační povinnosti existují určité výjimky. Informační povinnosti je správce
zproštěn v případě, že jsou informace o tom, v jakém rozsahu a pro jaký účel budou osobní údaje
zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat, a komu mohou být osobní údaje
zpřístupněny, již známy.
Další výjimky z informační povinnosti jsou stanoveny v
§ 11 odst. 3 zákona o ochraně osobních
údajů. K tomu, aby bylo možné výjimku využít, je nutné splnit základní předpoklad, který je
často správci, jenž se soustředí pouze na jednotlivá písmena odstavce, opomíjen. Tímto předpokladem
je, že osobní údaje nebyly získány od subjektu údajů.
Je-li splněn tento předpoklad, tedy pokud nebyly údaje získány od subjektu údajů (ale
například od jiného správce), není povinen správce osobních údajů plnit informační povinnost, pokud
zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní
účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady;
nebo pokud je ukládání na nosiče informací nebo zpřístupnění výslovně stanoveno zvláštním
zákonem.
Správce dále nemusí subjektu údajů poskytnout informace v případě, že zpracování osobních
údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností
vyplývajících ze zvláštních zákonů. Správce také nemusí subjektu údajů informace poskytnout, pokud
zpracovává výlučně oprávněně zveřejněné osobní údaje. Zveřejněným osobním údajům, a to zejména
oprávněně zveřejněným osobním údajům, lze sotva zabezpečit stejný stupeň ochrany jako u ostatních
osobních údajů, které nejsou pro správce, zpracovatele a třetí osoby běžně dostupné.
Poslední možnou výjimkou je, pokud správce zpracovává osobní údaje získané se souhlasem
subjektu údajů.
Na závěr je nutné dodat, že i když správce získává byť jen jediný údaj od subjektu údajů,
výjimky z § 11 odst. 3 zákona o ochraně osobních
údajů aplikovat nelze a správce podléhá informační povinnosti. Přitom osobní údaje jsou
považovány za získané od subjektu údajů, i když tak nečiní sám správce, ale jeho
zpracovatel.
Může se právnická osoba dopustit trestného činu neoprávněné nakládání s osobními
údaji?
Trestní odpovědnost právnických osob je upravena zákonem č.
418/2011 Sb., o trestní odpovědnosti
právnických osob a řízení proti nim, ve znění pozdějších předpisů (dále jen „zákon o trestní
odpovědnosti právnických osob“). Dne 1. 12. 2016 nabyla účinnosti novela tohoto zákona, zákon č.
183/2016 Sb. V
§ 7 zákona o trestní odpovědnosti právnických
osob se mění výčet trestných činů, jichž se může dopustit právnická osoba, tj. pozitivní
výčet, na výčet trestných činů, jichž se právnická osoba dopustit nemůže, tj. negativní výčet. Týká
se to i § 180 zákona č. 40/2009 Sb.,
trestní zákoník, ve znění pozdějších předpisů (dále jen
„trestní zákoník“), neoprávněné nakládání s
osobními údaji, který doposud trestným činem, jehož se právnická osoba mohla dopustit,
nebyl.
Jinak řečeno, od 1. 12. 2016 se právnická osoba může dopustit i trestného činu
neoprávněného nakládání s osobními údaji. Tento trestný čin je uveden v
§ 180 trestního zákoníku.
Ustanovení § 180 trestního
zákoníku tak obsahuje v odst. 1 a 2 dvě samostatné základní skutkové podstaty:
–
První skutková podstata
je vymezena v odst. 1 a chrání každého před
neoprávněným zveřejněním, sdělením, zpřístupněním, jiným zpracováváním nebo přisvojením si osobních
údajů shromážděných o jiném v souvislosti s výkonem veřejné moci.–
Druhá skutková podstata
V obou případech je to vázáno na způsobení vážné újmy na právech nebo oprávněných
zájmech osoby, jíž se osobní údaje týkají. Oběma skutkovými podstatami je postihováno jak úmyslné,
tak i nedbalostní jednání.
Veřejnou mocí se v tomto případě rozumí taková moc, která autoritativně rozhoduje o
právech a povinnostech subjektů, ať již přímo, nebo zprostředkovaně.
K naplnění znaku sdělení údaje o jiném postačí, že neoprávněné sdělení obsahující
informaci o shromážděných údajích je učiněno alespoň jedné osobě rozdílné od poškozeného, a to na
rozdíl od zveřejnění, kde musí být osobní údaj sdělován veřejnosti, tedy většímu počtu lidí. Může
jít o sdělení ústní, písemné nebo může být předáno na nosiči informací apod.
Odstavec 2 poskytuje ochranu před zneužitím osobních údajů získaných pro jiné účely než v
souvislosti s výkonem veřejné moci, a to v souvislosti s výkonem povolání, zaměstnání nebo funkce
pachatele.
Podstatnou informací je, že tento trestný čin může být spáchán jak úmyslně, tak z
nedbalosti. Vyjadřuje zájem společnosti na ochraně osobních údajů před neoprávněným zveřejňováním,
zneužíváním, jakož i zájem společnosti na ochraně dalších práv a oprávněných zájmů, které mohou být
zveřejněním osobních údajů poškozeny. Následek jednání je tak vždy shodný, ať již obviněný jednal
úmyslně či nedbalostně.
Může být souhlas se zpracováním osobních údajů vložen do všeobecných obchodních
podmínek, nebo musí být uveden samostatně?
Souhlas podle zákona o ochraně osobních
údajů, je primárně úkonem jednostranným, který činí subjekt údajů vůči svému smluvnímu
partnerovi, který je v pozici správce osobních údajů. Všeobecné obchodní podmínky jsou však z logiky
věci součástí smluvního ujednání, tedy úkonu, s nímž musí souhlasit obě smluvní strany, a je tak
úkonem dvoustranným. Inkorporovat svým charakterem jednostranný právní úkon podle
zákona o ochraně osobních údajů do dokumentu,
který je součástí dvoustranného právního vztahu, může subjekt údajů minimálně zmást, ne-li uvést v
omyl. I když vztahy partnerů v obchodním vztahu by měly být v zásadě rovné a vyvážené, v praktickém
životě tomu tak nebývá. Tržní prostředí sice zaručuje, že až na výjimky je vždycky více subjektů,
jež poskytují obdobnou službu, ale i přes možnost výběru smluvního partnera zůstává faktem, že
vzhledem k obdobnému chování poskytovatelů služeb se
klient
vždy ocitá v nevýhodě, tedy „v postavení
slabšího“. Jinak řečeno, u klientů se objevuje tendence respektovat toto „podřízené“ postavení, a
tím jsou v podstatě „donuceni“ takový jednostranný právní úkon učinit. Podle § 4 písm. n) zákona o ochraně
osobních údajů se souhlasem rozumí svobodný a vědomý projev vůle subjektu údajů, jehož
obsahem je svolení subjektu údajů se zpracováním osobních údajů.
V případě, že je souhlas vložen do všeobecných obchodních podmínek, je možné zpochybnit
svobodu takto uděleného souhlasu, proto využití všeobecných obchodních podmínek není pro udělení
souhlasu se zpracováním osobních údajů optimální.
Na tento fakt reaguje i nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice
95/46/ES (obecné nařízení o ochraně osobních
údajů), které nabude účinnosti dne 25. května 2018. Toto nařízení v čl. 7 odst. 2 uvádí:
„Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž
jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto
jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a
jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení
tohoto nařízení, není závazná.“
Jakým způsobem je možné uzavřít písemnou smlouvu s nevidomou osobou?
Postup uplatňovaný v takovéto situaci obsahuje
§ 563 občanský zákoník.
Ustanovení § 563 občanského
zákoníku v odst. 1 konkrétně uvádí:
„Pokud v písemné formě právně jedná ten, kdo nemůže
číst a psát, ale je schopen seznámit se s obsahem právního jednání pomocí přístrojů či speciálních
pomůcek nebo prostřednictvím jiné osoby, kterou si zvolí, opatří listinu podpisem; není-li s to se
podepsat, učiní namísto podpisu před alespoň dvěma svědky na listině rukou nebo jinak vlastní
znamení, ke kterému jeden ze svědků připíše jméno jednajícího.“
Nejprve je tedy třeba zjistit, zda se nevidomá osoba může seznámit s obsahem dokumentu
prostřednictvím přístrojů nebo speciálních pomůcek nebo prostřednictvím osoby, kterou si sama zvolí.
Po seznámení se osoby dle výše uvedeného postupu s obsahem daného právního jednání je
možné smlouvu podepsat. Jako důkaz o zvoleném postupu je vhodné buď o této skutečnosti vytvořit
zápis, nebo přímo na smlouvu pod podpisy smluvních stran zapsat informace o způsobu seznámení se s
obsahem dokumentu (je vhodné výše uvedené zaznamenat na všechny stejnopisy).
Zdroj: Odborný portál DAUC.cz, 2017.